2. Aşama: Ayrıcalıklı iş istasyonlarını yapılandırma ve güvenliğini sağlama

Bu makale, Ayrıcalıklı erişim mimarisi çözümü uygulama kılavuzunun bir parçasıdır.

Ayrıcalıklı erişim çoğu kuruluşta kritik bir güvenlik riski sunar çünkü kimlik sistemleri, bulut denetim düzlemleri ve iş açısından kritik varlıklar üzerinde doğrudan denetim sağlar.

Bu riski azaltarak ve hassas sistemler üzerindeki denetimi güçlendirerek güvenli bir ayrıcalıklı erişim mimarisinin iş senaryonuzda nasıl kritik bir rol oynadığını öğrenin: Kritik iş varlıklarını koruma .

Bu makalede çözümün 2. Aşaması açıklanmaktadır. Ayrıcalıklı işlemlerin yalnızca güvenilir cihazlardan gerçekleştirilmesini sağlamak için Ayrıcalıklı Erişim İş İstasyonlarını (PAW) dağıtır ve güvenliğini sağlamlaştırır. 1. Aşama üzerine kuruludur ve 3. Aşamadaki uygulama için kullanılan cihaz güven sinyallerini (Intune uyumluluğu ve Uç Nokta için Microsoft Defender riski) üretir.

Koruma hedefleri

2. Aşama, ayrıcalıklı erişimin sağlanmasını sağlar:

  • Yalnızca güvenilir, sağlamlaştırılmış cihazlardan kaynaklanır.
  • Yüksek riskli üretkenlik etkinliklerinden yalıtılır.
  • Daha sonra uygulama için temiz ve güvenilir bir cihaz sinyali üretir.
  • Kimlik bilgisi hırsızlığı, belirteç yeniden kullanımı ve oturum ele geçirme riskini azaltır.
  • Bir cihazın güvenliği tehlikeye atılırsa patlama yarıçapını sınırlar.

Koruma kapsamı

Ayrıcalıklı erişim yalnızca kaynağı olduğu cihaz kadar güvenilirdir. MFA, onaylar ve rol etkinleştirme gibi kimlik korumaları güvenliği aşılmış bir iş istasyonu için telafi yapamaz. Bir saldırgan ayrıcalıklı erişim için kullanılan cihazı denetlerse şunları yapabilir:

  • MFA tamamlandıktan sonra kimlik doğrulama belirteçlerini çalın.
  • Yönetim oturumlarına kötü amaçlı işlemler ekleme.
  • Kimlik bilgilerini veya belirteçleri bellekten yeniden yürüt.
  • Yasal kullanıcı olarak çalışarak onay iş akışlarını atla.

Ayrıcalıklı roller için, ele geçirilmiş tek bir iş istasyonu kiracı çapında veya kuruluş çapında kontrole hızla yükselmeyi mümkün kılabilir. Sonuç olarak, cihaz güvenliği ayrıcalıklı erişim için üst güven sınırı tanımlar. Bu nedenle ayrıcalıklı erişim ilkeleri, yönetim oturumlarının en yüksek güvenlik çubuğuna uyan cihazlardan kaynaklandığını varsayar. Bu cihazlar ayrıcalıklı işlemler için güven sınırını oluşturur.

Ayrıcalıklı erişim iş istasyonları (PAW)

PAW, özel olarak ayrıcalıklı görevler için tasarlanmış sağlamlaştırılmış, yönetilen bir Windows iş istasyonudur. PAW'lar ayrıcalıklı erişim için cihaz güven sınırını tanımlar ve yaygın saldırı vektörlerinden yalıtılır.

  • E-posta, genel web'e gözatma ve üretkenlik iş yüklerinden yalıtılır.
  • Microsoft Intune aracılığıyla kaydedilir ve yönetilir.
  • Kimlik tümleştirmesi için Microsoft Entra ID kullanın.
  • Uç Nokta için Microsoft Defender tarafından izlenir.
  • Güçlü bir donanım tabanlı güven kökü sağlayın.

PAW’ların güvenlik düzeyi/profil perspektifindeki yeri şöyledir.

Güvenlik düzeyi Cihaz profili
Kurumsal kullanıcılar Standart yönetilen cihaz
Özelleştirilmiş işleçler Güçlendirilmiş yönetilen cihaz
Ayrıcalıklı (denetim düzlemi yöneticileri) PENÇE

Risklerin azaltılması

Risk Neden önemlidir? 1. aşama hafifletme
Saldırgan, MFA'nın ardından kimlik doğrulama belirteçlerini çalar MFA, yürütme ortamını değil kimlik doğrulamasını korur. bir iş istasyonu ele geçirilirse, saldırganlar kimlik doğrulamasından sonra belirteçleri çalabilir ve ayrıcalıklı kullanıcıların kimliğine bürünmek için bunları yeniden kullanabilir. PAW'lar, daha düşük saldırı yüzeyine, kimlik bilgisi korumasına (Credential Guard) ve sürekli izlemeye sahip sağlamlaştırılmış cihazlar üzerinde ayrıcalıklı iş yüklerini izole ederek, ele geçirilmiş üretkenlik cihazlarından belirteç hırsızlığını önler.
Yönetim oturumlarına kötü amaçlı işlem ekleme Saldırganlar güvenliği aşılmış cihazlardaki yönetici araçlarına veya tarayıcı oturumlarına kod ekleyebilir ve kimlikler korunduğunda bile ayrıcalıklı işlemlerin denetimini elde edebilir. Uygulama denetimi, yerel yönetici haklarının kaldırılması ve PAW'larda kısıtlanmış uygulama yürütme, yönetim oturumları sırasında yetkisiz kod yürütülmesini engeller.
Bellekten kimlik bilgisi yeniden yürütme Saldırganlar, güvenliği aşılmış iş istasyonlarındaki bellekten kimlik bilgilerini veya belirteçleri ayıklayabilir ve ayrıcalıkları ilerletmek veya daha sonra taşımak için bunları yeniden yürütebilir. PAW'lar, sanallaştırma tabanlı güvenlik ve sağlamlaştırılmış işletim sistemi yapılandırmalarını kullanarak kimlik bilgisi yalıtımını zorunlu tutarak bellekteki kimlik bilgilerinin açığa çıkma oranını azaltır ve yeniden yürütme fırsatlarını sınırlar.
Güvenliği aşılmış cihazlardan atlanan onay iş akışları Onay tabanlı rol etkinleştirme ile bile, bir iş istasyonunu denetleyan saldırganlar onaylı oturumları ele geçirerek ayrıcalıkları hızla yükseltebilir. Cihaz güveni, ayrıcalıklı çalışma için bir önkoşul haline gelir. PAW'lar onayların ve yönetim eylemlerinin yalnızca güvenliğin aşılmasına karşı koyacak şekilde tasarlanmış cihazlardan gerçekleşmesini sağlar.
Güvenliği aşılmış iş istasyonundan hızlı yükseltme Ele geçirilmiş tek bir yönetici iş istasyonu, saldırganların kimlik sistemlerine, kontrol düzlemlerine ve kuruluş genelindeki yönetim sistemlerine hızla sıçramasına olanak tanıyabilir. Cihaz güvenliği güven üzerine bir üst sınır ayarlar. PAW'lar en yüksek güvenlik standardını sağlayarak, ele geçirilmiş bir uç noktanın ayrıcalıklı rollere yükselmek için kullanılma olasılığını azaltır.

Aşama sonuçları

2. Aşamayı tamamladıktan sonra:

  • Bir veya daha fazla özel PAW cihazı kurulur.
  • Ayrıcalıklı yönetim işlemleri yalnızca PAW'lardan gerçekleştirilir.
  • PAW'lar, üretkenlik amaçlı kullanımdan izole edilir.
  • Cihazlar merkezi olarak yönetilir, izlenir ve kurtarılabilir.
  • Cihaza duyulan güvene ilişkin varsayımlar açıkça tanımlanır ve uygulanabilir.
  • Sonraki aşamalarda Koşullu Erişim ve izleme güvenli bir şekilde uygulanabilir.

Prerequisites

Bu makaledeki yordamları yapılandırmadan önce:

  • 1. Aşama yönergelerinin tamamlandığından emin olun.
  • Ayrıcalıklı erişim hikayesinde cihaz güvenliği hakkında bilgi edinin.
  • Aşağıdaki hizmetler kullanılabilir olmalıdır:
    • Microsoft Entra ID'nin kimlik sağlayıcısı olarak kullanılması
    • Cihaz yönetimi için Microsoft Intune.
    • Tehdit koruması için Uç Nokta için Microsoft Defender.
  • Yönetici başına desteklenen en az bir Windows cihazına ve aşağıdakileri destekleyen modern Windows donanıma ihtiyacınız vardır:
    • TPM 2.0
    • UEFI Güvenli Önyükleme
    • BitLocker
    • Sanallaştırma tabanlı güvenlik (VBS/HVCI)
    • Windows Update aracılığıyla sunulan üretici yazılımı ve sürücüler.

Bu eşiği karşılamayan cihazlar ayrıcalıklı erişim için kullanılmamalıdır.

1. Adım: PAW sağlamayı/yaşam döngüsünü tanımlama

Hangi cihazların PAW olduğunu, nasıl oluşturulduğunu, kaydedildiklerini, yönetildiğini ve hazır olmadan önce kullanılmasının engellendiğini tanımlayın.

PAW cihaz grubu oluşturun

Bu grup PAW cihazları içerir ve aşağıdakiler için kullanılır:

  • Kayıt hedefleme
  • Sağlamlaştırma profilleri
  • Uyumluluk değerlendirmesi
  • Koşullu Erişimin sonraki bir aşamada uygulanması.

Aşağıdaki gibi oluşturun:

  1. Microsoft Entra Yönetim Merkezi'nde, Microsoft Entra ID>Gruplar>Yeni grup yolunu izleyin.

  2. Grup ayarlarını yapılandırın ve oluştur'u seçin.

    • Grup türü: Güvenlik
    • Grup adı: Güvenli İş İstasyonu Cihazları
    • Üyelik türü: Dinamik Cihazlar

  3. Dinamik sorgu ekle'yi seçin ve şu söz dizimine sahip bir kural ekleyin: device.devicePhysicalIds -any _ -contains "[OrderID]: PAW"

  4. Kaydet>Oluştur seçin.

PAW Autopilot grup etiketiyle kaydedilen cihazlar PAW dinamik cihaz kuralı tarafından tanımlanır ve ayrıcalıklı erişim iş istasyonları olarak kabul edilir.

PAW oluşturabilecek kişileri denetleyin

PAW'ların bilinçli olarak ve güvenli bir şekilde kaydedilmesini sağlayın.

  • Cihazları Microsoft Entra ID’ye kimlerin katabileceğini kısıtlayın.
  • Cihazların katılması için MFA gerektirin.
  • Katılımda otomatik yerel yönetici haklarını kaldırın.
  1. Entra Yönetim Merkezi'nde Cihazlar Cihaz>ayarları'na gidin.
  2. Kullanıcılar cihazları Microsoft Entra ID'ye katabilir>Seçili seçeneği için Secure Workstation Users öğesini seçin.
  3. Cihazlara katılmak için Multi-Factor Auth gerektir bölümünde Evet'i seçin.
  4. Microsoft Entra’ya katılmış cihazlarda ek yerel yönetici bölümünde Hiçbiri seçin.
  5. Ayarları kaydedin.

Bu durumda, yalnızca PAW kullanıcıları PAW'ları kaydedebilir, MFA gerekir ve hiçbir PAW kullanıcısı varsayılan olarak yerel yönetici olmaz.

PAW'ları ilk önyüklemeden itibaren yönetin

PAW'lar ilk açılıştan itibaren yönetilmelidir. Yönetilmeyen cihazlar, ayrıcalıklı erişim için güvenilir kabul edilemez.

  • cihazları Intune'a otomatik olarak kaydetmek için Microsoft Entra ID yapılandırın.
  • Birleştirmeden hemen sonra tüm PAW'ların MDM tarafından yönetildiğinden emin olun.
  • Cihaz kaydını onaylı platformlar ile kısıtlayın.
  1. Microsoft Entra ID>Mobilite (MDM ve MAM)>Microsoft Intune öğesini açın.
  2. MDM kullanıcı kapsamınıTümü olarak ayarlayın ve kaydedin.
  3. Kayıt kısıtlamalarını yapılandırma:
    • Windows cihaz kaydına izin verin.
    • Kişisel cihazları engelleyin veya kısıtlayın.

PAW’lar her zaman yönetilendir, asla yönetilmeyen değildir.

PAW'ları tutarlı bir şekilde sağlama

PAW'lerin iyi olduğu bilinen bir durumda başlamasını sağlayan tutarlı ve yinelenebilir bir PAW sağlama işlemini uygulamak için Windows Autopilot'u kullanın.

Özel bir Autopilot dağıtım profili oluşturun ve bunu PAW cihaz grubuna atayın.

  1. Microsoft Intune Yönetim Merkezi'nde Devices>Windows>Windows enrollment>Deployment profiles adresine gidin.
  2. Profil oluştur'u seçin ve aşağıdaki ayarlarla bir profil oluşturun:
    • Ad: güvenli iş istasyonu dağıtım profili
    • Tüm hedeflenen cihazları Autopilot'a dönüştürme: Evet
    • Dağıtım modu: Kendi kendine dağıtma
    • Kullanıcı hesabı türü: Standart
  3. Oluştur'i seçin.

Sağlamlaştırmadan önce PAW'ların kullanılmasını engelleme

PAW'ların tamamen sağlamlaştırılmadan önce kullanılmasını önleyin. Bu, kurulum sırasında erken pozlamayı önler.

  • Kayıt Durumu Sayfası Yapılandırma (ESP)
  • Tüm gerekli profiller ve uygulamalar yüklenene kadar cihaz kullanımını engelle
  • PAW cihazlarına ESP atama

  1. Microsoft Intune Yönetim Merkezi'nde Devices>Windows>Windows kaydı>Kayıt durumu gidin.

  2. Profil oluştur'u seçin ve aşağıdaki ayarlarla bir profil oluşturun:

    • Uygulama ve profil yükleme ilerleme durumunu göster: Evet
    • Tüm uygulamalar ve profiller yüklenene kadar cihaz kullanımını engelle: Evet

  3. Güvenli İş İstasyonu Cihazları'na atayın ve Oluştur'u seçin.

Devam eden yaşam döngüsü işlemleri

  1. PAW'ları kurtarmak ve yeniden oluşturmak için:

    • Güvenliği ihlal edildiğinde, PAW'ları Autopilot aracılığıyla sıfırlayın veya yeniden yapılandırın.
    • PAW'ları manuel olarak onarılacak değil, değiştirilecek bileşenler olarak değerlendirin.

  2. PAW'ları kimlik doğrulamak ve izlemek için kullanın:

    • Cihaz grubu üyeliği
    • Autopilot kaydı

Bu süreçler uygulamaya alındığında, PAW'lar açıkça tanımlanabilen, merkezi olarak yönetilen ve güvenlikleri tehlikeye girerse Autopilot aracılığıyla envantere alınabilen, gözden geçirilebilen, güvenli bir şekilde silinebilen ve yeniden kullanıma hazırlanabilen cihazlardır.

2. Adım: PAW'ları Sağlamlaştırma

Temiz, düşük riskli bir cihaz sinyali sunmak için Ayrıcalıklı Erişim İş İstasyonlarını (PAW) sağlamlaştırma. Sağlamlaştırma denetimleri saldırı yüzeyini azaltmayı, düzeltme eki uygulama ve Defender risk/uyumluluk sinyalleri üretmeyi içerir.

Koşullu Erişim ve izleme denetimleri, ayrıcalıklı erişim kararlarını zorunlu kılmak için bu duruşu kullanmaktadır.

Bu denetimler, PAW'ların daha önce tanımlanan gerekli donanım güvenliği önkoşullarını karşıladığı varsayılır.

Windows Update halkalarını yapılandırma

PAW'lara hızlı ve tahmin edilebilir bir şekilde düzeltme eki eklenmelidir. Gecikmeler veya kullanıcı denetimindeki ertelemeler cihaz güvenini baltalar.

  1. Microsoft Intune Yönetim Merkezi'nde Devices>Windows>Software updates>Windows Update ring gidin.

  2. Profil oluştur'u seçin.

  3. Aşağıdaki ayarları yapılandırın:

    • Ad: PAW – Windows Güncelleştirme Halkası
    • Kalite güncelleştirmesi erteleme (gün): 3
    • Özellik güncelleştirmesi erteleme (gün): 3
    • Otomatik güncelleştirme davranışı: Son kullanıcı denetimi olmadan otomatik yükleme ve yeniden başlatma
    • Kullanıcının güncelleştirmeleri duraklatmasını engelle: Engelle
    • Bekleyen yeniden başlatmalar için son tarih belirle: 3 gün

  4. Atamalar bölümünde, güvenli iş istasyonu cihazlarına atama yapın.

  5. Profili oluşturun.

Bu işlemi tamamladıktan sonra, PAW'lar maruz kalma süresi en aza indirilerek güncel kalır ve kullanıcı tarafından atlanamaz.

Defender for Endpoint’e katılma

Koşullu Erişim ve uyumluluk, Defender risk sinyallerine bağlıdır. Uç Nokta için Defender olmadan cihaz güveni eksiktir.

  1. Microsoft Intune Yönetim Merkezi'nde Endpoint security>Uç Nokta için Microsoft Defender gidin.
  2. Uç Nokta için Microsoft Defender'i Intune'a bağla seçeneğini Açık olarak ayarlayın.
  3. Kaydetseçeneğini seçin.
  4. Bağlantıyı onaylamak için Intune'da yenileyin.

Karşılama profili oluşturun

  1. Microsoft Intune Yönetim Merkezi'nde Uç nokta güvenliği>Uç nokta algılama ve yanıtı bölümüne gidin.

  2. Profil oluştur'u seçin ve aşağıdaki ayarları yapılandırın:

    • Platform: Windows 10 ve üzeri
    • Profil türü: Uç nokta algılama ve yanıt
    • Ad: PAW - Uç Nokta için Defender

  3. Yapılandırma ayarları'ndatüm dosyalar için Örnek paylaşımı etkinleştirin.

  4. Güvenli İş İstasyonu Cihazları grubuna atayın.

  5. Profili oluşturun.

Prosedürü yapılandırdıktan sonra PAW'lar, Koşullu Erişim ve SecOps tarafından kullanılan cihaz riski, kötü amaçlı yazılım ve EDR telemetrisini gönderir.

Güvenlik duvarı ve ağ kısıtlamalarını zorunlu kılma

PAW’nin tehlikeye atılma yollarının çoğu dışa doğrudur. Çıkışı kısıtlamak kritik önem taşır.

  1. Microsoft Intune Yönetim Merkezi'nde Endpoint security>Firewall adresine gidin.
  2. Uç nokta koruma profili oluşturun.
  3. Giden güvenlik duvarı kurallarını yalnızca DNS, DHCP, NTP gibi gerekli hizmetlere ve onaylanan yönetim ve yönetim uç noktalarına izin verecek şekilde yapılandırın. Varsayılan olarak gereksiz giden trafiği engelleyin.
  4. Güvenli İş İstasyonu Cihazlarına atayın.

Prosedürü yapılandırdıktan sonra, PAW'lar yalnızca yönetim görevleri için gerekli yönetim uç noktalarına erişebilir.

Sonraki Adımlar

PAW'lar yapılandırıldığında ve sağlamlaştırıldığında, sonraki adım Koşullu Erişim ve ilke kullanarak ayrıcalıklı erişimi zorunlu kılmaktır.

  • Last updated on