Apparaten beveiligen als onderdeel van het verhaal over bevoorrechte toegang
Deze richtlijn maakt deel uit van een volledige strategie voor geprivilegieerde toegang en wordt geïmplementeerd als onderdeel van de privileged access-implementatie
End to end zero trust security for privileged access requires a strong foundation of device security upon which to build other security assurances for the session. Hoewel beveiligingsgaranties in de sessie mogelijk worden verbeterd, worden deze altijd beperkt door hoe sterk de beveiligingsgaranties zijn in het oorspronkelijke apparaat. Een aanvaller met de besturing van dit apparaat kan gebruikers op het apparaat imiteren of hun referenties voor toekomstige imitatie stelen. Dit risico ondermijnt andere garanties op het account, tussenpersoon zoals jumpservers en de resources zelf. Zie clean source-principe voor meer informatie
Het artikel bevat een overzicht van beveiligingsbesturingselementen om een veilig werkstation te bieden voor gevoelige gebruikers gedurende de levenscyclus.
Deze oplossing is afhankelijk van de belangrijkste beveiligingsmogelijkheden in het Windows 10 besturingssysteem, Microsoft Defender voor Eindpunt, Azure Active Directory en Microsoft InTune.
Wie voordelen van een beveiligd werkstation?
Alle gebruikers en operatoren profiteren van het gebruik van een beveiligd werkstation. Een aanvaller die een pc of apparaat compromiteert, kan referenties/tokens imiteren of stelen voor alle accounts die deze gebruiken, wat veel of alle andere beveiligingsgaranties ondermijnt. Voor beheerders of gevoelige accounts kunnen aanvallers hierdoor bevoegdheden escaleren en de toegang tot uw organisatie vergroten, vaak dramatisch tot domein-, globale of ondernemingsbeheerdersbevoegdheden.
Zie Beveiligingsniveaus voor bevoorrechte toegang voor meer informatie over beveiligingsniveaus en aan welke gebruikers moeten worden toegewezen aan welk niveau
Besturingselementen voor apparaatbeveiliging
Voor een succesvolle implementatie van een beveiligd werkstation moet het deel uitmaken van een end-to-end-benadering, inclusief apparaten, accounts,tussenpersoonen beveiligingsbeleid dat is toegepast op uw toepassingsinterfaces. Alle elementen van de stapel moeten worden aangepakt voor een volledige beveiligingsstrategie voor geprivilegieerde toegang.
In deze tabel worden de beveiligingsbesturingselementen voor verschillende apparaatniveaus samengevat:
| Profiel | Enterprise | Gespecialiseerd | Bevoorrecht |
|---|---|---|---|
| Microsoft Endpoint Manager (MEM) beheerd | Ja | Ja | Ja |
| Registratie van BYOD-apparaat weigeren | Nee | Ja | Ja |
| Mem-beveiligingslijn toegepast | Ja | Ja | Ja |
| Microsoft Defender voor Eindpunt | Ja* | Ja | Ja |
| Deelnemen aan een persoonlijk apparaat via Autopilot | Ja* | Ja* | Nee |
| URL's die zijn beperkt tot goedgekeurde lijst | De meeste toestaan | De meeste toestaan | Standaard weigeren |
| Verwijdering van beheerdersrechten | Ja | Ja | |
| Toepassingsuitvoeringsbesturingselement (AppLocker) | Audit - > Afgedwongen | Ja | |
| Alleen door MEM geïnstalleerde toepassingen | Ja | Ja |
Opmerking
De oplossing kan worden geïmplementeerd met nieuwe hardware, bestaande hardware en uw eigen apparaatscenario's (BYOD) meenemen.
Op alle niveaus wordt een goede beveiligingsonderhoudshygiëne voor beveiligingsupdates afgedwongen door Intune-beleid. De verschillen in beveiliging naarmate het beveiligingsniveau van het apparaat toeneemt, zijn gericht op het verminderen van het aanvalsoppervlak dat een aanvaller kan proberen te misbruiken (met behoud van zo veel mogelijk productiviteit van de gebruiker). Enterprise- en gespecialiseerde apparaten bieden productiviteitstoepassingen en algemene web browsing, maar bevoorrechte toegangswerkstations niet. Enterprise-gebruikers kunnen hun eigen toepassingen installeren, maar gespecialiseerde gebruikers niet (en zijn geen lokale beheerders van hun werkstations).
Opmerking
Web browsen hier verwijst naar algemene toegang tot willekeurige websites die een activiteit met een hoog risico kunnen zijn. Dergelijke browsen verschilt duidelijk van het gebruik van een webbrowser om toegang te krijgen tot een klein aantal bekende beheerwebsites voor services zoals Azure, Microsoft 365, andere cloudproviders en SaaS-toepassingen.
Hardwarewortel van vertrouwen
Essentieel voor een beveiligd werkstation is een supply chain-oplossing waarbij u een vertrouwd werkstation gebruikt dat de 'root of trust' wordt genoemd. Technologie die moet worden beschouwd in de selectie van de basis van vertrouwenshardware, moet de volgende technologieën bevatten die in moderne laptops zijn opgenomen:
- Trusted Platform Module (TPM) 2.0
- BitLocker-stationversleuteling
- UEFI Secure Boot
- Stuurprogramma's en firmware gedistribueerd via Windows Update
- Virtualisatie en HVCI ingeschakeld
- Stuurprogramma's en apps HVCI-Ready
- Windows Hello
- DMA I/O Protection
- Systeembeveiliger
- Moderne stand-by
Voor deze oplossing wordt de basis van vertrouwen geïmplementeerd met Windows Autopilot-technologie met hardware die voldoet aan de moderne technische vereisten. Als u een werkstation wilt beveiligen, kunt u met Autopilot gebruikmaken van door Microsoft OEM geoptimaliseerde Windows 10 apparaten. Deze apparaten zijn in een bekende goede staat van de fabrikant. In plaats van een potentieel onveilig apparaat opnieuw te maken, kan Autopilot een Windows 10 veranderen in een 'business-ready' status. De app past instellingen en beleidsregels toe, installeert apps en wijzigt zelfs de editie van Windows 10.
Apparaatrollen en -profielen
In deze richtlijnen wordt belicht hoe u de Windows 10 en de risico's van apparaat- of gebruikerscompromitteerd gebruik kunt beperken. Om te profiteren van de moderne hardwaretechnologie en de hoofdmap van het vertrouwensapparaat, wordt in de oplossing apparaat statusattest gebruikt. Deze mogelijkheid is aanwezig om ervoor te zorgen dat de aanvallers niet blijvend kunnen zijn tijdens het opstarten van een apparaat. Dit doet het bedrijf door beleid en technologie te gebruiken om beveiligingsfuncties en risico's te beheren.
- Enterprise Device: de eerste beheerde rol is goed voor thuisgebruikers, kleine bedrijven, algemene ontwikkelaars en ondernemingen waar organisaties de minimale beveiligingsbalk willen verhogen. Met dit profiel kunnen gebruikers toepassingen uitvoeren en door een website bladeren, maar een anti-malware- en eindpuntdetectie en -respons-oplossing (EDR) zoals Microsoft Defender voor Eindpunt is vereist. Er wordt een beleidsgerichte benadering gekozen om de beveiliging te verbeteren. Het biedt een veilige manier om met klantgegevens te werken en tegelijkertijd productiviteitshulpmiddelen zoals e-mail en surfen op het web te gebruiken. Met auditbeleid en Intune kunt u een Enterprise-werkstation controleren op gebruikersgedrag en profielgebruik.
Het beveiligingsprofiel van het bedrijf in de richtlijnen voor bevoorrechte toegangsimplementatie gebruikt JSON-bestanden om dit te configureren met Windows 10 en de meegeleverde JSON-bestanden.
- Gespecialiseerd apparaat: dit betekent een aanzienlijke stap verder dan het gebruik van ondernemingen door de mogelijkheid om het werkstation zelf te beheren te verwijderen en te beperken welke toepassingen alleen kunnen worden uitgevoerd voor de toepassingen die zijn geïnstalleerd door een geautoriseerde beheerder (in de programmabestanden en vooraf goedgekeurde toepassingen op de locatie van het gebruikersprofiel. Het verwijderen van de mogelijkheid om toepassingen te installeren kan van invloed zijn op de productiviteit als deze onjuist wordt geïmplementeerd, dus zorg ervoor dat u toegang hebt gegeven tot Microsoft Store-toepassingen of beheerde bedrijfstoepassingen die snel kunnen worden geïnstalleerd om aan de behoeften van gebruikers te voldoen. Zie Beveiligingsniveaus voor geprivilegieerde toegang voor informatie over het configureren van gebruikers met gespecialiseerde niveauapparaten
- De gespecialiseerde beveiligingsgebruiker vraagt om een meer gecontroleerde omgeving, terwijl hij nog steeds activiteiten zoals e-mail en surfen op het web kan uitvoeren in een gebruiksvriendelijke ervaring. Deze gebruikers verwachten dat functies zoals cookies, favorieten en andere sneltoetsen werken, maar ze hebben niet de mogelijkheid nodig om hun apparaatbesturingssysteem te wijzigen of te debuggen, stuurprogramma's te installeren of dergelijke.
Het gespecialiseerde beveiligingsprofiel in de richtlijnen voor bevoorrechte toegangsimplementatie gebruikt JSON-bestanden om dit te configureren met Windows 10 en de meegeleverde JSON-bestanden.
- Privileged Access Workstation (PAW) – Dit is de hoogste beveiligingsconfiguratie die is ontworpen voor zeer gevoelige rollen die een signficant- of materiaaleffect op de organisatie hebben als hun account is gehackt. De PAW-configuratie bevat beveiligingsbesturingselementen en beleidsregels die lokale beheertoegang en productiviteitshulpmiddelen beperken om het aanvalsoppervlak te minimaliseren tot alleen wat absoluut vereist is voor het uitvoeren van gevoelige taaktaken.
Dit maakt het PAW-apparaat moeilijk voor aanvallers om te compromitteerd, omdat het de meest voorkomende vector voor phishing-aanvallen blokkeert: e-mail en surfen op het web.
Als u deze gebruikers productiviteit wilt bieden, moeten er afzonderlijke accounts en werkstations beschikbaar zijn voor productiviteitstoepassingen en surfen op het web. Hoewel dit lastig is, is dit een noodzakelijk besturingselement om gebruikers te beschermen waarvan het account schade kan toebrengen aan de meeste of alle resources in de organisatie.
- Een bevoorrecht werkstation biedt een gehard werkstation met duidelijke toepassingsbesturingselementen en toepassingsbeheer. Het werkstation gebruikt referentiesbeveiliger, apparaatwacht, app-beveiliging en exploit guard om de host te beschermen tegen schadelijk gedrag. Alle lokale schijven worden versleuteld met BitLocker en webverkeer is beperkt tot een limietset toegestane bestemmingen (Alles weigeren).
Het bevoorrechte beveiligingsprofiel in de bevoorrechte toegangsimplementatie-richtlijnen maakt gebruik van JSON-bestanden om dit te configureren met Windows 10 en de meegeleverde JSON-bestanden.
Volgende stappen
Een beveiligd, door Azure beheerd werkstation implementeren.