Skydda enheter som en del av den privilegierade åtkomstartikeln
Den här vägledningen är en del av en fullständig strategi för privilegierad åtkomst och implementeras som en del av distributionen av privilegierad åtkomst
Säkerhet från slutpunkt till slutpunkt utan förtroende för privilegierad åtkomst kräver en stark grund för enhetssäkerhet för att skapa andra säkerhetsgarantier för sessionen. Även om säkerhetsgarantierna kan förbättras under sessionen begränsas de alltid av hur starka säkerhetsgarantierna är i den ursprungliga enheten. En angripare med kontroll över den här enheten kan personifiera användare på den eller stjäla sina autentiseringsuppgifter för framtida personifiering. Den här risken undergräver andra garantier för kontot, mellanhänder som hoppservrar och själva resurserna. Mer information finns i principen för ren källa
Artikeln innehåller en översikt över säkerhetskontroller för att tillhandahålla en säker arbetsstation för känsliga användare under hela livscykeln.
Den här lösningen förlitar sig på kärnsäkerhetsfunktioner i Windows 10-operativsystemet, Microsoft Defender för Endpoint, Microsoft Entra ID och Microsoft InTune.
Vem fördelar med en säker arbetsstation?
Alla användare och operatörer drar nytta av att använda en säker arbetsstation. En angripare som komprometterar en dator eller enhet kan personifiera eller stjäla autentiseringsuppgifter/token för alla konton som använder den, vilket undergräver många eller alla andra säkerhetsgarantier. För administratörer eller känsliga konton gör det möjligt för angripare att eskalera behörigheter och öka den åtkomst de har i din organisation, ofta dramatiskt till domän-, globala eller företagsadministratörsbehörigheter.
Mer information om säkerhetsnivåer och vilka användare som ska tilldelas till vilken nivå finns i Säkerhetsnivåer för privilegierad åtkomst
Enhetssäkerhetskontroller
För att distributionen av en säker arbetsstation ska lyckas måste den ingå i en slutpunkt till slutpunkt-metod, inklusive enheter, konton, mellanhänder och säkerhetsprinciper som tillämpas på dina programgränssnitt. Alla element i stacken måste åtgärdas för en fullständig säkerhetsstrategi för privilegierad åtkomst.
Den här tabellen sammanfattar säkerhetskontrollerna för olika enhetsnivåer:
| Profile | Stora företag | Specialiserade | Privilegierad |
|---|---|---|---|
| Microsoft Endpoint Manager (MEM) hanterad | Ja | Ja | Ja |
| Neka BYOD-enhetsregistrering | Nej | Ja | Ja |
| MEM-säkerhetsbaslinje tillämpas | Ja | Ja | Ja |
| Microsoft Defender för slutpunkter | Ja* | Ja | Ja |
| Ansluta personlig enhet via Autopilot | Ja* | Ja* | Nej |
| URL:er som är begränsade till godkänd lista | Tillåt de flesta | Tillåt de flesta | Neka standard |
| Borttagning av administratörsrättigheter | Ja | Ja | |
| Programkörningskontroll (AppLocker) | Granskning –> framtvingas | Ja | |
| Program som endast installeras av MEM | Ja | Ja |
Kommentar
Lösningen kan distribueras med ny maskinvara, befintlig maskinvara och BYOD-scenarier (Bring Your Own Device).
På alla nivåer tillämpas god säkerhetsunderhållshygien för säkerhetsuppdateringar av Intune-principer. Skillnaderna i säkerhet när enhetssäkerhetsnivån ökar fokuserar på att minska den attackyta som en angripare kan försöka utnyttja (samtidigt som så mycket användarproduktivitet som möjligt bevaras). Företagsenheter och specialiserade enheter tillåter produktivitetsprogram och allmän webbsurfning, men arbetsstationer med privilegierad åtkomst gör det inte. Företagsanvändare kan installera sina egna program, men specialiserade användare kanske inte (och är inte lokala administratörer för sina arbetsstationer).
Kommentar
Webbsurfning här refererar till allmän åtkomst till godtyckliga webbplatser som kan vara en högriskaktivitet. Sådan surfning skiljer sig helt från att använda en webbläsare för att få åtkomst till ett litet antal välkända administrativa webbplatser för tjänster som Azure, Microsoft 365, andra molnleverantörer och SaaS-program.
Maskinvarurot för förtroende
Viktigt för en säker arbetsstation är en leveranskedjelösning där du använder en betrodd arbetsstation som kallas "roten av förtroende". Teknik som måste beaktas i valet av roten av betrodd maskinvara bör innehålla följande tekniker som ingår i moderna bärbara datorer:
- TPM (Trusted Platform Module) 2.0
- BitLocker-diskkryptering
- Säker UEFI-start
- Drivrutiner och inbyggd programvara distribuerade via Windows Update
- Virtualisering och HVCI aktiverat
- HVCI-redo för drivrutiner och appar
- Windows Hello
- DMA I/O-skydd
- System Guard
- Modernt vänteläge
För den här lösningen distribueras roten av förtroende med Hjälp av Windows Autopilot-teknik med maskinvara som uppfyller de moderna tekniska kraven. För att skydda en arbetsstation kan du använda Microsoft OEM-optimerade Windows 10-enheter med Autopilot. Dessa enheter är i ett känt bra tillstånd från tillverkaren. I stället för att återskapa en potentiellt osäker enhet kan Autopilot omvandla en Windows 10-enhet till ett "affärsklart" tillstånd. Den tillämpar inställningar och principer, installerar appar och ändrar till och med utgåvan av Windows 10.
Enhetsroller och profiler
Den här vägledningen visar hur du härdar Windows 10 och minskar riskerna med att enheten eller användaren komprometteras. För att dra nytta av den moderna maskinvarutekniken och roten för förtroendeenheten använder lösningen Enhetshälsoattestering. Den här funktionen finns för att säkerställa att angriparna inte kan vara beständiga under den tidiga starten av en enhet. Det gör det genom att använda principer och teknik för att hantera säkerhetsfunktioner och risker.
- Enterprise Device – Den första hanterade rollen är bra för hemanvändare, småföretagsanvändare, allmänna utvecklare och företag där organisationer vill höja minimisäkerhetsfältet. Den här profilen tillåter användare att köra alla program och bläddra på valfri webbplats, men en lösning mot skadlig kod och identifiering och åtgärd på slutpunkt (Identifiering och åtgärd på slutpunkt) som Microsoft Defender för Endpoint krävs. En principbaserad metod för att öka säkerhetsstatusen används. Det ger ett säkert sätt att arbeta med kunddata samtidigt som du använder produktivitetsverktyg som e-post och webbsurfning. Med granskningsprinciper och Intune kan du övervaka en Enterprise-arbetsstation för användarbeteende och profilanvändning.
Företagssäkerhetsprofilen i vägledningen för privilegierad åtkomstdistribution använder JSON-filer för att konfigurera detta med Windows 10 och de tillhandahållna JSON-filerna.
- Specialiserad enhet – Detta representerar ett betydande steg upp från företagsanvändningen genom att ta bort möjligheten att själv administrera arbetsstationen och begränsa vilka program som får köras till endast de program som installerats av en auktoriserad administratör (i programfilerna och förgodkända program på användarprofilplatsen. Om du tar bort möjligheten att installera program kan det påverka produktiviteten om det implementeras felaktigt, så se till att du har gett åtkomst till Microsoft Store-program eller företagshanterade program som snabbt kan installeras för att uppfylla användarnas behov. Information om vilka användare som ska konfigureras med specialiserade enheter finns i Säkerhetsnivåer för privilegierad åtkomst
- Den specialiserade säkerhetsanvändaren kräver en mer kontrollerad miljö samtidigt som den fortfarande kan utföra aktiviteter som e-post och webbsurfning i en enkel upplevelse. Dessa användare förväntar sig att funktioner som cookies, favoriter och andra genvägar fungerar, men kräver inte möjligheten att ändra eller felsöka enhetens operativsystem, installera drivrutiner eller liknande.
Den specialiserade säkerhetsprofilen i vägledningen för privilegierad åtkomstdistribution använder JSON-filer för att konfigurera detta med Windows 10 och de tillhandahållna JSON-filerna.
- PAW (Privileged Access Workstation) – Det här är den högsta säkerhetskonfigurationen som är utformad för extremt känsliga roller som skulle ha en betydande eller väsentlig inverkan på organisationen om deras konto komprometterades. PAW-konfigurationen innehåller säkerhetskontroller och principer som begränsar lokal administrativ åtkomst och produktivitetsverktyg för att minimera attackytan till det som absolut krävs för att utföra känsliga jobbuppgifter.
Detta gör PAW-enheten svår för angripare att kompromettera eftersom den blockerar den vanligaste vektorn för nätfiskeattacker: e-post och webbsurfning.
För att ge dessa användare produktivitet måste separata konton och arbetsstationer tillhandahållas för produktivitetsprogram och webbsurfning. Även om det är obekvämt är detta en nödvändig kontroll för att skydda användare vars konto kan skada de flesta eller alla resurser i organisationen.
- En privilegierad arbetsstation ger en härdad arbetsstation som har tydlig programkontroll och programskydd. Arbetsstationen använder skydd mot autentiseringsuppgifter, enhetsskydd, appskydd och exploateringsskydd för att skydda värden från skadligt beteende. Alla lokala diskar krypteras med BitLocker och webbtrafiken är begränsad till en gränsuppsättning tillåtna mål (neka alla).
Den privilegierade säkerhetsprofilen i vägledningen för privilegierad åtkomstdistribution använder JSON-filer för att konfigurera detta med Windows 10 och de tillhandahållna JSON-filerna.