Zabezpečení zařízení v rámci privilegovaného přístupu
Tyto pokyny jsou součástí úplné strategie privilegovaného přístupu a jsou implementované v rámci nasazení privilegovaného přístupu.
Ukončení zabezpečení nulové důvěryhodnosti pro privilegovaný přístup vyžaduje silný základ zabezpečení zařízení, na kterém můžete vytvořit další záruky zabezpečení pro relaci. I když se v relaci ujištění zabezpečení může zlepšit, budou vždy omezena tím, jak silné jsou záruky zabezpečení na původním zařízení. Útočník, který má nad tímto zařízením kontrolu, se může vydávat za uživatele nebo může ukrást přihlašovací údaje pro budoucí zosobnění. Toto riziko podkopává další záruky na účtu, zprostředkovatele, jako jsou servery pro přeskakování, a na samotných zdrojích. Další informace najdete v tématu Princip čistého zdroje.
Článek obsahuje přehled ovládacích prvků zabezpečení, které poskytují zabezpečenou pracovní stanici pro citlivé uživatele po celý životní cyklus.
Toto řešení využívá základní funkce zabezpečení v operačních systémech Windows 10, Microsoft Defenderu pro koncové body, Azure Active Directory a Microsoft InTune.
Kdo výhody zabezpečené pracovní stanice?
Všichni uživatelé a operátoři těží z používání zabezpečené pracovní stanice. Útočník, který napadne počítač nebo zařízení, může vydávat nebo krást přihlašovací údaje nebo tokeny pro všechny účty, které ho používají, a podkopal mnoho nebo všechny jiné záruky zabezpečení. Pro správce nebo citlivé účty to umožňuje útočníkům zvýšit oprávnění a zvýšit přístup, který mají ve vaší organizaci, často dramaticky k oprávněním domény, globálního nebo podnikového správce.
Podrobnosti o úrovních zabezpečení a o tom, ke kterým uživatelům by se mělo přiřadit, najdete v článku Úrovně zabezpečení privilegovaného přístupu.
Ovládací prvky zabezpečení zařízení
Úspěšné nasazení zabezpečené pracovní stanice vyžaduje,aby byla součástí koncového přístupu, včetně zařízení,účtů, zprostředkovatelů a zásad zabezpečení použitých u rozhraní aplikací. Všechny prvky zásobníku musí být adresované pro úplnou strategii zabezpečení privilegovaného přístupu.
Tato tabulka shrnuje ovládací prvky zabezpečení pro různé úrovně zařízení:
| Profil | Enterprise | Specializovaná | Privilegované |
|---|---|---|---|
| Microsoft Endpoint Manager (MEM) spravované | Ano | Ano | Ano |
| Odepřít registraci zařízení BYOD | Ne | Ano | Ano |
| Použitý směrný plán zabezpečení MEM | Ano | Ano | Ano |
| Microsoft Defender pro koncový bod | Ano* | Ano | Ano |
| Připojení k osobnímu zařízení přes Autopilota | Ano* | Ano* | Ne |
| Adresy URL omezené na schválený seznam | Povolit většinu | Povolit většinu | Odepřít výchozí |
| Odebrání práv správce | Ano | Ano | |
| Řízení spuštění aplikace (AppLocker) | Audit – > vynuceno | Ano | |
| Aplikace nainstalované jenom společností MEM | Ano | Ano |
Poznámka:
Řešení můžete nasadit s novým hardwarem, stávajícím hardwarem a přenést vlastní scénáře zařízení (BYOD).
Na všech úrovních budou zásady Intune vynucovat dodržování zásad údržby zabezpečení pro aktualizace zabezpečení. Rozdíly v zabezpečení při zvyšování úrovně zabezpečení zařízení se zaměřují na snížení úrovně útoku, kterou se útočník může pokusit zneužít (při zachování co nejvyšší produktivity uživatelů). Enterprise a specializovaná zařízení na úrovni umožňují produktivní aplikace a obecné procházení webu, ale pracovní stanice s privilegovaný přístupem ne. Enterprise si uživatelé můžou nainstalovat vlastní aplikace, ale specializátoři nemusí (a nejsou místními správci svých pracovních stanic).
Poznámka:
Procházení webu tady odkazuje na obecný přístup k libovolným webům, což může být vysoce riziková aktivita. Takové procházení se výrazně liší od používání webového prohlížeče pro přístup k malému počtu dobře známých administrativních webů pro služby, jako je Azure, Microsoft 365, další poskytovatelé cloudu a aplikace SaaS.
Hardwarová kořenová důvěryhodnost
Pro zabezpečenou pracovní stanici je nezbytné řešení v řetězci dodávek, ve kterém používáte důvěryhodnou pracovní stanici s názvem "kořen důvěryhodnosti". Technologie, které je třeba zvážit při výběru kořenového hardwaru důvěryhodnosti, by měly zahrnovat následující technologie, které jsou součástí moderních přenosných počítačů:
- Trusted Platform Module (TPM) 2.0
- Šifrování jednotky nástrojem BitLocker
- Zabezpečené spuštění UEFI
- Ovladače a firmware distribuované prostřednictvím Windows aktualizace
- Virtualization and HVCI Enabled
- Ovladače a aplikace HVCI-Ready
- Windows Hello
- Ochrana DMA I/O
- Ochrana systému
- Moderní úsporný režim
U tohoto řešení se kořen důvěryhodnosti nasadí pomocí Windows Autopilota s hardwarem, který splňuje moderní technické požadavky. K zabezpečení pracovní stanice vám Autopilot umožňuje využívat zařízení optimalizovaná pro výrobce Microsoft OEM Windows 10 zařízení. Tato zařízení jsou od výrobce ve známém stavu. Místo reimagingu potenciálně nezabezpečeného zařízení může Autopilot transformovat Windows 10 zařízení do stavu připraveného pro firmy. Používá nastavení a zásady, nainstaluje aplikace a dokonce změní edici Windows 10.
Role a profily zařízení
Tyto pokyny ukazují, jak Windows 10 a snížit rizika spojená s ohrožením zařízení nebo uživatele. K využití moderní hardwarové technologie a kořenového adresáře důvěryhodného zařízení používá řešení ověření stavu zařízení. Tato funkce je k dispozici, aby se zajistilo, že útočníci nemohou být během počátečního spuštění zařízení trvalé. Dělá to tak, že k řízení funkcí a rizik zabezpečení používá zásady a technologie.
- Enterprise zařízení – první spravovaná role je vhodná pro domácí uživatele, uživatele malých firem, obecné vývojáře a podniky, kde organizace chtějí zvýšit minimální panel zabezpečení. Tento profil umožňuje uživatelům spouštět všechny aplikace a procházet jakýkoli web, ale je potřeba antimalwarové a detekce a reakce u koncových bodů (EDR), jako je Microsoft Defender pro koncový bod. Používá se přístup založený na zásadách ke zvýšení bezpečnostního držení těla. Poskytuje bezpečné prostředky pro práci s daty zákazníků a zároveň používá nástroje pro zvýšení produktivity, jako je e-mail a procházení webu. Zásady auditování a Intune umožňují monitorovat Enterprise pracovní stanice pro chování uživatelů a využití profilu.
Profil zabezpečení organizace v pokynech pro nasazení privilegovaného přístupu používá soubory JSON ke konfiguraci s Windows 10 a poskytnutými soubory JSON.
- Specializované zařízení – Představuje významné zvýšení podnikového využití tím, že odeberete možnost samoobslužné správy pracovní stanice a omezíte, které aplikace mohou běžet jenom na aplikace nainstalované autorizovaným správcem (v souborech programů a předschválené aplikace v umístění profilu uživatele. Odebrání možnosti instalace aplikací může mít v případě nesprávné implementace vliv na produktivitu, proto se ujistěte, že jste poskytli přístup k aplikacím Microsoft Storu nebo podnikovým spravovaným aplikacím, které se instalují rychle tak, aby splňovaly potřeby uživatelů. Pokyny k konfiguraci uživatelů se speciálními zařízeními na úrovni najdete v tématu Úrovně zabezpečení privilegovaného přístupu.
- Specializovaný uživatel zabezpečení vyžaduje řízenější prostředí a přitom může dělat aktivity, jako je e-mail a procházení webu v jednoduchém prostředí. Tito uživatelé očekávají, že funkce, jako jsou soubory cookie, oblíbené položky a další klávesové zkratky, budou fungovat, ale nevyžadují možnost upravovat nebo ladit operační systém svého zařízení, instalovat ovladače nebo podobné funkce.
Specializovaný profil zabezpečení v pokynech pro nasazení privilegovaného přístupu používá soubory JSON ke konfiguraci Windows 10 a poskytnutých souborů JSON.
- Privilegovaná accessová pracovní stanice (PAW) – Toto je nejvyšší konfigurace zabezpečení určená pro mimořádně citlivé role, která by měla pro organizaci významný nebo materiální dopad, pokud by byl ohrožen jejich účet. Konfigurace sady PAW zahrnuje ovládací prvky zabezpečení a zásady, které omezují místní přístup pro správu a nástroje pro zvýšení produktivity, aby se minimalizoval povrch útoku jenom na to, co je nezbytně nutné pro provádění citlivých úloh.
To ztěžuje ohrožení zabezpečení zařízení PAW pro útočníky, protože blokuje nejběžnější vektor útoků phishing: e-mail a procházení webu.
Pro zvýšení produktivity těchto uživatelů musí být k dispozici samostatné účty a pracovní stanice pro produktivní aplikace a procházení webu. I když je to nepohodlné, jedná se o nezbytný ovládací prvek, který chrání uživatele, jejichž účet by mohl způsobit poškození většiny nebo všech zdrojů v organizaci.
- Pracovní stanice s oprávněním poskytuje tvrzené pracovní stanice, která má přehledné řízení aplikací a ochranu aplikací. Pracovní stanice používá k ochraně hostitele před škodlivým chováním ochranu přihlašovacích údajů, ochranu zařízení, ochranu aplikací a ochranu před zneužitím. Všechny místní disky jsou zašifrované nástrojem BitLocker a webový provoz je omezen na limitní sadu povolených cílů (odepřít vše).
Privilegovaný profil zabezpečení v pokynech pro nasazení privilegovaného přístupu používá soubory JSON ke konfiguraci Windows 10 a poskytnutých souborů JSON.