Использование рабочих станций с привилегированным доступом

Завершено

При просмотре отчета о безопасности, созданного консультантами компании Contoso, вы узнали, что злоумышленники сосредоточены на рабочих станциях, которые регулярно используются администраторами с высоким уровнем доступа к инфраструктуре. Поэтому важно обеспечить безопасность таких рабочих станций.

Что такое рабочая станция c привилегированным доступом (PAW)?

Рабочая станция привилегированного доступа (PAW) — это компьютер, который можно использовать для выполнения задач администрирования, таких как администрирование систем идентификации, облачные службы и другие конфиденциальные функции. Этот компьютер защищен от Интернета и заблокирован таким образом, чтобы запускать только необходимые приложения администрирования.

Внимание

Убедитесь, что учетные записи администратора не используются в качестве стандартных учетных записей пользователей.

Никогда не следует использовать эту рабочую станцию для веб-обзора, электронной почты и других распространенных приложений для конечных пользователей, и он должен иметь ограниченный контроль приложений. Не следует разрешать подключение к беспроводным сетям или внешним USB-устройствам. PaW должен реализовать такие функции безопасности, как многофакторная проверка подлинности (MFA).

Совет

Необходимо настроить привилегированные серверы, чтобы не принимать подключения с непривилегированных рабочих станций.

Корпорация Майкрософт рекомендует использовать Windows 11 Корпоративная для ваших PAW. Это связано с тем, что Windows 11 Корпоративная поддерживает функции безопасности, недоступные в других выпусках. Эти функции защитника Windows описаны в следующей таблице.

Возможность	Description
Управление приложениями в Защитнике Windows	Перемещается от традиционной модели доверия приложений, где все приложения считаются надежными по умолчанию, туда, где приложения должны получить доверие для выполнения.
Credential Guard в Защитнике Windows	Защищает хэши паролей NTLM, билеты Kerberos и учетные данные, хранящиеся в приложениях, как учетные данные домена. Так как они больше не хранятся в локальном органе безопасности (LSA), кражу учетных данных можно заблокировать даже в скомпрометированной системе.
Device Guard в Защитнике Windows	Сочетает функции управления приложениями Windows с возможностью использования низкоуровневой оболочки Windows Hyper-V для защиты процессов в режиме ядра Windows от внедрения и выполнения вредоносного или непроверенного кода.
Windows Defender Exploit Guard	Позволяет администраторам определять и управлять политиками для сокращения числа атак и эксплойтов поверхности, защиты сети и защиты подозрительных приложений от доступа к папкам, которые часто намечаются для атаки.

Профили оборудования рабочей станции с привилегированным доступом

Важно помнить, что администраторы также являются пользователями. Это означает, что они используют электронную почту, просматривают интернет и запускают приложения для повышения производительности, такие как Microsoft Office. Правильно настроенный paW сильно влияет на способность пользователя работать в неадминистрационных задачах.

Внимание

Следует помнить, что пользователи, как правило, отменяют безопасные решения, которые ограничивают производительность в пользу незащищенных решений, повышающих производительность.

Чтобы обеспечить безопасность, пользователям с правами администратора необходимо предоставить две рабочие станции. Одна рабочая станция — PAW, а другая используется для повседневных задач, которые не нуждаются в повышении прав. Это разделение можно достичь с помощью профилей оборудования с PAW. Корпорация Майкрософт рекомендует использовать один из следующих профилей оборудования:

• Выделенное оборудование Отдельные устройства для пользовательских и административных задач. Рабочая станция администрирования должна поддерживать механизмы обеспечения безопасности оборудования, такие как доверенный платформенный модуль (TPM), и реализовывать уже обсуждавшиеся функции безопасности Windows 10 Enterprise.
• Одновременное использование Одно устройство, которое может выполнять задачи пользователя и административные задачи одновременно, запуская две операционные системы, где одна из них является системой пользователя, а другая — системой администрирования. Это можно сделать, запустив отдельную операционную систему на виртуальной машине для ежедневного использования.

Внимание

Если вы используете одно устройство, убедитесь, что PAW работает на физическом компьютере, а обычная рабочая станция работает как виртуальная машина. Это обеспечивает правильную безопасность.

В следующей таблице перечислены преимущества и недостатки этих подходов.

Сценарий	Достоинства	Недостатки
Выделенное оборудование	Строгое разделение безопасности	Требуется два устройства. Для этого требуется больше пространства и затрат на реализацию.
Одновременное использование	Меньше затрат на оборудование	Совместное использование одной и той же клавиатуры и мыши может привести к ошибкам и представлять угрозы безопасности.

Краткий обзор

1.

Какой компонент Windows 10 Enterprise помогает защитить учетные данные пользователя во время входа и что необходимо для включения этой функции?

Защита учетных данных Windows Defender Credential Guard обеспечивает такую защиту. Для реализации Windows Defender Credential Guard требуется компонент Hyper-V, в идеале — блокировка TPM и Extensible Firmware Interfac (UEFI).

Защита устройств Windows Defender Device Guard обеспечивает такую защиту. Для реализации Windows Defender Device Guard требуется компонент Hyper-V, Secure boot и, в идеале, блокировка TPM и UEFI.

Защита учетных данных Windows Defender Credential Guard обеспечивает такую защиту. Для реализации Windows Defender Credential Guard требуется компонент Hyper-V, Secure boot и, в идеале, блокировка TPM и UEFI.

Вы должны ответить на все вопросы перед проверкой.