Protegendo dispositivos como parte da história de acesso privilegiado
Esta orientação faz parte de uma estratégia completa de acesso privilegiado e é implementada como parte da implantação do acesso privilegiado
A segurança de confiança zero de ponta a ponta para acesso privilegiado requer uma base sólida de segurança do dispositivo sobre a qual construir outras garantias de segurança para a sessão. Embora as garantias de segurança possam ser aprimoradas na sessão, elas sempre serão limitadas pela força das garantias de segurança no dispositivo de origem. Um invasor com controle desse dispositivo pode se passar por usuários nele ou roubar suas credenciais para futura falsificação de identidade. Esse risco prejudica outras garantias na conta, intermediários como servidores de salto e nos próprios recursos. Para obter mais informações, consulte Princípio de fonte limpa
O artigo fornece uma visão geral dos controles de segurança para fornecer uma estação de trabalho segura para usuários confidenciais durante todo o seu ciclo de vida.
Esta solução baseia-se nas principais capacidades de segurança do sistema operativo Windows 10, Microsoft Defender for Endpoint, Microsoft Entra ID e Microsoft InTune.
Quem beneficia de uma estação de trabalho segura?
Todos os utilizadores e operadores beneficiam da utilização de uma estação de trabalho segura. Um invasor que comprometa um PC ou dispositivo pode se passar por ou roubar credenciais/tokens para todas as contas que o usam, minando muitas ou todas as outras garantias de segurança. Para administradores ou contas confidenciais, isso permite que os invasores escalem os privilégios e aumentem o acesso que têm em sua organização, muitas vezes drasticamente para privilégios de administrador de domínio, global ou empresarial.
Para obter detalhes sobre os níveis de segurança e quais usuários devem ser atribuídos a qual nível, consulte Níveis de segurança de acesso privilegiado
Controles de segurança do dispositivo
A implantação bem-sucedida de uma estação de trabalho segura exige que ela faça parte de uma abordagem de ponta a ponta, incluindo dispositivos, contas, intermediários e políticas de segurança aplicadas às interfaces do aplicativo. Todos os elementos da pilha devem ser abordados para uma estratégia completa de segurança de acesso privilegiado.
Esta tabela resume os controles de segurança para diferentes níveis de dispositivo:
| Profile | Grandes Empresas | Especializada | Com privilégios |
|---|---|---|---|
| Microsoft Endpoint Manager (MEM) gerenciado | Sim | Sim | Sim |
| Negar inscrição no dispositivo BYOD | Não | Sim | Sim |
| Linha de base de segurança MEM aplicada | Sim | Sim | Sim |
| Microsoft Defender para Ponto Final | Sim* | Sim | Sim |
| Junte-se ao dispositivo pessoal através do Autopilot | Sim* | Sim* | Não |
| URLs restritos à lista aprovada | Permitir a maioria | Permitir a maioria | Negar padrão |
| Remoção de direitos de administrador | Sim | Sim | |
| Controle de execução de aplicativos (AppLocker) | Auditoria -> Aplicada | Sim | |
| Aplicações instaladas apenas pelo MEM | Sim | Sim |
Nota
A solução pode ser implantada com novo hardware, hardware existente e cenários de BYOD (traga seu próprio dispositivo).
Em todos os níveis, uma boa higiene de manutenção de segurança para atualizações de segurança será imposta pelas políticas do Intune. As diferenças de segurança à medida que o nível de segurança do dispositivo aumenta concentram-se na redução da superfície de ataque que um invasor pode tentar explorar (preservando o máximo de produtividade possível do usuário). Os dispositivos empresariais e de nível especializado permitem aplicações de produtividade e navegação geral na Web, mas as estações de trabalho de acesso privilegiado não. Os usuários corporativos podem instalar seus próprios aplicativos, mas os usuários especializados não podem (e não são administradores locais de suas estações de trabalho).
Nota
A navegação na Web aqui refere-se ao acesso geral a sites arbitrários que podem ser uma atividade de alto risco. Essa navegação é distintamente diferente de usar um navegador da Web para acessar um pequeno número de sites administrativos bem conhecidos para serviços como Azure, Microsoft 365, outros provedores de nuvem e aplicativos SaaS.
Raiz de confiança de hardware
Essencial para uma estação de trabalho segura é uma solução de cadeia de suprimentos onde você usa uma estação de trabalho confiável chamada "raiz da confiança". A tecnologia que deve ser considerada na seleção da raiz do hardware de confiança deve incluir as seguintes tecnologias incluídas nos laptops modernos:
- Módulo de plataforma confiável (TPM) 2.0
- Encriptação de Unidade BitLocker
- Inicialização segura UEFI
- Drivers e firmware distribuídos através do Windows Update
- Virtualização e HVCI ativados
- Drivers e aplicativos prontos para HVCI
- Windows Hello
- Proteção de E/S DMA
- Protetor do sistema
- Modo de espera moderno
Para esta solução, a raiz de confiança será implantada usando a tecnologia Windows Autopilot com hardware que atenda aos requisitos técnicos modernos. Para proteger uma estação de trabalho, o Autopilot permite que você aproveite os dispositivos Windows 10 otimizados para OEM da Microsoft. Estes dispositivos vêm em um bom estado conhecido do fabricante. Em vez de criar uma nova imagem de um dispositivo potencialmente inseguro, o Autopilot pode transformar um dispositivo Windows 10 em um estado "pronto para negócios". Aplica definições e políticas, instala aplicações e até altera a edição do Windows 10.
Funções e perfis do dispositivo
Estas orientações mostram como proteger o Windows 10 e reduzir os riscos associados ao comprometimento do dispositivo ou do utilizador. Para aproveitar a tecnologia de hardware moderna e a raiz do dispositivo de confiança, a solução usa o Atestado de Integridade do Dispositivo. Esse recurso está presente para garantir que os invasores não possam ser persistentes durante a inicialização inicial de um dispositivo. Fá-lo utilizando políticas e tecnologia para ajudar a gerir os recursos de segurança e os riscos.
- Dispositivo Empresarial – A primeira função gerenciada é boa para usuários domésticos, usuários de pequenas empresas, desenvolvedores em geral e empresas onde as organizações desejam elevar a barra de segurança mínima. Esse perfil permite que os usuários executem qualquer aplicativo e naveguem em qualquer site, mas é necessária uma solução antimalware e EDR (endpoint detection and response) como o Microsoft Defender for Endpoint . É adotada uma abordagem baseada em políticas para aumentar a postura de segurança. Ele fornece um meio seguro para trabalhar com os dados do cliente e, ao mesmo tempo, usar ferramentas de produtividade, como e-mail e navegação na web. As políticas de auditoria e o Intune permitem-lhe monitorizar uma estação de trabalho Enterprise quanto ao comportamento do utilizador e à utilização do perfil.
O perfil de segurança empresarial nas diretrizes de implantação de acesso privilegiado usa arquivos JSON para configurá-lo com o Windows 10 e os arquivos JSON fornecidos.
- Dispositivo especializado – Isso representa um aumento significativo em relação ao uso corporativo, removendo a capacidade de autoadministrar a estação de trabalho e limitando quais aplicativos podem ser executados apenas aos aplicativos instalados por um administrador autorizado (nos arquivos de programa e aplicativos pré-aprovados no local do perfil do usuário. Remover a capacidade de instalar aplicativos pode afetar a produtividade se implementado incorretamente, portanto, certifique-se de ter fornecido acesso a aplicativos da Microsoft Store ou aplicativos gerenciados corporativos que podem ser instalados rapidamente para atender às necessidades dos usuários. Para obter orientação sobre quais usuários devem ser configurados com dispositivos de nível especializado, consulte Níveis de segurança de acesso privilegiado
- O usuário de segurança especializada exige um ambiente mais controlado, ao mesmo tempo em que é capaz de fazer atividades como e-mail e navegação na web em uma experiência simples de usar. Esses usuários esperam que recursos como cookies, favoritos e outros atalhos funcionem, mas não exigem a capacidade de modificar ou depurar o sistema operacional do dispositivo, instalar drivers ou similares.
O perfil de segurança especializado na orientação de implantação de acesso privilegiado usa arquivos JSON para configurar isso com o Windows 10 e os arquivos JSON fornecidos.
- Privileged Access Workstation (PAW) – Esta é a configuração de segurança mais alta projetada para funções extremamente confidenciais que teriam um impacto significativo ou material na organização se sua conta fosse comprometida. A configuração PAW inclui controles de segurança e políticas que restringem o acesso administrativo local e ferramentas de produtividade para minimizar a superfície de ataque apenas ao que é absolutamente necessário para executar tarefas de trabalho confidenciais.
Isso torna o dispositivo PAW difícil para os invasores comprometerem, pois bloqueia o vetor mais comum para ataques de phishing: e-mail e navegação na web.
Para fornecer produtividade a esses usuários, contas e estações de trabalho separadas devem ser fornecidas para aplicativos de produtividade e navegação na Web. Embora inconveniente, este é um controle necessário para proteger os usuários cuja conta pode infligir danos à maioria ou a todos os recursos da organização.
- Uma estação de trabalho Privileged fornece uma estação de trabalho reforçada com controle de aplicativo claro e proteção de aplicativos. A estação de trabalho usa o protetor de credenciais, o protetor de dispositivo, o protetor de aplicativos e o protetor de exploração para proteger o host contra comportamentos mal-intencionados. Todos os discos locais são criptografados com o BitLocker e o tráfego da Web é restrito a um conjunto limitado de destinos permitidos (Negar tudo).
O perfil de segurança privilegiado nas diretrizes de implantação de acesso privilegiado usa arquivos JSON para configurá-lo com o Windows 10 e os arquivos JSON fornecidos.
Próximos passos
Implante uma estação de trabalho segura gerenciada pelo Azure.