Eszközök védelme a kiemelt hozzáférési történet részeként
Ez az útmutató egy teljes jogosultsági szintű hozzáférési stratégia része, és a Privileged access üzembe helyezésének részeként implementálva van
A kiemelt hozzáférés teljes körű megbízhatósági biztonsága megköveteli az eszközbiztonság erős alapját, amely alapján további biztonsági garanciákat hozhat létre a munkamenethez. Bár a biztonsági biztosítékok fokozhatók a munkamenet során, azokat mindig korlátozni fogja, hogy milyen erősek a biztonsági garanciák az eredeti eszközben. Az eszköz irányításával rendelkező támadók megszemélyesíthetik a felhasználókat, vagy ellophatják a hitelesítő adataikat a későbbi megszemélyesítéshez. Ez a kockázat aláássa a fiókra, a közvetítőkre, például a jump-kiszolgálókra és magukra az erőforrásokra vonatkozó egyéb biztosítékokat. További információ: tiszta forrás elve
A cikk áttekintést nyújt a biztonsági vezérlőkről, amelyek biztonságos munkaállomást biztosítanak a bizalmas felhasználók számára az életciklusuk során.
Ez a megoldás a Windows 10 operációs rendszer, a Végponthoz készült Microsoft Defender, a Microsoft Entra ID és a Microsoft InTune alapvető biztonsági képességeire támaszkodik.
Ki élvezi a biztonságos munkaállomás előnyeit?
Minden felhasználó és operátor számára előnyös a biztonságos munkaállomás használata. Azok a támadók, akik feltörnek egy számítógépet vagy eszközt, megszemélyesíthetik vagy ellophatják a hitelesítő adatokat/jogkivonatokat az azt használó összes fiókhoz, ezzel aláásva számos vagy minden más biztonsági biztosítékot. Rendszergazdák vagy bizalmas fiókok esetén ez lehetővé teszi a támadók számára, hogy eszkalálják a jogosultságokat, és növeljék a szervezeten belüli hozzáférését, gyakran drámai módon a tartományi, globális vagy vállalati rendszergazdai jogosultságokhoz.
A biztonsági szintekről és a felhasználók melyik szinthez való hozzárendeléséről további információt a Kiemelt hozzáférés biztonsági szintjei című témakörben talál .
Eszközbiztonsági vezérlők
A biztonságos munkaállomás sikeres üzembe helyezéséhez hozzá kell tartoznia egy végpontok közötti megközelítésnek, beleértve az alkalmazásfelületekre alkalmazott eszközöket, fiókokat, közvetítőket és biztonsági szabályzatokat. A verem minden elemével foglalkozni kell egy teljes jogosultsági szintű hozzáférési biztonsági stratégiához.
Ez a táblázat a különböző eszközszintek biztonsági vezérlőit foglalja össze:
| Profil | Vállalat | Specializált | Rendszerjogosultságú |
|---|---|---|---|
| Felügyelt Microsoft Endpoint Manager (MEM) | Igen | Igen | Igen |
| BYOD-eszközregisztráció megtagadása | Nem | Igen | Igen |
| MEM biztonsági alapkonfiguráció alkalmazása | Igen | Igen | Igen |
| Microsoft Defender végponthoz | Igen* | Igen | Igen |
| Személyes eszköz csatlakoztatása az Autopiloton keresztül | Igen* | Igen* | Nem |
| Jóváhagyott listára korlátozott URL-címek | A legtöbb engedélyezése | A legtöbb engedélyezése | Alapértelmezett megtagadás |
| Rendszergazdai jogosultságok eltávolítása | Igen | Igen | |
| Alkalmazásvégrehajtás-vezérlés (AppLocker) | Naplózás –> Kényszerítve | Igen | |
| Csak a MEM által telepített alkalmazások | Igen | Igen |
Feljegyzés
A megoldás üzembe helyezhető új hardverrel, meglévő hardverrel, és saját eszköz (BYOD) forgatókönyvekkel is üzembe helyezhető.
A biztonsági frissítések megfelelő biztonsági karbantartási higiéniát minden szinten az Intune-szabályzatok érvényesítik. Az eszköz biztonsági szintjének növekedésével kapcsolatos biztonsági különbségek a támadó által kihasználni kívánt támadási felület csökkentésére összpontosítanak (a lehető legnagyobb felhasználói hatékonyság megőrzése mellett). A nagyvállalati és speciális szintű eszközök lehetővé teszik a hatékonyságnövelő alkalmazásokat és az általános webböngészést, a kiemelt hozzáférésű munkaállomások azonban nem. A vállalati felhasználók saját alkalmazásokat telepíthetnek, de a speciális felhasználók nem (és nem helyi rendszergazdák a munkaállomásaikon).
Feljegyzés
A webböngészés itt az tetszőleges webhelyekhez való általános hozzáférést jelenti, ami nagy kockázatú tevékenység lehet. Az ilyen böngészés teljesen más, mint a webböngésző használata, amely néhány jól ismert felügyeleti webhelyet biztosít olyan szolgáltatásokhoz, mint az Azure, a Microsoft 365, a többi felhőszolgáltató és az SaaS-alkalmazások.
A megbízhatóság hardveres gyökere
A biztonságos munkaállomások alapvető fontosságúak egy ellátási lánc megoldásában, ahol egy megbízható munkaállomást, az úgynevezett "megbízhatóság gyökerét" használjuk. A megbízhatósági hardver gyökerének kiválasztásánál figyelembe kell venni a modern laptopok következő technológiáit:
- Megbízható platformmodul (TPM) 2.0
- BitLocker meghajtótitkosítás
- UEFI biztonságos rendszerindítás
- Illesztőprogramok és a Windows Update-ben elosztott belső vezérlőprogram
- Virtualizálás és HVCI-kompatibilis
- Illesztőprogramok és alkalmazások HVCI-ready
- Windows Hello
- DMA I/O-védelem
- Rendszerőr
- Modern készenléti állapot
Ebben a megoldásban a megbízhatóság gyökere a Windows Autopilot technológiával lesz üzembe helyezve a modern technikai követelményeknek megfelelő hardverrel. A munkaállomások védelme érdekében az Autopilot lehetővé teszi a Microsoft OEM által optimalizált Windows 10-eszközök használatát. Ezek az eszközök ismert jó állapotban vannak a gyártótól. A potenciálisan nem biztonságos eszközök újraimálása helyett az Autopilot "üzleti használatra kész" állapotba alakíthatja a Windows 10-eszközöket. Beállításokat és szabályzatokat alkalmaz, alkalmazásokat telepít, és még a Windows 10 kiadását is módosítja.
Eszközszerepkörök és -profilok
Ez az útmutató bemutatja, hogyan edzheti meg a Windows 10-et, és hogyan csökkentheti az eszközök vagy a felhasználók sérülésével járó kockázatokat. A modern hardvertechnológia és a megbízhatósági eszköz gyökerének kihasználásához a megoldás eszközállapot-igazolást használ. Ez a képesség biztosítja, hogy a támadók ne legyenek állandók az eszköz korai indításakor. Ezt úgy teszi, hogy szabályzatot és technológiát használ a biztonsági funkciók és kockázatok kezeléséhez.
- Nagyvállalati eszköz – Az első felügyelt szerepkör az otthoni felhasználók, a kisvállalati felhasználók, az általános fejlesztők és a vállalatok számára jó, ahol a szervezetek a minimális biztonsági sávot szeretnék emelni. Ez a profil lehetővé teszi, hogy a felhasználók bármilyen alkalmazást futtatjanak, és böngészhessenek bármilyen webhelyen, de kártevőirtó és végponti észlelés és reagálás (Végponti észlelés és reagálás) megoldásra van szükség, például Végponthoz készült Microsoft Defender. A biztonsági helyzet növeléséhez szabályzatalapú megközelítést alkalmazunk. Biztonságos eszközt biztosít az ügyféladatok kezeléséhez, miközben olyan hatékonyságnövelő eszközöket is használ, mint az e-mailek és a webböngészés. A naplózási szabályzatok és az Intune lehetővé teszi egy vállalati munkaállomás monitorozását a felhasználói viselkedés és a profilhasználat szempontjából.
A jogosultsági hozzáférési telepítési útmutató vállalati biztonsági profilja JSON-fájlokkal konfigurálja ezt a Windows 10-zel és a megadott JSON-fájlokkal.
- Specializált eszköz – Ez jelentős lépést jelent a vállalati használatból azáltal, hogy megszünteti a munkaállomás önadminisztrációjának lehetőségét, és korlátozza, hogy mely alkalmazások futhatnak csak az arra jogosult rendszergazda által telepített alkalmazásokra (a programfájlokban és az előre jóváhagyott alkalmazásokban a felhasználói profil helyén). Az alkalmazások telepítésének megszüntetése hatással lehet a termelékenységre, ha helytelenül implementálják, ezért győződjön meg arról, hogy hozzáférést biztosított a Microsoft Store-alkalmazásokhoz vagy a vállalati felügyelt alkalmazásokhoz, amelyek gyorsan telepíthetők a felhasználók igényeinek megfelelően. A speciális szintű eszközökkel konfigurálandó felhasználókkal kapcsolatos útmutatásért lásd : Privileged access security levels
- A specializált biztonsági felhasználó szabályozottabb környezetet igényel, miközben továbbra is képes az olyan tevékenységekre, mint az e-mailek és a webböngészés, egy egyszerűen használható felületen. Ezek a felhasználók olyan funkciókat várnak el, mint a cookie-k, a kedvencek és más billentyűparancsok, de nem igénylik az eszköz operációs rendszerének módosítását vagy hibakeresését, illesztőprogramok telepítését vagy hasonlókat.
A jogosultsági hozzáférési telepítési útmutató speciális biztonsági profilja JSON-fájlokkal konfigurálja ezt a Windows 10-zel és a megadott JSON-fájlokkal.
- Privileged Access Workstation (PAW) – Ez a legmagasabb biztonsági konfiguráció, amelyet rendkívül érzékeny szerepkörökhöz terveztek, amelyek jelentős vagy jelentős hatással lennének a szervezetre, ha a fiókjuk sérülne. A PAW-konfiguráció olyan biztonsági vezérlőket és szabályzatokat tartalmaz, amelyek korlátozzák a helyi rendszergazdai hozzáférést és a hatékonyságnövelő eszközöket, hogy a támadási felület csak a bizalmas feladatok elvégzéséhez feltétlenül szükséges legyen.
Ez megnehezíti a PAW-eszköz feltörését a támadók számára, mivel blokkolja az adathalász támadások leggyakoribb vektorát: az e-maileket és a webes böngészést.
Ahhoz, hogy ezek a felhasználók termelékenységet biztosítsanak, külön fiókokat és munkaállomásokat kell biztosítani a hatékonyságnövelő alkalmazásokhoz és a webes böngészéshez. Bár ez kényelmetlen, ez egy szükséges ellenőrzés a felhasználók védelméhez, akiknek a fiókja kárt okozhat a szervezet legtöbb vagy összes erőforrásában.
- A privileged munkaállomások olyan edzett munkaállomást biztosítanak, amely egyértelmű alkalmazásvezérléssel és alkalmazásőrrel rendelkezik. A munkaállomás hitelesítőadat-védőt, eszközőrt, alkalmazásőrt és biztonsági őrt használ, hogy megvédje a gazdagépet a rosszindulatú viselkedéstől. Minden helyi lemez titkosítva van a BitLockerrel, és a webes forgalom korlátozott számú engedélyezett célhelyre korlátozódik (az összes megtagadása).
A jogosultsági hozzáférési telepítési útmutató kiemelt biztonsági profilja JSON-fájlokkal konfigurálja ezt a Windows 10-zel és a megadott JSON-fájlokkal.
Következő lépések
Biztonságos Azure-beli felügyelt munkaállomás üzembe helyezése.