Proteger dispositivos como parte da história de acesso privilegiado
Estas orientações fazem parte de uma estratégia de acesso privilegiado completa e são implementadas como parte da implementação de acesso privilegiado
A segurança de confiança ponto a ponto zero para acesso privilegiado exige uma forte base de segurança do dispositivo para criar outras garantias de segurança para a sessão. Embora as garantias de segurança possam ser melhoradas na sessão, serão sempre limitadas pela força das garantias de segurança no dispositivo de origem. Um atacante com controlo sobre este dispositivo pode fazer-se passar por utilizadores ou roubar as suas credenciais para futura representação. Este risco prejudica outras garantias da conta, intermediários como servidores de saltos e sobre os próprios recursos. Para obter mais informações, consulte o princípio de origem limpa
Este artigo fornece uma visão geral dos controlos de segurança para fornecer uma estação de trabalho segura a utilizadores confidenciais durante o seu ciclo de vida.
Esta solução depende das principais funcionalidades de segurança no sistema operativo Windows 10, Microsoft Defender para Endpoint, Azure Active Directory e Microsoft InTune.
Quem vantagens de uma estação de trabalho segura?
Todos os utilizadores e operadores beneficiam da utilização de uma estação de trabalho segura. Um atacante que comprometa um PC ou dispositivo pode representar ou roubar credenciais/tokens para todas as contas que o utilizam, sublinhando muitas ou todas as outras garantias de segurança. Para administradores ou contas confidenciais, isto permite aos atacantes escalar privilégios e aumentar o acesso que têm na sua organização, frequentemente para privilégios de domínio, globais ou administradores empresariais.
Para obter detalhes sobre níveis de segurança e quais os utilizadores que devem ser atribuídos a que nível, consulte Níveis de segurança de acesso privilegiado
Controlos de Segurança do Dispositivo
A implementação bem-sucedida de uma estação de trabalho segura exige que ela seja parte de uma abordagem ponto a ponto, incluindo dispositivos, contas, intermediários e políticas de segurança aplicadas às interfaces das suas aplicações. Todos os elementos da pilha têm de ser abordados para uma estratégia de segurança de acesso totalmente privilegiada.
Esta tabela resume os controlos de segurança para diferentes níveis de dispositivo:
| Perfil | Empresa | Especializado | Privilégio |
|---|---|---|---|
| Microsoft Endpoint Manager (MEM) gerido | Sim | Sim | Sim |
| Negar inscrição de Dispositivo BYOD | Não | Sim | Sim |
| Linha de base de segurança MEM aplicada | Sim | Sim | Sim |
| Microsoft Defender para Endpoint | Sim* | Sim | Sim |
| Aderir ao dispositivo pessoal através do Autopilot | Sim* | Sim* | Não |
| URLs restritos à lista de aprovados | Permitir a Maioria | Permitir a Maioria | Negar Predefinição |
| Remoção de direitos de administrador | Sim | Sim | |
| Controlo de execução de aplicações (AppLocker) | Auditoria -> Impos | Sim | |
| Aplicações instaladas apenas por MEM | Sim | Sim |
Nota
A solução pode ser implementada com novo hardware, hardware existente e trazer os cenários do seu próprio dispositivo (BYOD).
A todos os níveis, um bom nível de manutenção de segurança para atualizações de segurança serão impor-Intune políticas. As diferenças de segurança à medida que o nível de segurança do dispositivo aumenta focam-se em reduzir a superfície de ataque que um atacante pode tentar explorar (preservando o máximo de produtividade de utilizador possível). Os dispositivos ao nível empresarial e especializado permitem aplicações de produtividade e navegação na Web geral, mas as estações de acesso privilegiado não. Os utilizadores empresariais podem instalar as suas próprias aplicações, mas os utilizadores especializados não poderão (e não são administradores locais das suas estações de trabalho).
Nota
A navegação na Web aqui refere-se ao acesso geral a Web arbitrário que pode ser uma atividade de alto risco. Esta navegação é distintamente diferente da utilização de um browser para aceder a um pequeno número de sites administrativos conhecidos para serviços como o Azure, Microsoft 365, outros fornecedores de nuvem e aplicações SaaS.
Raiz de hardware da confiança
O essencial para uma estação de trabalho segura é uma solução de cadeia de fornecimento na qual utiliza uma estação de trabalho de confiança denominada "raiz de confiança". As tecnologias que devem ser consideradas na seleção da raiz do hardware de confiança devem incluir as seguintes tecnologias incluídas em portáteis modernos:
- Módulo de Plataforma De Confiança (TPM) 2.0
- Encriptação de Unidade BitLocker
- Arranque Seguro UEFI
- Controldores e Firmware Distribuídos por Windows Update
- Virtualização e HVCI Ativado
- Controldores e Aplicações HVCI-Ready
- Windows Hello
- Proteção DMA I/O
- System Guard
- Modo de Espera Moderno
Para esta solução, a raiz de confiança será implementada através Windows tecnologia Autopilot com hardware que róprio os requisitos técnicos modernos. Para proteger uma estação de trabalho, o Autopilot permite-lhe tirar o melhoramento possível do Microsoft OEM Windows 10 dispositivos. Estes dispositivos vêm num bom estado conhecido do fabricante. Em vez de reestruturar um dispositivo potencialmente inseguro, o Autopilot pode transformar um Windows 10 dispositivo num estado "pronto para empresas". Aplica definições e políticas, instala aplicações e até altera a edição do Windows 10.
Funções e perfis de dispositivos
Estas orientações mostram como endurecer Windows 10 e reduzir os riscos associados ao dispositivo ou ao compromisso do utilizador. Para tirar partido da tecnologia de hardware moderna e da raiz do dispositivo de confiança, a solução utiliza a Atestado de Estado de Funcionamento do Dispositivo. Esta funcionalidade está presente para garantir que os atacantes não podem ser persistentes durante o arranque antecipado de um dispositivo. Fazê-lo ao utilizar políticas e tecnologias para ajudar a gerir as funcionalidades e os riscos de segurança.
- Dispositivo Empresarial – a primeira função gerida é boa para utilizadores de casa, utilizadores de pequenas empresas, programadores gerais e empresas em que as organizações pretendem elevar a barra de segurança mínima. Este perfil permite que os utilizadores executem quaisquer aplicações e naveguem em qualquer site, mas é necessária uma solução anti-software deteção e resposta de pontos finais (DRP) como o Microsoft Defender para Endpoint. É tomada uma abordagem baseada na política para aumentar a postura de segurança. Fornece um meio seguro para trabalhar com dados de clientes, ao mesmo tempo que utiliza ferramentas de produtividade, como a navegação na Web e e-mail. As políticas de auditoria Intune permitem-lhe monitorizar uma estação de trabalho Empresarial para o comportamento do utilizador e a utilização do perfil.
O perfil de segurança empresarial nas orientações de implementação de acesso privilegiado utiliza ficheiros JSON para configurar este perfil com o Windows 10 e os ficheiros JSON fornecidos.
- Dispositivo Especializado – isto representa um passo significativo da utilização empresarial ao remover a capacidade de administrar a estação de trabalho e limitar as aplicações que podem ser executadas apenas às aplicações instaladas por um administrador autorizado (nos ficheiros do programa e aplicações pré-aprovadas na localização do perfil de utilizador. Remover a capacidade de instalar aplicações poderá afetar a produtividade se for implementada incorretamente, por isso certifique-se de que forneceu acesso a aplicações da Loja Microsoft ou aplicações geridas empresariais que podem ser instaladas rapidamente para satisfazer as necessidades dos utilizadores. Para saber quais os utilizadores que devem ser configurados com dispositivos de nível especializado, consulte Níveis de segurança de acesso privilegiados
- O utilizador de segurança Especializado exige um ambiente mais controlado e continua a poder erguer atividades como e-mail e navegação na Web numa experiência simples de utilizar. Estes utilizadores esperam funcionalidades como cookies, favoritos e outros atalhos para funcionarem, mas não necessitam da capacidade de modificar ou depurar o sistema operativo do respetivo dispositivo, controldores de instalação ou semelhantes.
O perfil de segurança especializado nas orientações de implementação de acesso privilegiado utiliza ficheiros JSON para configurar este perfil com o Windows 10 e os ficheiros JSON fornecidos.
- Esta é a configuração de segurança mais elevada concebida para funções extremamente confidenciais que teriam um impacto significativo ou material na organização se a conta fosse comprometida. A configuração PAW inclui controlos de segurança e políticas que restringem o acesso administrativo local e as ferramentas de produtividade para minimizar a superfície de ataque apenas para aquilo que é absolutamente necessário para efetuar tarefas confidenciais.
Isto torna o dispositivo PAW difícil para os atacantes comprometer porque bloqueia o vetor mais comum para ataques de phishing: navegação no e-mail e na Web.
Para fornecer produtividade a estes utilizadores, é necessário fornecer contas e estações de trabalho separadas para aplicações de produtividade e navegação na Web. Apesar de inconveniente, este é um controlo necessário para proteger os utilizadores cuja conta poderá infligir danos à maioria ou a todos os recursos na organização.
- Uma estação de trabalho privilegiada fornece uma estação de trabalho endureceda que tem um controlo de aplicação claro e o application guard. A estação de trabalho utiliza o guarda de credenciais, o device guard, o app guard e exploit guard para proteger o anfitrião contra comportamento malicioso. Todos os discos locais são encriptados com o BitLocker e o tráfego na Web está restringido a um conjunto de destinos permitidos (Negar todos).
O perfil de segurança privilegiado nas orientações de implementação de acesso privilegiado utiliza ficheiros JSON para configurar este perfil com o Windows 10 e os ficheiros JSON fornecidos.
Passos seguintes
Implementar uma estação de trabalho segura gerida pelo Azure.