Schützen von Geräten als Teil der Geschichte mit privilegiertem Zugriff

Dieser Leitfaden ist Teil einer vollständigen Privilegierten Zugriffsstrategie und wird als Teil der Bereitstellung mit privilegiertem Zugriff implementiert.

End-to-End Zero Trust-Sicherheit für privilegierten Zugriff erfordert eine starke Grundlage der Gerätesicherheit, auf der andere Sicherheitsüberprüfungen für die Sitzung erstellt werden können. Während die Sicherheitsüberprüfungen in der Sitzung verbessert werden können, werden sie immer dadurch eingeschränkt, wie stark die Sicherheitsüberprüfungen auf dem ursprünglichen Gerät sind. Ein Angreifer, der die Kontrolle über dieses Gerät hat, kann die Identität von Benutzern annehmen oder seine Anmeldeinformationen für zukünftige Identitätswechsel stehlen. Dieses Risiko untergräbt andere Zusicherungen auf dem Konto, Vermittler wie Sprungserver und die Ressourcen selbst. Weitere Informationen finden Sie unter Clean Source-Prinzip

Der Artikel enthält eine Übersicht über Sicherheitskontrollen, um eine sichere Arbeitsstation für vertrauliche Benutzer während des gesamten Lebenszyklus bereitzustellen.

Workflow to acquire and deploy a secure workstation

Diese Lösung basiert auf den wichtigsten Sicherheitsfunktionen im Windows 10 Betriebssystem, Microsoft Defender für Endpunkt, Azure Active Directory und Microsoft InTune.

Wer Vorteile einer sicheren Arbeitsstation?

Alle Benutzer und Betreiber profitieren von der Verwendung einer sicheren Arbeitsstation. Ein Angreifer, der einen PC oder ein Gerät kompromittiert, kann die Identität annehmen oder Anmeldeinformationen/Token für alle Konten stehlen, die ihn verwenden, wodurch viele oder alle anderen Sicherheitsgarantien untergraben werden. Für Administratoren oder vertrauliche Konten ermöglicht dies Angreifern, Berechtigungen zu eskalieren und den Zugriff zu erhöhen, den sie in Ihrer Organisation haben, häufig erheblich auf Domänen-, globale oder Unternehmensadministratorrechte.

Ausführliche Informationen zu Sicherheitsstufen und zu welchen Benutzern welcher Ebene zugewiesen werden soll, finden Sie unter Sicherheitsstufen für privilegierten Zugriff

Gerätesicherheitskontrollen

Die erfolgreiche Bereitstellung einer sicheren Arbeitsstation erfordert, dass sie Teil eines End-to-End-Ansatzes ist, einschließlich Geräten, Konten, Vermittlern und Sicherheitsrichtlinien, die auf Ihre Anwendungsschnittstellen angewendet werden. Alle Elemente des Stapels müssen für eine vollständige Sicherheitsstrategie für privilegierten Zugriff adressiert werden.

In dieser Tabelle sind die Sicherheitskontrollen für verschiedene Geräteebenen zusammengefasst:

Profil Enterprise Spezialisiert Privilegierten
Microsoft Endpoint Manager (MEM) verwaltet Ja Ja Ja
Byod-Geräteregistrierung verweigern Nein Ja Ja
Angewendete MEM-Sicherheitsbaseline Ja Ja Ja
Microsoft Defender für Endpunkt Ja* Ja Ja
Teilnehmen am persönlichen Gerät über Autopilot Ja* Ja* Nein
AUF genehmigte Liste beschränkte URLs Die meisten zulassen Die meisten zulassen Standard verweigern
Entfernen von Administratorrechten Ja Ja
Anwendungsausführungssteuerelement (AppLocker) Überwachung –> erzwungen Ja
Nur von MEM installierte Anwendungen Ja Ja

Hinweis

Die Lösung kann mit neuer Hardware, vorhandener Hardware und byOD-Szenarien (Eigene Geräte) bereitgestellt werden.

Auf allen Ebenen wird eine gute Sicherheitswartungshygiene für Sicherheitsupdates durch Intune Richtlinien erzwungen. Die Unterschiede bei der Sicherheit bei steigender Gerätesicherheit konzentrieren sich auf die Verringerung der Angriffsfläche, die ein Angreifer ausnutzen kann (und gleichzeitig so viel Benutzerproduktivität wie möglich beibehalten). Enterprise- und Spezialgeräte ermöglichen Produktivitätsanwendungen und allgemeines Surfen im Web, arbeitsstationen mit privilegiertem Zugriff jedoch nicht. Enterprise Benutzer können ihre eigenen Anwendungen installieren, aber spezialisierte Benutzer sind möglicherweise nicht (und sind keine lokalen Administratoren ihrer Arbeitsstationen).

Hinweis

Webbrowsen bezieht sich hier auf den allgemeinen Zugriff auf beliebige Websites, die eine Aktivität mit hohem Risiko darstellen können. Ein solches Browsen unterscheidet sich deutlich von der Verwendung eines Webbrowsers für den Zugriff auf eine kleine Anzahl bekannter administrativer Websites für Dienste wie Azure, Microsoft 365, andere Cloudanbieter und SaaS-Anwendungen.

Hardwarestamm der Vertrauensstellung

Wichtig für eine gesicherte Arbeitsstation ist eine Supply Chain-Lösung, bei der Sie eine vertrauenswürdige Arbeitsstation verwenden, die als "Stamm der Vertrauensstellung" bezeichnet wird. Technologie, die bei der Auswahl der Stammhardware berücksichtigt werden muss, sollte die folgenden Technologien enthalten, die in modernen Laptops enthalten sind:

Für diese Lösung wird root of trust mit Windows Autopilot-Technologie mit Hardware bereitgestellt, die den modernen technischen Anforderungen entspricht. Um eine Arbeitsstation zu sichern, können Sie mit Autopilot von Microsoft OEM optimierte Windows 10-Geräte nutzen. Diese Geräte befinden sich im bekannten guten Zustand des Herstellers. Anstatt ein potenziell unsicheres Gerät neu zu erstellen, kann Autopilot ein Windows 10 Gerät in einen "betriebsbereiten" Zustand umwandeln. Es wendet Einstellungen und Richtlinien an, installiert Apps und ändert sogar die Edition von Windows 10.

Secure workstation Levels

Geräterollen und -profile

In diesem Leitfaden wird gezeigt, wie Sie Windows 10 härtungen und die Risiken verringern, die mit der Kompromittierung von Geräten oder Benutzern verbunden sind. Um die Vorteile der modernen Hardwaretechnologie und des Root of Trust-Geräts zu nutzen, verwendet die Lösung den Geräteintegritätsnachweis. Diese Funktion ist vorhanden, um sicherzustellen, dass die Angreifer während des frühen Starts eines Geräts nicht dauerhaft sein können. Dazu werden Richtlinien und Technologien zum Verwalten von Sicherheitsfeatures und -risiken verwendet.

Secure workstation profiles

  • Enterprise Gerät – Die erste verwaltete Rolle eignet sich gut für private Benutzer, kleine Unternehmen, allgemeine Entwickler und Unternehmen, in denen Organisationen die Mindestsicherheitsgrenze erhöhen möchten. Dieses Profil ermöglicht benutzern das Ausführen von Anwendungen und das Durchsuchen einer website, aber eine Antischadsoftware und EDR (EDR) Lösung wie Microsoft Defender für Endpunkt erforderlich ist. Es wird ein richtlinienbasierter Ansatz zur Erhöhung des Sicherheitsstatus verfolgt. Es bietet eine sichere Möglichkeit, mit Kundendaten zu arbeiten und gleichzeitig Produktivitätstools wie E-Mail und Webbrowsen zu verwenden. Überwachungsrichtlinien und Intune ermöglichen es Ihnen, eine Enterprise Arbeitsstation auf Benutzerverhalten und Profilnutzung zu überwachen.

Das Unternehmenssicherheitsprofil in der Bereitstellungsanleitung für privilegierten Zugriff verwendet JSON-Dateien, um dies mit Windows 10 und den bereitgestellten JSON-Dateien zu konfigurieren.

  • Spezialisiertes Gerät – Dies stellt einen erheblichen Schritt gegenüber der Unternehmensnutzung dar, indem die Möglichkeit zur selbstverwaltenden Verwaltung der Arbeitsstation entfernt und beschränkt wird, welche Anwendungen nur auf die Anwendungen ausgeführt werden können, die von einem autorisierten Administrator installiert wurden (in den Programmdateien und vorab genehmigten Anwendungen am Benutzerprofilspeicherort). Wenn Sie die Möglichkeit zum Installieren von Anwendungen entfernen, kann sich dies auf die Produktivität auswirken, wenn sie falsch implementiert wurde. Stellen Sie daher sicher, dass Sie Zugriff auf Microsoft Store-Anwendungen oder vom Unternehmen verwaltete Anwendungen bereitgestellt haben, die schnell installiert werden können, um die Anforderungen der Benutzer zu erfüllen. Anleitungen dazu, welche Benutzer mit Geräten auf spezialisierter Ebene konfiguriert werden sollten, finden Sie unter Sicherheitsstufen für privilegierten Zugriff.
    • Der spezialisierte Sicherheitsbenutzer erfordert eine kontrolliertere Umgebung, während er dennoch Aktivitäten wie E-Mail und Webbrowsen in einer einfach zu verwendenden Umgebung ausführen kann. Diese Benutzer erwarten, dass Features wie Cookies, Favoriten und andere Tastenkombinationen funktionieren, erfordern jedoch nicht die Möglichkeit, ihr Gerätebetriebssystem zu ändern oder zu debuggen, Treiber zu installieren oder ähnliches.

Das spezielle Sicherheitsprofil in der Bereitstellungsanleitung für privilegierten Zugriff verwendet JSON-Dateien, um dies mit Windows 10 und den bereitgestellten JSON-Dateien zu konfigurieren.

  • Privileged Access Workstation (PAW) – Dies ist die höchste Sicherheitskonfiguration, die für extrem sensible Rollen entwickelt wurde, die erhebliche oder wesentliche Auswirkungen auf die Organisation haben würden, wenn ihr Konto kompromittiert würde. Die PAW-Konfiguration umfasst Sicherheitskontrollen und Richtlinien, die den lokalen Administratorzugriff und Produktivitätstools einschränken, um die Angriffsfläche auf das zu minimieren, was für die Ausführung vertraulicher Aufgaben unbedingt erforderlich ist. Dies macht das PAW-Gerät für Angreifer schwierig zu kompromittieren, da es den häufigsten Vektor für Phishingangriffe blockiert: E-Mail und Webbrowsen. Um diesen Benutzern Produktivität zu bieten, müssen separate Konten und Arbeitsstationen für Produktivitätsanwendungen und Webbrowsen bereitgestellt werden. Obwohl dies unbequem ist, ist dies ein notwendiges Steuerelement, um Benutzer zu schützen, deren Konto den meisten oder allen Ressourcen in der Organisation Schaden zufügen könnte.
    • Eine privilegierte Arbeitsstation bietet eine gehärtete Arbeitsstation mit klarer Anwendungssteuerung und Anwendungsschutz. Die Arbeitsstation verwendet Credential Guard, Device Guard, App Guard und Exploit Guard, um den Host vor böswilligem Verhalten zu schützen. Alle lokalen Datenträger werden mit BitLocker verschlüsselt, und der Webdatenverkehr ist auf einen Grenzwert für zulässige Ziele beschränkt (alle verweigern).

Das privilegierte Sicherheitsprofil in der Bereitstellungsanleitung für privilegierten Zugriff verwendet JSON-Dateien, um dies mit Windows 10 und den bereitgestellten JSON-Dateien zu konfigurieren.

Nächste Schritte

Stellen Sie eine sichere, von Azure verwaltete Arbeitsstation bereit.