保护设备作为特权访问故事的一部分

本指南是完整特权访问策略的一部分,作为 Privileged 访问部署的一部分实现

限访问的 端到端零信任安全性需要强大的设备安全基础,以便为会话生成其他安全保证。 虽然会话中的安全保证可能会得到增强,但它们始终会受到来自设备中安全保证的强大程度的限制。 控制此设备的攻击者可以模拟用户或窃取其凭据以供将来模拟。 此风险会破坏帐户、中间人(如跳转服务器)和资源本身的其他保证。 有关详细信息,请参阅 干净的源原则

本文概述了安全控制,以便在其整个生命周期内为敏感用户提供安全的工作站。

Workflow to acquire and deploy a secure workstation

此解决方案依赖于Windows 10操作系统、Microsoft Defender for Endpoint、Azure Active Directory 和 Microsoft InTune 中的核心安全功能。

谁从安全工作站中获益?

所有用户和操作员都受益于使用安全工作站。 入侵电脑或设备的攻击者可以模拟或窃取使用电脑或设备的所有帐户的凭据/令牌,从而破坏许多其他安全保证。 对于管理员或敏感帐户,这允许攻击者提升权限并增加他们在组织中拥有的访问权限,通常会显著提升对域、全局或企业管理员权限的访问权限。

有关安全级别以及应将哪些用户分配到哪个级别的详细信息,请参阅 Privileged 访问安全级别

设备安全控制

安全工作站的成功部署要求它成为端到端方法的一部分,包括应用到应用程序接口的设备、帐户中介和安全策略。 对于完整的特权访问安全策略,必须解决堆栈的所有元素。

下表汇总了不同设备级别的安全控制:

配置 文件 企业 专业 特权
Microsoft Endpoint Manager (管理的 MEM) 是的 是的 是的
拒绝 BYOD 设备注册 是的 是的
应用了 MEM 安全基线 是的 是的 是的
Microsoft Defender for Endpoint 是* 是的 是的
通过 Autopilot 加入个人设备 是* 是*
限制为已批准列表的 URL 允许大多数 允许大多数 拒绝默认值
删除管理员权限 是的 是的
AppLocker (应用程序执行控制) 审核 -> 强制执行 是的
仅由 MEM 安装的应用程序 是的 是的

注意

解决方案可以使用新的硬件、现有硬件进行部署,并将自己的设备 (BYOD) 方案。

在各级,Intune策略将强制实施安全更新的良好安全维护卫生。 随着设备安全级别的提升,安全性差异侧重于减少攻击者可能试图利用 (的攻击面,同时保留尽可能多的用户工作效率) 。 企业和专用级别设备允许高效应用程序和常规 Web 浏览,但特权访问工作站不允许。 企业用户可以安装自己的应用程序,但专用用户可能无法 (,他们不是工作站的本地管理员) 。

注意

此处的 Web 浏览是指对可构成高风险活动的任意网站的常规访问。 此类浏览与使用 Web 浏览器访问 Azure、Microsoft 365、其他云提供商和 SaaS 应用程序等服务的少量已知管理网站截然不同。

硬件信任根目录

对于安全工作站来说,安全工作站至关重要的是一种供应链解决方案,在其中使用名为“信任根”的受信任工作站。 在选择信任硬件根目录时必须考虑的技术应包括现代笔记本电脑中包含的以下技术:

对于此解决方案,将使用 Windows Autopilot 技术部署信任根,其硬件满足现代技术要求。 为了保护工作站,Autopilot 允许你利用 Microsoft OEM 优化的Windows 10设备。 这些设备来自制造商的已知良好状态。 Autopilot 可以将Windows 10设备转换为“业务就绪”状态,而不是重置可能不安全的设备。 它应用设置和策略,安装应用,甚至更改Windows 10版本。

Secure workstation Levels

设备角色和配置文件

本指南介绍如何强化Windows 10并降低与设备或用户泄露相关的风险。 为了利用现代硬件技术和信任设备的根,该解决方案使用 设备运行状况证明。 此功能用于确保攻击者在设备的早期启动期间不能持久。 它通过使用策略和技术来帮助管理安全功能和风险来实现此操作。

Secure workstation profiles

  • 企业设备 - 第一个托管角色适用于家庭用户、小型企业用户、一般开发人员以及组织希望提高最低安全标准的企业。 此配置文件允许用户运行任何应用程序并浏览任何网站,但需要反恶意软件和终结点检测和响应 (EDR) 解决方案,如Microsoft Defender for Endpoint。 采用基于策略的方法来提高安全状况。 它提供了一种安全的方法来处理客户数据,同时使用电子邮件和 Web 浏览等工作效率工具。 审核策略和Intune允许监视企业工作站的用户行为和配置文件使用情况。

特权访问部署指南中的企业安全配置文件使用 JSON 文件来配置Windows 10和提供的 JSON 文件。

  • 专用设备 - 这表示了从企业使用情况中迈出的重要一步,方法是删除自管理工作站的功能,并限制哪些应用程序只能运行到由授权管理员安装的应用程序, (程序文件和用户配置文件位置中预先批准的应用程序。 如果实施不正确,则删除安装应用程序的功能可能会影响工作效率,因此请确保已提供对可快速安装以满足用户需求的 Microsoft 应用商店应用程序或公司托管应用程序的访问权限。 有关应使用专用级别设备配置用户的指南,请参阅 Privileged 访问安全级别
    • 专用安全用户需要一个更受控制的环境,同时仍能够在简单使用体验中执行电子邮件和 Web 浏览等活动。 这些用户希望 Cookie、收藏夹和其他快捷方式等功能正常工作,但不需要能够修改或调试其设备操作系统、安装驱动程序或类似的功能。

特权访问部署指南中的专用安全配置文件使用 JSON 文件通过Windows 10和提供的 JSON 文件进行配置。

  • 特权访问工作站 (PAW) - 这是为极其敏感的角色设计的最高安全配置,如果其帐户遭到入侵,这些角色将对组织产生重大影响或产生重大影响。 PAW 配置包括安全控制和策略,这些控制和策略限制了本地管理访问和工作效率工具,以将攻击面降至仅执行敏感作业任务的绝对要求。 这使得 PAW 设备难以让攻击者入侵,因为它阻止了网络钓鱼攻击的最常见向量:电子邮件和 Web 浏览。 若要为这些用户提供工作效率,必须为生产力应用程序和 Web 浏览提供单独的帐户和工作站。 虽然不方便,但这是保护帐户可能会对组织中的大多数或所有资源造成损害的用户的必要控制。
    • Privileged 工作站提供具有明确应用程序控制和应用程序防护的强化工作站。 工作站使用凭据防护、设备防护、应用防护和攻击防护来保护主机免受恶意行为的侵害。 所有本地磁盘都使用 BitLocker 进行加密,Web 流量限制为一组允许的目标 (拒绝所有) 。

特权访问部署指南中的特权安全配置文件使用 JSON 文件使用Windows 10和提供的 JSON 文件对此进行配置。

后续步骤

部署安全的 Azure 托管工作站