Ayrıcalıklı erişim hikayesinin bir parçası olarak cihazların güvenliğini sağlama
Bu kılavuz, tam bir ayrıcalıklı erişim stratejisinin parçasıdır ve Ayrıcalıklı erişim dağıtımının bir parçası olarak uygulanır
Ayrıcalıklı erişim için sıfırdan güncelleştirmesi gereken güven güveni, oturum için diğer güvenlik güvencelerinin inşa edilebilecek şekilde güçlü bir cihaz güvenliği temele sahip olması gerekir. Oturumda güvenlik güvenceleri geliştirnirken, güvenlik güvenceleri ilgili cihazda ne kadar güçlü olduğuyla her zaman sınırlı olacaktır. Bu cihazın denetimine sahip olan bir saldırgan, cihaz üzerinde kullanıcıların kimliğine bürün olabilir veya gelecekte kimliğe bürünmek için kimlik bilgilerini çaldırabilirsiniz. Bu risk hesapta diğer güvencelerin, atlama sunucuları gibi aracıların ve kaynakların kendilerinde zarara neden olur. Daha fazla bilgi için bkz. temiz kaynak ilkesi
Bu makalede, yaşam döngüsü boyunca hassas kullanıcılar için güvenli bir iş istasyonu sağlamak üzere güvenlik denetimlerine genel bir bakış sağlanmıştır.
Bu çözüm, Windows 10 sistemi, Uç Nokta için Microsoft Defender, Azure Active Directory ve Microsoft Intune'daki temel güvenlik özelliklerine dayandır.
Who iş istasyonundan daha iyi yararlanıyor musunuz?
Tüm kullanıcılar ve operatörler güvenli bir iş istasyonu kullanarak yararlanabilir. Bir bilgisayar veya cihazın güvenliğini tehlikeye atan bir saldırgan, bu kimliği kullanan tüm hesapların kimlik bilgilerini/belirteçlerini kimliğe bürünabilir veya çalarak birçok güvenlik güvencesini veya diğer tüm güvenlik güvencelerini alta alır. Yöneticiler veya hassas hesaplar için bu, saldırganların ayrıcalıkları yükseltmelerine ve kuruluşta sahip olduğu erişimi önemli ölçüde etki alanı, küresel veya kuruluş yönetici ayrıcalıklarına önemli ölçüde artırmalarına olanak sağlar.
Güvenlik düzeyleri ve hangi kullanıcılara atanacakları ile ilgili ayrıntılar için bkz. Ayrıcalıklı erişim güvenlik düzeyleri
Cihaz Güvenlik Denetimleri
Güvenli bir iş istasyonunun başarıyla dağıtımı, cihazlar,hesaplar,aracılar ve uygulama arabirimlerinize uygulanan güvenlik ilkeleri gibi uç uç bir yaklaşımın parçası olmalıdır. Tüm ayrıcalığı olan bir erişim güvenlik stratejisi için yığının tüm öğelerine değinilemeli.
Bu tabloda, farklı cihaz düzeyleri için güvenlik denetimleri özetlenmiştir:
| Profil | Enterprise | Özelleştirilmiş | Ayrıcalıklı |
|---|---|---|---|
| Microsoft Endpoint Manager (MEM) yönetilen | Evet | Evet | Evet |
| BYOD Cihaz kaydı reddet | Hayır | Evet | Evet |
| MEM güvenlik temeli uygulandı | Evet | Evet | Evet |
| Uç Nokta için Microsoft Defender | Evet* | Evet | Evet |
| Kişisel cihaza AutoPilot aracılığıyla katılın | Evet* | Evet* | Hayır |
| Onaylanan listeyle sınırlandırılmış URL'ler | En Çok İzin Ver | En Çok İzin Ver | Varsayılanı Reddet |
| Yönetici haklarını kaldırma | Evet | Evet | |
| Uygulama yürütme denetimi (AppLocker) | Denetim - > Zorunlu | Evet | |
| Yalnızca MEM tarafından yüklenmiş uygulamalar | Evet | Evet |
Not
Çözüm yeni donanımla, mevcut donanımla dağıtılabilir ve kendi cihaz (BYOD) senaryolarınızı getirir.
Her düzeyde, intune ilkeleri, güvenlik güncelleştirmeleri için iyi bir güvenlik bakımı bakımları zorlar. Cihaz güvenlik düzeyi arttıkça güvenlik farklılıkları, bir saldırganin istismar etmeye çalışabilmesi saldırı yüzeyini azaltmaya (mümkün olduğunca fazla kullanıcı üretkenliği koruyarak) odaklanmaktadır. Enterprise ve özel düzeyli cihazlar üretkenlik uygulamalarına ve genel web'e göz atma özelliğine olanak tanır, ancak ayrıcalıklı erişim iş istasyonlarına erişim olmaz. Enterprise kendi uygulamalarını yükleyebilir, ancak özel kullanıcılar iş istasyonlarında yerel yönetici değillerdir).
Not
Buraya göz atma, yüksek riskli bir etkinlik de olan rastgele web sitelerine genel erişim anlamına gelir. Bu tür gözatma özellikleri, Azure, Microsoft 365, diğer bulut sağlayıcıları ve SaaS uygulamaları gibi çok az sayıda iyi bilinen yönetim web sitesine erişmek için web tarayıcısı kullanmadan farklı bir işlemdir.
Güvenin donanım kökü
Güvenli bir iş istasyonu için temel öneme sahip olan tedarik zinciri çözümü, "güvenin kökü" olarak adlandırılan güvenilir bir iş istasyonu kullanır. Güven donanımı kökü seçiminde dikkate alınacak teknoloji, modern dizüstü bilgisayarlarda şu teknolojileri içermesi gerekir:
- Güvenilir Platform Modülü (TPM) 2.0
- BitLocker Sürücü Şifrelemesi
- UEFI Secure Boot
- Sistem Güncelleştirmesi aracılığıyla Dağıtılan Sürücüler Windows Yazılımı
- Sanallaştırma ve HVCI Etkin
- Sürücüler ve Uygulamalar HVCI Hazır
- Windows Hello
- DMA I/O Koruması
- System Guard
- Modern Bekleme
Bu çözümde güven kökü, modern teknik gereksinimleri karşılayacak donanımla Windows Autopilot teknolojisi kullanılarak dağıtılacaktır. İş istasyonunun güvenliğini sağlamak için AutoPilot, Microsoft OEM tarafından iyileştirilmiş ve Windows 10 olanak tanır. Bu cihazlar, üretici tarafından bilinen bir iyi durumda. Olası bir güvenli olmayan cihazı yeniden eski haline dönüştürmek yerine, AutoPilot Windows 10 "iş kullanıma hazır" durumuna dönüştürebilirsiniz. Ayarları ve ilkeleri uygular, uygulamaları yükleyebilir ve hatta Windows 10.
Cihaz rolleri ve profilleri
Bu kılavuz, cihaz veya kullanıcı Windows 10 güvenliğinden ödün verme ve riskleri azaltmayı gösterir. Modern donanım teknolojisinin ve güven cihazı kökünden yararlanmak için, çözüm Cihaz Durumu Attestation kullanır. Bu özellik, saldırganların cihazın ön önyüklemesi sırasında kalıcı olmasını sağlamak için mevcuttur. Bunu, güvenlik özelliklerini ve risklerini yönetmeye yardımcı olmak için ilke ve teknoloji kullanarak yapar.
- Enterprise Yöneticisi – İlk yönetilen rol, kuruluşların en düşük güvenlik çubuğunu yükseltmek istediğiniz ev kullanıcıları, küçük işletme kullanıcıları, genel geliştiriciler ve kuruluşlar için iyidir. Bu profil kullanıcıların tüm uygulamaları çalıştırmalarına ve herhangi bir web sitesine göz atmalarına izin vermese de, uç nokta için Microsoft Defender gibi bir kötü amaçlı yazılımdan koruma ve uç noktada algılama ve yanıtlama (EDR) çözümü gereklidir. Güvenlik politikasını artırmaya ilke tabanlı bir yaklaşım benimser. Aynı zamanda e-posta ve web'e gözatma gibi üretkenlik araçlarını kullanırken müşteri verileriyle çalışmak için güvenli bir araç sağlar. Denetim ilkeleri ve Intune, kullanıcı davranışı ve profil kullanımı için Enterprise iş istasyonunu izlemenizi sağlar.
Ayrıcalıklı erişim dağıtım kılavuzunda yer alan kurumsal güvenlik profili, JSON dosyalarını bu özelliği Windows 10 JSON dosyalarıyla yapılandırmak için kullanır.
- Özel Cihaz – Bu, iş istasyonu üzerinde kendi kendine yönetim olanağını kaldırarak ve hangi uygulamaların yalnızca yetkili bir yönetici tarafından yüklenebilecek uygulamalarda (program dosyalarında ve kullanıcı profili alanında önceden onaylanmış uygulamalarda) çalıştırılabilecek uygulamaları sınırlandırarak kurumsal kullanımdan önemli bir adımı temsil eder. Uygulamalar yükleme yeteneğinin kaldırılması yanlış uygulanırsa üretkenliği etkileyenin; bu nedenle kullanıcıların ihtiyaçlarını karşılamak için hızlı şekilde yüklenebilmeleri için Microsoft store uygulamalarına veya şirket tarafından yönetilen uygulamalara erişim sağlanmış olduğundan emin olmak. Hangi kullanıcıların özel düzey cihazlarla yapılandırılması gerektiği konusunda yol gösterici bilgi için bkz. Ayrıcalıklı erişim güvenlik düzeyleri
- Özel güvenlik kullanıcısı, basit kullanımlı bir deneyimde e-posta ve web'e gözatma gibi etkinlikleri gerçekleştirerken daha denetimli bir ortam talep eder. Bu kullanıcılar tanımlama bilgileri, sık kullanılanlar ve diğer kısayollar gibi özelliklerin çalışmasına izin ister, ancak cihaz işletim sistemini değiştirme veya hata ayıklama, sürücüleri yükleme ya da benzer özellikler gerektirmemektedir.
Ayrıcalıklı erişim dağıtım kılavuzunda yer alan özel güvenlik profili, JSON dosyalarını bu özelliği Windows 10 JSON dosyalarıyla yapılandırmak için kullanır.
- Ayrıcalıklı Erişim İş Istasyonu (ÇOKETOPLA) – Bu, hesaplarının güvenliği ihlal edilmişse kuruluş üzerinde imza ve malzeme etkisi olan son derece hassas roller için tasarlanmış en yüksek güvenlik yapılandırmasıdır. TIRLI yapılandırması, saldırı yüzeyini en aza indirmek için yerel yönetim erişimi ve üretkenlik araçlarını kısıtlayan güvenlik denetimleri ve ilkeler içerir. Yalnızca hassas iş görevlerini gerçekleştirmek için gerekenler kesinlikle gereklidir.
Bu, saldırganların, kimlik avı saldırılarına yönelik en yaygın vektörü (e-posta ve web'e gözatma) engeller.
Bu kullanıcılara verimlilik sağlamak için, üretkenlik uygulamaları ve web'e gözatma için ayrı hesaplar ve iş istasyonları sağlanmalıdır. Uygun olmayan bu denetim, kuruluşun çoğuna veya tüm kaynaklarına zarar veren hesapları zarara neden olan kullanıcıları korumak için gerekli bir denetimdir.
- Ayrıcalıklı bir iş istasyonu, net uygulama denetimi ve uygulama koruması olan bir iş istasyonu sağlar. İş istasyonu, ev sahibi kötü amaçlı davranışlara karşı korumak için kimlik bilgileri koruması, cihaz koruması, uygulama koruması ve exploit guard kullanır. Tüm yerel diskler BitLocker ile şifrelenir ve web trafiği izin verilen bir dizi hedefle sınırlıdır (Hepsini reddet).
Ayrıcalıklı erişim dağıtım kılavuzunda yer alan ayrıcalıklı güvenlik profili, bunu Windows 10 JSON dosyalarıyla yapılandırmak için JSON dosyalarını kullanır.
Sonraki adımlar
Azure tarafından yönetilen güvenli bir iş istasyonu dağıtın.