Schützen von Geräten im Rahmen der Geschichte des privilegierten Zugriffs

Dieser Leitfaden ist Teil einer vollständigen Strategie für den privilegierten Zugriff und wird im Rahmen der Bereitstellung für privilegierten Zugriff implementiert.

Die End-to-End-Zero Trust-Sicherheit für privilegierten Zugriff erfordert als starke Grundlage eine Gerätesicherheit, auf der andere Sicherheitsgarantien für die Sitzung aufbauen können. Während die Sicherheitsgarantien während der Sitzung verbessert werden können, werden sie immer durch die Stärke der Sicherheitsgarantien durch das ursprünglichen Gerät eingeschränkt. Ein Angreifer, der die Kontrolle über dieses Gerät hat, kann die Identität von Benutzern auf diesem Gerät imitieren oder seine Zugangsinformationen für den zukünftigen Identitätswechsel stehlen. Dieses Risiko beeinträchtigt andere Zusicherungen für das Konto, Vermittler wie Jump-Server und für die Ressourcen selbst. Weitere Informationen finden Sie unter Prinzip der vertrauenswürdigen Quelle.

Der Artikel bietet eine Übersicht über Sicherheitskontrollen, um verwundbaren Benutzern während der gesamten Nutzungsdauer eine sichere Arbeitsstation zu bieten.

Workflow zum Beziehen und Bereitstellen einer sicheren Arbeitsstation

Diese Lösung basiert auf grundlegenden Sicherheitsfunktionen im Windows 10-Betriebssystem, Microsoft Defender für Endpunkte, Azure Active Directory und Microsoft Intune.

Wer profitiert von einer sicheren Arbeitsstation?

Alle Benutzer und Betreiber profitieren von der Verwendung einer sicheren Arbeitsstation. Ein Angreifer, der einen PC oder ein Gerät kompromittiert, kann die Identität aller Zugangsinformationen/Token für alle Konten, die ihn verwenden, imitieren oder stehlen und so viele oder alle anderen Sicherheitsgarantien unterminieren. Für Administratoren oder vertrauliche Konten ermöglicht dieses den Angreifern, Berechtigungen zu erlangen und den Zugriff zu erhöhen, den sie in Ihrem Unternehmen haben, häufig drastisch bis hin zu Domänen-, globalen oder Unternehmensadministratorrechten.

Weitere Informationen zu Sicherheitsebenen und welche Benutzer welcher Stufe zugewiesen werden sollten, finden Sie unter Sicherheitsebenen für privilegierten Zugriff.

Gerätesicherheitskontrollen

Die erfolgreiche Bereitstellung einer sicheren Arbeitsstation erfordert, dass sie Teil eines End-to-End-Ansatzes ist, der Geräte, Konten, Vermittlerund Sicherheitsrichtlinien, die auf Ihre Anwendungsschnittstellenangewendet werden, mit einschließt. Alle Elemente dieses Stapels müssen in eine vollständige Sicherheitsstrategie für privilegierten Zugriff mit einbezogen werden.

In dieser Tabelle werden die Sicherheitskontrollen für verschiedene Geräteebenen zusammengefasst:

Profil Enterprise Spezialisiert Privilegiert
Von Microsoft Endpoint Manager (MEM) verwaltet Ja Ja Ja
Verweigerung von BYOD-Geräteregistrierung Nein Ja Ja
MEM-Sicherheitsbaseline angewandt Ja Ja Ja
Microsoft Defender für den Endpunkt Ja* Ja Ja
Beitreten zu persönlichen Geräten über Autopilot Ja* Ja* Nein
URLs auf genehmigte Liste beschränkt Zulassen der meisten Zulassen der meisten Standardmäßig verweigern
Entfernen von Administratorrechten Ja Ja
Anwendungsausführungssteuerung (AppLocker) Audit -> Erzwungen Ja
Nur von MEM installierte Anwendungen Ja Ja

Hinweis

Die Lösung kann mit neuer Hardware, vorhandener Hardware und in BYOD-Szenarien (Bring Your Own Device) bereitgestellt werden.

Auf allen Ebenen wird eine gute Sicherheitswartung für Sicherheitsupdates durch Intune-Richtlinien durchgesetzt. Die Sicherheitsunterschiede bei zunehmender Gerätesicherheitsstufe konzentrieren sich darauf, die Angriffsfläche zu verringern, die ein Angreifer ausnutzen kann (während gleichzeitig so viel Benutzerproduktivität wie möglich erhalten bleibt). Geräte der Unternehmens- und Spezialebene erlauben Produktivitätsanwendungen und allgemeines Web-Browsing, Workstations mit privilegiertem Zugriff jedoch nicht. Unternehmensbenutzer können ihre eigenen Anwendungen installieren, spezialisierte Benutzer jedoch nicht (und sind keine lokalen Administratoren ihrer Arbeitsstationen).

Hinweis

Das Surfen im Internet bezieht sich hier auf den allgemeinen Zugriff auf beliebige Websites, der eine risikoreiche Aktivität darstellen kann. Ein solches Surfen unterscheidet sich deutlich von der Verwendung eines Webbrowsers für den Zugriff auf eine kleine Anzahl bekannter administrativer Websites für Dienste wie Azure, Microsoft 365, andere Cloud-Anbieter und SaaS-Anwendungen.

Vertrauensanker in Hardware

Wesentlich für eine sichere Arbeitsstation ist eine Lieferkettenlösung, bei der Sie eine vertrauenswürdige Arbeitsstation verwenden, die als „root of trust“ (Vertrauensgrundlage) bezeichnet wird. Die Technologie, die in der Auswahl der „root of trust“-Hardware berücksichtigt werden muss, sollte die folgenden Technologien enthalten, die in modernen Laptops enthalten sind:

Für diese Lösung wird die „Root of Trust“ – die Vertrauensgrundlage – unter Verwendung von Microsoft Autopilot-Technologie mit Hardware bereitgestellt, die die modernen technischen Anforderungen erfüllt. Um eine Arbeitsstation zu sichern, können Sie mit Autopilot OEM-optimierte Microsoft Windows 10-Geräte nutzen. Diese Geräte werden vom Hersteller in einem bekannt guten Zustand geliefert. Anstatt ein Reimaging bei einem potenziell unsicheren Gerät auszuführen, kann Autopilot ein Windows-Gerät in einen „geschäftsbereiten“ Zustand versetzen. Autopilot wendet Einstellungen und Richtlinien an, installiert Apps und ändert sogar die Edition von Windows 10.

Ebenen von sicheren Arbeitsstationen

Geräterollen und -profile

Diese Anleitung zeigt, wie Sie Windows 10 absichern und die mit Geräte- oder Benutzergefährdungen verbundenen Risiken reduzieren können. Um die Vorteile der modernen Hardware-Technologie und des Root-of-Trust-Geräts zu nutzen, verwendet die Lösung einen Integritätsnachweis für Geräte. Diese Funktion ist vorhanden, um sicherzustellen, dass Angreifer nicht schon während der frühen Startphase eines Geräts dieses kompromittieren. Dies geschieht durch den Einsatz von Richtlinien und Technologien, um die Verwaltung von Sicherheitsmerkmalen und -risiken zu unterstützen.

Schützen von Arbeitsstationsprofilen

  • Enterprise-Gerät: Die erste verwaltete Rolle eignet sich gut für Privatbenutzer, Benutzer kleiner Unternehmen, allgemeine Entwickler und Unternehmen, in denen Organisationen die Mindestsicherheitsleiste erhöhen möchten. Dieses Profil ermöglicht Benutzern das Ausführen beliebiger Anwendungen und das Durchsuchen beliebiger Websites. Es ist jedoch eine Anti-Malware- und Endpunkterkennungs- und -antwortlösung (Endpoint Detection and Response, EDR) wie Microsoft Defender für Endpoint erforderlich. Es wird ein richtlinienbasierter Ansatz zum Erhöhen des Sicherheitsstatus verfolgt. Sie bietet eine sichere Möglichkeit für das Arbeiten mit Kundendaten und die gleichzeitige Nutzung von Produktivitätstools wie E-Mail und Webbrowsing. Sie können Überwachungsrichtlinien und Intune verwenden, um eine erweiterte Arbeitsstation auf Benutzerverhalten und Profilnutzung zu überwachen.

Das Unternehmenssicherheitsprofil im Leitfaden zur Bereitstellung mit privilegiertem Zugriff verwendet JSON-Dateien, um diese mit Windows 10 und den bereitgestellten JSON-Dateien zu konfigurieren.

  • Spezialisiertes Gerät: Dies stellt einen erheblichen Schritt gegenüber der Nutzung im Unternehmen dar. Es wird die Möglichkeit der selbstverwalteten Arbeitsstation entfernt und die Ausführung der Anwendungen auf die Anwendungen beschränkt, die von einem autorisierten Administrator installiert wurden (in den Programmdateien und vorab genehmigten Anwendungen am Speicherort des Benutzerprofils). Das Entfernen der Möglichkeit, Anwendungen zu installieren, kann sich auf die Produktivität auswirken, wenn sie falsch implementiert wird. Stellen Sie daher sicher, dass Sie Zugriff auf Microsoft Store-Anwendungen oder von Unternehmen verwaltete Anwendungen bieten, die schnell installiert werden können, um die Anforderungen der Benutzer zu erfüllen. Anleitungen dazu, welche Benutzer mit Geräten auf spezialisierter Ebene konfiguriert werden sollen, finden Sie unter Sicherheitsstufen für privilegierten Zugriff.
    • Der spezialisierte Sicherheitsbenutzer verlangt eine kontrolliertere Umgebung, während er gleichzeitig in der Lage ist, Aktivitäten wie E-Mail und Web-Browsing in einer einfach zu bedienenden Umgebung durchzuführen. Diese Benutzer erwarten, dass Features wie Cookies, Favoriten und andere Tastenkombinationen funktionieren, benötigen jedoch nicht die Möglichkeit, ihr Gerätebetriebssystem zu ändern oder zu debuggen, Treiber zu installieren oder ähnliches.

Das spezialisierte Sicherheitsprofil im Leitfaden zur Bereitstellung mit privilegiertem Zugriff verwendet JSON-Dateien, um dies mit Windows 10 und den bereitgestellten JSON-Dateien zu konfigurieren.

  • Privileged Access Workstation (PAW) : Dies ist die höchste Sicherheitskonfiguration, die für äußerst sensible Rollen konzipiert ist, die sich bei einer Kompromittierung ihres Kontos erheblich oder erheblich auf das Unternehmen auswirken würden. Die PAW-Konfiguration umfasst Sicherheitskontrollen und -richtlinien, die den lokalen Administratorzugriff und Produktivitätstools einschränken, um die Angriffsfläche auf das zu minimieren, was für die Ausführung sensibler Aufgaben unbedingt erforderlich ist. Dies erschwert Angreifern die Kompromittierung des PAW-Geräts, da es den häufigsten Vektor für Phishingangriffe blockiert: E-Mail und Webbrowser. Um diesen Benutzern Produktivität zu bieten, müssen separate Konten und Arbeitsstationen für Produktivitätsanwendungen und Webbrowser bereitgestellt werden. Dies ist zwar umständlich, aber zugleich eine notwendige Kontrollmaßnahme, um Benutzer zu schützen, deren Konto den meisten oder allen Ressourcen in dem Unternehmen Schaden zufügen könnte.
    • Eine privilegierte Workstation stellt eine abgesicherte Workstation dar, die über eine klare Anwendungskontrolle und einen Anwendungsschutz verfügt. Die Workstation verwendet Credential Guard, Device Guard und Exploit Guard, um den Host vor bösartigem Verhalten zu schützen. Alle lokalen Datenträger werden mit BitLocker verschlüsselt, und der Webdatenverkehr ist auf einen Grenzwert von zulässigen Zielen (Alle verweigern) beschränkt.

Das spezialisierte Sicherheitsprofil im Leitfaden zur Bereitstellung mit privilegiertem Zugriff verwendet JSON-Dateien, um dies mit Windows 10 und den bereitgestellten JSON-Dateien zu konfigurieren.

Nächste Schritte

Bereitstellen einer sicheren, von Azure verwalteten Arbeitsstation