Bevoegde toegangswerkstations gebruiken
Bij het controleren van het beveiligingsrapport dat door consultants voor Contoso wordt geproduceerd, hebt u geleerd dat kwaadwillende hackers zich richten op werkstations die regelmatig worden gebruikt door beheerders met toegang op hoog niveau tot de infrastructuur. Daarom is het belangrijk om ervoor te zorgen dat dergelijke werkstations veilig zijn.
Wat is een bevoegde toegangswerkstation?
Een privileged access workstation (PAW) is een computer die u kunt gebruiken voor het uitvoeren van beheertaken, zoals het beheer van identiteitssystemen, cloudservices en andere gevoelige functies. Deze computer is beveiligd tegen internet en is vergrendeld, zodat alleen de vereiste beheer-apps kunnen worden uitgevoerd.
Let op
Zorg ervoor dat gebruikersaccounts met beheerdersrechten niet worden gebruikt als standaardgebruikersaccounts.
U moet dit werkstation nooit gebruiken voor surfen, e-mail en andere veelgebruikte apps voor eindgebruikers en het moet strikte toepassingsbeheer hebben. U mag geen verbinding met draadloze netwerken of externe USB-apparaten toestaan. Een PAW moet beveiligingsfuncties implementeren, zoals meervoudige verificatie (MFA).
Tip
U moet bevoegde servers configureren om verbindingen van een niet-gemachtigd werkstation niet te accepteren.
Microsoft raadt aan Windows 11 Enterprise te gebruiken voor uw PAW's. Dit komt doordat Windows 11 Enterprise beveiligingsfuncties ondersteunt die niet beschikbaar zijn in andere edities. Deze Windows Defender-functies worden beschreven in de volgende tabel.
| Functie | Beschrijving |
|---|---|
| Windows Defender Application Control | Verplaatst zich van het traditionele vertrouwensmodel voor toepassingen, waarbij wordt aangenomen dat alle toepassingen standaard betrouwbaar worden geacht naar een toepassing waar toepassingen vertrouwen moeten verdienen om uit te voeren. |
| Windows Defender Credential Guard | Beveiligt NTLM-wachtwoordhashes, Kerberos-tickettoekenningstickets en referenties die zijn opgeslagen door toepassingen als domeinreferenties. Omdat ze niet meer worden opgeslagen in de lokale beveiligingsautoriteit (LSA), kan diefstal van referenties zelfs op een aangetast systeem worden geblokkeerd. |
| Windows Defender Device Guard | Combineert de functies van Windows Application Control met de mogelijkheid om de Windows Hyper-V-hypervisor te gebruiken om Windows-kernelmodusprocessen te beveiligen tegen de injectie en uitvoering van schadelijke of niet-geverifieerde code. |
| Windows Defender Exploit Guard | Hiermee kunnen beheerders beleidsregels definiëren en beheren voor het verminderen van kwetsbaarheidsaanvallen en aanvallen, netwerkbeveiliging en het beveiligen van verdachte apps tegen toegang tot mappen die vaak worden gericht. |
PAW-hardwareprofielen
Het is belangrijk om te onthouden dat beheerders ook gebruikers zijn. Dit betekent dat ze e-mail gebruiken, op internet surfen en productiviteitsapps uitvoeren zoals Microsoft Office. Een correct geconfigureerd PAW heeft ernstige gevolgen voor het vermogen van de gebruiker om productief te zijn in niet-beheerderstaken.
Let op
Het is de moeite waard te onthouden dat gebruikers vaak veilige oplossingen verlaten die de productiviteit beperken ten gunste van onveilige oplossingen die de productiviteit verbeteren.
Om de beveiliging te behouden, moeten beheerdersgebruikers worden voorzien van twee werkstations. Het ene werkstation is een PAW, terwijl het andere wordt gebruikt voor dagelijkse taken waarvoor geen uitbreiding is vereist. U kunt deze scheiding bereiken met behulp van PAW-hardwareprofielen. Microsoft raadt aan een van de volgende hardwareprofielen te gebruiken:
- Toegewezen hardware. Afzonderlijke toegewezen apparaten voor gebruikerstaken versus beheertaken. Het beheerwerkstation moet ondersteuning bieden voor hardwarebeveiligingsmechanismen zoals een TPM (Trusted Platform Module) en de reeds besproken Beveiligingsfuncties van Windows 10 Enterprise implementeren.
- Gelijktijdig gebruik. Eén apparaat dat gebruikerstaken en beheertaken gelijktijdig kan uitvoeren door twee besturingssystemen uit te voeren, waarbij het ene een gebruikerssysteem is en het andere een beheerderssysteem is. U kunt dit doen door een afzonderlijk besturingssysteem uit te voeren op een virtuele machine voor dagelijks gebruik.
Let op
Als u één apparaat gebruikt, moet u ervoor zorgen dat het PAW wordt uitgevoerd op de fysieke computer, terwijl uw normale werkstation wordt uitgevoerd als vm. Dit biedt de juiste beveiliging.
In de volgende tabel worden de voor- en nadelen van deze benaderingen beschreven.
| Scenario | Voordelen | Nadelen |
|---|---|---|
| Toegewezen hardware | Sterke scheiding van beveiliging | Hiervoor zijn twee apparaten vereist. Hiervoor is meer ruimte en kosten nodig om te implementeren. |
| Gelijktijdig gebruik | Lagere kosten voor hardware | Het delen van hetzelfde toetsenbord en dezelfde muis kan leiden tot fouten en beveiligingsrisico's vormen. |