Fas 2: Konfigurera och skydda privilegierade arbetsstationer

Den här artikeln är en del av lösningsguiden Implementera en privilegierad åtkomstarkitektur .

Privilegierad åtkomst utgör en kritisk säkerhetsrisk i de flesta organisationer eftersom den ger direkt kontroll över identitetssystem, molnkontrollplan och affärskritiska tillgångar.

Lär dig hur en säker arkitektur för privilegierad åtkomst spelar en viktig roll i ditt affärsscenario – Skydda kritiska affärstillgångar – genom att minska den här risken och stärka kontrollen över känsliga system.

I den här artikeln beskrivs fas 2 i lösningen. Den driftsätter och härdar PAW-arbetsstationer så att privilegierade aktiviteter endast utförs från betrodda enheter. Den bygger på fas 1 och genererar de enhetsförtroendesignaler (Intune-efterlevnad och Microsoft Defender för Endpoint risk) som används för tillämpning i fas 3.

Skyddsmål

Fas 2 säkerställer att privilegierad åtkomst:

  • Kommer endast från betrodda, härdade enheter.
  • Är isolerad från aktiviteter med hög riskproduktivitet.
  • Ger en ren och tillförlitlig enhetssignal för senare tillämpning.
  • Minskar risken för stöld av inloggningsuppgifter, återanvändning av token och kapning av sessioner.
  • Begränsar explosionsradien om en enhet komprometteras.

Skyddsomfång

Privilegierad åtkomst är bara lika tillförlitlig som den enhet som den kommer från. Identitetsskydd – till exempel MFA, godkännanden och rollaktivering – kan inte kompensera för en komprometterad arbetsstation. Om en angripare styr den enhet som används för privilegierad åtkomst kan de:

  • Stöld av autentiseringstokens efter att MFA har slutförts.
  • Injicera skadliga processer i administratörssessioner.
  • Spela upp autentiseringsuppgifter eller token från minnet.
  • Kringgå arbetsflöden för godkännande genom att fungera som legitim användare.

För privilegierade roller kan en enskild komprometterad arbetsstation möjliggöra snabb eskalering till innehavaromfattande eller företagsomfattande kontroll. Därför definierar enhetssäkerhet den övre gränsen för förtroende för privilegierad åtkomst. Principer för privilegierad åtkomst förutsätter därför att administrativa sessioner kommer från enheter som uppfyller det högsta säkerhetsfältet. Dessa enheter utgör förtroendegränsen för privilegierade åtgärder.

Arbetsstationer för privilegierad åtkomst (PAW)

En PAW är en härdad, hanterad Windows arbetsstation som endast är utformad för privilegierade uppgifter. PAW:er definierar gränsen för enhetsförtroende för privilegierad åtkomst och är isolerade från vanliga attackvektorer.

  • Är isolerade från e-post, allmän webbsurfning och produktivitetsarbetsbelastningar.
  • Registreras och hanteras via Microsoft Intune.
  • Använd Microsoft Entra ID för identitetsintegrering.
  • Övervakas av Microsoft Defender för Endpoint.
  • Ge en stark maskinvarubaserad rot av förtroende.

Så här passar PAW:er in från ett säkerhetsnivå-/profilperspektiv.

Säkerhetsnivå Enhetsprofil
Företagsanvändare Standardhanterad enhet
Specialiserade operatorer Säkerhetshärdad hanterad enhet
Privilegierade (administratörer för kontrollplanet) PAW

Risker åtgärdade

Risk Varför det spelar roll Åtgärder för fas 1
Angripare stjäl autentiseringstoken efter MFA MFA skyddar autentisering, inte körningsmiljön. Om en arbetsstation komprometteras kan angripare stjäla token efter autentisering och återanvända dem för att personifiera privilegierade användare. PAW:er isolerar privilegierat arbete på härdade enheter med minskad attackyta, skydd mot autentiseringsuppgifter (Credential Guard) och kontinuerlig övervakning, vilket förhindrar tokenstöld från komprometterade produktivitetsenheter.
Skadlig processinjektion i administrativa sessioner Angripare kan mata in kod i administratörsverktyg eller webbläsarsessioner på komprometterade enheter och få kontroll över privilegierade åtgärder även när identiteter skyddas. Programkontroll, borttagning av lokala administratörsrättigheter och begränsad programkörning på PAW:er förhindrar obehörig kodkörning under administrativa sessioner.
Repris av autentiseringsuppgifter från minnet Angripare kan extrahera autentiseringsuppgifter eller token från minnet på komprometterade arbetsstationer och spela upp dem igen för att eskalera privilegier eller flytta i sidled. PAW:er framtvingar isolering av autentiseringsuppgifter med hjälp av virtualiseringsbaserad säkerhet och härdade OS-konfigurationer, vilket minskar exponeringen av autentiseringsuppgifter i minnet och begränsar återspelningsmöjligheterna.
Arbetsflöden för godkännande kringgås från komprometterade enheter Även med godkännandebaserad rollaktivering kan angripare som kontrollerar en arbetsstation kapa godkända sessioner och snabbt eskalera privilegier. Enhetsförtroende blir en förutsättning för privilegierat arbete. PAW:er säkerställer att godkännanden och administrativa åtgärder endast sker från enheter som är utformade för att motstå kompromettering.
Snabb eskalering från komprometterad arbetsstation En enda komprometterad administratörsarbetsstation kan göra det möjligt för angripare att snabbt pivotera till identitetssystem, kontrollplan och företagsomfattande administration. Enhetssäkerhet anger en övre gräns för förtroende. PAW:er ger den högsta säkerhetsstapeln, vilket minskar sannolikheten för att en komprometterad slutpunkt kan användas för att eskalera till privilegierade roller.

Fasresultat

När du har slutfört fas 2:

  • En eller flera dedikerade PAW-enheter har konfigurerats.
  • Privilegierat administrativt arbete kommer endast från PAWs.
  • PAW:er är isolerade från produktivitetsanvändning.
  • Enheterna hanteras, övervakas och kan återställas centralt.
  • Antaganden om enhetsförtroende är explicita och verkställbara.
  • Senare faser kan på ett säkert sätt tillämpa villkorlig åtkomst och övervakning.

Förutsättningar

Innan du konfigurerar procedurer i den här artikeln:

  • Kontrollera att fas 1-instruktionerna är slutförda.
  • Lär dig mer om enhetssäkerhet i artikeln om privilegierad åtkomst.
  • Följande tjänster bör vara tillgängliga:
    • Microsoft Entra ID som identitetsprovider.
    • Microsoft Intune för enhetshantering.
    • Microsoft Defender för Endpoint för skydd mot hot.
  • Du behöver minst en Windows enhet som stöds per administratör, med modern Windows maskinvara som stöder:
    • TPM 2.0
    • Säker UEFI-start
    • BitLocker
    • Virtualiseringsbaserad säkerhet (VBS/HVCI)
    • Inbyggd programvara och drivrutiner som betjänas via Windows Update.

Enheter som inte uppfyller det här fältet får inte användas för privilegierad åtkomst.

Steg 1: Definiera etablering och livscykelhantering för PAW

Definiera vilka enheter som är PAW:er, hur de skapas, registreras, hanteras och förhindras från att användas innan de är klara.

Skapa en PAW-enhetsgrupp

Den här gruppen kommer att innehålla PAW-enheter och används för:

  • Registreringsmål
  • Härdningsprofiler
  • Utvärdering av efterlevnad
  • Tillämpning av villkorsstyrd åtkomst i en senare fas.

Skapa på följande sätt:

  1. I administrationscentret för Microsoft Entra går du till Microsoft Entra ID>Groups>Ny grupp.

  2. Konfigurera gruppinställningarna och välj sedan Skapa.

    • Grupptyp: Säkerhet
    • Gruppnamn: Säkra arbetsstationsenheter
    • Medlemskapstyp: Dynamiska enheter

  3. Välj Lägg till dynamisk fråga och lägg till en regel med den här syntaxen: device.devicePhysicalIds -any _ -contains "[OrderID]: PAW"

  4. Välj Spara>skapa.

Enheter som är registrerade med grupptaggen PAW Autopilot identifieras av den dynamiska enhetsregeln för PAW och behandlas som arbetsstationer för privilegierad åtkomst.

Styr vem som kan skapa PAW

Se till att PAW:er registreras avsiktligt och säkert.

  • Begränsa vem som kan ansluta enheter till Microsoft Entra ID.
  • Kräv multifaktorautentisering för att ansluta enheter.
  • Ta bort automatiska lokala administratörsrättigheter vid anslutning.
  1. I Administrationscenter för Entra går du till Enhetsinställningar>.
  2. I Användare kan ansluta enheter till Microsoft Entra ID>Selected väljer du Secure Workstation Users.
  3. I Kräv Multi-Factor Auth för att ansluta enheter väljer du Ja.
  4. I Ytterligare lokal administratör på enheter som är anslutna till Microsoft Entra väljer du Ingen.
  5. Spara inställningarna.

Med detta på plats kan endast PAW-användare registrera PAW:er, MFA krävs och ingen PAW-användare blir en lokal administratör som standard.

Hantera PAW-enheter från start

PAWer måste hanteras från första uppstart. Ohanterade enheter kan inte vara betrodda för privilegierad åtkomst.

  • Konfigurera Microsoft Entra ID att automatiskt registrera enheter i Intune.
  • Se till att alla PAW-enheter hanteras via MDM omedelbart efter anslutning.
  • Begränsa enhetsregistreringen till godkända plattformar.
  1. Öppna Microsoft Entra ID>Mobility (MDM och MAM)>Microsoft Intune.
  2. Ange MDM-användaromfånget till Alla och spara.
  3. Konfigurera registreringsbegränsningar:
    • Tillåt registrering av Windows-enheter.
    • Blockera eller begränsa personligt ägda enheter.

PAW:ar är alltid hanterade, aldrig ohanterade.

Tillhandahåll PAW på ett konsekvent sätt

Använd Windows Autopilot för att säkerställa en enhetlig och repeterbar provisionering av PAW:er som gör att de startar i ett känt, gott tillstånd.

Skapa en dedikerad Autopilot-distributionsprofil och tilldela den till PAW-enhetsgruppen.

  1. I administrationscentret för Microsoft Intune går du till Enheter>Windows>Windows registrering>Distributionsprofiler.
  2. Välj Skapa profil och skapa en profil med följande inställningar:
    • Namn: Distributionsprofil för säker arbetsstation
    • Konvertera alla målenheter till Autopilot: Ja
    • Distributionsläge: Självdistribution
    • Typ av användarkonto: Standard
  3. Välj Skapa.

Förhindra användning av PAW:ar innan de har härdats

Förhindra att PAW:er används innan de är helt härdade. Detta förhindrar tidig exponering under installationen.

  • Konfigurera en registreringsstatussida (ESP)
  • Blockera enhetsanvändning tills alla nödvändiga profiler och program har installerats
  • Tilldela ESP till PAW-enheter

  1. I administrationscentret för Microsoft Intune går du till Enheter>Windows>Windows registrering>Registreringsstatus.

  2. Välj Skapa profil och skapa en profil med följande inställningar:

    • Visa förloppet för app- och profilinstallation: Ja
    • Blockera enhetsanvändning tills alla appar och profiler har installerats: Ja

  3. Tilldela till Säkra arbetsstationsenheter och välj Skapa.

Pågående livscykelåtgärder

  1. För att återställa och återuppbygga PAW:er:

    • Återställ/återskapa PAW:er via Autopilot när de komprometteras.
    • Behandla PAW:er som utbytbara, inte reparerade manuellt.

  2. Så här identifierar och spårar du PAWs-användning:

    • Medlemskap i enhetsgrupp
    • Autopilot-registrering

Med dessa processer på plats är PAW:er explicit identifierbara, centralt hanterade enheter som kan inventeras, granskas och rensas på ett säkert sätt och återetableras via Autopilot om de komprometteras.

Steg 2: Härda PAW-enheterna

Säkra arbetsstationer för privilegierad åtkomst (PAW) så att de ger en ren enhetssignal med låg risk. Härdningskontroller omfattar att minska attackytan, framtvinga korrigeringar och producera Defender risk-/efterlevnadssignaler.

Villkorlig åtkomst och övervakningskontroller förlitar sig på den här hållningen för att framtvinga privilegierade åtkomstbeslut.

Dessa kontroller förutsätter att PAW:er uppfyller de nödvändiga kraven för maskinvarusäkerhet som definierades tidigare.

Konfigurera Windows Update ringar

PAW måste uppdateras med säkerhetskorrigeringar snabbt och på ett förutsägbart sätt. Fördröjningar eller användarkontrollerade uppskjutningar undergräver enhetens förtroende.

  1. I administrationscentret för Microsoft Intune går du till Enheter>Windows>Programuppdateringar>Windows Update ringar.

  2. Välj Skapa profil.

  3. Konfigurera följande inställningar:

    • Namn: PAW – Windows Update Ring
    • Uppskjutning av kvalitetsuppdatering (dagar): 3
    • Uppskjutning av funktionsuppdatering (dagar): 3
    • Automatiskt uppdateringsbeteende: Installera och starta om automatiskt utan slutanvändarkontroll
    • Blockera användare från att pausa uppdateringar: Blockera
    • Ange tidsgräns för väntande omstarter: 3 dagar

  4. I Tilldelningar tilldelar du säkra arbetsstationsenheter.

  5. Skapa profilen.

När du har slutfört den här proceduren förblir PAW:er uppdaterade med säkerhetskorrigeringar, med ett minimalt exponeringsfönster och utan möjlighet för användare att kringgå dem.

Anslut till Defender for Endpoint

Villkorlig åtkomst och regelefterlevnad beror på risksignaler från Defender. Utan Defender för slutpunkten är enhetsförtroendet ofullständigt.

  1. I administrationscentret för Microsoft Intune går du till Endpoint security>Microsoft Defender för Endpoint.
  2. Ange Anslut Microsoft Defender för Endpoint till Intune till On.
  3. Välj Spara.
  4. Uppdatera i Intune för att bekräfta anslutningen.

Skapa en registreringsprofil

  1. I Microsoft Intune Administrationscenter går du till Endpoint security>Endpoint detection and response.

  2. Välj Skapa profil och konfigurera följande inställningar:

    • Plattform: Windows 10 och senare
    • Profiltyp: Slutpunktsidentifiering och svar
    • Namn: PAW - Defender for Endpoint

  3. I Konfigurationsinställningar aktiverar du Exempeldelning för alla filer.

  4. Tilldela till gruppen Säkra arbetsstationsenheter.

  5. Skapa profilen.

När du har konfigurerat proceduren genererar PAW:er enhetsrisk, skadlig kod och EDR-telemetri som används av villkorlig åtkomst och SecOps.

Framtvinga brandväggs- och nätverksbegränsningar

De flesta angreppsvägar för PAW är utgående. Det är viktigt att begränsa utgående trafik.

  1. I administrationscentret för Microsoft Intune går du till Endpoint security>Firewall.
  2. Skapa en Endpoint Protection-profil .
  3. Konfigurera regler för utgående brandvägg så att endast nödvändiga tjänster som DNS, DHCP, NTP och godkända administrativa slutpunkter och hanteringsslutpunkter tillåts. Blockera onödig utgående trafik som standard.
  4. Tilldela Säkra arbetsstationsenheter.

När du har konfigurerat proceduren kan PAW:er endast nå administrativa slutpunkter som krävs för hanteringsuppgifter.

Nästa steg

Med PAW:er konfigurerade och härdade är nästa steg att framtvinga privilegierad åtkomst med hjälp av villkorsstyrd åtkomst och princip.

  • Last updated on