Eszközök védelme a kiemelt hozzáférési történet részeként
Ez az útmutató egy teljes körű emelt szintű hozzáférési stratégia része, és a privileged access üzembe helyezésének részeként van implementálva
Az emelt szintű hozzáférés teljes körű, teljes körű megbízhatósági biztonsága az eszközbiztonság erős alaprendszerét igényli, amely alapján további biztonsági garanciákat építhet ki a munkamenethez. Bár a biztonsági biztosítékok a munkamenet során tovább növelhetők, azokat mindig korlátozza, hogy milyen erősek a biztonsági garanciák az eredeti eszközben. Az eszköz vezérlésével rendelkező támadók megszemélyesíthetik a felhasználókat, vagy ellophatják a hitelesítő adataikat későbbi megszemélyesítés céljából. Ez a kockázat aláássa a fiókra, a közvetítőkre, például a jump-kiszolgálókra és magukra az erőforrásokra vonatkozó egyéb biztosítékokat. További információ: tiszta forrás elve
A cikk áttekintést nyújt a biztonsági vezérlőkről, hogy biztonságos munkaállomást biztosítson a bizalmas felhasználók számára a teljes életciklusa során.
Ez a megoldás az Windows 10 operációs rendszer, a Végponthoz készült Microsoft Defender, a Azure Active Directory és a Microsoft Intune alapvető biztonsági képességeire támaszkodik.
Who biztonságos munkaállomás előnyeit?
Minden felhasználó és operátor számára előnyös a biztonságos munkaállomás használata. Egy támadó, aki feltör egy számítógépet vagy eszközt, megszemélyesíthet vagy ellophat hitelesítő adatokat/jogkivonatokat az azt használó összes fiókhoz, aláásva ezzel számos vagy minden más biztonsági biztosítékot. Rendszergazdák vagy bizalmas fiókok esetében ez lehetővé teszi a támadók számára a jogosultságok eszkalálását és a szervezeten belüli hozzáférésük növelését, gyakran drámai módon a tartományi, globális vagy vállalati rendszergazdai jogosultságokhoz.
A biztonsági szintekkel és a hozzárendelendő felhasználókkal kapcsolatos részletekért lásd: Emelt szintű hozzáférés biztonsági szintjei
Eszközbiztonsági vezérlők
A biztonságos munkaállomás sikeres üzembe helyezéséhez egy teljes körű megközelítésnek kell lennie, beleértve az alkalmazásfelületekre alkalmazott eszközöket, fiókokat, közvetítőket és biztonsági szabályzatokat. A verem minden elemét meg kell oldani a teljes emelt szintű hozzáférés biztonsági stratégiájához.
Ez a táblázat a különböző eszközszintek biztonsági vezérlőit foglalja össze:
| Profil | Vállalati | Speciális | Kiváltságos |
|---|---|---|---|
| felügyelt Microsoft Endpoint Manager (MEM) | Igen | Igen | Igen |
| BYOD-eszközök regisztrálásának megtagadása | Nem | Igen | Igen |
| A MEM biztonsági alapkonfigurációja alkalmazva | Igen | Igen | Igen |
| Végponthoz készült Microsoft Defender | Igen* | Igen | Igen |
| Csatlakozás személyes eszközhöz az Autopilot használatával | Igen* | Igen* | Nem |
| Jóváhagyott listára korlátozott URL-címek | A legtöbb engedélyezése | A legtöbb engedélyezése | Alapértelmezett megtagadás |
| Rendszergazdai jogosultságok eltávolítása | Igen | Igen | |
| Alkalmazás-végrehajtási vezérlő (AppLocker) | Naplózás –> Kényszerítve | Igen | |
| Csak a MEM által telepített alkalmazások | Igen | Igen |
Megjegyzés
A megoldás új hardverrel, meglévő hardverrel és saját eszközökkel (BYOD) is üzembe helyezhető.
A biztonsági frissítések megfelelő biztonsági karbantartási higiéniát minden szinten betartatják Intune szabályzatok. Az eszköz biztonsági szintjének növekedésével kapcsolatos biztonsági különbségek a támadó által kihasználni kívánt támadási felület csökkentésére összpontosítanak (miközben a lehető legtöbb felhasználói hatékonyságot megőrzik). A nagyvállalati és speciális szintű eszközök lehetővé teszik a hatékonyságnövelő alkalmazásokat és az általános webböngészést, a kiemelt hozzáférésű munkaállomások azonban nem. A nagyvállalati felhasználók telepíthetik saját alkalmazásaikat, de a speciális felhasználók nem feltétlenül (és nem helyi rendszergazdák a munkaállomásaikon).
Megjegyzés
A webböngészés itt a tetszőleges webhelyekhez való általános hozzáférésre utal, ami magas kockázatú tevékenység lehet. Az ilyen böngészés teljesen más, mint a webböngésző használata a szolgáltatások, például az Azure, a Microsoft 365, más felhőszolgáltatók és SaaS-alkalmazások kis számú jól ismert felügyeleti webhelyének eléréséhez.
A megbízhatóság hardveres gyökere
A biztonságos munkaállomások szempontjából alapvető fontosságú az ellátási lánc olyan megoldása, amelyben a megbízható munkaállomást a "bizalom gyökerének" nevezzük. A megbízhatósági hardver gyökerének kiválasztásánál figyelembe kell venni a modern laptopok következő technológiáit:
- Platformmegbízhatósági modul (TPM) 2.0
- BitLocker meghajtótitkosítás
- UEFI biztonságos rendszerindítás
- Illesztőprogramok és belső vezérlőprogramok Windows Update
- Virtualizálás és HVCI engedélyezve
- Illesztőprogramok és alkalmazások HVCI-ready
- Windows Hello
- DMA I/O-védelem
- System Guard
- Modern készenléti
Ehhez a megoldáshoz a bizalom gyökere Windows Autopilot technológiával, a modern technikai követelményeknek megfelelő hardverrel lesz üzembe helyezve. A munkaállomások védelme érdekében az Autopilot lehetővé teszi a Microsoft OEM-optimalizált Windows 10 eszközök használatát. Ezek az eszközök ismert jó állapotban vannak a gyártótól. Egy potenciálisan nem biztonságos eszköz újraképezése helyett az Autopilot képes "üzleti használatra kész" állapotba alakítani egy Windows 10 eszközt. Beállításokat és szabályzatokat alkalmaz, alkalmazásokat telepít, és még a Windows 10 kiadását is módosítja.
Eszközszerepkörök és -profilok
Ez az útmutató bemutatja, hogyan megerősítheti Windows 10, és hogyan csökkentheti az eszköz vagy a felhasználó sérülésével járó kockázatokat. A modern hardvertechnológia és a megbízhatósági eszköz gyökerének kihasználásához a megoldás eszközállapot-igazolást használ. Ez a képesség biztosítja, hogy a támadók ne legyenek állandóak az eszköz korai indításakor. Ezt szabályzat és technológia használatával teszi lehetővé a biztonsági funkciók és kockázatok kezeléséhez.
- Nagyvállalati eszköz – Az első felügyelt szerepkör az otthoni felhasználók, a kisvállalati felhasználók, az általános fejlesztők és azoknak a vállalatoknak jó, ahol a szervezetek a minimális biztonsági sávot szeretnék megemelni. Ez a profil lehetővé teszi a felhasználóknak, hogy bármilyen alkalmazást futtassanak és böngészhessenek bármely webhelyen, de szükség van egy kártevőirtó és végponti észlelés és reagálás (EDR) megoldásra, például Végponthoz készült Microsoft Defender. A biztonsági helyzet növelésére szabályzatalapú megközelítést alkalmazunk. Biztonságos eszközt biztosít az ügyféladatokkal való munkához, miközben hatékonyságnövelő eszközöket, például e-maileket és webböngészést is használ. A naplózási szabályzatok és Intune lehetővé teszik a vállalati munkaállomások felhasználói viselkedésének és profilhasználatának figyelésére.
Az emelt szintű hozzáférés üzembe helyezési útmutatójában szereplő vállalati biztonsági profil JSON-fájlokkal konfigurálja ezt a Windows 10 és a megadott JSON-fájlokkal.
- Specializált eszköz – Ez jelentős előrelépést jelent a vállalati használatból azáltal, hogy megszünteti a munkaállomás önkiszolgáló felügyeletének képességét, és korlátozza, hogy mely alkalmazások futhatnak csak a jogosult rendszergazda által telepített alkalmazásokra (a programfájlokban és a felhasználói profil helyén található előre jóváhagyott alkalmazásokban). Az alkalmazások telepítési lehetőségének eltávolítása hatással lehet a hatékonyságra, ha helytelenül implementálják, ezért győződjön meg arról, hogy hozzáférést biztosított a Microsoft Áruházbeli alkalmazásokhoz vagy a vállalati felügyelt alkalmazásokhoz, amelyek gyorsan telepíthetők a felhasználói igényeknek megfelelően. A speciális szintű eszközökkel konfigurálandó felhasználókkal kapcsolatos útmutatásért lásd: Emelt szintű hozzáférés biztonsági szintjei
- A specializált biztonsági felhasználó szabályozottabb környezetet igényel, miközben továbbra is képes az olyan tevékenységek végrehajtására, mint az e-mailek és a webböngészés egy egyszerű használatú felületen. Ezek a felhasználók elvárják, hogy a cookie-k, a kedvencek és más billentyűparancsok működjenek, de nem igénylik az eszköz operációs rendszerének módosítását vagy hibakeresését, illesztőprogramok telepítését vagy hasonlókat.
Az emelt szintű hozzáférés üzembe helyezési útmutatójának speciális biztonsági profilja JSON-fájlokkal konfigurálja ezt a Windows 10 és a megadott JSON-fájlokkal.
- Privileged Access Workstation (PAW) – Ez a legmagasabb biztonsági konfiguráció, amelyet rendkívül bizalmas szerepkörökhöz terveztek, amelyek jelentős vagy jelentős hatással lennének a szervezetre, ha a fiókjuk biztonsága sérülne. Az emelt hozzáférési szintű munkaállomás konfigurációja olyan biztonsági vezérlőket és szabályzatokat tartalmaz, amelyek korlátozzák a helyi rendszergazdai hozzáférést és a hatékonyságnövelő eszközöket, hogy a támadási felület csak a bizalmas feladatok végrehajtásához feltétlenül szükséges legyen.
Ez megnehezíti az emelt hozzáférési szintű munkaállomást a támadók számára, mert blokkolja az adathalász támadások leggyakoribb vektorát: az e-maileket és a webböngészést.
A hatékonyság növelése érdekében külön fiókokat és munkaállomásokat kell biztosítani a hatékonyságnövelő alkalmazásokhoz és a webböngészéshez. Bár ez kényelmetlen, ez egy szükséges ellenőrzés azoknak a felhasználóknak a védelméhez, akiknek a fiókja kárt okozhat a szervezet legtöbb vagy összes erőforrásának.
- A Privileged munkaállomások olyan rögzített munkaállomást biztosítanak, amely tiszta alkalmazásvezérléssel és alkalmazásőrrel rendelkezik. A munkaállomás a credential Guard, az eszközőr, az alkalmazásőr és a exploit guard használatával védi a gazdagépet a rosszindulatú viselkedéstől. Minden helyi lemez BitLockerrel van titkosítva, és a webes forgalom az engedélyezett célhelyek korlátjára korlátozódik (az összes elutasítása).
Az emelt szintű hozzáférés üzembe helyezési útmutatójának kiemelt biztonsági profilja JSON-fájlokkal konfigurálja ezt a Windows 10 és a megadott JSON-fájlokkal.
Következő lépések
Biztonságos, Azure által felügyelt munkaállomás üzembe helyezése.