Skydda enheter som en del av behörighetsdelen
Den här vägledningen är en del av en fullständig behörighetsstrategi och implementeras som en del av distributionen av privilegierad åtkomst
Säkerhet från slut till slut utan förtroende för privilegierad åtkomst kräver en stark grund av enhetssäkerhet som du kan skapa andra säkerhetsgranskningar för sessionen för. Även om säkerhetsgranskningar kan förbättras under sessionen kan de alltid begränsas av hur starka säkerhetsgranskningar som finns på den ursprungliga enheten. En attackerare med kontroll över den här enheten kan utge sig för att vara användare på den eller stjäla deras autentiseringsuppgifter för framtida utge sig för att vara. Den här risken underminerar andra garantier för kontot, hoppservrar och resurser. Mer information finns i Principen för ren källa
Artikeln innehåller en översikt över säkerhetskontroller för att tillhandahålla en säker arbetsstation för känsliga användare under hela livscykeln.
Den här lösningen använder grundläggande säkerhetsfunktioner i operativsystemet Windows 10, Microsoft Defender för Endpoint, Azure Active Directory och Microsoft InTune.
Vem fördelar med en säker arbetsstation?
Alla användare och operatörer drar nytta av att använda en säker arbetsstation. En attackerare som komprometterar en dator eller enhet kan stjäla autentiseringsuppgifter eller token för alla konton som använder den, vilket utgör en säkerhetsrisk för många eller andra säkerhetsgranskningar. För administratörer eller känsliga konton kan attackerare eskalera behörigheter och öka den åtkomst de har i organisationen, ofta avsevärt med domän-, global- eller företagsadministratörsbehörighet.
Mer information om säkerhetsnivåer och vilka användare som ska tilldelas till vilken nivå finns i Säkerhetsnivåer för privilegierad åtkomst
Säkerhetskontroller för enheter
För att en säker arbetsstation ska kunna distribueras måste den vara en del av en helhetsmetod, som t.ex. enheter, konton,slutanvändare och säkerhetsprinciper som tillämpas på dina programgränssnitt. Alla delar i högen måste åtgärdas för en fullständig säkerhetsstrategi för behörighet.
Den här tabellen sammanfattar säkerhetskontroller för olika enhetsnivåer:
| Profil | Enterprise | Specialiserade | Privilegierad |
|---|---|---|---|
| Microsoft Endpoint Manager (MEM) hanterat | Ja | Ja | Ja |
| Neka BYOD-enhetsregistrering | Nej | Ja | Ja |
| Originalplan för SÄKERHET i MEM används | Ja | Ja | Ja |
| Microsoft Defender för Slutpunkt | Ja* | Ja | Ja |
| Ansluta till en personlig enhet via Autopilot | Ja* | Ja* | Nej |
| URL:er begränsade till listan godkända | Tillåt de flesta | Tillåt de flesta | Neka standard |
| Borttagning av administratörsrättigheter | Ja | Ja | |
| Programkörningskontroll (AppLocker) | Granskning – > Enforced | Ja | |
| Program som endast installerats av MEM | Ja | Ja |
Obs!
Lösningen kan distribueras med ny maskinvara, befintlig maskinvara och ta med dig egna enhetsscenarier (BYOD).
På alla nivåer tillämpas bra säkerhetsunderhåll av säkerhetsuppdateringar av Intune-principerna. Skillnaderna i säkerhet ju högre enhetssäkerhetsnivå, fokuserar på att minska attackytan som en attackerare kan försöka utnyttja (samtidigt som så mycket användarproduktivitet som möjligt bibehålls). Enheter på företagsnivå och specialiserade nivåer tillåter produktivitetsprogram och allmänt webbsurfande, men behöriga användare med åtkomst gör det inte. Företagsanvändare kan installera egna program, men specialiserade användare kanske inte (och är inte lokala administratörer för arbetsstationer).
Obs!
I webbsurfning finns allmän åtkomst till godtyckliga webbplatser, vilket kan vara en högriskaktivitet. En sådan surfning skiljer sig markant från att använda en webbläsare för att få åtkomst till ett litet antal välkända administrativa webbplatser för tjänster som Azure, Microsoft 365, andra molntjänster och SaaS-program.
Maskinvaruroten av förtroende
En säker arbetsstation är en lösning i leveranskedja där du använder en betrodd arbetsstation som kallas "roten av förtroende". Teknik som måste beaktas vid valet av roten av betrodd maskinvara bör inkludera följande tekniker som ingår i moderna bärbara datorer:
- Trusted Platform Module (TPM) 2.0
- BitLocker-diskkryptering
- UEFI Secure Boot
- Drivrutiner och inbyggd programvara som distribuerats via Windows Update
- Virtualisering och HVCI aktiverat
- Drivers and Apps HVCI-Ready
- Windows Hello
- DMA I/O Protection
- System Guard
- Modernt vänteläge
För den här lösningen distribueras rot av förtroende med Windows Autopilot-teknik med maskinvara som uppfyller moderna tekniska krav. Om du vill skydda en arbetsstation kan du med Autopilot använda Microsoft OEM-optimerade Windows 10 enheter. Dessa enheter kommer i ett känt tillstånd från tillverkaren. I stället för att animera en potentiellt osäker enhet kan Autopilot omvandla en Windows 10-enhet till ett "företagsklart" läge. Här tillämpas inställningar och principer, appar installeras och även versionen av Windows 10.
Enhetsroller och profiler
Den här vägledningen visar hur du Windows 10 och minskar riskerna som är förknippade med enhet eller användares kompromett. Lösningen använder Enhetshälsa-attestation för att kunna dra nytta av den moderna maskinvarutekniken och roten av förtroendeenheter. Den här funktionen finns för att säkerställa att attacker inte kan vara beständiga i början av en enhet. Det gör det genom att använda princip och teknik för att hantera säkerhetsfunktioner och risker.
- Företagsenhet – Den första hanterade rollen är bra för hemanvändare, småföretagsanvändare, allmänna utvecklare och företag där organisationer vill höja den minsta säkerhetsfältet. Den här profilen tillåter användare att köra program och bläddra på webbplatser, men en lösning mot skadlig programvara och identifiering och åtgärd på slutpunkt (Identifiering och åtgärd på slutpunkt) som Microsoft Defender för Endpoint krävs. En principbaserad metod för att öka säkerheten måste vidtas. Det är ett säkert sätt att arbeta med kunddata samtidigt som du använder produktivitetsverktyg som e-post och surfning. Med Granskningsprinciper och Intune kan du övervaka en Enterprise arbetsstation för användarbeteende och profilanvändning.
Företagssäkerhetsprofilen i vägledningen för distribution av privilegierad åtkomst använder JSON-filer för att konfigurera detta med Windows 10 och de medföljande JSON-filerna.
- Särskild enhet – det här representerar ett betydande steg upp från företagsanvändning genom att ta bort möjligheten att själv administrera arbetsstationen och begränsa vilka program som kan köras till endast de program som installerats av en behörig administratör (i programfilerna och i förväg godkända program på användarprofilens plats. Om du tar bort möjligheten att installera program kan det påverka produktiviteten om den implementeras felaktigt, så se till att du har tillhandahållit åtkomst till Microsoft-arkivprogram eller företags hanterade program som snabbt kan installeras för att uppfylla användarnas behov. Information om vilka användare som ska konfigureras med specialiserade enheter på nivå finns i Säkerhetsnivåer för privilegierad åtkomst
- Den specialiserade säkerhetsanvändaren kräver en mer kontrollerad miljö samtidigt som den kan göra aktiviteter som e-post och surfning i en enkel att använda-upplevelse. Dessa användare förväntar sig att funktioner som cookies, favoriter och andra genvägar fungerar men kräver inte möjligheten att ändra eller felsöka operativsystemet på enheten, installera drivrutiner eller liknande.
Den specialiserade säkerhetsprofilen i vägledningen för distribution av privilegierad åtkomst använder JSON-filer för att konfigurera detta med Windows 10 och de medföljande JSON-filerna.
- Privileged Access Arbetsstation (ITA) – Det här är den högsta säkerhetskonfigurationen som är utformad för extremt känsliga roller och som skulle ha en signifikans eller material påverkan på organisationen om deras konto komprometterats. ÄRA-konfigurationen innehåller säkerhetskontroller och policyer som begränsar lokal administrativ åtkomst och produktivitetsverktyg för att minimera attackytan till endast det som verkligen krävs för att utföra känsliga arbetsuppgifter.
Detta gör DET svårt för ATTACKER-enheten att kompromettera eftersom den blockerar den vanligaste vektorn för nätfiskeattacker: e-post och surfning.
För att tillhandahålla produktivitet till dessa användare måste separata konton och arbetsstationer tillhandahållas för produktivitetsprogram och surfning. Även om det är olämpligt är det här en nödvändig kontroll för att skydda användare vars konto kan skada de flesta eller alla resurser i organisationen.
- En privilegierad arbetsstation ger en härdad arbetsstation som har tydlig programkontroll och application guard. Arbetsstationen använder autentiseringsskydd, enhetsskydd, appskydd och sårbarhetsskydd för att skydda värden från skadligt beteende. Alla lokala diskar är krypterade med BitLocker och webbtrafiken är begränsad till en begränsad uppsättning tillåtna destinationer (Neka alla).
Säkerhetsprofilen för behörighet i vägledningen för distribution av privilegierad åtkomst använder JSON-filer för att konfigurera detta med Windows 10 och de medföljande JSON-filerna.