Защита устройств как часть концепции привилегированного доступа
Это руководство является частью полной стратегии привилегированного доступа и реализуется в рамках развертывания привилегированного доступа
Прекращение нулевого доверия безопасности для привилегированного доступа требует надежной основы безопасности устройств, на основе которой необходимо создать другие гарантии безопасности для сеанса. Несмотря на то, что гарантии безопасности могут быть улучшены в сеансе, они всегда будут ограничены тем, насколько сильными являются гарантии безопасности на исходном устройстве. Злоумышленник, получивший контроль над этим устройством, может выдавать себя за пользователей или украсть их учетные данные для дальнейшего использования в целях маскировки. Этот риск подрывает другие гарантии, связанные с учетной записью, посредники, включая серверы перехода, и непосредственно сами ресурсы. Дополнительные сведения см. в разделе принцип чистого источника
В этой статье представлен обзор элементов управления безопасностью для обеспечения безопасной рабочей станции для конфиденциальных пользователей на протяжении всего жизненного цикла.
Это решение зависит от основных возможностей безопасности в операционной системе Windows 10, Microsoft Defender для конечной точки, идентификатора Microsoft Entra и Microsoft InTune.
Кто выигрывает от безопасной рабочей станции?
Все пользователи и операторы используют безопасную рабочую станцию. Злоумышленник, скомпрометировавший компьютер или устройство, может выдать себя за пользователя или украсть учетные данные или токены для всех учетных записей, которыми пользуются на этом устройстве, что подрывает многие или все другие гарантии безопасности. Для администраторов или владельцев конфиденциальных учетных записей это позволяет злоумышленникам повысить привилегии и значительно расширить доступ в вашей организации, вплоть до доменных, глобальных или корпоративных прав администратора.
Дополнительные сведения о уровнях безопасности и о том, какие пользователи должны назначаться на какой уровень, см. в уровнях безопасности привилегированного доступа
Элементы управления безопасностью устройств
Успешное развертывание безопасной рабочей станции требует, чтобы она была частью комплексного подхода, включая устройства, учетные записи, посредникови политики безопасности, применяемые к интерфейсам приложений . Все элементы стека должны быть устранены для полной стратегии безопасности привилегированного доступа.
В этой таблице перечислены элементы управления безопасностью для различных уровней устройств:
| Профиль | Предприятие | Специализированный | Привилегированный |
|---|---|---|---|
| Управляется Microsoft Endpoint Manager (MEM) | Да | Да | Да |
| Запрет регистрации устройств BYOD | Нет | Да | Да |
| Применены базовые показатели безопасности MEM | Да | Да | Да |
| Microsoft Defender для конечной точки | Да* | Да | Да |
| Присоединение личного устройства через Autopilot | Да* | Да* | Нет |
| URL-адреса, ограниченные утвержденным списком | Разрешить большинство | Разрешить большинство из них | Отклонить по умолчанию |
| Удаление прав администратора | Да | Да | |
| Управление выполнением приложений (AppLocker) | Аудит — принудительное применение> | Да | |
| Приложения, установленные только через Microsoft Endpoint Manager | Да | Да |
Заметка
Решение можно развернуть в сценариях BYOD (принесите свое устройство), а также с новым и существующим оборудованием.
На всех уровнях хорошая гигиена обслуживания безопасности для обновлений безопасности будет применяться политиками Intune. Различия в безопасности по мере увеличения уровня безопасности устройства сосредоточены на снижении области атаки, которую злоумышленник может попытаться использовать (при сохранении максимальной производительности пользователей). Корпоративные и специализированные устройства позволяют использовать приложения для повышения производительности и осуществлять общий веб-серфинг, но привилегированный доступ к рабочим станциям отсутствует. Корпоративные пользователи могут устанавливать собственные приложения, но специализированные пользователи не могут (и не являются локальными администраторами своих рабочих станций).
Заметка
Веб-просмотр здесь относится к общему доступу к произвольным веб-сайтам, которые могут быть высоким риском. Такой просмотр отличается от использования веб-браузера для доступа к небольшому количеству известных административных веб-сайтов для таких служб, как Azure, Microsoft 365, другие облачные поставщики и приложения SaaS.
Корень доверия оборудования
Основой защищенной рабочей станции является решение для цепочки поставок, в котором используется надежная рабочая станция, называемая "корнем доверия". Технология, которая должна рассматриваться в выборе корневого оборудования доверия, должна включать следующие технологии, включенные в современные ноутбуки:
- Доверенный платформенный модуль (TPM) 2.0
- Шифрование дисков BitLocker
- Безопасная загрузка UEFI
- Драйверы и встроенное ПО, распространяемые через Центр обновления Windows
- Виртуализация и поддержка HVCI включены
- Драйверы и приложения, совместимые с HVCI
- Windows Hello
- защита ввода-вывода DMA
- System Guard
- современный режим ожидания
Для этого решения корень доверия развернется с использованием технологии Windows Autopilot с оборудованием, которое соответствует современным техническим требованиям. Чтобы защитить рабочую станцию, Autopilot позволяет использовать устройства Windows 10, оптимизированные для изготовителя оборудования Майкрософт. Эти устройства приходят в известном хорошем состоянии от производителя. Вместо переустановки потенциально небезопасного устройства Autopilot может преобразовать устройство Windows 10 в бизнес-готовое состояние. Он применяет параметры и политики, устанавливает приложения и даже изменяет выпуск Windows 10.
Роли и профили устройств
В этом руководстве показано, как ужесточить Windows 10 и снизить риски, связанные с компрометацией устройств или пользователей. Чтобы воспользоваться современной аппаратной технологией и корнем доверия устройства, решение использует подтверждение работоспособности устройства. Эта возможность предоставляется для обеспечения того, чтобы злоумышленники не могли быть постоянными во время ранней загрузки устройства. Это делает с помощью политики и технологии для управления функциями и рисками безопасности.
- корпоративное устройство. Первая управляемая роль подходит для домашних пользователей, пользователей малого бизнеса, общих разработчиков и предприятий, где организации хотят повысить минимальный уровень безопасности. Этот профиль позволяет пользователям запускать приложения и просматривать любой веб-сайт, но требуется решение для обнаружения вредоносных программ и конечных точек (EDR), например Microsoft Defender для конечной точки. Применяется подход на основе политики для повышения уровня безопасности. Он предоставляет безопасные средства для работы с данными клиента, а также с помощью средств повышения производительности, таких как электронная почта и веб-просмотр. Политики аудита и Intune позволяют отслеживать рабочую станцию Enterprise для поведения пользователей и использования профилей.
Профиль безопасности предприятия в руководстве по развертыванию с привилегированным доступом использует JSON-файлы для настройки в Windows 10 и с предоставленными JSON-файлами.
-
Специализированное устройство – Это представляет собой значительный шаг вперед по сравнению с корпоративным использованием, убирая возможность самостоятельного администрирования рабочей станции и ограничивая выполнение приложений только теми, которые установлены авторизованным администратором (вместе с программными файлами и заранее утвержденными приложениями в расположении профиля пользователя). Удаление возможности установки приложений может повлиять на производительность при неправильной реализации, поэтому убедитесь, что у вас есть доступ к приложениям Microsoft Store или корпоративным управляемым приложениям, которые могут быть быстро установлены для удовлетворения потребностей пользователей. Для получения рекомендаций о том, каких пользователей следует настраивать с помощью специализированных устройств, см. уровни безопасности привилегированного доступа
- Специализированный пользователь безопасности требует более контролируемой среды, но по-прежнему может выполнять такие действия, как электронная почта и веб-просмотр в простом интерфейсе. Эти пользователи ожидают, что такие функции, как файлы cookie, избранное и другие быстрые доступы, будут работать, но им не требуется возможность изменять или отлаживать операционную систему устройства, устанавливать драйверы или аналогичные функции.
Специализированный профиль безопасности в развертывании привилегированного доступа использует JSON-файлы для настройки с помощью Windows 10 и предоставленных JSON-файлов.
-
рабочая станция с привилегированным доступом (PAW) — это конфигурация с самыми высокими мерами безопасности, предназначенная для крайне ответственных ролей, которые могут оказать значительное или материальное воздействие на организацию в случае компрометации их учетной записи. Конфигурация PAW включает элементы управления безопасностью и политики, ограничивающие локальный административный доступ и средства повышения производительности, чтобы свести к минимуму область атаки только тем, что абсолютно необходимо для выполнения конфиденциальных задач задания.
Это затрудняет компрометацию устройства PAW, так как он блокирует наиболее распространенный вектор фишинговых атак: электронная почта и веб-просмотр.
Чтобы обеспечить производительность для этих пользователей, необходимо предоставить отдельные учетные записи и рабочие станции для повышения производительности приложений и веб-просмотра. Хотя это неудобно, это необходимый контроль для защиты пользователей, чья учетная запись может причинить ущерб большинству или всем ресурсам в организации.
- Привилегированная рабочая станция оказывает защищенную рабочую станцию, которая предоставляет четкий контроль над приложениями и защиту приложений. Рабочая станция использует защиту учетных данных, защиту устройства, защиту приложения и защиту от эксплойтов для защиты хоста от вредоносного поведения. Все локальные диски шифруются с помощью BitLocker, а веб-трафик ограничен набором разрешенных назначений (запретить все).
Профиль безопасности с привилегированным доступом в развертывании привилегированного доступа использует JSON-файлы для настройки с помощью Windows 10 и предоставленных JSON-файлов.
Дальнейшие действия
Развертывание защищенной рабочей станции, управляемой Azure,.