Apparaten beveiligen als onderdeel van het verhaal over bevoegde toegang
Deze richtlijnen maken deel uit van een volledige strategie voor bevoegde toegang en worden geïmplementeerd als onderdeel van de implementatie van bevoegde toegang
End-to-end zero trust-beveiliging voor bevoegde toegang vereist een sterke basis van apparaatbeveiliging waarop andere beveiligingsgaranties voor de sessie kunnen worden gebouwd. Hoewel beveiligingsgaranties in de sessie mogelijk worden verbeterd, worden ze altijd beperkt door hoe sterk de beveiligingsgaranties zich in het oorspronkelijke apparaat bevinden. Een aanvaller met controle over dit apparaat kan gebruikers erop imiteren of hun referenties stelen voor toekomstige imitatie. Dit risico ondermijnen andere garanties op het account, tussenpersonen zoals jumpservers en op de resources zelf. Zie het principe schone bron voor meer informatie
Het artikel bevat een overzicht van beveiligingscontroles om gedurende de gehele levenscyclus een beveiligd werkstation te bieden voor gevoelige gebruikers.
Deze oplossing is afhankelijk van de belangrijkste beveiligingsmogelijkheden in het Windows 10-besturingssysteem, Microsoft Defender voor Eindpunt, Microsoft Entra ID en Microsoft InTune.
Wie profiteren van een veilig werkstation?
Alle gebruikers en operators profiteren van het gebruik van een beveiligd werkstation. Een aanvaller die inbreuk maakt op een pc of apparaat, kan referenties/tokens imiteren of stelen voor alle accounts die deze gebruiken, waardoor veel of alle andere beveiligingsgaranties worden onderscheppen. Voor beheerders of gevoelige accounts kunnen aanvallers bevoegdheden escaleren en de toegang vergroten die ze hebben in uw organisatie, vaak aanzienlijk naar domein-, globale of ondernemingsbeheerdersbevoegdheden.
Zie Privileged Access Security Levels (Privileged Access Security Levels) voor meer informatie over beveiligingsniveaus en welke gebruikers moeten worden toegewezen aan welk niveau
Besturingselementen voor apparaatbeveiliging
Voor een geslaagde implementatie van een beveiligd werkstation moet deze deel uitmaken van een end-to-end aanpak, waaronder apparaten, accounts, tussenpersonen en beveiligingsbeleid dat wordt toegepast op uw toepassingsinterfaces. Alle elementen van de stack moeten worden aangepakt voor een volledige strategie voor toegangsbeveiliging met uitgebreide bevoegdheden.
Deze tabel bevat een overzicht van de beveiligingsbesturingselementen voor verschillende apparaatniveaus:
| Profile | Enterprise | Gespecialiseerd | Gemachtigd |
|---|---|---|---|
| Microsoft Endpoint Manager (MEM) beheerd | Ja | Ja | Ja |
| BYOD-apparaatinschrijving weigeren | Nr. | Ja | Ja |
| MeM-beveiligingsbasislijn toegepast | Ja | Ja | Ja |
| Microsoft Defender voor Eindpunten | Ja* | Ja | Ja |
| Deelnemen aan persoonlijk apparaat via Autopilot | Ja* | Ja* | Nee |
| URL's beperkt tot goedgekeurde lijst | De meeste toestaan | De meeste toestaan | Standaardinstelling weigeren |
| Verwijdering van beheerdersrechten | Ja | Ja | |
| Toepassingsuitvoeringsbeheer (AppLocker) | Controle -> afgedwongen | Ja | |
| Toepassingen die alleen door MEM zijn geïnstalleerd | Ja | Ja |
Notitie
De oplossing kan worden geïmplementeerd met nieuwe hardware, bestaande hardware en BYOD-scenario's (Bring Your Own Device).
Op alle niveaus wordt een goede hygiëne voor beveiligingsonderhoud voor beveiligingsupdates afgedwongen door Intune-beleid. De verschillen in beveiliging naarmate het beveiligingsniveau van het apparaat toeneemt, zijn gericht op het verminderen van het kwetsbaarheid voor aanvallen dat een aanvaller kan proberen te misbruiken (terwijl zo veel mogelijk gebruikersproductiviteit behouden blijft). Apparaten op ondernemingsniveau en gespecialiseerde apparaten maken productiviteitstoepassingen en algemeen surfen op internet mogelijk, maar bevoegde toegangswerkstations niet. Zakelijke gebruikers kunnen hun eigen toepassingen installeren, maar gespecialiseerde gebruikers mogen niet (en zijn geen lokale beheerders van hun werkstations).
Notitie
Surfen op internet verwijst hier naar algemene toegang tot willekeurige websites die een activiteit met een hoog risico kunnen zijn. Dergelijke navigatie verschilt van het gebruik van een webbrowser voor toegang tot een klein aantal bekende beheerwebsites voor services zoals Azure, Microsoft 365, andere cloudproviders en SaaS-toepassingen.
Hardwarehoofdmap van vertrouwen
Essentieel voor een beveiligd werkstation is een supply chain-oplossing waarbij u een vertrouwd werkstation gebruikt dat de 'basis van vertrouwen' wordt genoemd. Technologie die moet worden overwogen bij de selectie van de basis van vertrouwenshardware, moet de volgende technologieën bevatten die zijn opgenomen in moderne laptops:
- Trusted Platform Module (TPM) 2.0
- Bitlocker
- UEFI Secure Boot
- Stuurprogramma's en firmware gedistribueerd via Windows Update
- Virtualisatie en HVCI ingeschakeld
- Stuurprogramma's en apps HVCI-ready
- Windows Hello
- DMA I/O-beveiliging
- System Guard
- Moderne stand-by
Voor deze oplossing wordt de basis van vertrouwen geïmplementeerd met behulp van Windows Autopilot-technologie met hardware die voldoet aan de moderne technische vereisten. Als u een werkstation wilt beveiligen, kunt u met Autopilot gebruikmaken van door Microsoft OEM geoptimaliseerde Windows 10-apparaten. Deze apparaten hebben een bekende goede staat van de fabrikant. In plaats van een potentieel onveilig apparaat opnieuw in te stellen, kan Autopilot een Windows 10-apparaat transformeren in een status die gereed is voor bedrijven. Het past instellingen en beleid toe, installeert apps en wijzigt zelfs de editie van Windows 10.
Apparaatrollen en -profielen
Deze richtlijnen laten zien hoe u Windows 10 kunt beveiligen en de risico's kunt verminderen die zijn gekoppeld aan apparaat- of gebruikersinbreuk. De oplossing maakt gebruik van Device Health Attestation om te profiteren van de moderne hardwaretechnologie en de hoofdmap van het vertrouwensapparaat. Deze mogelijkheid is aanwezig om ervoor te zorgen dat de aanvallers niet permanent kunnen zijn tijdens het vroeg opstarten van een apparaat. Dit doet u door gebruik te maken van beleid en technologie om beveiligingsfuncties en -risico's te beheren.
- Enterprise Device : de eerste beheerde rol is geschikt voor thuisgebruikers, kleine zakelijke gebruikers, algemene ontwikkelaars en ondernemingen waar organisaties de minimale beveiligingsbalk willen verhogen. Dit profiel stelt gebruikers in staat om toepassingen uit te voeren en door een website te bladeren, maar een antimalware- en eindpuntdetectie en -respons -oplossing (EDR) zoals Microsoft Defender voor Eindpunt is vereist. Er wordt een op beleid gebaseerde benadering gebruikt om het beveiligingspostuur te verhogen. Het biedt een veilige manier om met klantgegevens te werken en tegelijkertijd productiviteitshulpmiddelen zoals e-mail en surfen te gebruiken. Met controlebeleid en Intune kunt u een Enterprise-werkstation bewaken voor gebruikersgedrag en profielgebruik.
Het beveiligingsprofiel voor ondernemingen in de richtlijnen voor implementatie met bevoorrechte toegang maakt gebruik van JSON-bestanden om dit te configureren met Windows 10 en de opgegeven JSON-bestanden.
- Gespecialiseerd apparaat : dit is een aanzienlijke stap omhoog ten opzichte van bedrijfsgebruik door de mogelijkheid om het werkstation zelf te beheren en te beperken welke toepassingen mogen worden uitgevoerd tot alleen de toepassingen die zijn geïnstalleerd door een geautoriseerde beheerder (in de programmabestanden en vooraf goedgekeurde toepassingen op de locatie van het gebruikersprofiel). Het verwijderen van de mogelijkheid om toepassingen te installeren, kan van invloed zijn op de productiviteit als deze onjuist is geïmplementeerd, dus zorg ervoor dat u toegang hebt verleend tot Microsoft Store-toepassingen of door het bedrijf beheerde toepassingen die snel kunnen worden geïnstalleerd om te voldoen aan de behoeften van gebruikers. Zie Beveiligingsniveaus voor bevoegde toegang voor hulp bij het configureren van gebruikers met gespecialiseerde apparaten
- De gespecialiseerde beveiligingsgebruiker vereist een meer gecontroleerde omgeving terwijl het nog steeds activiteiten zoals e-mail en surfen op internet kan uitvoeren in een eenvoudig te gebruiken ervaring. Deze gebruikers verwachten functies zoals cookies, favorieten en andere sneltoetsen, maar vereisen niet de mogelijkheid om hun apparaatbesturingssysteem te wijzigen of fouten op te sporen, stuurprogramma's te installeren of vergelijkbaar.
Het gespecialiseerde beveiligingsprofiel in de richtlijnen voor geprivilegieerde toegangsdistributie maakt gebruik van JSON-bestanden om dit te configureren met Windows 10 en de opgegeven JSON-bestanden.
- Privileged Access Workstation (PAW): dit is de hoogste beveiligingsconfiguratie die is ontworpen voor uiterst gevoelige rollen die een aanzienlijke of materiaalimpact op de organisatie zouden hebben als hun account is aangetast. De PAW-configuratie omvat beveiligingscontroles en beleidsregels waarmee lokale beheertoegang en productiviteitsprogramma's worden beperkt om het kwetsbaarheid voor aanvallen te minimaliseren tot wat absoluut vereist is voor het uitvoeren van gevoelige taaktaken.
Dit maakt het PAW-apparaat moeilijk voor aanvallers om inbreuk te maken omdat het de meest voorkomende vector voor phishingaanvallen blokkeert: e-mail en surfen.
Om deze gebruikers productiviteit te bieden, moeten afzonderlijke accounts en werkstations worden verstrekt voor productiviteitstoepassingen en surfen op internet. Hoewel onhandig, is dit een noodzakelijke controle om gebruikers te beschermen waarvan het account schade kan toebrengen aan de meeste of alle resources in de organisatie.
- Een bevoegd werkstation biedt een beveiligd werkstation met duidelijk toepassingsbeheer en Application Guard. Het werkstation maakt gebruik van credential guard, device guard, app guard en exploit guard om de host te beschermen tegen schadelijk gedrag. Alle lokale schijven worden versleuteld met BitLocker en webverkeer is beperkt tot een limietset toegestane bestemmingen (Alles weigeren).
Het bevoegde beveiligingsprofiel in de richtlijnen voor de implementatie van bevoegde toegang maakt gebruik van JSON-bestanden om dit te configureren met Windows 10 en de opgegeven JSON-bestanden.