重要
本指南已替换为更新后的安全工作站指南,后者是保护特权访问的完整解决方案的一部分。
本文档仅出于存档和参考目的而在线保留。 Microsoft 强烈建议遵循新的解决方案指南,该指南更安全、更易于部署和支持。
旧版指南
特权访问工作站 (PAW) 为敏感任务提供专用操作系统,使其免受 Internet 攻击和威胁向量攻击。 从日常使用的工作站和设备中分离这些敏感任务和帐户可提供强大的保护,使其免受网络钓鱼攻击、应用程序和 OS 漏洞攻击、各种模拟攻击和凭据盗窃攻击(例如按键日志记录、哈希传递和票证传递)。
什么是特权访问工作站?
简单来说,PAW 是为敏感帐户和任务提供高安全性而设计的强化且锁定的工作站。 建议使用 PAW 管理标识系统、云服务、私有云构造和敏感业务功能。
注意
PAW 体系结构不需要将帐户 1:1 映射到工作站,虽然这是一种常见配置。 PAW 可创建由一个或多个帐户使用的受信任的工作站环境。
为了提供最强的安全保护,PAW 应始终运行最新且安全的操作系统:Microsoft 强烈建议使用 Windows 11 企业版,其中包括其他版本中未提供的其他几个安全功能(特别是 Credential Guard 和 Device Guard)。
注意
无法使用 Windows 11 企业版的组织可以使用 Windows 11 专业版,其中包括许多适用于 PAW 的关键基础技术,包括受信任的启动、BitLocker 和远程桌面。 教育版客户可以使用 Windows 11 教育版。
Windows 11 家庭版不适合 PAW。
PAW 安全控制机制侧重于缓解泄密造成的较大影响以及较高概率的风险。 这包括缓解对环境的攻击,以及不断降低 PAW 控制机制效率的风险:
- Internet 攻击 - 大多数攻击直接或间接地源于 Internet 源,并使用 Internet 进行渗透及命令和控制 (C2)。 将 PAW 与开放 Internet 隔离是确保 PAW 免遭入侵的关键要素。
- 可用性风险 - 如果 PAW 太难以用于日常任务,则管理员会积极创建解决方法,以便更轻松地工作。 通常情况下,这些变通方法会使管理工作站和帐户面临重大安全风险,因此,安全地使 PAW 用户参与并授权其来缓解这些可用性问题很重要。 为此,可以听取他们的反馈意见,安装所需的工具和脚本以执行其作业,确保所有员工意识到为什么他们需要 PAW、PAW 是什么以及如何正确成功地使用它。
- 环境风险 - 由于环境中的很多其他计算机和帐户直接或间接地暴露在 Internet 风险中,必须保护 PAW,使之免受生产环境中被入侵的资产攻击。 这要求将对 PAW 有访问权限的管理工具和帐户的使用限制到最低,以保护和监控这些专用的工作站。
- 供应链篡改 - 虽然不可能清除硬件和软件供应链中所有可能的篡改风险,但是执行一些关键操作可以缓解攻击者现已可用的关键攻击媒介。 这包括验证所有安装介质的完整性,以及使用受信任且信誉良好的硬件和软件供应商。
- 物理攻击 - 由于 PAW 可以真实移动,并在实际上安全的设施之外使用,因此必须防止他人未经授权使用计算机实物进行攻击。
重要
PAW 不会保护已通过 Active Directory 林获得管理权限的环境的免受攻击者攻击。 由于 Active Directory 域服务的许多现有实现多年来一直存在凭据被盗风险,因此组织应考虑违规行为,以及他们的域或企业管理员凭据被盗用但未检测出的可能性。 怀疑域被入侵的组织应考虑使用专业事件响应服务。
有关响应和恢复指南的详细信息,请参阅缓解哈希传递和其他凭据被盗第 2 版中的“对可疑活动进行响应”和“从漏洞中恢复”部分。
旧版 PAW 硬件配置文件
管理人员也是标准用户 - 他们需要 PAW 和标准用户工作站来检查电子邮件、浏览 Web 和访问公司业务线应用程序。 确保管理员的工作效率和安全是任何 PAW 部署成功的基本条件。 如果一种安全的解决方案会大大限制生产力,则会被用户放弃,用户倾向于使用可提高生产力的方案(即使该方案不太安全)。
为平衡安全需要与工作效率需要,Microsoft 建议使用其中一个 PAW 硬件配置文件:
- 专用硬件 - 将用户任务与管理任务的专用设备分离。
- 同时使用 - 利用操作系统或演示虚拟化,可以同时运行用户任务和管理任务的单个设备。
组织可能只使用一个配置文件,也可能两个都使用。 硬件配置文件之间没有互操作性问题,组织可以灵活地将硬件配置文件与具有特定需要和情况的指定管理员相匹配。
重要
这一点至关重要,在所有这些方案中,管理人员创建了一个与专用管理帐户分开的标准用户帐户。 管理帐户应仅在 PAW 管理操作系统上使用。
此表从操作易用性、工作效率和安全性的角度总结了每个硬件配置文件的相对优点和缺点。 两种硬件方法均可提供强大的安全功能,使管理帐户免于凭据被盗及重复使用。
方案 | 优点 | 缺点 |
---|---|---|
专用硬件 | - 强信号的任务敏感度 - 最强安全隔离 |
- 额外的办公桌空间 - 额外的重量(用于远程工作) - 硬件成本 |
同时使用 | - 更低的硬件成本 - 单一设备体验 |
- 共享单一键盘/鼠标会导致疏忽性错误/风险 |
本指南包含针对专用硬件方法的 PAW 配置的详细说明。 如果你有同时使用硬件配置文件的需求,可以在本指南的基础上自行调整操作说明,或雇用类似于 Microsoft 的专业服务组织帮助实施。
专用硬件
在此方案中,PAW 用于管理,它独立于用于处理日常工作的计算机,例如电子邮件、文档编辑和开发工作。 所有管理工具和应用程序均安装在 PAW 上,所有生产力应用程序均安装在标准用户工作站上。 本指南中的分步说明基于此硬件配置文件。
同时使用 - 添加 RemoteApp、RDP 或 VDI
在此同时使用方案中,一台 PC 同时用于管理任务和日常活动(例如电子邮件、文档编辑及开发工作)。 在此配置中,用户操作系统将集中部署和管理(在云中或在数据中心中),但在断开连接时不可用。
物理硬件在本地为管理任务运行单个 PAW 操作系统,并为用户应用程序(如电子邮件、文档编辑和业务线应用程序)联系 Microsoft 或第三方远程桌面服务。
在此配置中,不需要管理权限的日常工作是在远程 OS 和应用程序(不受应用于 PAW 主机的限制的约束)中完成的。 所有管理工作都在管理员操作系统上完成。
要对此进行配置,请按照本指南中对 PAW 主机的说明进行操作,允许到远程桌面服务的网络连接,然后将快捷方式添加至 PAW 用户桌面,以便访问应用程序。 远程桌面服务可通过多种方式进行托管,包括:
- 现有的远程桌面或 VDI 服务,例如 Azure 虚拟桌面、Microsoft Dev Box 或 Windows 365。
- 在本地或在云中安装的新服务
- 使用预配置的模板或你自己的安装映像的 Azure RemoteApp
体系结构概述
下图描绘了通过维护单独的专用管理帐户和工作站创建的单独管理(高度敏感的任务)“通道”。
此体系结构方法基于 Windows 11 Credential Guard 和 Device Guard 功能中的保护方法,并在敏感帐户和任务的保护上超出这些方法。
此方法适用于对高值资产具有访问权限的帐户:
- 管理权限 - PAW 为高影响力 IT 管理角色和任务提供增强的安全性。 此体系结构可以用于管理多种类型的系统,包括 Active Directory 域和林、Microsoft Entra ID 租户、Microsoft 365 租户、进程控制网络 (PCN)、监督控制和数据收集 (SCADA) 系统、自动讲机 (ATM) 和销售点 (PoS) 设备。
- 高敏感度信息工作者 - PAW 中使用的方法还可以为高度敏感的信息辅助角色任务和人员提供保护,例如涉及合并和收购活动预先宣布的人员、预发布的财务报告、组织的社交媒体展示、执行通信、未受专利保护的商业秘密、敏感研究或其他专有或敏感数据。 本指南不深入讨论这些信息辅助角色方案的配置,也不会在技术说明中添加此方案。
本文档介绍了为何建议使用这种做法来保护高影响力的特权帐户、这些 PAW 解决方案如何保护管理权限,以及如何快速部署 PAW 解决方案进行域和云服务管理。
本文档提供了用于实现数种 PAW 配置的详细指导,包括详细的操作说明,使你得以保护常用的高影响力帐户:
- 阶段 1 - 立即部署 Active Directory 管理员该阶段将快速提供一个可以保护本地域和林管理角色的 PAW
- 阶段 2 - 将 PAW 扩展到所有管理员 这可为云服务(如 Microsoft 365 和 Azure、企业服务器、企业应用程序和工作站)的管理员提供保护
- 阶段 3 - 高级 PAW 安全性 讨论有关 PAW 安全性的更多保护功能和注意事项
为何使用专用工作站?
组织当前的威胁环境是存在大量可对 Internet 暴露帐户和工作站构成持续安全入侵的复杂仿冒攻击及其他 Internet 攻击。
此威胁环境要求组织在为高值资产(例如管理帐户和敏感商业资产)设计保护功能时,能够采用“假定违反”的安全状态。 这些高价值资产需要防范来自其他工作站、服务器和环境设备的直接 Internet 威胁和攻击。
此图描述了如果攻击者获取了使用敏感凭据的用户工作站的控制权限,托管资产会遭遇的风险。
获取操作系统权限的攻击者可以使用多种方式非法获取工作站上所有活动的访问权限,并可以模拟合法帐户。 各种已知和未知的攻击技术都可用于获得此级别的访问权限。 随着网络攻击的数量和复杂程度不断提升,有必要将这种分离概念扩展到区分敏感帐户的客户端操作系统。 有关这些类型的攻击的详细信息,请访问《传递哈希网站》以获取信息性白皮书、视频等。
PAW 方法分开使用管理人员的管理员帐户和用户帐户,是一种获得广泛认可的推荐做法。 这种做法使用单独分配的管理帐户,将其与用户的标准用户帐户相分离。 PAW 通过为这些敏感帐户提供可信工作站,建立此帐户分离做法。
本 PAW 指南旨在帮助实现保护高值帐户(例如高权限 IT 管理员和高敏感度的商业帐户)的功能。 本指南可帮助你:
- 将凭据限制为仅暴露给受信任的主机
- 向管理员提供安全性较高的工作站,以便他们可以轻松地执行管理任务。
限制敏感帐户仅使用强化的 PAW 是对这些帐户的直接保护,对于管理员来说,这种方法不仅可用性强,对手也很难攻破。
备用方法
本部分包含与 PAW 相比,备选方法安全性的信息,以及如何如何在 PAW 体系结构中正确集成这些方法的信息。 如果单独执行这些方法中的一种,那么所有方法都有重大风险,但在某些方案中,可为 PAW 实施增加价值。
Credential Guard 和 Windows Hello 企业版
作为 Windows 11 的一部分,Credential Guard 使用基于硬件和虚拟化的安全措施,通过保护派生凭据来缓解常见的凭据盗窃攻击,例如传递哈希攻击。 Windows Hello 企业版使用的凭据的私钥可由受信任的平台模块 (TPM) 硬件保护。
这些都是功能强大的缓解措施,但即使受到 Credential Guard 或 Windows Hello 企业版的保护,工作站仍易受到某些攻击。 攻击包括滥用特权及使用来自被入侵设备的凭据、在启用凭据保护前重复使用先前盗取的凭据、滥用管理工具及在工作站上弱化应用程序配置。
本部分的 PAW 指南包括针对高敏感性帐户和任务使用多种技术。
管理虚拟机
管理虚拟机(管理 VM)是托管在标准用户桌面上的用于管理任务的专用操作系统。 虽然此方法在为管理任务提供专用操作系统方面与 PAW 类似,但它具有致命缺陷,即此管理虚拟机依赖于标准用户桌面才能实现其安全性。
下图描述了在用户工作站上有管理员 VM 的情况下。攻击者如何沿着控制链找到目标对象,也说明了很难在反向配置上创建路径。
PAW 体系结构不允许在用户工作站上托管管理员 VM,但具有标准公司映像的用户 VM 可以托管在管理员 PAW 上,以便为人员提供单台电脑,以承担所有责任。
跳转服务器
管理“跳转服务器”体系结构设置少量管理控制服务器,并限制员工使用这些服务器执行执行管理任务。 这通常取决于远程桌面服务、第三方演示虚拟化解决方案或虚拟桌面基础结构 (VDI) 技术。
此方法经常被建议用于缓解管理风险,并提供一些安全保证,但跳转服务器这一方法本身容易受到特定攻击,因为它违反了干净源原则。 清洁源原则要求所有安全依赖关系与受保护的对象一样可信。
此图描述了简单的控制关系。 控制对象的任何使用者均是该对象的安全依赖关系。 如果攻击者可以控制目标对象(使用者)的安全依赖关系,那么他们可以控制该对象。
跳转服务器上的管理会话依赖于访问它的本地计算机的完整性。 如果此计算机是面临仿冒攻击和其他基于 Internet 的攻击媒介的用户工作站,则管理会话仍面临这些风险。
上一张图显示攻击者如何根据已建立的控制链找到目标对象。
虽然某些高级安全控件(如多重身份验证)可能会增加攻击者从用户工作站接管此管理会话的难度,但当攻击者拥有源计算机的管理访问权限时,任何安全功能都无法完全防范技术攻击(例如,将非法命令注入合法会话、劫持合法进程等)
此 PAW 指南中的默认配置会在 PAW 上安装管理工具,但如有必要,还可以添加跳转服务器体系结构。
此图显示反转控制关系及从管理工作站访问用户应用如何使攻击者无法获取目标对象的路径。 用户跳转服务器仍暴露于风险之中,因此,仍应为面向 Internet 的计算机应用正确的保护控件、检测控件和响应流程。
此配置要求管理员严格遵循操作实践,以确保他们不会意外地在其桌面上将管理员凭据输入到用户会话中。
此图显示了从 PAW 访问管理跳转服务器如何做到不为攻击者添加至管理资产的路径。 在此情况下,带有 PAW 的跳转服务器允许你合并用于监控管理活动和用于分发管理应用程序与工具的位置数量。 这会增加一些设计复杂性,但如果你在 PAW 实现中使用大量帐户和工作站,这可以简化安全监控和软件更新。 需要使用与 PAW 类似的安全标准才能对跳转服务器进行构建和配置。
特权管理解决方案
特权管理解决方案是按需提供对离散权限或特权帐户的临时访问权限的应用程序。 特权管理解决方案是保护特权访问的完整策略的重要组成部分,并提供管理活动至关重要的可见性和问责制。
这些解决方案通常使用灵活的工作流授予访问权限,许多解决方案还具有其他安全功能,例如服务帐户密码管理和与管理跳转服务器的集成。 市场上能提供特权管理功能的解决方案有许多,其中之一就是 Microsoft 标识管理器 (MIM) 特权访问管理 (PAM)。
Microsoft 建议使用 PAW 访问特权管理解决方案。 应仅向 PAW 授予这些解决方案的访问权限。 Microsoft 不建议使用这些解决方案替代 PAW,因为使用这些解决方案从可能被破解的用户桌面进行访问违反了干净源原则,具体说明如下图所示:
通过使 PAW 具备这些解决方案的访问权限,你可以同时获得 PAW 和特权管理解决方案的双重优势,具体如此图中所示:
重要
这些系统应在它们所管理特权的最高层进行分类,并受到此安全级别或更高级别的保护。 这些系统通常被配置为管理第 0 层解决方案和第 0 层资产,因此,应在第 0 层进行分类。
有关部署 Microsoft 标识管理器 (MIM) 特权访问管理 (PAM) 的详细信息,请参阅 https://aka.ms/mimpamdeploy
PAW 方案
本部分包含此 PAW 指南应当应用于哪个方案的说明。 在所有方案中,应培训管理员仅使用 PAW 为远程系统提供支持。 为获得成功和安全的使用体验,应鼓励所有 PAW 用户提供反馈以提高 PAW 体验,并仔细审查此反馈以与 PAW 计划集成。
在所有方案中,本指南的后续阶段和不同硬件配置文件中的额外强化都可用于满足角色的可用性或安全要求。
注意
本指南明确区分需要访问 Internet 上的特定服务(例如 Azure 和 Microsoft 365 管理门户)和所有主机和服务的“开放 Internet”。
方案 | 使用 PAW? | 范围和安全注意事项 |
---|---|---|
Active Directory 管理员 - 第 0 层 | 是 | 使用阶段 1 指南构建的 PAW 对此角色来说已足够。 - 可以添加管理林来为此方案提供最强的保护。 有关 ESAE 管理林的详细信息,请参阅 ESAE 继续使用方案 |
Azure IaaS 和 PaaS 服务管理员 - 第 0 层或第 1 层(请参阅“范围和设计注意事项”) | 是 | 使用阶段 2 中提供的指南构建的 PAW 对于此角色来说已足够。 - PAW 至少应该用于管理 Microsoft Entra ID 和订阅账单的用户。 PAW 还应用于关键或敏感服务器的委派管理员。 |
管理员 Microsoft 365 租户 - 第 1 层 |
是 | 使用阶段 2 中提供的指南构建的 PAW 对于此角色来说已足够。 - PAW 至少应该用于管理订阅账单的用户,以及管理 Microsoft Entra ID 和 Microsoft 365 的用户。 你还应认真考虑将 PAW 用于极为关键或敏感数据的委派管理员。 |
其他 IaaS 或 PaaS 云服务管理员 -第 0 层或第 1 层(请参阅“范围和设计注意事项”) |
是 | 使用阶段 2 中提供的指南构建的 PAW 对于此角色来说已足够。 - PAW 应该用于具有云托管虚拟机管理权限的任意角色,包括安装代理、导出硬盘文件,或访问包含操作系统信息、敏感数据或关键业务数据的硬盘驱动器的存储等功能。 |
虚拟化管理员 -第 0 层或第 1 层(请参阅“范围和设计注意事项”) |
是 | 使用阶段 2 中提供的指南构建的 PAW 对于此角色来说已足够。 - PAW 应该用于具有虚拟机管理权限的任意角色,包括安装代理、导出虚拟硬盘文件,或访问包含操作系统信息、敏感数据或关键业务数据的硬盘驱动器的存储等功能。 注意:如果域控制器或其他第 0 层主机位于订阅中,则虚拟化系统及其管理员将被视为林的第 0 层。 如果没有第 0 层服务器托管在虚拟化系统中,则订阅将是第 1 层。 |
服务器维护管理员 - 第 1 层 |
是 | 使用阶段 2 中提供的指南构建的 PAW 对于此角色来说已足够。 - PAW 应该用于更新、修补及检修运行 Windows Server、Linux 和其他操作系统的企业服务器和应用程序的管理员。 |
用户工作站管理员 - 第 2 层 |
是 | 使用阶段 2 中提供的指南生成的 PAW 足以满足对最终用户设备(如支持人员和桌面支持角色)具有管理权限的角色。 - 可能需要在 PAW 上安装其他应用程序才能启用票证管理和其他支持功能。 |
SQL、SharePoint 或业务线 (LOB) 管理员 - 第 1 层 |
是 | 使用阶段 2 指南构建的 PAW 对于此角色来说已足够。 - 可能需要在 PAW 上安装其他管理工具,以允许管理员管理应用程序,而无需使用远程桌面连接到服务器。 |
管理社交媒体状态的用户 | 部分 | 使用阶段 2 中提供的指南生成的 PAW 可用作为这些角色提供安全保障的起点。 - 使用 Microsoft Entra ID 保护和管理社交媒体帐户,以便共享、保护和跟踪对社交媒体帐户的访问。 |
标准用户 | 否 | 尽管许多强化步骤可为标准用户所用,但 PAW 设计为将帐户与多数用户完成工作职责所需的开放 Internet 接入隔离。 |
来宾 VDI/网亭 | 否 | 虽然许多强化步骤可为来宾用于网亭系统,PAW 体系结构旨在为高敏感度帐户而非较低敏感度帐户提供更高的安全性。 |
VIP 用户(总经理、研究人员等) | 部分 | 使用阶段 2 中提供的指南构建的 PAW 可以用作为这些角色提供安全功能的起点。 - 此方案与标准用户桌面类似,但通常有一个更小、更简单且已知的应用程序配置文件。 此方案通常需要发现和保护敏感数据、服务和应用程序。 |
行业控制系统(例如 SCADA、PCN 和 DCS) | 部分 | 使用阶段 2 中提供的指南构建的 PAW 可作为起点,为这些角色提供安全性,因为与大多数 ICS 控制台(包括 SCADA 和 PCN 等通用标准)不需要浏览开放的 Internet 及检查电子邮件。 - 用于控制物理机器的应用程序必须正确进行集成、兼容性测试并受到保护。 |
嵌入式操作系统 | 否 | 虽然 PAW 的许多强化步骤可用于嵌入式操作系统,但在此方案中,需要开发自定义解决方案进行强化。 |
注意
组合方案 某些人员可能承担跨多个方案的管理责任。 在这些情况下,需要记住的关键规则是必须始终遵守层模型规则。
缩放 PAW 程序 随着 PAW 程序的缩放以包含更多管理员和角色,需要继续确保持续符合安全标准及可用性。 这可能需要更新 IT 支持结构或创建新结构来解决 PAW 载入过程、事件管理、配置管理以及收集反馈以解决可用性挑战等 PAW 特定挑战。 例如,你的组织决定为管理员启用家庭工作场景,这需要从桌面 PAW 转移到笔记本电脑 PAW ,而这种转变可能需要考虑额外的安全注意事项。 另一个常见示例是为新管理员创建或更新培训 - 培训现在必须包括 PAW 的适当使用(包括为什么它很重要以及 PAW 是什么和不是什么)。 有关在缩放 PAW 程序时需要考虑的更多注意事项,请参阅本说明的阶段 2。
本指南包含前面所述的各种方案的 PAW 配置的详细说明。 如果你对其他方案有需求,可以在本指南的基础上自行调整操作说明,或雇用类似于 Microsoft 的专业服务组织帮助实施。
PAW 分阶段实现
因为 PAW 必须为管理提供安全、受信任的源,所以安全可信的构建过程至关重要。 本部分提供详细说明,可让你使用与 Microsoft 所使用的类似的一般原则和概念构建自己的 PAW。
这些说明分为三个阶段,重点介绍如何快速实施最关键的缓解措施,然后逐步增加和扩大 PAW 在企业的使用。
请务必注意,即使阶段是作为同一整体项目的一部分规划和实施的,也应始终按顺序执行。
阶段 1:立即部署 Active Directory 管理员
目的:快速提供可以保护本地域和林管理员角色的 PAW。
范围:第 0 层管理员包括企业管理员、域管理员(适用于所有域)及其他权威标识系统的管理员。
阶段 1 重点介绍管理你的本地 Active Directory 域的管理员,他们是经常成为攻击者目标的关键角色。 无论 Active Directory 域控制器 (DC) 是托管在本地数据中心、Azure 基础结构即服务 (IaaS) 还是另一个 IaaS 提供程序中,这些标识系统都可有效地保护这些管理员。
在此阶段,你将创建安全的管理 Active Directory 组织单位 (OU) 结构来托管特权访问工作站 (PAW),并自行部署 PAW。 此体系结构还包括支持 PAW 所需的组策略和组。
基础结构基于以下 OU、安全组和组策略:
- 组织单位 (OU)
- 六个新的顶级 OU:
- 管理员
- 组
- 第 1 层服务器
- 工作站
- 用户帐户
- 计算机隔离。
- 六个新的顶级 OU:
- 组
- 六个新的启用了安全功能的全局组:
- 第 0 层复制维护
- 第 1 层服务器维护
- 服务台操作员
- 工作站维护
- PAW 用户
- PAW 维护。
- 六个新的启用了安全功能的全局组:
- 组策略对象:
- PAW 配置 - 计算机
- PAW 配置 - 用户
- 所需的 RestrictedAdmin - 计算机
- PAW 出站限制
- 限制工作站登录
- 限制服务器登录。
阶段 1 包括以下步骤:
完成先决条件
确保所有管理员都使用单独的个人帐户进行管理和最终用户活动(包括电子邮件、Internet 浏览、业务线应用程序和其他非管理活动)。 将管理帐户分配给独立于其标准用户帐户的每个授权人员是 PAW 模型的基础,因为只允许某些帐户登录到 PAW 本身。
重要
每个管理员都应使用他或她自己的帐户进行管理。 不要共享管理帐户。
最小化第 0 层特权管理员的人数。 因为每个管理员都必须使用 PAW,减少管理员数量将降低支持管理员所需的 PAW 数量及相关成本。 管理员数量的减少也降低了这些权限和相关风险的暴露机率。 虽然同一个位置的管理员可以共享 PAW,但不同物理位置的管理员需要单独的 PAW。
获取来自受信任的供应商、满足所有技术要求的硬件。 Microsoft 建议获取满足文章使用凭据保护来保护域凭据中技术要求的硬件。
注意
无需这些功能即可安装在硬件上的 PAW 可以提供重要的保护功能,但凭据保护和设备保护等高级安全功能将不可用。 凭据保护和设备保护在阶段 1 部署中不作要求,但强烈建议将其作为阶段 3 部署的一部分(高级强化)。
确保用于 PAW 中的硬件来自于其安全做法受组织信任的制造商或供应商。 这是一款用于供应链安全、符合清洁源原则的应用程序。
有关供应链安全的重要性的详细背景信息,请访问本站点。
获取并验证所需的 Windows 11 企业版和应用程序软件。
- Windows 11 企业版
- 适用于 Windows 11 的远程服务器管理工具
- Windows 11 安全基线
注意
Microsoft 在 MSDN 上为所有操作系统和应用程序发布了 MD5 哈希值,但并不是所有软件供应商都提供类似文档。 在这些情况下将需要其他策略。
确保 Intranet 上有可用的 WSUS 服务器。 需要 Intranet 上的 WSUS 服务器才能下载和安装 PAW 的更新。 此 WSUS 服务器应配置为自动批准 Windows 11 的所有安全更新,或者管理人员应负责且有责任快速批准软件更新。 有关详细信息,请参阅批准更新指南中的“自动批准安装更新”部分。
将第 0 层帐户移到“管理员\第 0 层\帐户 OU”。
将每个是域管理员、企业管理员第 0 层等效组(包括嵌套成员身份)成员的帐户移动到该 OU。 如果组织具有已添加到这些组的自己的组,则应该将自己的组移动到 Admin\Tier 0\Groups OU。
将相应成员添加到相关组
PAW 用户 - 使用域或你在阶段 1 的第 1 步中识别的 Enterprise Admin 组添加第 0 层管理员。
PAW 维护 - 添加至少一个用于 PAW 维护和故障排除任务的帐户。 PAW 维护帐户很少使用。
重要
不将相同的用户帐户或组同时添加至 PAW 用户和 PAW 维护。 PAW 安全模型一定程度上基于以下假设:PAW 用户帐户具有托管系统或 PAW 自身的特权权限,但并不同时具备上述两项特权权限。
- 这对于在阶段 1 构建好的管理做法和习惯非常重要。
- 这对于阶段 2 及之后阶段通过 PAW 阻止特权提升至关重要,因为 PAW 可以跨层。
理想情况下,没有人员分配到多个层级的职责,以强制执行职责分离原则,但 Microsoft 认识到,许多组织的员工人数(或其他组织要求)有限,不允许进行这种完全分离。 在这些情况下,同一人员可能会同时分配到这两个角色,但不应通过相同的帐户使用这些功能。
创建“PAW 配置 - 计算机”组策略对象 (GPO)
在本部分中,你将创建一个新的“PAW 配置 - 计算机”GPO,该 GPO 为这些 PAW 提供特定保护,并将其链接到第 0 层“设备 OU”(第 0 层\管理员下的“设备”)。
警告
不要将这些设置添加到默认域策略。 这样做可能会影响整个 Active Directory 环境中的操作。 仅在此处描述的新创建的 GPO 中配置这些设置,并仅将它们应用于 PAW OU。
PAW 维护访问 - 此设置将 PAW 上特定特权组的成员身份设置为一组特定的用户。 转到计算机配置\首选项\控制面板设置\本地用户和组,并完成以下步骤:
单击“新建”,然后单击“本地组”
选择“更新”操作,然后选择“管理员(内置)”(不使用“浏览”按钮选择域组管理员)。
依次选择“删除所有成员用户”、“删除所有成员组”复选框
添加 PAW 维护 (pawmaint) 和管理员(这里也不要使用“浏览”按钮选择管理员)。
重要
不要将 PAW 用户组添加到本地管理员组成员资格列表。 要确保 PAW 用户不能无意或故意修改 PAW 自身的安全设置,它们不应是本地管理员组的成员。
有关使用组策略首选项来修改组成员身份的详细信息,请参阅 TechNet 文章配置本地组项目。
限制本地组成员身份 - 此设置可确保工作站上的本地管理员组的成员身份始终为空
转到“计算机配置\首选项\控制面板设置\本地用户和组”,并完成以下步骤:
- 单击“新建”,然后单击“本地组”
- 选择“更新”操作,然后选择“备份操作员(内置)”(不使用“浏览”按钮选择域组备份操作员)。
- 依次选择“删除所有成员用户”、“删除所有成员组”复选框。
- 不要将任何成员添加到该组。 分配空列表会导致组策略自动删除所有成员,并确保每次刷新组策略时都有一个空白成员列表。
完成以下组的上述步骤:
- Cryptographic Operators
- Hyper-V 管理员
- Network Configuration Operators
- 超级用户
- Remote Desktop Users
- 复制者
PAW 登录限制 - 此设置限制可登录到 PAW 的帐户。 请完成以下步骤来配置此设置:
- 转到“计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\允许本地登录”。
- 选择“定义这些策略设置”并添加“PAW 用户”和“管理员”(同样,不要使用“浏览”按钮选择管理员)。
阻止入站流量 - 此设置可确保未经请求的入站流量不会流向 PAW。 请完成以下步骤来配置此设置:
- 转到“计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙,并完成以下步骤:
- 右键单击“具有高级安全性的 Windows 防火墙”,然后选择“导入策略”。
- 单击“是”接受这会覆盖任何现有的防火墙策略。
- 浏览到 PAWFirewall.wfw,然后选择“打开”。
- 单击 “确定” 。
注意
你可以添加地址或子网,这些地址或子网必须在此点使用未经请求的流量到达 PAW(例如安全扫描或管理软件)。 WFW 文件中的设置将为所有防火墙配置文件启用防火墙“阻止 - 默认值”模式、关闭规则合并启用记录被丢弃的和成功的数据包。 这些设置在允许从 PAW 发起的双向通信时仍会阻止未经请求的流量,阻止具有本地管理访问权限的用户创建可以替代 GPO 设置的本地防火墙规则,并确保记录进入和退出 PAW 的流量。 打开此防火墙将扩大 PAW 的攻击面,并增加安全风险。 在添加任何地址之前,请参阅本指南中的“管理和操作 PAW”部分。
- 转到“计算机配置\策略\Windows 设置\安全设置\高级安全 Windows 防火墙\高级安全 Windows 防火墙,并完成以下步骤:
配置 WSUS 的 Windows 更新 - 完成以下步骤,将设置更改为配置 PAW 的 Windows 更新:
- 转到“计算机配置\策略\管理模板\Windows 组件\Windows 更新,并完成以下步骤:
- 启用“配置自动更新策略”。
- 选择选项“4 - 自动下载并计划安装”。
- 将选项“计划安装日期”更改为“0 - 每天”,并在你的组织首选项中,更改“计划安装时间”选项。
- 启用选项“指定 Intranet Microsoft 更新服务位置”策略。
- 转到“计算机配置\策略\管理模板\Windows 组件\Windows 更新,并完成以下步骤:
按如下所示链接“PAW 配置 - 计算机”GPO:
策略 链接位置 PAW 配置 - 计算机 Admin\Tier 0\Devices
创建“PAW 配置 - 用户”组策略对象 (GPO)
在本部分中,你将创建一个新的“PAW 配置 - 用户”GPO,该 GPO 为这些 PAW 提供特定保护,并将其链接到第 0 层“帐户 OU”(第 0 层\管理员下的“帐户”)。
警告
不将这些设置添加到默认域策略
- 阻止 Internet 浏览 - 为了阻止无意的 Internet 浏览,这将设置环回地址 (127.0.0.1) 的代理地址。
转到“用户配置\首选项\Windows 设置\注册表”。 右键单击“注册表”并选择“新建”>“注册表项”,然后配置以下设置:
操作:替换
配置单元:HKEY_CURRENT_USER
注册表项路径:Software\Microsoft\Windows\CurrentVersion\Internet Settings
值名称:ProxyEnable
注意
不要选中值名称左侧的“默认值”框。
值类型:REG_DWORD
值数据:1
- 单击“通用”选项卡,然后选择“当不再应用项目时删除此项目”。
- 在“命令”选项卡中,选择“项目级目标”,然后单击“目标”。
- 单击“新建项目”,然后选择“安全组”。
- 选择“...”按钮,然后浏览到“PAW 用户”组。
- 单击“新建项目”,然后选择“安全组”。
- 选择“…”按钮并浏览到“云服务管理员”组。
- 单击“云服务管理员”项,然后单击“项目选项”。
- 选择“不是”。
- 单击目标窗口上的“确定”。
单击“确定”即可完成 ProxyServer 组策略设置
转到“用户配置\首选项\Windows 设置\注册表”。 右键单击“注册表”并选择“新建”>“注册表项”,然后配置以下设置:
- 操作:替换
- 配置单元:HKEY_CURRENT_USER
- 密钥路径:Software\Microsoft\Windows\CurrentVersion\Internet Settings
值名称:ProxyServer
注意
不要选择值名称左侧的“默认值”框。
值类型:REG_SZ
值数据:127.0.0.1:80
- 单击“通用”选项卡,然后选择“当不再应用项目时删除此项目”。
- 在“命令”选项卡中,选择“项目级目标”,然后单击“目标”。
- 单击“新建项目”,然后选择安全组。
- 选择“…”按钮并添加 PAW 用户组。
- 单击“新建项目”,然后选择安全组。
- 选择“…”按钮并浏览到“云服务管理员”组。
- 单击“云服务管理员”项,然后单击“项目选项”。
- 选择“不是”。
- 单击目标窗口上的“确定”。
单击“确定”即可完成 ProxyServer 组策略设置。
- 转到“用户配置\策略\管理模板\Windows 组件\Internet Explorer,并启用以下选项。 这些设置会阻止管理员手动重写代理设置。
- 启用“禁用更改自动配置”设置。
- 启用“阻止更改代理设置”。
限制管理员登录到较低层级的主机
在本部分中,我们将配置组策略以防止特权管理帐户登录到较低层级的主机。
创建新的“限制工作站登录”GPO - 此设置将限制第 0 层和第 1 层管理员帐户登录到标准工作站。 此 GPO 应链接到“工作站”顶级 OU,并采用以下设置:
在“计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\拒绝作为批处理作业登录,选择“定义这些策略设置”,并添加第 0 层和第 1 层组,包括:
- 内置第 0 层组
- 企业管理员
- Domain Admins
- Schema Admins
- BUILTIN\Administrators
- Account Operators
- 备份操作员
- 打印操作员
- Server Operators
- 域控制器
- 只读域控制器
- 组策略创建者、所有者
- Cryptographic Operators
- 其他委派组,包括具有第 0 层有效访问权限的任何自定义创建的组。
- 第 1 层管理员
- 内置第 0 层组
在“计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\拒绝以服务身份登录”下,选择“定义这些策略设置”,然后添加第 0 层和第 1 层组:
- 内置第 0 层组
- 企业管理员
- Domain Admins
- Schema Admins
- BUILTIN\Administrators
- Account Operators
- 备份操作员
- 打印操作员
- Server Operators
- 域控制器
- 只读域控制器
- 组策略创建者、所有者
- Cryptographic Operators
- 其他委派组,包括具有第 0 层有效访问权限的任何自定义创建的组。
- 第 1 层管理员
- 内置第 0 层组
创建新的“限制工作站登录”GPO - 此设置将限制第 0 层管理员帐户登录到第 1 层服务器。 此 GPO 应链接到“第 1 层服务器”顶级 OU,并采用以下设置:
在“计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\拒绝作为批处理作业登录”下,选择“定义这些策略设置”,然后添加第 0 层组:
- 内置第 0 层组
- 企业管理员
- Domain Admins
- Schema Admins
- BUILTIN\Administrators
- Account Operators
- 备份操作员
- 打印操作员
- Server Operators
- 域控制器
- 只读域控制器
- 组策略创建者、所有者
- Cryptographic Operators
- 其他委派组,包括具有第 0 层有效访问权限的任何自定义创建的组。
- 内置第 0 层组
在“计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\拒绝以服务身份登录”下,选择“定义这些策略设置”,然后添加第 0 层组:
- 内置第 0 层组
- 企业管理员
- Domain Admins
- Schema Admins
- BUILTIN\Administrators
- Account Operators
- 备份操作员
- 打印操作员
- Server Operators
- 域控制器
- 只读域控制器
- 组策略创建者、所有者
- Cryptographic Operators
- 其他委派组,包括具有第 0 层有效访问权限的任何自定义创建的组。
- 内置第 0 层组
在“计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\拒绝本地登录”下,选择“定义这些策略设置”,然后添加第 0 层组:
- 内置第 0 层组
- 企业管理员
- Domain Admins
- Schema Admins
- BUILTIN\Administrators
- Account Operators
- 备份操作员
- 打印操作员
- Server Operators
- 域控制器
- 只读域控制器
- 组策略创建者、所有者
- Cryptographic Operators
- 其他委派组,包括具有第 0 层有效访问权限的任何自定义创建的组。
- 内置第 0 层组
部署 PAW
重要
确保在操作系统构建过程中,PAW 与网络断开连接。
使用之前获取的干净源安装媒体安装 Windows 11。
注意
可以使用 Microsoft Deployment Toolkit (MDT) 或其他自动化映像部署系统自动执行 PAW 部署,但必须确保生成过程与 PAW 一样可信。 按惯例,攻击者会明确寻找企业映像和部署系统(包括 ISO、部署程序包等),因此,不应使用已有的部署系统或映像。
如果自动部署 PAW,你必须:
- 使用经过验证和真实的安装媒体生成系统。
- 在操作系统构建过程中,确保自动部署系统与网络断开连接。
为本地 Administrator 帐户设置唯一的复杂密码。 请勿使用已用于环境中任何其他帐户的密码。
注意
Microsoft 建议使用本地管理员密码解决方案 (LAPS) 来管理所有工作站(包括 PAW)的本地管理员密码。 如果你使用 LAPS,请确保仅授权 PAW 维护组为 PAW 读取 LAPS 管理的密码。
使用干净源安装媒体安装适用于 Windows 11 的远程服务器管理工具。
配置 Windows Defender 攻击防护
将 PAW 连接到网络。 确保 PAW 可以至少连接到一个域控制器 (DC)。
使用属于 PAW 维护组成员的帐户,从新创建的 PAW 运行以下 PowerShell 命令,将其加入相应 OU 中的域:
Add-Computer -DomainName Fabrikam -OUPath "OU=Devices,OU=Tier 0,OU=Admin,DC=fabrikam,DC=com"
酌情将对 Fabrikam 的引用替换为你的域名。 如果域名扩展到多个级别(例如,child.fabrikam.com),请使用“DC=”标识符添加其他名称,其顺序显示在域的完全限定域名中。
在安装任何其他软件(包括管理工具、代理等)前,应用所有关键且重要的 Windows 更新。
强制安装组策略应用程序。
- 打开提升的命令提示符并输入以下命令:
Gpupdate /force /sync
- 重启计算机
- 打开提升的命令提示符并输入以下命令:
(可选)安装 Active Directory 管理员的其他必需工具。 安装执行作业职责所需的任何其他工具或脚本。 将凭据添加到 PAW 之前,确保使用任意工具评估凭据在目标计算机上泄露的风险。
注意
即使不会作为安全边界,为这些工具在中心位置使用跳转服务器也可以降低复杂性。
(可选)下载并安装所需的远程访问软件。 如果管理员远程使用 PAW 进行管理,请根据远程访问解决方案供应商的安全指南安装远程访问软件。
注意
仔细考虑允许通过 PAW 远程访问所涉及的全部风险。 虽然移动 PAW 可使用多种重要方案(包括在家办公),远程访问软件可能会容易受到攻击,并被用于入侵 PAW。
通过以下步骤查看并确认所有适当的设置是否已启用,从而验证 PAW 系统的完整性:
- 确认仅将特定于 PAW 的组策略应用于 PAW
- 打开提升的命令提示符并输入以下命令:
Gpresult /scope computer /r
- 查看生成的列表,并确保显示的组策略都是之前创建的。
- 打开提升的命令提示符并输入以下命令:
- 使用以下步骤确认没有其他用户帐户是 PAW 上的特权组的成员:
打开“编辑本地用户和组”(lusrmgr.msc),选择“组”,并确认只有本地管理员组的成员是本地 Administrator 帐户和 PAW 维护全局安全组。
重要
PAW 用户组不应该是本地管理员组的成员。 成员只能是本地 Administrator 帐户和 PAW 维护全局安全组(PAW 用户也不应是该全局组的成员)。
此外,使用“编辑本地用户和组”,确保下列组没有任何成员:
- 备份操作员
- Cryptographic Operators
- Hyper-V 管理员
- Network Configuration Operators
- 超级用户
- Remote Desktop Users
- 复制者
- 确认仅将特定于 PAW 的组策略应用于 PAW
(可选)如果你的组织使用安全信息和事件管理 (SIEM) 解决方案,请确保 PAW 配置为使用 Windows 事件转发 (WEF) 将事件转发到系统,或已通过此解决方案注册,以便 SIEM 主动接收来自 PAW 的事件和信息。 此操作的详细信息因 SIEM 解决方案而异。
注意
如果 SIEM 需要作为系统运行的代理或 PAW 上的本地管理帐户,请确保通过与域控制器和标识系统同一级别的信任来管理 SIEM。
(可选)如果你选择部署 LAPS 来管理 PAW 上的本地管理员帐户密码,请验证密码是否注册成功。
- 使用具有读取 LAPS 管理的密码权限的帐户,打开“Active Directory 用户和计算机”(dsa.msc)。 确保已启用高级功能,然后右键单击相应的计算机对象。 选择“属性编辑器”选项卡,确认 msSVSadmPwd 的值使用有效密码填充。
阶段 2:将 PAW 扩展到所有管理员
范围:具有关键任务应用程序和依赖关系管理权限的所有用户。 这至少应包含应用程序服务器、运行状况和安全监视解决方案、虚拟化解决方案、存储系统及网络设备的管理员。
注意
本阶段中的说明假定阶段 1 步骤已全部执行。 在阶段 1 中的步骤全部完成之前,不要开始阶段 2。
确认完成所有步骤后,请执行以下步骤以完成阶段 2:
(建议)启用 RestrictedAdmin 模式
在现有服务器和工作站上启用此功能,然后强制使用此功能。 此功能要求目标服务器运行 Windows Server 2008 R2 或更高版本,目标工作站运行 Windows 7 或更高版本。
按照此页面中的说明,在服务器和工作站上启用 RestrictedAdmin 模式。
注意
在为面向 Internet 的服务器启用此功能前,你应考虑攻击者可利用以前被盗的密码哈希通过这些服务器进行身份验证的风险。
创建“所需的 RestrictedAdmin - 计算机”组策略对象 (GPO)。 本部分会创建一个 GPO,该 GPO 强制使用 /RestrictedAdmin 开关进行传出远程桌面连接,防止在目标系统上发生帐户凭据被盗
- 转到“计算机配置\策略\管理模板\系统\凭据委派\限制向远程服务器委派凭据”,然后设置为“已启用”。
使用以下策略选项将 RestrictedAdmin 必需 - 计算机链接到适当的第 1 层和/或第 2 层设备:
- PAW 配置 - 计算机
- -> 链接位置:Admin\Tier 0\Devices(现有)
- PAW 配置 - 用户
- -> 链接位置:Admin\Tier 0\Accounts
- RestrictedAdmin 必需 - 计算机
- ->Admin\Tier1\Devices 或 -> Admin\Tier2\Devices(两者都是可选的)
注意
这不是第 0 层系统所必需的,因为这些系统已可对在环境中的所有资产进行完全控制。
- PAW 配置 - 计算机
将第 1 层对象移到相应 OU
将第 1 层组移动到 Admin\Tier 1\Groups OU。 找到授予以下管理权限的所有组,然后将其移动到此 OU。
- 多个服务器上的本地管理员
- 对云服务的管理访问权限
- 对企业应用程序的管理访问权限
- 多个服务器上的本地管理员
将第 1 层帐户移动到 Admin\Tier 1\Accounts OU。 将是第 1 层组成员(包括嵌套的成员身份)的全部帐户移动到此 OU。
将相应成员添加到相关组
第 1 层管理员 - 此组包含限制登录到第 2 层主机的第 1 层管理员。 添加所有具有服务器或 Internet 服务管理权限的第 1 层管理组。
重要
如果管理人员有责任管理多个层上的资产,则需要在每层创建独立的管理员帐户。
启用凭据保护功能以减少凭据被盗和重复使用的风险。 Credential Guard 是 Windows 11 的一项新功能,用于限制应用程序对凭据的访问,防止凭据被盗攻击(包括传递哈希)。 Credential Guard 对最终用户是透明的,需要最少的设置时间和工作量。 有关 Credential Guard 的详细信息,包括部署步骤和硬件要求,请参阅文章,使用 Credential Guard 保护域凭据。
注意
必须启用设备保护,才能配置和使用凭据保护功能。 但是,无需配置任何其他设备保护功能即可使用凭据保护功能。
(可选)启用云服务连接。 此步骤允许使用适当的安全保证管理云服务,如 Azure 和 Microsoft 365。 此步骤还要求 Microsoft Intune 管理 PAW。
注意
如果不需要云连接来管理云服务或不通过 Intune 进行管理,请跳过此步骤。
- 这些步骤将 Internet 上的通信限制为仅限授权云服务(但不是开放 Internet),并向处理来自 Internet 内容的浏览器和其他应用程序添加保护措施。 这些用于管理的 PAW 永远不会用于执行标准用户任务,例如 Internet 通信和工作效率。
- 若要启用与 PAW 服务的连接,请完成以下步骤:
配置 PAW 以仅允许已授权的 Internet 目标。 扩展 PAW 部署以启用云管理时,从攻击者可以更轻松地攻击管理员的开放 Internet 筛选访问权限的同时,需要允许访问已授权的服务。
创建“云服务管理员”组,并将 Internet 上所有需要访问云服务的帐户添加到此组。
从 TechNet 库下载 PAW proxy.pac 文件,并发布在内部网站上。
注意
下载后需要更新 proxy.pac 文件,以确保文件为最新且完整。 Microsoft 在 Office 支持中心发布所有当前的 Microsoft 365 和 Azure URL。 这些说明假定你将使用 Internet Explorer(或 Microsoft Edge)管理 Microsoft 365、Azure 和其他云服务。 Microsoft 建议为需要用于管理的任何第三方浏览器配置类似的限制。 PAW 上的 Web 浏览器仅用于管理云服务并且永远不用于常规的 Web 浏览。
可能需要添加其他有效的 Internet 目标,以便为其他 IaaS 提供商添加到此列表,但不要向此列表添加生产力工具、娱乐内容、新闻或搜索网站。
你可能还需要调整 PAC 文件,以适应用于这些地址的有效代理地址。
你还可以使用 Web 代理限制来自 PAW 的访问,同时获得深度防护。 我们不建议在没有 PAC 文件的情况下自动使用此功能,因为该功能在连接到企业网络的情况下,仅限制 PAW 的访问权限。
配置 proxy.pac 文件后,更新 PAW 配置 - 用户 GPO。
- 转到“用户配置\首选项\Windows 设置\注册表”。 右键单击“注册表”,选择“新建 > 注册表项”并配置以下设置:
操作:替换
配置单元:HKEY_CURRENT_USER
注册表项路径:Software\Microsoft\Windows\CurrentVersion\Internet Settings
值名称:AutoConfigUrl
注意
不要选择值名称左侧的“默认值”框。
值类型:REG_SZ
值数据:将完整 URL 输入到 proxy.pac 文件中(包括 http:// 和文件名称),例如
http://proxy.fabrikam.com/proxy.pac
。 URL 还可以是单标签 URL,例如http://proxy/proxy.pac
注意
PAC 文件也可以托管在文件共享上,其语法为
file://server.fabrikan.com/share/proxy.pac
,但这需要允许 file:// 协议。 有关配置所需注册表值的更多详细信息,请参阅此《 了解 Web 代理配置》博客中的“注意:已弃用基于File://
的代理脚本”部分。单击“通用”选项卡,然后选择“当不再应用项目时删除此项目”。
在“命令”选项卡中,选择“项目级目标”,然后单击“目标”。
单击“新建项目”,然后选择“安全组”。
选择“…”按钮并浏览到“云服务管理员”组。
单击“新建项目”,然后选择“安全组”。
选择“...”按钮,然后浏览到“PAW 用户”组。
单击“PAW 用户”项,然后单击“项目选项”。
选择“不是”。
单击目标窗口上的“确定”。
单击“确定”以完成 AutoConfigUrl 组策略设置。
- 转到“用户配置\首选项\Windows 设置\注册表”。 右键单击“注册表”,选择“新建 > 注册表项”并配置以下设置:
使用以下步骤将 Windows 11 安全基线和云服务访问链接安全基线应用于正确的 OU(如有必要):
提取 Windows 11 安全基线 ZIP 文件的内容。
创建这些 GPO,导入策略设置并按此表进行链接。 将每个策略链接到每个位置,确保遵循此表中的顺序(表中较为靠后的条目应稍后应用且享有更高的优先级):
策略:
策略名称 链接。 CM Windows 11 - 域安全性 N/A - 现在不链接 SCM Windows 11 TH2 - 计算机 Admin\Tier 0\Devices Admin\Tier 1\Devices Admin\Tier 2\Devices SCM Windows 11 TH2 - BitLocker Admin\Tier 0\Devices Admin\Tier 1\Devices Admin\Tier 2\Devices SCM Windows 11 - Credential Guard Admin\Tier 0\Devices Admin\Tier 1\Devices Admin\Tier 2\Devices SCM Internet Explorer - 计算机 Admin\Tier 0\Devices Admin\Tier 1\Devices Admin\Tier 2\Devices PAW 配置 - 计算机 Admin\Tier 0\Devices(现有) Admin\Tier 1\Devices(新链接) Admin\Tier 2\Devices(新链接) 所需的 RestrictedAdmin - 计算机 Admin\Tier 0\Devices Admin\Tier 1\Devices Admin\Tier 2\Devices SCM Windows 11 - 用户 Admin\Tier 0\Devices Admin\Tier 1\Devices Admin\Tier 2\Devices SCM Internet Explorer - 用户 Admin\Tier 0\Devices Admin\Tier 1\Devices Admin\Tier 2\Devices PAW 配置 - 用户 Admin\Tier 0\Devices(现有) Admin\Tier 1\Devices(新链接) Admin\Tier 2\Devices(新链接) 注意
“SCM Windows 11 - 域安全性”GPO 可能独立于 PAW 链接到域,但会影响整个域。
(可选)安装第 1 层管理员的其他必需工具。 安装执行作业职责所需的任何其他工具或脚本。 将凭据添加到 PAW 之前,确保使用任意工具评估凭据在目标计算机上泄露的风险。
标识并安全地获取管理所需的软件和应用程序。 这与阶段 1 执行的工作类似,但由于要保护的应用程序、服务和系统数量的增加,因而范围更广。
重要
通过将这些新应用程序纳入 Windows Defender 攻击防护提供的保护功能的范围内,确保它们得到保护(包括 Web 浏览器)。
- 其他软件和应用程序的示例包括:
基于 Microsoft 管理控制台的服务或应用程序管理软件
专有(非基于 MMC)的服务或应用程序管理软件
注意
目前,许多应用程序通过 Web 浏览器全权托管,其中包括多项云服务。 这种做法在减少需要在 PAW 上安装的应用程序数量的同时,也引入了浏览器互操作性问题的风险。 可能需要将非 Microsoft Web 浏览器部署到特定的 PAW 实例,以便对特定服务进行管理。 如果部署了其他 Web 浏览器,请确保遵循所有清洁源原则,并按照供应商安全指南保护浏览器。
- 其他软件和应用程序的示例包括:
(可选)下载并安装任何所需的管理代理。
重要
如果选择安装其他管理代理(监控、安全、配置管理等),确保管理系统与域控制器、标识系统的受信任级别一致变得至关重要。
评估基础结构以识别需要 PAW 提供的更多安全保护的系统。 确保明确了解哪些系统必须受到保护。 提出有关资源本身的关键问题,例如:
必须管理的目标系统在哪里? 它们是被收集到一个物理位置还是连接到单个明确定义的子网?
有多少个系统?
这些系统是否依赖于其他系统(虚拟化、存储等)?如果是这样,如何对这些系统进行管理? 关键系统如何向这些依赖项公开,以及与这些依赖项相关的其他风险是什么?
所管理服务的重要性如何?如果这些服务被入侵,预期损失是什么?
重要
在此评估中包括云服务,攻击者越来越多地针对不安全的云部署,因此,将这些服务按照本地关键任务应用程序的安全保护级别进行管理很重要。
使用此评估来确定需要额外保护的特定系统,然后将 PAW 计划扩展到这些系统的管理员。 从基于 PAW 的管理中获益的系统的常见示例包括 SQL Server(本地和 SQL Azure)、人力资源应用程序和财务软件。
注意
如果资源可通过 Windows 系统管理,那么也可以使用 PAW 管理,即使应用程序本身运行在 Windows 之外的操作系统或非 Microsoft 云平台上也是如此。 例如,云服务提供商订阅的所有者应仅使用 PAW 来管理该帐户。
制定在组织中大规模部署 PAW 的请求和分发方法。 根据选择在第 2 阶段部署的 PAW 数量,可能需要自动执行该过程。
考虑制定一个管理员用于获取 PAW 的正式请求和审批流程。 此流程有助于标准化部署过程,明确 PAW 设备责任,并帮助确定 PAW 部署过程中的差距。
如前所述,此部署解决方案应独立于现有的自动化方法(可能已泄露),并应遵循阶段 1 中概述的原则。
重要
管理资源的任何系统自身托管的级别应与信任级别相同或更高。
查看并在必要时部署更多 PAW 硬件配置文件。 为阶段 1 部署选择的硬件配置文件可能不适合所有管理员。 查看硬件配置文件,如果合适,请选择其他 PAW 硬件配置文件以满足管理员的需求。 例如,专用硬件配置文件(单独的 PAW 和每日使用工作站)可能不适合经常出差的管理员。
考虑扩展 PAW 部署附带的文化、运营、通信和培训需求。 对管理模型进行如此重大的更改自然需要某种程度的更改管理,并且必须将其构建到部署项目本身中。 请至少考虑以下问题:
通过何种方式将这些改变传达给高层领导,以确保获得他们的支持? 任何没有高级领导支持的项目都可能会失败,或者难以获得资金和大范围认可。
如何为管理员记录新流程? 这些改变必须记录,并且不仅要传达给现有管理员(他们必须改变自己的习惯并以不同方式管理资源),也要传达给新管理员(内部提升或从外部组织聘用的管理员)。 文档必须清晰,且表达明确:
- 威胁的重要性
- PAW 在保护管理员方面的角色。
- 如何正确使用 PAW。
重要
这对于离职率较高的角色尤为重要,包括但不限于支持人员。
如何确保符合新流程? 虽然 PAW 模型包含多个技术控件来防止泄露特权凭据,但仅依靠技术控件,无法完全防止所有可能的风险。 例如,尽管可以阻止管理员使用特权凭据成功登录到用户桌面,但尝试登录的简单操作就可能会将凭据暴露在该用户桌面上安装的恶意软件中。 因此,必须阐明 PAW 模型的好处,以及不合规的风险。 这可以通过审核和警报实现,这样就可以快速检测到凭据泄露并予以解决。
阶段 3:扩展和增强保护
范围:这些保护增强了阶段 1 中内置的系统,通过高级功能(包括多重身份验证和网络访问规则)增强了基本保护。
注意
在阶段 1 的步骤完成后,可随时执行此阶段步骤。 此阶段不受阶段 2 是否完成的影响,因而可在阶段 2 之前或之后执行,也可与阶段 2 同时执行。
请完成以下步骤来配置此阶段:
为特权帐户启用多重身份验证。 多重身份验证通过要求用户同时提供物理令牌和凭据来增强帐户安全性。 多重身份验证可很好地补充身份验证策略,但它不依赖于部署的身份验证策略(同样,身份验证策略不需要多重身份验证)。 Microsoft 建议使用以下任一形式的多重身份验证:
- 智能卡:智能卡是防篡改的便携式物理设备,在 Windows 登录过程中提供第二次验证。 通过要求每个人都拥有登录卡,可以减少被盗凭据被远程重复使用的风险。 有关 Windows 中的智能卡登录的详细信息,请参阅《智能卡概述》一文。
- 虚拟智能卡:虚拟智能卡可提供与物理智能卡相同的安全优势,但其额外的优势是可以链接到特定硬件。 有关部署和硬件要求的详细信息,请参阅《虚拟智能卡概述》和《虚拟智能卡入门:演练指南》。
- Windows Hello 企业版:Windows Hello 企业版让用户能够向 Microsoft 帐户、Active Directory 帐户、Microsoft Entrance 帐户或支持 Fast ID Online (FIDO) 身份验证的非 Microsoft 服务进行身份验证。 在 Windows Hello 企业版注册期间的初始双重验证后,Windows Hello 企业版在用户设备上完成设置,用户将获得一个手势,该手势可以是 Windows Hello 或 PIN。 Windows Hello 企业版凭据是非对称密钥对,可在受信任的平台模块 (TPM) 的隔离环境内生成。
- 有关 Windows Hello 企业版的详细信息,请阅读 Windows Hello 企业版一文。
- Azure 多重身份验证:Azure 多重身份验证 (MFA) 通过监视和基于机器学习的分析提供第二次验证保护,增强安全性。 Microsoft Entra 多重身份验证不仅可以保护 Azure 管理员,还可以保护许多其他解决方案,包括 Web 应用程序、Microsoft Entra ID 和本地解决方案,例如远程访问和远程桌面。 有关详细信息,请参阅《多重身份验证》一文。
使用 Windows Defender 应用程序控制和/或 AppLocker 将受信任的应用程序加入允许列表。 通过限制不受信任或未签署的代码在 PAW 上运行的功能,可以进一步降低恶意活动和入侵的可能性。 针对应用程序控制,Windows 包括两种主要选项:
- AppLocker:AppLocker 可帮助管理员控制哪些应用程序可在指定系统上运行。 AppLocker 可通过组策略进行集中控制,也可应用到特定的用户或组(针对 PAW 用户的目标应用程序)。 有关 AppLocker 的详细信息,请参阅 TechNet 文章《AppLocker 概述》。
- Windows Defender 应用程序控制:新的 Windows Defender 应用程序控制功能提供基于硬件的增强型应用程序控件,与 AppLocker 不同,无法在受影响的设备上重写它。 与 AppLocker 类似,Windows Defender 应用程序控制可通过组策略进行控制,还可以将特定用户作为目标。 有关使用 Windows Defender 应用程序控制限制应用程序使用的详细信息,请参阅《Windows Defender 应用程序控制部署指南》。
使用受保护用户、身份验证策略和身份验证接收器来进一步保护特权帐户。 受保护的用户的成员受额外的安全策略的约束,这些策略可保护本地安全代理 (LSA) 中存储的凭据,并极大地降低凭据被盗和重复使用的风险。 身份验证策略和接收器控制特权用户如何访问域中的资源。 总体来说,这些保护功能极大地增强了特权用户的帐户安全性。 有关这些功能的详细信息,请参阅文章《如何配置受保护的帐户》。
注意
这些保护措施是为了补充而不是替代阶段 1 中的现有安全措施。 管理员应仍使用独立帐户进行管理和常规使用。
管理和更新
PAW 必须具有反恶意软件功能,且软件更新必须得到快速应用,以便维护这些工作站的完整性。
还可以将额外的配置管理、操作监视和安全管理与 PAW 配合使用。 必须仔细考虑这些功能的集成,因为其中每个功能都会通过该工具引入 PAW 泄露的风险。 是否需要引入高级管理功能取决于多个因素,包括:
- 管理功能的安全状态与做法(包括工具的软件更新做法、管理角色及这些角色中的帐户、工具托管或受管于的操作系统及相应工具的任何其他硬件或软件相关项)
- PAW 上软件部署和更新的频率与数量
- 详细清单和配置信息要求
- 安全监控要求
- 组织标准及其他组织特定因素
根据清洁源原则,用于管理或监控 PAW 的所有工具的受信任等级必须与 PAW 的等级相同或在其之上。 此过程通常需要从 PAW 管理这些工具,以确保不依赖于较低特权工作站的安全依赖项。
下表概述了可用于管理和监视 PAW 的各种方法:
方法 | 注意事项 |
---|---|
PAW 中的默认值 - Windows Server Update Services |
- 无额外费用 - 执行所需的基本安全功能 - 本指南中的说明 |
使用 Intune 进行管理 |
|
用于管理 PAW 的新 System Center 实例 | - 提供配置、软件部署和安全更新的可见性和控制 - 需要单独的服务器基础结构,以保护其达到 PAW 级别,并为高权限员工配备技术 |
使用现有管理工具管理 PAW | - 除非现有管理基础结构提升到 PAW 安全级别,否则会造成入侵 PAW 的重大风险注意:Microsoft 通常不鼓励使用此方法,除非组织有需要使用此方法的特定原因。 在我们的经验中,将所有这些工具(及其安全依赖项)提升到 PAW 的安全级别通常会产生很高的成本。 - 其中大部分工具提供配置、软件部署和安全更新的可见性和控制 |
安全扫描或监控工具需要管理员访问权限 | 包括安装代理或要求具有本地管理访问权限的帐户的所有工具。 - 要求将工具安全保证提升至 PAW 的级别。 |
安全信息和事件管理 (SIEM) |
|
Windows 事件转发 | - 提供一种将来自 PAW 的安全事件转发到外部收集器或 SIEM 的无代理方法 - 无需管理权限,即可访问 PAW 上的事件 - 不要求打开网络端口以允许来自 SIEM 服务器的入站流量 |
操作 PAW
PAW 解决方案应使用基于干净源原则的标准进行操作。
相关文章
在 Windows Kerberos 中启用严格的 KDC 验证
适用于 Windows Server 2012 的 Kerberos 身份验证新增功能
Windows Server 2008 R2 中的 AD DS 身份验证机制保证分步指南