Schützen von Geräten im Rahmen der Geschichte des privilegierten Zugriffs
Diese Anleitung ist Teil einer vollständigen Strategie zum privilegierten Zugriff und wird als Teil der Bereitstellung privilegierter Zugriffe implementiert.
End-to-End Zero-Trust -Sicherheit für privilegierten Zugang erfordert eine starke Grundlage der Gerätesicherheit, auf der andere Sicherheitsmaßnahmen für die Sitzung aufgebaut werden. Während die Sicherheitszusagen in der Sitzung möglicherweise verbessert werden, werden sie immer durch die Stärke der Sicherheitszusagen des ursprünglichen Geräts beschränkt. Ein Angreifer, der die Kontrolle über dieses Gerät hat, kann sich als Benutzer darauf ausgeben oder deren Anmeldeinformationen für einen zukünftigen Identitätswechsel stehlen. Dieses Risiko beeinträchtigt andere Garantien für das Konto, für zwischengeschaltete Komponenten wie Sprungserver und für die Ressourcen selbst. Weitere Informationen finden Sie unter Prinzip der vertrauenswürdigen Quelle.
Der Artikel bietet eine Übersicht über Sicherheitskontrollen, um eine sichere Arbeitsstation für sensible Benutzer während des gesamten Lebenszyklus bereitzustellen.
Diese Lösung basiert auf den kernen Sicherheitsfunktionen des Betriebssystems Windows 10, Microsoft Defender für Endpunkt, Microsoft Entra ID und Microsoft InTune.
Wer profitiert von einer sicheren Arbeitsstation?
Alle Benutzer und Betreiber profitieren von der Verwendung einer sicheren Arbeitsstation. Ein Angreifer, der einen PC oder ein Gerät kompromittiert, kann Anmeldeinformationen bzw. Tokens für alle Konten, die auf diesem verwendet werden, nachahmen oder stehlen und dadurch viele oder alle anderen Sicherheitsvorkehrungen untergraben. Für Administratoren oder sensible Konten können Angreifer die Berechtigungen eskalieren und den Zugriff in Ihrer Organisation erhöhen, oft dramatisch bis hin zu Domänen-, globalen oder Unternehmensadministratorberechtigungen.
Ausführliche Informationen zu Sicherheitsstufen und zu den Benutzern, die auf welcher Ebene zugewiesen werden sollen, finden Sie unter Sicherheitsstufen für privilegierten Zugriff
Gerätesicherheitskontrollen
Die erfolgreiche Bereitstellung einer sicheren Arbeitsstation erfordert, dass sie Teil eines End-to-End-Ansatzes ist, einschließlich Geräten, Konten, Zwischenvermittlernund Sicherheitsrichtlinien, die auf Ihre Anwendungsschnittstellenangewendet werden. Alle Elemente des Stapels müssen für eine vollständige Sicherheitsstrategie für privilegierten Zugriff adressiert werden.
In dieser Tabelle sind die Sicherheitssteuerelemente für verschiedene Geräteebenen zusammengefasst:
| Profil | Unternehmen | Spezialisiert | Privilegiert |
|---|---|---|---|
| Von Microsoft Endpoint Manager (MEM) verwaltet | Ja | Ja | Ja |
| BYOD-Geräteregistrierung verweigern | Nein | Ja | Ja |
| MEM-Sicherheitsbasislinie angewendet | Ja | Ja | Ja |
| Microsoft Defender für Endpunkt | Ja* | Ja | Ja |
| Beitreten zu persönlichen Geräten über Autopilot | Ja* | Ja* | Nein |
| URLs, die auf genehmigte Liste beschränkt sind | Zulassen der meisten | Zulassen der meisten | Standardmäßig verweigern |
| Entfernen von Administratorrechten | Ja | Ja | |
| Anwendungsausführungssteuerung (AppLocker) | Audit -> Erzwungen | Ja | |
| Nur von MEM installierte Anwendungen | Ja | Ja |
Anmerkung
Die Lösung kann mit neuer Hardware, bestehender Hardware sowie in Bring-your-own-Device-Szenarien (BYOD) eingesetzt werden.
Auf allen Ebenen wird eine gute Sicherheitswartung für Sicherheitsupdates durch Intune-Richtlinien durchgesetzt. Die Unterschiede in der Sicherheit, da sich die Gerätesicherheitsstufe erhöht, konzentrieren sich darauf, die Angriffsfläche zu verringern, die ein Angreifer nutzen kann (wobei die Benutzerproduktivität so weit wie möglich erhalten bleibt). Geräte auf Unternehmens- und spezialisierter Ebene ermöglichen Produktivitätsanwendungen und allgemeines Surfen im Web, aber Arbeitsstationen mit privilegiertem Zugriff sind nicht zulässig. Unternehmensbenutzer können ihre eigenen Anwendungen installieren, aber spezialisierte Benutzer dürfen nicht (und sind keine lokalen Administratoren ihrer Arbeitsstationen).
Anmerkung
Das Webbrowsen bezieht sich hier auf den allgemeinen Zugriff auf beliebige Websites, die eine hohe Risikoaktivität sein können. Dieses Browsen unterscheidet sich von der Verwendung eines Webbrowsers für den Zugriff auf eine kleine Anzahl bekannter administrativer Websites für Dienste wie Azure, Microsoft 365, andere Cloudanbieter und SaaS-Anwendungen.
Vertrauensanker auf Hardwarebasis
Wichtig für eine gesicherte Arbeitsstation ist eine Lieferkettenlösung, bei der Sie eine vertrauenswürdige Arbeitsstation verwenden, die als "Vertrauensstamm" bezeichnet wird. Technologie, die bei der Auswahl der Root-of-Trust-Hardware berücksichtigt werden muss, umfasst die folgenden Technologien, die in modernen Laptops vorhanden sind:
- Trusted Platform Module (TPM) 2.0
- BitLocker-Laufwerkverschlüsselung
- sicherer UEFI-Start
- Über Windows Update verteilte Treiber und Firmware
- Aktivierte Virtualisierung und HVCI
- HVCI-bereite Treiber und Apps
- Windows Hello
- DMA-I/O-Schutz
- Systemschutz
- Moderner Standby-Modus
Für diese Lösung wird die „Root of Trust“ – die Vertrauensgrundlage – unter Verwendung von Microsoft Autopilot-Technologie mit Hardware bereitgestellt, die die modernen technischen Anforderungen erfüllt. Um eine Arbeitsstation zu sichern, können Sie mit Autopilot Microsoft OEM-optimierte Windows 10-Geräte nutzen. Diese Geräte kommen vom Hersteller in einen bekannten guten Zustand. Anstatt ein potenziell unsicheres Gerät neu zu erstellen, kann Autopilot ein Windows 10-Gerät in einen "business-ready"-Zustand umwandeln. Sie wendet Einstellungen und Richtlinien an, installiert Apps und ändert sogar die Edition von Windows 10.
Geräterollen und -profile
In diesem Leitfaden wird gezeigt, wie Sie Windows 10 härten und die Risiken verringern, die mit Geräte- oder Benutzerkompromittierung verbunden sind. Um die Vorteile der modernen Hardware-Technologie und des Root-of-Trust-Geräts zu nutzen, verwendet die Lösung einen Integritätsnachweis für Geräte. Diese Funktion ist vorhanden, um sicherzustellen, dass die Angreifer während des frühen Starts eines Geräts nicht dauerhaft sein können. Dazu werden Richtlinien und Technologien verwendet, um Sicherheitsfeatures und -risiken zu verwalten.
- Enterprise Device – Die erste verwaltete Rolle eignet sich gut für Heimanwender, kleine Unternehmensbenutzer, allgemeine Entwickler und Unternehmen, in denen Organisationen die Mindestsicherheitsleiste erhöhen möchten. Dieses Profil ermöglicht Es Benutzern, anwendungen auszuführen und eine beliebige Website zu durchsuchen, es ist jedoch eine Antischadsoftware- und Endpunkterkennungs- und -reaktionslösung (EDR) wie Microsoft Defender für Endpunkt erforderlich. Ein richtlinienbasierter Ansatz zur Erhöhung des Sicherheitsstatus wird ergriffen. Es bietet eine sichere Möglichkeit, mit Kundendaten zu arbeiten und gleichzeitig Produktivitätstools wie E-Mail- und Webbrowsen zu verwenden. Überwachungsrichtlinien und Intune ermöglichen es Ihnen, eine Enterprise-Arbeitsstation für das Benutzerverhalten und die Profilnutzung zu überwachen.
Das Unternehmenssicherheitsprofil im Leitfaden zur Bereitstellung mit privilegiertem Zugriff verwendet JSON-Dateien, um diese mit Windows 10 und den bereitgestellten JSON-Dateien zu konfigurieren.
- Spezialisiertes Gerät – Dies stellt einen erheblichen Fortschritt gegenüber der Unternehmensnutzung dar, indem die Fähigkeit entfernt wird, die Arbeitsstation selbst zu verwalten, und durch die Einschränkung, dass nur Anwendungen ausgeführt werden können, die von einem autorisierten Administrator installiert wurden (einschließlich der Programmdateien und vorab genehmigter Anwendungen im Benutzerprofil). Durch das Entfernen der Möglichkeit zum Installieren von Anwendungen kann die Produktivität beeinträchtigt werden, wenn sie falsch implementiert wurde. Stellen Sie daher sicher, dass Sie Zugriff auf Microsoft Store-Anwendungen oder unternehmensverwaltete Anwendungen bereitgestellt haben, die schnell installiert werden können, um den Anforderungen der Benutzer gerecht zu werden. Anleitungen dazu, welche Benutzer mit speziellen Geräten konfiguriert werden sollen, finden Sie unter Sicherheitsstufen für privilegierten Zugriff
- Der spezialisierte Sicherheitsbenutzer erfordert eine kontrolliertere Umgebung und kann weiterhin Aktivitäten wie E-Mail und Webbrowsen in einer benutzerfreundlichen Umgebung ausführen. Diese Benutzer erwarten, dass Features wie Cookies, Favoriten und andere Tastenkombinationen funktionieren, benötigen jedoch nicht die Möglichkeit, ihr Gerätebetriebssystem zu ändern oder zu debuggen, Treiber zu installieren oder ähnliches.
Das spezialisierte Sicherheitsprofil im Leitfaden zur Bereitstellung mit privilegiertem Zugriff verwendet JSON-Dateien, um dies mit Windows 10 und den bereitgestellten JSON-Dateien zu konfigurieren.
- Privileged Access Workstation (PAW) – Dies ist die höchste Sicherheitskonfiguration für extrem sensible Rollen, die erhebliche oder wesentliche Auswirkungen auf die Organisation haben würden, wenn ihr Konto kompromittiert wurde. Die PAW-Konfiguration umfasst Sicherheitskontrollen und Richtlinien, mit denen der lokale Administratorzugriff und die Produktivitätstools eingeschränkt werden, um die Angriffsfläche nur auf das zu minimieren, was für die Durchführung vertraulicher Aufgaben unbedingt erforderlich ist.
Dadurch wird das PAW-Gerät für Angreifer schwierig zu kompromittieren, da er den gängigsten Vektor für Phishingangriffe blockiert: E-Mail und Webbrowsen.
Um diesen Benutzern Produktivität zu bieten, müssen separate Konten und Arbeitsstationen für Produktivitätsanwendungen und Webbrowsen bereitgestellt werden. Dies ist zwar unannelich, aber dies ist ein notwendiges Steuerelement zum Schutz von Benutzern, deren Konto den meisten oder allen Ressourcen in der Organisation Schaden zufügen könnte.
- Eine privilegierte Workstation stellt eine abgesicherte Workstation dar, die über eine klare Anwendungskontrolle und einen Anwendungsschutz verfügt. Die Arbeitsstation verwendet Credential Guard, Device Guard, App Guard und Exploit Guard, um den Host vor böswilligem Verhalten zu schützen. Alle lokalen Datenträger werden mit BitLocker verschlüsselt, und der Webdatenverkehr ist auf einen Grenzwert für zulässige Ziele beschränkt (Alle verweigern).
Das spezialisierte Sicherheitsprofil im Leitfaden zur Bereitstellung mit privilegiertem Zugriff verwendet JSON-Dateien, um dies mit Windows 10 und den bereitgestellten JSON-Dateien zu konfigurieren.
Nächste Schritte
Bereitstellen einer sicheren, von Azure verwalteten Arbeitsstation.