使用特权访问工作站
查看顾问为 Contoso 出具的安全报告时,你发现恶意黑客通常将重点放在对基础结构拥有高级访问权限的管理员经常使用的工作站上。 因此,确保此类工作站安全非常重要。
什么是特权访问工作站?
特权访问工作站 (PAW) 是可以用于执行管理任务的计算机,例如标识系统、云服务及其他敏感功能的管理。 此计算机受到保护,将不受 Internet 影响且被锁定,因此只有所需的管理应用可以运行。
注意
请确保不要将管理用户帐户用作标准用户帐户。
切勿将此工作站用于 Web 浏览、电子邮件及其他常规的最终用户应用,它应该具有严格的应用程序控制。 不得允许其连接到无线网络或外部 USB 设备。 PAW 应实现安全功能,例如多重身份验证 (MFA)。
提示
必须将特权服务器配置为不接受来自非特权工作站的连接。
Microsoft 建议在 PAW 中安装 Windows 10 企业版。 这是因为 Windows 10 企业版支持其他版本中未提供的安全功能。 下表介绍了这些 Windows Defender 功能。
| 功能 | 说明 |
|---|---|
| Windows Defender 应用程序控制 | 从传统的应用程序信任模型(所有应用程序默认都假定为可信任)转变为应用程序必须取得信任才能运行的模型。 |
| Windows Defender Credential Guard | 保护 NTLM 密码哈希、Kerberos 票证授予票证,以及由应用程序存储为域凭据的凭据。 由于凭据不再存储在本地安全机构 (LSA),因此即使在受到威胁的系统上也可以阻止凭据盗用。 |
| Windows Defender Device Guard | 结合了 Windows 应用程序控制的功能和使用 Windows Hyper-V 虚拟机管理程序的功能,可防止 Windows 内核模式进程注入和执行恶意代码或未验证的代码。 |
| Windows Defender Exploit Guard | 让管理员能够定义和管理用于减少攻击面和攻击的策略、实现网络保护,以及防止可疑应用访问常用目标文件夹。 |
PAW 硬件配置文件
请务必记住,管理员也是用户。 这意味着他们将使用电子邮件、浏览 Web 以及运行 Microsoft Office 之类的高效办公应用。 如果管理员的计算机是 PAW,则会严重影响用户在非管理任务中的工作效率。
注意
值得一提的是,用户倾向于放弃会限制工作效率的安全解决方案,转而使用不安全的解决方案来提高工作效率。
为保持安全性,应向管理员用户提供两个工作站。 一个工作站是 PAW,另一个工作站用于执行不需要提升的日常任务。 可以通过使用 PAW 硬件配置文件来实现这种分离。 Microsoft 建议使用以下其中一个硬件配置文件:
- 专用硬件。 将用户任务与管理任务的专用设备分离。 管理员工作站必须支持硬件安全机制(如受信任的平台模块 (TPM)),并实现前面已讨论的 Windows 10 企业版安全功能。
- 同时使用。 可以通过运行两个操作系统(其中一个是用户系统,另一个是管理员系统)同时运行用户任务和管理任务的单个设备。 为实现此目的,可以在 VM 中运行单独的操作系统,以供日常使用。
注意
如果使用单个设备,请确保 PAW 在物理计算机上运行,而常规工作站作为 VM 运行。 这样可以提供正确的安全性。
下表介绍了这些方法的优缺点。
| 方案 | 优点 | 缺点 |
|---|---|---|
| 专用硬件 | 强安全性分离 | 需要两个设备。 这需要更多的空间和成本来实现。 |
| 同时使用 | 降低硬件成本 | 共享同一个键盘和鼠标会导致错误并带来安全风险。 |