重要
本指引已取代為更新 安全工作站 指導方針,這是 保護特殊許可權存取的完整解決方案的一部分。
這份檔僅供封存和參考之用而保留在在線。 Microsoft強烈建議遵循新指引,以取得更安全且更容易部署和支持的解決方案。
傳承指引
特殊許可權存取工作站 (PAWs) 為受因特網攻擊和威脅媒介保護的敏感性工作提供專用操作系統。 將這些敏感性工作和帳戶與日常使用的工作站和設備分開,可以提供強力保護,防止網路釣魚攻擊、應用程式和操作系統(OS)弱點、各種身份冒充攻擊,以及認證竊取攻擊,例如按鍵記錄、傳遞哈希和傳遞票證。
什麼是特殊許可權存取工作站?
簡單來說,PAW 是強化且封鎖的工作站,其設計目的是為敏感性帳戶和工作任務提供高安全性保證。 建議使用PAW管理身分識別系統、雲端服務、私人雲端網狀架構和敏感性商務功能。
注意
PAW 架構不需要帳戶與工作站之間有 1:1 的對應,儘管這是常見的配置。 PAW 會建立受信任的工作站環境,供一或多個帳戶使用。
為了提供最大的安全性,PAW 應該一律執行最 up-to日期和安全可用的操作系統:Microsoft強烈建議使用 Windows 11 企業版,其中包括其他版本無法使用的數個其他安全性功能(特別是 Credential Guard 和 Device Guard)。
備註
沒有 Windows 11 企業版存取權的組織可以使用 Windows 11 專業版,其中包括許多適用於 PAW 的重要基礎技術,包括受信任的開機、BitLocker 和遠端桌面。 教育版客戶可以使用 Windows 11 教育版。
Windows 11 家用版不應該用於PAW。
PAW 安全性控制著重於降低因遭到入侵而引起的高影響和高可能性風險。 這些包括減輕對環境的攻擊,以及可能會隨著時間降低PAW控件有效性的風險:
- 因特網攻擊 - 大多數攻擊直接或間接源自因特網來源,並使用因特網進行外泄和控制 (C2)。 隔離PAW與開放式因特網是確保PAW不會遭到入侵的關鍵元素。
- 可用性風險 - 如果PAW太難以用於日常工作,系統管理員會主動建立因應措施,使其工作更容易。 這些因應措施經常會使系統管理工作站和帳戶面臨重大安全風險,因此務必要讓 PAW 使用者參與並賦權,以安全地減輕這些可用性問題。 這可以藉由接聽意見反應、安裝執行其工作所需的工具和腳本,並確保所有系統管理人員知道為何需要使用PAW、PAW是什麼,以及如何正確且成功使用, 來完成此作業。
- 環境風險 - 因為環境中的許多其他計算機和帳戶會直接或間接暴露在因特網風險之下,因此PAW必須受到保護,以防止生產環境中遭入侵資產的攻擊。 這需要將可存取PAW的管理工具和帳戶使用降至最低,以保護及監視這些特製化工作站。
- 供應鏈竄改 - 雖然無法移除硬體和軟體供應鏈中竄改的所有可能風險,但採取一些重要動作可以減輕攻擊者隨時可用的重大攻擊媒介。 這包括驗證所有安裝媒體的完整性,以及針對硬體和軟體使用受信任且信譽良好的供應商。
- 實體攻擊 - 因為PAW可以在實體上移動並使用在實體安全設施之外,因此必須受到保護,以防止對計算機套用未經授權的實體存取的攻擊。
重要
PAW 不會保護環境免受已透過 Active Directory 樹系取得系統管理存取權的敵人。 由於許多 Active Directory Domain Services 的現有實作在認證竊取風險下運作多年,因此組織應該假設外洩,並考慮他們可能有未偵測到網域或企業系統管理員認證遭入侵的可能性。 懷疑網域入侵的組織應考慮使用專業事件回應服務。
如需回應和復原指引的詳細資訊,請參閱 降低傳遞哈希和其他認證竊取第 2 版的和一節。
舊版PAW硬體配置檔
系統管理員也是標準使用者 -- 他們需要PAW和標準使用者工作站來檢查電子郵件、瀏覽網頁,以及存取公司企業營運應用程式。 確保系統管理員能夠保持生產力且安全,對於任何PAW部署的成功至關重要。 用戶將放棄大幅限制生產力的安全解決方案,以提升生產力(即使以不安全的方式完成)。
為了平衡安全性需求與生產力需求,Microsoft建議使用下列其中一個 PAW 硬體配置檔:
- 專用硬體 - 使用者工作與系統管理工作的個別專用裝置。
- 同時使用 - 單一裝置利用操作系統或展示虛擬化,同時執行使用者任務和管理任務。
組織只能使用一個配置檔或兩者。 硬體配置檔之間沒有互操作性考慮,而且組織可以彈性地將硬體配置檔與特定系統管理員的特定需求和情況相符。
重要
在所有案例中,系統管理人員都會發出與指定系統管理帳戶分開的標準用戶帳戶,這一點非常重要。 系統管理帳戶只能在PAW系統管理作業系統上使用。
下表摘要說明每個硬體配置檔的相對優點與缺點,從操作容易使用和生產力和安全性的觀點來看。 這兩種硬體方法都為系統管理帳戶提供強大的安全性,以防止認證竊取和重複使用。
| 案例 | 優點 | 缺點 |
|---|---|---|
| 專用硬體 | - 強烈的任務敏感度信號 - 最強的安全性區隔 |
- 額外的辦公桌空間 - 額外重量(用於遠端工作) - 硬體成本 |
| 同時使用 | - 較低的硬體成本 - 單一裝置體驗 |
- 共用單一鍵盤/滑鼠可能導致意外錯誤或風險 |
本指南包含專用硬體方法設計的PAW配置的詳細指示。 如果您有同時使用硬體配置檔的需求,您可以自行根據本指導方針調整指示,或聘請Microsoft等專業服務組織來協助。
專用硬體
在此案例中,PAW 用於與用於每日活動的電腦分開的管理,例如電子郵件、檔編輯和開發工作。 所有系統管理工具和應用程式都會安裝在PAW上,所有生產力應用程式都會安裝在標準使用者工作站上。 本指南中的逐步指示是以此硬體配置檔為基礎。
同時使用 - 新增 RemoteApp、RDP 或 VDI
在此同時使用案例中,單一計算機同時用於系統管理工作和每日活動,例如電子郵件、檔編輯和開發工作。 在此設定中,使用者操作系統會集中部署及管理(在雲端或數據中心),但在中斷聯機時無法使用。
實體硬體會在本機執行單一 PAW 作業系統以執行系統管理工作,並連線到 Microsoft 或第三方的遠端桌面服務以使用者應用程式,例如電子郵件、文件編輯與業務應用程式。
在此設定中,不需要系統管理許可權的日常工作是在遠端 OS(es) 和應用程式中完成,這些應用程式不受套用至 PAW 主機的限制。 所有系統管理工作都會在系統管理作業系統上完成。
若要進行此設定,請遵循PAW主機的本指引中的指示,允許對遠端桌面服務進行網路連線,然後將快捷方式新增至PAW使用者的桌面以存取應用程式。 遠端桌面服務可以以多種方式提供,包括:
- 現有的遠端桌面或 VDI 服務,例如 Azure 虛擬桌面、Microsoft Dev Box,或 Windows 365。
- 您在內部部署或雲端中安裝的新服務
- Azure RemoteApp 使用預先配置的範本或您自訂的安裝映像
架構概觀
下圖描述透過維護個別的專用系統管理帳戶和工作站所建立的系統管理(高度敏感工作)的個別「通道」。
此架構方法是以 Windows 11 Credential Guard 和 Device Guard 功能中的保護為基礎,並進一步提升對敏感帳戶和任務的保護。
此方法適用於可存取高價值資產的帳戶:
- 系統管理許可權 - PAW 為高影響 IT 系統管理角色和工作提供更高的安全性。 此架構可以套用至許多類型的系統管理,包括 Active Directory 網域和樹系、Microsoft Entra ID 租使用者、Microsoft 365 個租使用者、進程控制網路 (PCN)、監督控制和數據擷取 (SCADA) 系統、自動化出納器機器 (ATM) 和銷售點 (PoS) 裝置。
- 高敏感度資訊工作者 - PAW 中使用的方法也可以為高度敏感的資訊工作者工作和人員提供保護,例如涉及預先宣告合併和收購活動的人員、發行前發行財務報告、組織社交媒體存在、執行通訊、未經專利的貿易秘密、敏感性研究或其他專屬或敏感數據。 本指南不會深入討論這些資訊背景工作角色案例的設定,或將此案例包含在技術指示中。
本文件說明為何建議使用這種做法來保護高影響力特殊許可權帳戶、這些PAW解決方案如何保護系統管理許可權,以及如何快速部署適用於網域和雲端服務管理的PAW解決方案。
本檔提供實作數個PAW組態的詳細指引,並包含詳細的實作指示,讓您開始保護常見的高影響帳戶:
- 階段 1 - 針對 Active Directory 系統管理員的立即部署 這能迅速提供可以保護內部部署網域和樹系管理角色的 PAW
- 階段 2 - 將 PAW 擴充至所有系統管理員, 這可保護雲端服務的系統管理員,例如 Microsoft 365 和 Azure、企業伺服器、企業應用程式和工作站
- 階段 3 - 進階 PAW 安全性 本節討論 PAW 安全性的更多保護和考量事項
為何使用專用工作站?
組織目前的威脅環境充斥著複雜的網路釣魚和其他因特網攻擊,這些攻擊會對因特網公開的帳戶和工作站造成持續的安全性危害風險。
此威脅環境要求組織在設計系統管理帳戶和敏感性商務資產等高價值資產的保護時,採用「假設缺口」安全性狀態。 這些高價值資產必須受到保護,以防止從環境中其他工作站、伺服器和裝置掛接的直接因特網威脅和攻擊。
當攻擊者控制了使用敏感性認證的使用者工作站時,此圖描述了管理中的資產所面臨的風險。
控制操作系統的攻擊者有許多方式可以非法存取工作站上的所有活動,並模擬合法帳戶。 各種已知和未知的攻擊技術可用來取得此層級的存取權。 網路攻擊的數量不斷增加和複雜度,使得有必要將分離概念延伸到區分敏感性帳戶的用戶端操作系統。 如需這些類型攻擊的詳細資訊,請瀏覽 傳遞哈希網站,以取得白皮書、影片等內容。
PAW 策略是公認的標準做法的延伸,這一做法為系統管理人員使用個別的管理員帳戶和用戶帳戶。 這種做法會使用個別指派的系統管理帳戶,與使用者的標準用戶帳戶分開。 PAW 是在帳戶隔離做法的基礎上,為這些敏感性帳戶提供一個值得信賴的工作站。
此PAW指引旨在協助您實作這項功能,以保護高價值帳戶,例如高許可權IT系統管理員和高敏感度商務帳戶。 本指南可協助您:
- 將認證公開限制為僅限受信任的主機
- 為系統管理員提供高安全性工作站,讓他們可以輕鬆地執行系統管理工作。
限制敏感性帳戶只使用強化的特權訪問工作站是對這些帳戶的一種直接保護,這不僅對於系統管理員而言非常易用,而且對手也很難破解。
替代方法
本節包含替代方法的安全性如何與PAW比較,以及如何在PAW架構中正確整合這些方法的相關信息。 在單獨採用這些方法時,所有這些方法都會帶來重大風險,但在某些情況下可以為PAW實作帶來價值。
Credential Guard 和 Windows Hello 企業版
作為 Windows 11 的一部分,Credential Guard 使用硬體和虛擬化型安全性,藉由保護衍生認證來減輕常見的認證竊取攻擊(如傳遞哈希)的風險。 Windows Hello 企業版 所使用的認證私鑰可以受到信賴平台模組 (TPM) 硬體的保護。
這些是強大的防護功能,但即使認證受到 Credential Guard 或 Windows Hello 企業版保護,工作站仍可能容易受到某些攻擊。 攻擊可能包括濫用許可權,以及直接從遭入侵裝置使用認證、在啟用 Credential Guard 之前重複使用先前遭竊的認證,以及在工作站上濫用管理工具和弱式應用程式設定。
本節中的PAW指引包括針對高敏感度帳戶和工作使用其中許多技術。
系統管理 VM
系統管理虛擬機 (Admin VM) 是一種專用作業系統,用於裝載於標準使用者桌面上的系統管理工作。 雖然這種方法與PAW類似在為系統管理工作提供專用OS時,但系統管理VM因安全性而相依於標準使用者桌面,而有嚴重缺陷。
下圖顯示攻擊者如何能夠從使用者工作站上的系統管理 VM 遵循控制鏈到達其感興趣的目標物件,並且在反向設定下,建立路徑是相當困難的。
PAW 架構不允許在使用者工作站上裝載系統管理 VM,但具有標準公司映像的使用者 VM 可以裝載在系統管理員 PAW 上,以便為人員提供單一計算機以承擔所有責任。
跳板伺服器
管理「跳板伺服器」架構設置數個管理控制台伺服器,並限制人員只能使用這些伺服器進行管理任務。 這通常是以遠端桌面服務、第三方簡報虛擬化解決方案或虛擬桌面基礎結構 (VDI) 技術為基礎。
這種方法經常建議用來減輕管理的風險,並且確實提供一些安全性保證,但跳躍伺服器方法本身很容易受到某些攻擊,因為它違反了乾淨的來源原則。 乾淨來源原則要求所有安全性相依性都與受保護的對象一樣值得信任。
此圖描述簡單的控件關聯性。 控制物件的任何主體都是該對象的安全性相依性。 如果敵人能控制目標物件(主體)的安全相依性,他們就能控制該物件。
在跳板伺服器上的管理會話依賴於存取的本機電腦的完整性。 如果這台計算機是容易受到網路釣魚攻擊和其他網際網路為基礎的攻擊手段的使用者工作站,那麼管理員會話也會受到這些風險的影響。
上圖描述攻擊者如何遵循已建立的控制鏈結至感興趣的目標物件。
雖然多重要素驗證等一些進階安全性控制可能會增加攻擊者從使用者工作站接管此系統管理會話的難度,但當攻擊者擁有來源計算機的系統管理存取權時,沒有任何安全性功能可以完全防範技術攻擊(例如,將非法命令插入合法會話、劫持合法進程等等)。
此PAW指引中的預設設定會在PAW上安裝系統管理工具,但如有必要,也可以新增跳躍伺服器架構。
此圖顯示如何反轉控制關係,並透過系統管理工作站存取使用者應用程式,使攻擊者無法接觸到目標對象。 使用者跳躍伺服器仍會面臨風險,因此仍應針對該因特網對向計算機套用適當的防護控件、偵測控件和回應程式。
此設定需要系統管理員密切遵循操作做法,以確保他們不會不小心將系統管理員認證輸入其桌面上的用戶會話。
此圖顯示如何從PAW存取系統管理跳躍伺服器,不會為攻擊者新增任何路徑至系統管理資產。 具有 PAW 的跳躍伺服器可讓您在這種情況下統整監控系統管理活動以及分發系統管理應用程式和工具的位置數目。 這增加了一些設計複雜性,但如果PAW實作中使用大量帳戶和工作站,則可以簡化安全性監視和軟體更新。 跳躍伺服器必須建置並設定為與PAW類似的安全性標準。
許可權管理解決方案
特權管理解決方案是一些應用程式,能夠根據需要提供對獨立特權或特權帳戶的臨時存取權。 特權管理解決方案是完整策略中用於保護特權存取的寶貴元件,並提供對管理活動的重要可見性和責任追踪。
這些解決方案通常會使用彈性的工作流程來授與存取權,而且許多解決方案具有其他安全性特性和功能,例如服務帳戶密碼管理和與系統管理跳躍伺服器整合。 市場上有許多解決方案提供特殊許可權管理功能,其中之一是Microsoft Identity Manager (MIM) 特殊許可權存取管理 (PAM)。
Microsoft建議使用PAW來存取許可權管理解決方案。 只有PAW才能存取這些解決方案。 Microsoft不建議使用這些解決方案作為PAW的替代方式,因為從可能遭入侵的使用者桌面存取這些解決方案的許可權違反了乾淨來源原則,如下圖所示:
提供PAW來存取這些解決方案,可讓您取得PAW和許可權管理解決方案的安全性優點,如下圖所示:
重要
這些系統應根據其管理的特權級別被分類為最高層級,並在該層級或更高的安全性層級上受到保護。 這些通常會設定為管理第0層解決方案和第0層資產,且應該分類為第0層。
如需部署 Microsoft Identity Manager (MIM) 特殊許可權存取管理的詳細資訊(PAM),請參閱 https://aka.ms/mimpamdeploy
PAW 案例
本節提供指引,說明此 PAW 指引應適用於哪些情境。 在所有案例中,系統管理員都應該接受訓練,只使用PAW來執行遠端系統的支援。 若要鼓勵成功且安全的使用方式,應鼓勵所有PAW使用者提供意見反應來改善PAW體驗,而且應該仔細檢閱此意見反應,以便與您的PAW計劃整合。
在所有情境中,本指南中的不同硬體配置與稍後階段的額外強化,都可以用來滿足角色的可用性或安全性需求。
注意
本指南明確區分需要存取特定網際網路服務(例如 Azure 和 Microsoft 365 管理入口網站),以及所有主機和服務的「開放網際網路」。
| 案例 | 使用PAW? | 範圍和安全性的考慮 |
|---|---|---|
| Active Directory 系統管理員 - 第 0 層 | 是的 | 使用階段 1 指引建置的 PAW 就足以用於此角色。 - 可以新增管理森林,以提供此案例最強大的保護。 如需 ESAE 系統管理樹系的詳細資訊,請參閱 ESAE 繼續使用的案例 |
| Azure IaaS 和 PaaS 服務的管理員 - 第 0 層或第 1 層 (請參閱範圍和設計考慮) | 是的 | 使用階段 2 中提供的指引所建的 PAW 就足以承擔此角色。 - PAW 應該至少用於管理Microsoft Entra ID 和訂用帳戶計費的人員。 您也應該針對重要或敏感性伺服器的委派系統管理員使用PAW。 |
| 管理員 Microsoft 365 租戶 - 第 1 層 |
是的 | 使用階段 2 中提供的指引所建置的 PAW 就足以勝任此角色。 - PAW 應該至少用於負責管理訂閱計費,以及負責管理 Microsoft Entra ID 和 Microsoft 365 的人員。 您也應該強烈考慮針對高度關鍵或敏感數據的委派系統管理員使用PAW。 |
| 其他 IaaS 或 PaaS 雲端服務管理員 - 第 0 層或第 1 層(請參閱範圍與設計考慮) |
是的 | 使用第二階段中提供的指導來建置的 PAW 足以勝任此角色的需求。 - PAW 應該用於具有雲端託管 VM 系統管理許可權的任何角色,包括能夠安裝代理程式、匯出硬碟檔案,或存取具有操作系統、敏感數據或商務關鍵數據的硬碟儲存位置。 |
| 虛擬化系統管理員 - 第 0 層或第 1 層(請參閱範圍與設計考慮) |
是的 | 使用第二階段提供的指引所建立的 PAW 足以勝任此角色。 - PAW 應該用於任何具有 VM 系統管理許可權的角色,包括能夠安裝代理程式、匯出虛擬硬碟檔案,或存取具有客體操作系統資訊、敏感數據或商務關鍵數據的硬碟儲存所在的記憶體。 注意:如果域控制器或其他第 0 層主機位於訂用帳戶中, 虛擬化系統及其系統管理員會被視為樹系的第 0 層。 如果虛擬化系統中沒有裝載第0層伺服器,則訂用帳戶為第1層。 |
| 伺服器維護管理員 - 第 1 層 |
是的 | 使用在階段 2 中提供的指引建置的 PAW 就足以勝任此角色。 - PAW 應用於管理員更新、修補及故障排除企業伺服器和執行 Windows Server、Linux 等其他操作系統的應用程式。 |
| 使用者工作站系統管理員 - 第 2 層 |
是的 | 使用階段 2 中提供的指導方針所建置的 PAW 就足以用於具有使用者裝置系統管理許可權的角色(例如技術服務台和桌面支援角色)。 - 其他應用程式可能需要安裝在PAW上,才能啟用票證管理和其他支援功能。 |
| SQL、SharePoint 或企業營運 (LOB) 管理員 - 第 1 層 |
是的 | 基於階段 2 指導方針建置的 PAW 足以勝任此角色。 - 其他管理工具可能需要安裝在PAW上,以允許系統管理員管理應用程式,而不需要使用遠端桌面連線到伺服器。 |
| 管理社交媒體顯示狀態的使用者 | 部分地 | 使用階段 2 中提供的指引所建置的 PAW 可用來做為這些角色提供安全性的起點。 - 使用 Microsoft Entra ID 保護及管理社交媒體帳戶,以共用、保護及追蹤對社交媒體帳戶的存取。 |
| 標準使用者 | 不 | 雖然許多強化步驟都可用於標準使用者,但PAW的設計目的是將帳戶與大部分使用者對工作職責所需的開放式因特網存取隔離。 |
| 訪客VDI/Kiosk | 不 | 雖然許多強化步驟可用於來賓的 kiosk 系統,但 PAW 架構的設計目的是為高敏感度帳戶提供更高的安全性,而不是較低敏感度帳戶的安全性。 |
| VIP 使用者(主管、研究員等) | 部分地 | 使用階段 2 中提供的指引所建置的 PAW 可用來做為這些角色提供安全性的起點。 - 此案例類似於標準使用者桌面,但通常具有更小、更簡單且已知的應用程式配置檔。 此案例通常需要探索及保護敏感數據、服務和應用程式。 |
| 工業控制系統(例如 SCADA、PCN 和 DCS) | 部分地 | 根據階段 2 中提供的指導方針建置的 PAW 可以作為基礎,為這些角色提供安全性,因為大多數 ICS 控制台(包括像 SCADA 和 PCN 這樣的通用標準)不需要瀏覽開放的因特網或檢查電子郵件。 - 用於控制實體機械的應用程式必須整合並測試相容性,並適當地受到保護。 |
| 內嵌作業系統 | 不 | 雖然PAW中的許多強化步驟都可用於內嵌作業系統,但在此案例中需要開發自定義解決方案來強化。 |
注意
組合情境 某些人員可能有跨越多個情境的行政責任。 在這些情況下,要記住的主要規則是,必須一律遵循階層模型規則。
縮放PAW計劃 隨著您的PAW計劃擴展來涵蓋更多的系統管理員和角色,您必須繼續確保您遵循安全標準和維持可用性。 您可能需要更新 IT 支援結構或建立新的支持結構,以解決 PAW 上線程式、事件管理、組態管理,以及收集意見反應以解決可用性挑戰等 PAW 特定挑戰。 其中一個範例可能是您的組織決定為系統管理員啟用居家工作情境,這將需要從桌上型PAW轉移到筆記型PAW,而這種轉變可能需要額外的安全性考慮。 另一個常見的範例是為新管理員建立或更新培訓 - 培訓現在必須包含適當使用PAW的內容(包括為什麼它很重要,什麼是PAW,什麼不是PAW)。 如需在擴展PAW計畫時必須考慮的更多因素,請參閱指南的第2階段。
本指南包含先前所述案例 PAW 設定的詳細指示。 如果您有其他案例的需求,您可以自行根據本指引調整指示,或聘請Microsoft等專業服務組織來協助。
PAW 階段式實作
由於PAW必須提供安全且受信任的管理來源,因此建置程式必須安全且受信任。 本節提供詳細的指示,可讓您使用類似Microsoft使用的一般原則和概念來建置自己的 PAW。
這些指示分為三個階段,重點在於快速放置最重要的緩和措施,然後逐漸增加並擴大企業PAW的使用方式。
請務必注意,即使階段已規劃並實作為相同整體專案的一部分,仍應依序執行。
階段 1:針對 Active Directory 系統管理員的立即執行部署
目的:提供可快速保護內部部署網域和樹系管理角色的PAW。
範圍:第 0 層系統管理員,包括企業系統管理員、網域系統管理員(適用於所有網域),以及其他授權身分識別系統的系統管理員。
階段 1 著重於管理內部部署 Active Directory 網域的系統管理員,這是攻擊者經常鎖定的重要角色。 這些身分識別系統可有效地保護這些系統管理員,無論您的 Active Directory 域控制器 (DC) 是裝載在內部部署數據中心、Azure 基礎結構即服務 (IaaS) 或其他 IaaS 提供者上。
在此階段中,您會建立安全的系統管理 Active Directory 組織單位(OU)結構來容納受控存取的工作站(PAW),並部署與設置這些 PAW。 此結構也包含支援PAW所需的組策略和群組。
基礎結構是以下列 OU、安全組和組策略為基礎:
- 組織單位(OU)
- 六個新的最上層 OU:
- 管理員
- 群組
- 第 1 層伺服器
- 工作站
- 用戶帳戶
- 計算機隔離。
- 六個新的最上層 OU:
- 群組
- 六個新的具安全性的全域群組:
- 第 0 級複製維護
- 第 1 層伺服器維護
- 服務台操作員
- 工作站維護
- PAW 使用者
- PAW 維護。
- 六個新的具安全性的全域群組:
- 群組原則物件
- PAW 設定 - 計算機
- PAW 配置 - 使用者
- 需要限制管理員 - 電腦
- PAW 輸出限制
- 限制工作站登入
- 限制伺服器登入。
階段 1 包含下列步驟:
完成必要條件
確定所有系統管理員都使用個別的個別帳戶進行管理和用戶活動(包括電子郵件、因特網流覽、企業營運應用程式和其他非管理活動)。 將系統管理帳戶指派給每個與標準用戶帳戶不同的授權人員,是PAW模型的基礎,因為只允許特定帳戶登入PAW本身。
重要
每個系統管理員都應該使用自己的帳戶進行管理。 請勿共享系統管理帳戶。
將第 0 層特殊許可權系統管理員的數目降到最低。 因為每個系統管理員都必須使用PAW,因此減少系統管理員數目會減少支援PAW所需的PAW數目和相關聯的成本。 系統管理員的人數較少也會降低這些特權和相關風險的暴露程度。 雖然某個位置的系統管理員可以共用PAW,但個別實體位置的系統管理員需要個別的PAW。
從信任的供應商取得符合所有技術需求的硬體。 Microsoft建議使用 Credential Guard 保護網域認證一文中符合技術需求的硬體。
取得並驗證必要的 Windows 11 企業版和應用程式軟體。
- Windows 11 企業版
- 適用於 Windows 11 的遠端伺服器管理工具
- Windows 11 安全性基準
注意
Microsoft會針對 MSDN 上的所有作業系統和應用程式發佈 MD5 哈希,但並非所有軟體廠商都提供類似的檔。 在這些情況下,將需要其他策略。
確定您在內部網路上提供 WSUS 伺服器。 您需要內部網路上的 WSUS 伺服器,才能下載並安裝 PAW 的更新。 此 WSUS 伺服器應設定為自動核准 Windows 11 的所有安全性更新,或系統管理人員應負責並負責快速核准軟體更新。 如需更多資訊,請參閱 核准更新指引中的「自動核准安裝更新」一節。
將第 0 層帳戶移至 Admin\Tier 0\Accounts OU
將屬於 Domain Admin、Enterprise Admin 或 Tier 0 對等群組的每個帳戶(包括巢狀成員資格)移至此 OU。 如果您的組織有自己的群組已新增至這些群組,您應該將這些群組移至 Admin\Tier 0\Groups OU。
將適當的成員新增至相關群組
PAW 使用者 - 新增第 0 層系統管理員,其中包含您在階段 1 的步驟 1 中識別的網域或企業系統管理員群組。
PAW 維護 - 新增至少一個用於PAW維護和故障排除的帳戶。 PAW 維護帳戶很少使用。
重要
請勿將相同的用戶帳戶或群組同時新增至PAW使用者群組和PAW維護群組。 PAW 安全性模型部分基於這樣的假設:PAW 用戶帳戶在受管理系統上或透過 PAW 本身具有特殊許可權,但不能同時具備兩者。
- 這在階段 1 中建立良好的行政作法和習慣非常重要。
- 這對於階段 2 及後續階段來說至關重要,以防止當 PAW 開始跨越層級時透過 PAW 提升許可權。
在理想情況下,不會將人員指派給多層的職責,以強制執行職責隔離原則,但Microsoft認識到許多組織都有有限的員工(或其他組織需求),不允許進行完全隔離。 在這些情況下,相同的人員可能會被指派到這兩個角色,但不應該使用相同的帳戶來執行這些職能。
建立「PAW 設定 - 電腦」 群組策略物件 (GPO)
在本節中,您會建立新的「PAW 設定 - 計算機」GPO,該 GPO 會提供這些 PAW 的特定保護,並將其連結至第 0 層裝置 OU (第 0 層\Admin 下的「裝置」)。
警告
請勿將這些設定新增至預設網域原則。 這樣做可能會影響整個 Active Directory 環境的作業。 只有在這裡描述的新建立 GPO 中設定這些設定,並只將設定套用至 PAW OU。
PAW 維護存取 - 此設定會將 PAW 上特定特殊許可權群組的成員資格設定為一組特定使用者。 移至 [計算機設定\喜好設定\控制面板設定\本機使用者 和群組],並完成下列步驟:
按一下 [新增],然後按一下 [本地組]
選取 更新 動作,然後選取「系統管理員(內建)」(不要使用「流覽」按鈕來選取網域群組系統管理員)。
選取 [刪除所有成員使用者] 和 [刪除所有成員群組] 複選框。
新增 PAW 維護(pawmaint)和系統管理員(同樣地,請勿使用 [瀏覽] 按鈕來選取系統管理員)。
重要
請勿將PAW Users群組新增至本地系統管理員群組的成員資格清單。 為了確保 PAW 使用者無法意外或故意修改 PAW 本身的安全性設定,他們不應成為本機管理員群組的成員。
如需使用組策略喜好設定來修改群組成員資格的詳細資訊,請參閱 TechNet 文章 設定本地組專案。
限制本地組成員資格 - 此設定可確保工作站上的本機系統管理員群組成員資格一律是空的
移至 [計算機設定\喜好設定\控制面板設定\本機使用者和群組],然後完成下列步驟:
- 按一下 [新增],然後按一下 [本地組]
- 選取 [更新] 動作,然後選取 [備份操作員(內建)],請勿使用 [瀏覽] 按鈕來選取域群組中的 [備份操作員]。
- 選取 [刪除所有成員使用者] 及 [刪除所有成員群組] 複選框。
- 請勿將任何成員新增至群組。 指派空白清單會導致組策略自動移除所有成員,並確保每次重新整理組策略時都會有空白成員資格清單。
完成下列群組的先前步驟:
- 密碼編譯運算符
- Hyper-V 系統管理員
- 網路設定操作員
- 高級用戶
- 遠端桌面使用者
- 複製器
PAW 登入限制 - 此設定會限制可登入 PAW 的帳戶。 完成下列步驟來設定此設定:
- 移至 [計算機設定\原則\Windows 設定\安全性設定\本機原則\用戶權力指派\允許本機登入]。
- 選取 [定義這些原則設定],並新增 [PAW 使用者] 和 [系統管理員] (同樣地,請勿使用 [流覽] 按鈕來選取 [系統管理員]。
封鎖輸入網路流量 - 此設定可確保PAW不允許任何未經請求的輸入網路流量。 完成下列步驟來設定此設定:
- 移至 [計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\Windows 防火牆],然後完成下列步驟:
- 以滑鼠右鍵按兩下 [具有進階安全性的 Windows 防火牆],然後選取 [匯入原則]。
- 按 是 接受這將覆寫任何現有的防火牆原則。
- 流覽至 PAWFirewall.wfw,然後選取 開啟。
- 按下 [確定]。
注意
您可以新增位址或子網,這些位址或子網必須在此時以未經請求的流量連線到PAW(例如安全性掃描或管理軟體)。 WFW 檔案中的設定將會在所有防火牆配置檔的「封鎖 - 預設」模式中啟用防火牆,關閉防火牆規則合併,並啟用記錄已捨棄和成功通過的封包。 這些設定會封鎖未經請求的流量,同時仍允許從PAW起始的聯機進行雙向通訊,防止具有本機系統管理存取權的使用者建立本機防火牆規則,以覆寫 GPO 設定,並確保已記錄PAW進出的流量。 開啟此防火牆將會擴大PAW的攻擊面,並增加安全性風險。 新增任何位址之前,請參閱本指南中的管理與操作PAW一節.
- 移至 [計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\Windows 防火牆],然後完成下列步驟:
利用 WSUS 設定 Windows Update - 完成下列步驟來變更設定,將 Windows Update 配置於 PAWs:
- 移至 [計算機設定\原則\系統管理範本\Windows 元件\Windows 更新],然後完成下列步驟:
- 開啟 設定自動更新原則。
- 選擇選項 4 - 自動下載並排程安裝。
- 將 [排程安裝日] 選項變更為 0 - [每天],並將 [排程安裝時間] 選項 [排程安裝時間] 為組織喜好設定。
- 啟用選項 指定內部網路 Microsoft 更新服務位置 原則。
- 移至 [計算機設定\原則\系統管理範本\Windows 元件\Windows 更新],然後完成下列步驟:
連結「PAW 設定 - 電腦」GPO,如下所示:
政策 連結位置 PAW 設定 - 計算機 管理\層級 0\設備
建立「PAW 設定 - 使用者」 群組策略物件 (GPO)
在本節中,您會建立新的「PAW 組態 - 使用者」GPO,為這些 PAW 提供特定保護,並連結到第 0 層\Admin 底下的第 0 層帳戶 OU(「帳戶」)。
警告
請勿將這些設定新增至預設網域原則
-
封鎖因特網流覽 - 為了阻止不小心的因特網流覽,這會設定回送位址的 Proxy 位址 (127.0.0.0.1)。
移至 [用戶設定\喜好設定\Windows 設定\登錄]。 以滑鼠右鍵按一下[登錄],選取新增>登錄專案 並設定以下設置:
動作:取代
Hive:HKEY_CURRENT_USER
索引鍵路徑:Software\Microsoft\Windows\CurrentVersion\Internet Settings
值名稱:ProxyEnable
謹慎
請勿選取 [值名稱] 左邊的 [預設] 方塊。
實值類型:REG_DWORD
數值數據:1
- 按一下 [常用] 索引標籤,然後選取 [不再套用此項目時,移除此項目]。
- 在 [一般] 索引標籤上,選取 [項目層級的定位],然後按一下 [定位]。
- 單擊 「新增項目」,然後選擇 「安全組」。
- 選取 “...”按鈕並流覽PAW使用者群組。
- 點選 [新增專案],然後選取 [安全組]。
- 選取 “...”按鈕並流覽 雲端服務系統管理員 群組。
- 點選 雲端服務系統管理員 項目,然後按下 [項目選項]。
- 選擇「不是」。
- 點擊目標視窗上的 [確定]。
點擊 [確定] 完成 ProxyServer 群組原則設定
移至 [用戶設定\喜好設定\Windows 設定\登錄]。 以滑鼠右鍵點擊[登錄],選取 [新增>登錄專案] 並設定以下選項:
- 動作:取代
- Hive:HKEY_CURRENT_USER
- 索引鍵路徑:Software\Microsoft\Windows\CurrentVersion\Internet Settings
數值名稱:ProxyServer
謹慎
請勿選取位於 [值名稱] 左側的 [預設] 方塊。
實值類型:REG_SZ
值數據:127.0.0.1:80
- 按一下 [Common] 標籤,選取 [不再套用時移除此項目]。
- 在 [一般] 索引標籤上,選取 [項目層級的目標設定],然後按一下 [目標設定]。
- 按一下 新增專案,然後選取 [安全組]。
- 選取 “...”按鈕並新增PAW使用者群組。
- 點擊 新增專案,然後選取安全組。
- 選取 “...”按鈕並流覽 雲端服務系統管理員 群組。
- 點選 雲端服務系統管理員 項目,然後按下 [項目選項]。
- 選擇 不是。
- 在目標視窗上按一下[確定]。
按一下 確定 完成 ProxyServer 組策略設定,
- 移至 [用戶設定\原則\系統管理範本\Windows 元件\Internet Explorer],然後啟用下列選項。 這些設定可防止系統管理員手動覆寫 Proxy 設定。
- 啟用 禁止更改自動設定 的設定。
- 啟用 防止在變更 Proxy 設定。
限制系統管理員登入較低層主機
在本節中,我們會設定組策略,以防止特殊許可權的系統管理帳戶登入較低層主機。
建立新的 限制工作站登入 GPO - 此設定會限制第 0 層和第 1 層系統管理員帳戶登入標準工作站。 此 GPO 應該連結至「工作站」最上層 OU,並具有下列設定:
在 [計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\拒絕以批次作業登入] 中,選取 [定義這些原則設定 並新增第 0 層和第 1 層群組,包括:
- 內建第0層群組
- 企業系統管理員
- 網域管理員
- 架構管理員
- BUILTIN\Administrators
- 帳戶操作員
- 備份操作員
- 列印運算子
- 伺服器運算元
- 域控制器
- Read-Only 域控制器
- 群組原則建立者與擁有者
- 密碼編譯運算符
- 其他委派的群組,包括具有有效第0層存取權的任何自定義建立群組。
- 第 1 層系統管理員
- 內建第0層群組
在 [計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\拒絕以服務身分登入] 中,選取 [定義這些原則設定 並新增第 0 層和第 1 層群組:
- 內建第0層群組
- 企業系統管理員
- 網域管理員
- 架構管理員
- BUILTIN\Administrators
- 帳戶操作員
- 備份操作員
- 列印操作員
- 伺服器運算元
- 域控制器
- Read-Only 域控制器
- 群組原則建立者和擁有者
- 密碼編譯運算符
- 其他委派的群組,包括具有有效第0層存取權的任何自定義建立群組。
- 第 1 層系統管理員
- 內建第0層群組
建立新的 限制伺服器登入 GPO - 此設定會限制第 0 層系統管理員帳戶登入至第 1 層伺服器。 此 GPO 應該連結至「第 1 層伺服器」最上層 OU,並具有下列設定:
在 [計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\拒絕以批次作業身分登入] 中,選取 [定義這些原則設定 並新增第 0 層群組:
- 內建第零級群組
- 企業系統管理員
- 網域管理員
- 架構管理員
- BUILTIN\Administrators
- 帳戶操作員
- 備份操作員
- 列印運算子
- 伺服器運算元
- 域控制器
- Read-Only 域控制器
- 群組策略建立者和擁有者
- 密碼編譯運算符
- 其他委派的群組,包括具有有效第0層存取權的任何自定義建立群組。
- 內建第零級群組
在 [計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\拒絕以服務身分登入] 中,選取 [定義這些原則設定 並新增第 0 層群組:
- 內建第0層群組
- 企業系統管理員
- 網域管理員
- 架構管理員
- BUILTIN\Administrators
- 帳戶操作員
- 備份操作員
- 列印操作員
- 伺服器運算元
- 域控制器
- Read-Only 域控制器
- 群組原則創建者擁有者
- 密碼編譯運算符
- 其他委派的群組,包括具有有效第0層存取權的任何自定義建立群組。
- 內建第0層群組
在 [計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\拒絕本機登入] 中,選取 [定義這些原則設定 並新增第 0 層群組:
- 內建零級群組
- 企業系統管理員
- 網域管理員
- 架構管理員
- BUILTIN\Administrators
- 帳戶操作員
- 備份操作員
- 列印運算子
- 伺服器運算元
- 域控制器
- Read-Only 域控制器
- 群組原則建立者擁有者
- 密碼編譯運算符
- 其他委派的群組,包括具有有效第0層存取權的任何自定義建立群組。
- 內建零級群組
部署您的PAW系統
重要
確定PAW在作業系統建置程式期間與網路中斷連線。
使用您稍早取得的全新來源安裝媒體安裝 Windows 11。
注意
您可以使用 Microsoft Deployment Toolkit (MDT) 或其他自動化映射部署系統來自動化 PAW 部署,但您必須確保建置程式與 PAW 一樣值得信任。 敵人特別尋找公司映像和部署系統(包括ISOs、部署套件等)作為持續性機制,因此不應使用預先存在的部署系統或映像。
如果您自動部署 PAW,您必須:
- 使用已驗證和正宗的安裝媒體建置系統。
- 確定在操作系統建置程式期間,自動化部署系統與網路中斷連線。
設定本機系統管理員帳戶的唯一複雜密碼。 請勿使用已用於環境中任何其他帳戶的密碼。
注意
Microsoft建議使用 本機系統管理員密碼解決方案 (LAPS) 來管理所有工作站的本機系統管理員密碼,包括 PAW。 如果您使用 LAPS,請確定您只授與 PAW 維護群組讀取 PAW 受控密碼的許可權。
使用全新來源安裝媒體安裝適用於 Windows 11 的遠端伺服器管理工具。
設定 Windows Defender 惡意程式防護
將PAW連線到網路。 確定PAW可以連線到至少一個域控制器 (DC)。
使用屬於PAW維護群組成員的帳戶,從新建立的PAW執行下列PowerShell命令,將它加入適當的 OU 中的網域:
Add-Computer -DomainName Fabrikam -OUPath "OU=Devices,OU=Tier 0,OU=Admin,DC=fabrikam,DC=com"請視需要將 Fabrikam 的參考替換為您的網域名稱。 如果您的網域名稱延伸至多個層級(例如,child.fabrikam.com),請按照它們在網域的完整網域名稱中的出現順序,使用 “DC=” 識別符來新增其他名稱。
安裝任何其他軟體之前,請先套用所有重要且重要的 Windows Update(包括系統管理工具、代理程式等)。
強制組策略應用程式。
- 開啟提升許可權的命令提示字元,然後輸入下列命令:
Gpupdate /force /sync - 重新啟動電腦
- 開啟提升許可權的命令提示字元,然後輸入下列命令:
(選擇性)安裝 Active Directory 系統管理員的其他必要工具。 安裝執行作業職責所需的任何其他工具或腳本。 在將認證新增至PAW之前,請務必使用任何工具評估目標計算機上認證暴露的風險。
注意
使用跳板伺服器作為這些工具的集中管理位置,可以降低複雜性,即使它不作為安全邊界也一樣。
(選擇性)下載並安裝必要的遠端存取軟體。 如果系統管理員從遠端使用PAW進行管理,請使用遠端存取解決方案廠商的安全性指引來安裝遠端存取軟體。
注意
請仔細考慮允許透過PAW進行遠端訪問所涉及的所有風險。 雖然行動 PAW 提供許多重要的情境,包括在家工作,但遠端存取軟體可能容易遭受攻擊,進而被用來危害 PAW。
使用下列步驟來檢閱並確認所有適當的設定,以驗證PAW系統的完整性:
- 確認只會將PAW特定的組策略套用至PAW
- 開啟提升許可權的命令提示字元,然後輸入下列命令:
Gpresult /scope computer /r - 檢閱產生的清單,並確定唯一出現的組策略是您先前建立的組策略。
- 開啟提升許可權的命令提示字元,然後輸入下列命令:
- 使用下列步驟確認 PAW 上沒有其他使用者帳戶是特殊許可權群組的成員:
開啟 [編輯本機使用者和群組] (lusrmgr.msc),選取 [群組],並確認本機 Administrators 群組的唯一成員是本機系統管理員帳戶和 PAW 維護全域安全組。
重要
PAW 使用者群組不應該是本機管理員群組的成員。 唯一的成員應該是本機系統管理員帳戶和PAW維護全域安全組(而PAW使用者不應該是該全域群組的成員)。
此外,使用 編輯本機使用者和群組,請確定下列群組沒有成員:
- 備份操作員
- 密碼編譯運算符
- Hyper-V 系統管理員
- 網路設定操作員
- 高級用戶
- 遠端桌面使用者
- 複製器
- 確認只會將PAW特定的組策略套用至PAW
(選擇性)如果您的組織使用安全性資訊和事件管理 (SIEM) 解決方案,請確定PAW已 設定為使用 Windows 事件轉送 (WEF) 或向解決方案註冊,讓 SIEM 主動接收來自 PAW 的事件和資訊。 此作業的詳細數據會根據您的 SIEM 解決方案而有所不同。
注意
如果您的 SIEM 需要一個以系統或本地管理帳戶身分在 PAW 上執行的代理程式,請確保對 SIEM 的管理信任等級與您的域控制器及身分識別系統相同。
(選擇性)如果您選擇部署 LAPS 來管理 PAW 上本機系統管理員帳戶的密碼,請確認密碼已成功註冊。
- 使用具有讀取 LAPS 管理密碼許可權的帳戶,開啟 Active Directory 使用者與電腦管理單元(dsa.msc)。 確定已啟用 [進階功能],然後以滑鼠右鍵按兩下適當的計算機物件。 選取 [屬性編輯器] 索引標籤,並確認 msSVSadmPwd 的值已填入有效的密碼。
階段 2:將 PAW 擴充至所有系統管理員
範圍:具有任務關鍵性應用程式和相依性之系統管理許可權的所有使用者。 這至少應包含應用程式伺服器的系統管理員、作業健康情況和安全性監視解決方案、虛擬化解決方案、記憶體系統和網路裝置。
注意
此階段中的指示假設第1階段已全部完成。 在您完成階段 1 中的所有步驟之前,請勿開始階段 2。
確認所有步驟都已完成之後,請執行下列步驟以完成第 2 階段:
(建議)啟用 RestrictedAdmin 模式
在現有的伺服器和工作站上啟用此功能,然後強制執行此功能的使用。 此功能需要目標伺服器執行 Windows Server 2008 R2 或更新版本,而目標工作站必須執行 Windows 7 或更新版本。
依照此 頁面中提供的指示,在伺服器和工作站上啟用 RestrictedAdmin 模式。
注意
在針對因特網對向伺服器啟用此功能之前,您應該先考慮敵人能夠向這些伺服器驗證先前遭竊的密碼哈希的風險。
建立「RestrictedAdmin 必要 - 電腦」組策略物件(GPO)。 本節會建立 GPO,強制使用 /RestrictedAdmin 參數進行連出遠端桌面連線,保護帳戶免於目標系統上的認證遭竊
- 移至 \[計算機設定\原則\系統管理範本\系統\認證委派\將認證委派限制為遠端伺服器\],並將其設定為 啟用。
使用下列原則選項,將 RestrictedAdmin 必要 - 計算機連結到適當的第 1 層和/或第 2 層裝置:
- PAW 設定 - 計算機
- -> 連結位置:系統管理\第 0 層\裝置(現有)
- PAW 組態 - 使用者
- -> 連結位置:管理\第 0 層\帳戶
- 需要受限管理員 - 電腦
- ->Admin\Tier1\Devices 或 -> Admin\Tier2\Devices (兩者都是選擇性的)
注意
第 0 層系統不需要這麼做,因為這些系統已經完全控制環境中的所有資產。
- PAW 設定 - 計算機
將第1層物件移至適當的OU
將第1層群組移至管理\第1層\群組 OU。 找出授與下列管理權限的所有群組,並將其移至此 OU。
- 多個伺服器上的本機系統管理員
- 雲端服務的系統管理存取權
- 企業應用程式的系統管理存取權
- 多個伺服器上的本機系統管理員
將第 1 層帳戶移至 Admin\Tier 1\Accounts OU。 將屬於第1層群組成員的每個帳戶(包括巢狀成員資格)移至此 OU。
將適當的成員新增至相關群組
第 1 層系統管理員 - 此群組包含第 1 層系統管理員,被限制無法登入第 2 層主機。 新增所有具有伺服器或因特網服務系統管理許可權的第1層系統管理群組。
重要
如果系統管理員可以在多層管理資產,您必須為每個層級建立個別的系統管理帳戶。
啟用 Credential Guard 以降低認證竊取和重複使用的風險。 Credential Guard 是 Windows 11 的新功能,可限制應用程式存取認證,防止認證竊取攻擊(包括傳遞哈希)。 Credential Guard 對終端使用者而言是透明的,而且需要最少的設定時間和精力。 如需 Credential Guard 的詳細資訊,包括部署步驟和硬體需求,請參閱使用 Credential Guard 保護網域認證一文 。
注意
必須啟用 Device Guard,才能設定及使用 Credential Guard。 不過,您不需要設定任何其他 Device Guard 保護,才能使用 Credential Guard。
(選擇性)啟用雲端服務的連線。 此步驟允許使用適當的安全性保證來管理 Azure 和 Microsoft 365 等雲端服務。 Microsoft Intune 需要此步驟來管理 PAW。
注意
如果不需要雲端連線來管理雲端服務或由 Intune 管理,請略過此步驟。
- 這些步驟會將透過因特網的通訊限制為僅限授權的雲端服務(但不是開放式因特網),並將保護新增至處理來自因特網內容的瀏覽器和其他應用程式。 這些用於管理的PAW絕不應用於標準使用者工作,例如因特網通訊和生產力。
- 若要啟用PAW服務的連線,請完成下列步驟:
將PAW設定為只允許授權的因特網目的地。 當您擴展 PAW 部署以啟用雲端管理時,您需要允許授權的服務訪問,同時過濾並阻止來自開放式互聯網的訪問,以防止對系統管理員的攻擊。
建立 雲端服務管理員 群組,並將所有需要存取因特網雲端服務的帳戶新增至該群組。
從 techNet 資源庫 下載 PAW proxy.pac 檔案,並在內部網站上發佈。
註解
下載之後,您必須更新 proxy.pac 檔案,以確保檔案 up-to日期並完成。 Microsoft 會在 Office 支援中心公布所有目前的 Microsoft 365 和 Azure URL。 這些指示假設您將使用 Internet Explorer(或 Microsoft Edge)來管理 Microsoft 365、Azure 和其他雲端服務。 Microsoft建議針對管理所需的第三方瀏覽器設定類似的限制。 PAW 上的網頁瀏覽器只應該用於管理雲端服務,而且絕對不會用於一般網頁流覽。
您可能需要為其他 IaaS 提供者新增其他有效的因特網目的地,以新增至此清單,但請勿將生產力、娛樂、新聞或搜尋網站新增至此清單。
您可能也需要調整 PAC 檔案,以容納要用於這些位址的有效 Proxy 位址。
您還可以使用 Web Proxy 限制 PAW 的存取,作為深度防禦的一環。 不建議在沒有 PAC 檔案的情況下單獨使用此檔案,因為它只會在連線到公司網路時限制 PAW 的存取。
在配置 proxy.pac 檔案後,請更新 PAW 設定 - 使用者 GPO。
- 移至 [用戶設定\喜好設定\Windows 設定\登錄]。 以滑鼠右鍵點選 [登錄],選取 [新增>登錄專案],然後設定以下配置:
動作:取代
Hive:HKEY_CURRENT_USER
索引鍵路徑:Software\Microsoft\Windows\CurrentVersion\Internet Settings
值名稱:AutoConfigUrl
謹慎
請勿選取 [值名稱] 左邊的 [預設] 方塊。
實值類型:REG_SZ
數值數據:輸入 proxy.pac 檔案的完整 URL,包括 http:// 和檔名,例如
http://proxy.fabrikam.com/proxy.pac。 URL 也可以是單一標籤 URL - 例如,http://proxy/proxy.pac注意
PAC 檔案也可以裝載在檔案共用上,語法為
file://server.fabrikan.com/share/proxy.pac,但這需要允許 file:// 通訊協定。 如需設定所需登錄值的其他詳細數據,請參閱此瞭解 Web Proxy 設定 部落格的<注意:型 Proxy 腳本已被取代>一節。 按一下 [Common] 標籤,然後選取 [移除此項目當不再適用]。
在 [常用] 索引標籤上,選取 [項目層級定位],然後按一下 [目標]。
點選 [新增專案],然後選取 [安全組]。
選取 “...”按鈕並流覽 雲端服務系統管理員 群組。
點擊 新增項目,然後選取 安全群組。
選取 “...” 按鈕並瀏覽 PAW 使用者 群組。
點選 PAW 使用者 項目,然後按下 [項目選項]。
選擇 不是。
在目標視窗上按一下 [確定]。
單擊 [確定],以完成 AutoConfigUrl 組策略設定。
- 移至 [用戶設定\喜好設定\Windows 設定\登錄]。 以滑鼠右鍵點選 [登錄],選取 [新增>登錄專案],然後設定以下配置:
使用下列步驟,將 Windows 和雲端服務存取的安全性基準鏈接至正確的 OU,將 Windows 和雲端服務存取的安全性基準鏈接至正確的 OU:
擷取 Windows 11 安全性基準 ZIP 檔案的內容。
建立這些 GPO,匯入原則 設定,並 根據此表格進行連結。 將每個政策連結到每個位置,並確保順序遵循表格(表格中的較低項目應稍後運用,且較高的項目具有優先順序):
原則:
原則名稱 連結 CM Windows 11 - 網域安全性 N/A - 立即不要連結 SCM Windows 11 TH2 - 計算機 Admin\Tier 0\裝置 管理\第 1 層\裝置 管理\第 2 層\裝置 SCM Windows 11 TH2- BitLocker 管理員\Tier 0\設備 管理\第 1 層\裝置 管理\第 2 層\裝置 SCM Windows 11 - Credential Guard 管理員\等級 0\裝置 管理\第 1 層\裝置 管理\第 2 層\裝置 SCM Internet Explorer - 計算機 管理員\層級 0\設備 管理\第 1 層\裝置 管理\第 2 層\裝置 PAW 設定 - 計算機 管理\第 0 層\裝置 (現有) 系統管理\第 1 層\裝置 (新增連結) 系統管理\第 2 層\裝置 (新增連結) 需要受限管理員:電腦 管理員\層級 0\裝置 管理\第 1 層\裝置 管理\第 2 層\裝置 SCM Windows 11 - 使用者 管理\等級 0\設備 管理\第 1 層\裝置 管理\第 2 層\裝置 SCM Internet Explorer - 使用者 管理員\層級 0\裝置 管理\第 1 層\裝置 管理\第 2 層\裝置 PAW 組態 - 使用者 管理\第 0 層\裝置 (現有) 系統管理\第 1 層\裝置 (新增連結) 系統管理\第 2 層\裝置 (新增連結) 注意
「SCM Windows 11 - 網域安全性」GPO 可能會連結到與 PAW 無關的網域,但會影響整個網域。
(選擇性)安裝第 1 層系統管理員的其他必要工具。 安裝執行作業職責所需的任何其他工具或腳本。 在將認證新增至PAW之前,請務必使用任何工具評估目標計算機上認證暴露的風險。
識別並安全地取得管理所需的軟體和應用程式。 這與階段 1 中執行的工作類似,但由於應用程式、服務和系統的數量增加,因此範圍較廣。
重要
請確保您保護這些新應用程式(包括網頁瀏覽器),方法是選擇讓他們加入 Windows Defender Exploit Guard 提供的保護。
- 其他軟體和應用程式的範例包括:
以 Microsoft 管理主控台為基礎的服務或應用程式管理軟體
專屬(非 MMC 型)服務或應用程式管理軟體
注意
許多應用程式現在都是透過網頁瀏覽器獨佔管理,包括許多雲端服務。 雖然這可減少需要在PAW上安裝的應用程式數目,但它也會造成瀏覽器互操作性問題的風險。 您可能需要將非Microsoft網頁瀏覽器部署到特定的PAW實例,以啟用特定服務的管理。 如果您部署額外的網頁瀏覽器,請確定您遵循所有乾淨的來源原則,並根據廠商的安全性指導方針保護瀏覽器。
- 其他軟體和應用程式的範例包括:
(選擇性)下載並安裝任何必要的管理代理程式。
重要
如果您選擇安裝其他管理代理程式(監視、安全性、組態管理等),請務必確保管理系統的信任度達到與網域控制器和身分識別系統相同的層級。
評估您的基礎結構,以識別需要PAW提供更多安全性保護的系統。 請確定您確切知道哪些系統必須受到保護。 詢問資源本身的關鍵問題,例如:
必須管理的目標系統在哪裡? 它們是在單一實體位置收集,或連線到單一定義完善的子網嗎?
有多少系統?
這些系統是否相依於其他系統(虛擬化、記憶體等),如果是的話,這些系統會如何管理? 重要系統如何受到這些相依性的影響,和與這些相依性相關聯的其他風險為何?
正在管理的服務有多重要,如果這些服務遭到入侵,預期的損失為何?
重要
在此評定中包含您的雲端服務 - 攻擊者越來越以不安全的雲端部署為目標,而且您必須像內部部署任務關鍵性應用程式一樣安全地管理這些服務。
使用此評定來識別需要額外保護的特定系統,然後將PAW程式延伸至這些系統的系統管理員。 從PAW型系統管理中獲益的常見範例包括SQL Server(內部部署和 SQL Azure)、人力資源應用程式和財務軟體。
注意
如果資源是從 Windows 系統管理,則可以使用 PAW 來管理資源,即使應用程式本身在 Windows 以外的作業系統或非Microsoft雲端平臺上執行也一樣。 例如,雲端服務提供者訂用帳戶的擁有者應該只使用PAW來管理該帳戶。
設計一種方法,以在您的組織中大規模部署與分發 PAW。 根據您在階段 2 中選擇部署的 PAW 數目,您可能需要將程式自動化。
請考慮制定一個正式的申請和核准程序,讓系統管理員能夠用來取得PAW。 此流程有助於標準化PAW裝置的部署過程,確保責任歸屬,並協助識別部署中的不足之處。
如先前所述,此部署解決方案應該與現有的自動化方法分開(可能已遭入侵),並應遵循階段 1 中所述的原則。
重要
管理資源的任何系統都應該以相同或更高的信任層級進行管理。
檢視,並在需要時部署更多PAW硬體配置檔。 您為階段 1 部署選擇的硬體設定檔可能不適合所有系統管理員。 檢閱硬體配置檔,如果適當,請選取其他PAW硬體配置檔以符合系統管理員的需求。 例如,專屬硬體配置(獨立的PAW和日常使用的工作站)可能不適合經常出差的管理員。
請考慮伴隨長期PAW部署的文化、操作、通訊和訓練需求。 對系統管理模型進行如此重大的變更,自然需要某種程度的變更管理,而且必須將其建置至部署專案本身。 請至少考慮下列問題:
如何傳達對高級領導階層的變更,以確保他們的支援? 任何沒有高級領導支持的專案都可能會失敗,或在努力爭取資金和難以獲得廣泛認可。
您將如何記錄管理員的新流程? 這些變更必須記錄並傳達給現有的系統管理員(他們必須以不同的方式變更其習慣和管理資源),而且必須針對新系統管理員(從組織內部或從組織外部升階的人員)。 文件必須清楚且完整說明:
- 威脅的重要性
- PAW角色對於保護系統管理員的重要性。
- 如何正確使用PAW。
重要
對於高流動率的角色來說,這特別重要,包括但不限於客服人員。
如何確保符合新程式? 雖然PAW模型包含數個技術控件,以防止公開特殊許可權認證,但完全無法使用技術控制項完全防止所有可能暴露。 例如,雖然有可能防止系統管理員成功登入具有特權憑證的使用者桌面,但嘗試登入的簡單動作可能會暴露出憑證給該使用者桌面上安裝的惡意程式。 因此,您不僅要表達PAW模型的優點,而且要表達不符合規範的風險。 這應該透過稽核和警示來補充,以便快速偵測並解決認證暴露。
階段3:擴充和增強保護
範圍:這些保護可增強階段 1 內建的系統,使用包括多重要素驗證和網路存取規則在內的進階功能來增強基本保護。
注意
此階段可以在階段 1 完成之後隨時執行。 它不相依於第 2 階段的完成,因此可以在階段 2 之前、並行或之後執行。
完成下列步驟以設定此階段:
為特殊權限帳戶啟用多重要素驗證。 多重要素驗證會藉由要求使用者除了認證之外提供實體令牌,來強化帳戶安全性。 多重要素驗證可很好地補充驗證原則,但並不相依於部署的驗證原則(同樣地,驗證原則不需要多重要素驗證)。 Microsoft建議使用下列其中一種形式的多重要素驗證:
- 智慧卡:智慧卡是防竄改和可攜式實體裝置,可在 Windows 登入程式期間提供第二個驗證。 藉由要求個人擁有登入卡,您可以降低遠端重複使用遭竊認證的風險。 如需 Windows 中智慧卡登入的詳細資訊,請參閱 智慧卡概觀一文。
- 虛擬智慧卡:虛擬智慧卡提供與實體智慧卡相同的安全性優點,並新增了連結到特定硬體的優點。 如需部署和硬體需求的詳細資訊,請參閱文章 虛擬智慧卡概觀 和 開始使用虛擬智慧卡:逐步解說指南。
-
Windows Hello 企業版:Windows Hello 企業版可讓使用者向支援快速標識符在線 (FIDO) 驗證的 Microsoft 帳戶、Active Directory 帳戶、Microsoft Entra 帳戶或支援快速標識符在線 (FIDO) 驗證的非Microsoft服務進行驗證。 在 Windows Hello 企業版註冊期間進行初始雙步驟驗證之後,會在使用者的裝置上設定 Windows Hello 企業版,而使用者設定手勢,可以是 Windows Hello 或 PIN。 Windows Hello 企業版認證是非對稱密鑰組,可在信賴平臺模組 (TPM) 的隔離環境中產生。
- 如需 Windows Hello 企業版的詳細資訊,請參閱 windows Hello 企業版 文章。
- Azure Multifactor authentication:Azure Multifactor authentication (MFA) 透過監視和機器學習式分析,提供第二個驗證要素的安全性,並增強保護。 Microsoft Entra 多重要素驗證不僅能保護 Azure 系統管理員,還能保護許多其他解決方案,包括 Web 應用程式、Microsoft Entra ID,以及遠端訪問和遠端桌面等內部部署解決方案。 如需詳細資訊,請參閱 多重要素驗證一文。
允許使用 Windows Defender 應用程控和/或 AppLocker列出信任的應用程式。 藉由限制在PAW上執行不受信任或未簽署程式代碼的能力,您可以進一步降低惡意活動和入侵的可能性。 Windows 包含兩個主要應用程控選項:
- AppLocker:AppLocker 可協助系統管理員控制哪些應用程式可以在指定的系統上執行。 AppLocker 可以透過群組原則集中管理,並針對PAWs使用者,套用至特定使用者或群組。 如需 AppLocker 的詳細資訊,請參閱 TechNet 文章 AppLocker 概觀。
- Windows Defender 應用程式控制:新的 Windows Defender 應用程式控制功能提供以硬體為基礎的增強應用程式控制,與 AppLocker 不同,無法在受影響的裝置上被覆寫。 如同 AppLocker,Windows Defender 應用程控可以透過組策略控制,並鎖定特定使用者。 如需使用 Windows Defender 應用程控限制應用程式使用的詳細資訊,請參閱 Windows Defender 應用程控部署指南。
使用受保護的使用者、驗證原則和驗證隔離,進一步保護特權帳戶。 受保護的用戶成員受限於額外的安全策略,以保護儲存在本機安全性代理程式 (LSA) 中的認證,並大幅降低認證竊取和重複使用的風險。 驗證原則和資料隔離可控制有特權的使用者如何存取網域中的資源。 整體上,這些保護可大幅增強這些特殊許可權用戶的帳戶安全性。 如需這些功能的詳細資訊,請參閱 如何設定受保護的帳戶一文。
注意
這些保護旨在補充階段 1 中現有的安全性措施,而不是取代。 系統管理員仍應使用不同的帳戶進行管理和一般用途。
管理和更新
PAW 必須具有反惡意代碼功能,而且必須快速套用軟體更新,才能維護這些工作站的完整性。
額外的組態管理、作業監視和安全性管理也可以與PAW搭配使用。 必須仔細考慮這些功能的整合,因為每個功能都會透過此工具引入PAW入侵的風險。 引進進階管理功能是否合理,取決於數個因素,包括:
- 管理功能的安全性狀態和做法(包括工具的軟體更新實務、這些角色中的系統管理角色和帳戶、工具裝載於或管理作業系統,以及此工具的任何其他硬體或軟體相依性)
- PAW 上軟體部署和更新的頻率和數量
- 詳細盤點和組態資訊的需求
- 安全性監視需求
- 組織標準和其他組織特定因素
根據乾淨的來源原則,用來管理或監視PAW的所有工具都必須在PAW層級或更高層級上受到信任。 此過程通常需要透過 PAW 來管理這些工具,以避免對低權限工作站產生安全性依賴。
下表概述可用來管理及監視PAW的不同方法:
| 方法 | 注意事項 |
|---|---|
| PAW 中的預設值 - Windows Server Update Services |
- 無額外費用 - 執行基本必要安全性功能 - 本指南中包含的指示 |
| 使用 Intune 管理 |
|
| 用於管理 PAW 的新 System Center 實例(或實例群) | - 提供設定、軟體部署和安全性更新的可見度和控制 - 需要個別的伺服器基礎結構,將其保護至高特權工作站(PAWs)等級,並具備管理這些擁有高度特權人員所需的技能。 |
| 使用現有的管理工具管理PAW | - 除非現有的管理基礎結構提升到PAW的安全性層級,否則會建立重大風險,但PAW 注意:除非貴組織有特定理由使用它,否則 Microsoft通常會勸阻這種方法。 在我們的經驗中,將所有這些工具(及其安全性相依性)提升到PAW的安全性層級通常成本很高。 - 這些工具大部分都提供設定、軟體部署和安全性更新的可見度和控制 |
| 需要系統管理員存取的安全性掃描或監視工具 | 包含任何安裝代理程式或需要具有本機系統管理存取權的帳戶的工具。 - 需要將工具安全性保證提升到與PAW相同的層級。 |
| 安全性資訊和事件管理 (SIEM) |
|
| Windows 事件轉送 | - 提供將安全性事件從PAW轉送至外部收集器或SIEM的無代理程式方法 - 可以在沒有系統管理存取權的情況下存取PAW上的事件 - 不需要開啟網路埠,以允許來自 SIEM 伺服器的輸入流量 |
操作PAW
PAW 解決方案應使用以乾淨來源原則為基礎的標準來運作。
相關文章
Microsoft Advanced Threat Analytics
Windows Server 2012 中 Kerberos 驗證的最新功能
Windows Server 2008 R2 中 AD DS 的 驗證機制保證分步指南