"Никому не доверяй" и работоспособности устройств Windows
Организациям нужна модель безопасности, которая более эффективно адаптируется к сложности современной рабочей среды. ИТ-администраторы должны использовать гибридное рабочее место, защищая людей, устройства, приложения и данные, где бы они ни находились. Реализация модели "Никому не доверяй" для обеспечения безопасности помогает решать сложные современные среды.
Принципы "Никому не доверяй":
- Проверка явным образом. Всегда выполняйте проверку подлинности и авторизацию на основе всех доступных точек данных, включая удостоверение пользователя, расположение, работоспособности устройства, службу или рабочую нагрузку, классификацию данных и мониторинг аномалий.
- Используйте доступ с минимальными привилегиями. Ограничьте доступ пользователей с помощью JIT и достаточного доступа, адаптивных политик на основе рисков и защиты данных, чтобы защитить данные и поддерживать производительность
- Предположим, что нарушение. Предотвратить получение доступа злоумышленниками, чтобы свести к минимуму потенциальный ущерб для данных и систем. Защита привилегированных ролей, проверка сквозного шифрования, использование аналитики для получения видимости и обнаружение угроз для улучшения защиты
Концепция проверки "Никому не доверяй" явно применяется к рискам, создаваемым как устройствами, так и пользователями. Windows включает возможности аттестации работоспособности устройств и условного доступа , которые используются для предоставления доступа к корпоративным ресурсам.
Условный доступ оценивает сигналы идентификации, чтобы подтвердить, что пользователи являются тем, за кого они говорят, прежде чем им будет предоставлен доступ к корпоративным ресурсам.
Windows 11 поддерживает аттестацию работоспособности устройств, помогая подтвердить, что устройства находятся в хорошем состоянии и не были изменены. Эта возможность помогает пользователям получать доступ к корпоративным ресурсам независимо от того, находитесь ли они в офисе, дома или во время поездок.
Аттестация помогает проверить удостоверение и состояние основных компонентов, а также то, что устройство, встроенное ПО и процесс загрузки не были изменены. Сведения о встроенном ПО, процессе загрузки и программном обеспечении используются для проверки состояния безопасности устройства. Эти сведения криптографически хранятся в доверенном платформенный модуль (TPM) для совместного обработчика безопасности. После аттестации устройство может получить доступ к ресурсам.
Аттестация работоспособности устройств в Windows
Во время загрузки может возникнуть множество рисков безопасности, так как этот процесс может быть наиболее привилегированным компонентом всей системы. Процесс проверки использует удаленную аттестацию в качестве безопасного канала для определения и представления работоспособности устройства. Удаленная аттестация определяет:
- Если устройство может быть доверенным
- Если операционная система загружена правильно
- Если в ОС включен правильный набор функций безопасности
Эти определения выполняются с помощью защищенного корня доверия с помощью доверенного платформенного модуля (TPM). Устройства могут подтвердить, что TPM включен и что устройство не было изменено.
Windows включает множество функций безопасности для защиты пользователей от вредоносных программ и атак. Однако доверия к компонентам безопасности Windows можно добиться только в том случае, если платформа загружается должным образом и не была изменена. Windows использует безопасную загрузку единого расширенного встроенного ПО (UEFI), антивредоносное ПО при раннем запуске (ELAM), динамический корень доверия для измерения (DRTM), доверенную загрузку и другие низкоуровневые функции безопасности оборудования и встроенного ПО. При включении компьютера до запуска защиты от вредоносных программ Windows будет поддерживаться соответствующей конфигурацией оборудования, чтобы обеспечить безопасность. Измеряемая и доверенная загрузка, реализованная загрузчиками и BIOS, проверяет и криптографически записывает каждый шаг загрузки в цепочке. Эти события привязаны к сопроцессору безопасности (TPM), который выступает в качестве корня доверия. Удаленная аттестация — это механизм, с помощью которого эти события считываются и проверяются службой для предоставления проверяемого, объективного и устойчивого отчета о незаконном использовании. Удаленная аттестация — это доверенный аудитор загрузки системы, позволяющий определенным сущностям доверять устройству.
Ниже приведена сводка действий, связанных с аттестацией и "Никому не доверяй" на стороне устройства.
На каждом этапе процесса загрузки, например при загрузке файла, обновлении специальных переменных и т. д., такие сведения, как хэши файлов и сигнатуры, измеряются в PCR доверенного платформенного модуля. Измерения связаны спецификацией группы доверенных вычислений (TCG), которая определяет, какие события можно записывать и формат каждого события.
После загрузки Windows аттестер или средство проверки запрашивает TPM для получения измерений, хранящихся в регистре конфигурации платформы (PCR), вместе с журналом TCG. Измерения в обоих этих компонентах вместе образуют свидетельство аттестации, которое затем отправляется в службу аттестации.
Доверенный платформенный модуль проверяется с помощью ключей или криптографических материалов, доступных на наборе микросхем со службой сертификатов Azure.
Затем эти сведения отправляются в службу аттестации в облаке, чтобы убедиться, что устройство безопасно. Microsoft Endpoint Manger интегрируется с Microsoft Аттестация Azure для комплексного просмотра работоспособности устройств и подключения этих сведений к Microsoft Entra условного доступа. Эта интеграция является ключом для решений "Никому не доверяй", которые помогают привязать доверие к ненадежным устройствам
Служба аттестации выполняет следующие задачи:
- Проверьте целостность доказательств. Эта проверка выполняется путем проверки PCR, которые соответствуют значениям, повторно вычисляемым путем воспроизведения журнала TCG.
- Убедитесь, что доверенный платформенный модуль имеет действительный ключ удостоверения аттестации, выданный доверенным модулем, прошедшим проверку подлинности.
- Убедитесь, что функции безопасности находятся в ожидаемом состоянии
Служба аттестации возвращает отчет об аттестации, содержащий сведения о функциях безопасности на основе политики, настроенной в службе аттестации.
Затем устройство отправляет отчет в облако Microsoft Intune для оценки надежности платформы в соответствии с правилами соответствия устройств, настроенными администратором.
Условный доступ, а также состояние соответствия устройства, затем решает разрешить или запретить доступ
Другие ресурсы
Дополнительные сведения о решениях "Никому не доверяй" (Майкрософт) см. в центре руководств по обеспечению никому не доверяй.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по