使用特殊權限存取工作站
在檢閱顧問為 Contoso 產生的安全性報告後,您了解到惡意駭客主要會鎖定對於基礎結構具有高階存取權之系統管理員會定期使用的工作站。 因此,請務必確保這類工作站的安全性。
什麼是特殊權限存取工作站?
特殊權限存取工作站 (PAW) 是指可讓您用來執行管理工作的電腦,例如,管理身分識別系統、雲端服務和其他敏感性功能。 這部電腦無法存取網際網路並遭鎖定,因而只有必要的管理應用程式可執行。
警告
請確定系統管理使用者帳戶不會作為標準使用者帳戶使用。
此工作站應一律禁止用於網頁瀏覽、電子郵件和其他常見的使用者應用程式,且應有嚴格的應用程式控制。 您不應允許連線至無線網路或外部 USB 裝置。 PAW 應實作安全性功能,例如多重要素驗證 (MFA)。
提示
您必須將具特殊權限伺服器設定為不接受來自非特殊權限工作站的連線。
Microsoft 建議為您的 PAW 使用 Windows 11 企業版。 這是因為 Windows 11 企業版支援在其他版本中無法使用的安全性功能。 下表將說明這些 Windows Defender 功能。
| 功能 | 描述 |
|---|---|
| Windows Defender 應用程式控制 | 從依預設將所有應用程式視為可信任的傳統應用程式信任模型,移轉至應用程式必須獲得信任才能執行的模型。 |
| Windows Defender Credential Guard | 保護 NTLM 密碼雜湊、Kerberos 票證授權票證,以及應用程式儲存為網域認證的認證。 由於認證不再儲存於本機安全性授權 (LSA) 中,因此即便遭竊,也可在遭入侵的系統上加以封鎖。 |
| Windows Defender Device Guard | 結合 Windows 應用程式控制的功能與使用 Windows Hyper-V Hypervisor 的能力,保護 Windows 核心模式程序免於遭受惡意或未驗證程式碼的插入和執行。 |
| Windows Defender 惡意探索防護 | 可讓系統管理員定義及管理相關原則,以縮小受攻擊和入侵的面向、保護網路,以及防止可疑的應用程式存取常被視為攻擊目標的資料夾。 |
PAW 硬體設定檔
切記,系統管理員也是使用者。 這表示他們會使用電子郵件、瀏覽網頁,以及執行 Microsoft Office 之類的生產力應用程式。 正確設定的 PAW 會嚴重影響使用者在非管理工作中提高生產力的能力。
警告
值得留意的是,使用者往往會捨棄安全、但生產力受限的解決方案,而青睞不安全、但可提升生產力的解決方案。
為了維護安全性,系統管理員使用者應有兩個工作站。 一個工作站是 PAW,另一個則用於不需要提高權限的日常工作。 您可以使用 PAW 硬體設定檔達成此一區隔。 Microsoft 建議使用下列其中一個硬體設定檔:
- 專用硬體。 使用者工作與系統管理工作使用的不同專用裝置。 管理員工作站必須支援信賴平台模組 (TPM) 之類的硬體安全性機制,並實作先前討論過的 Windows 10 企業版安全性功能。
- 同時使用。 可執行兩個作業系統,藉以同時執行使用者工作和系統管理工作的單一裝置;其中一個是使用者系統,另一個則是系統管理員系統。 在 VM 中執行個別的作業系統供日常工作使用,即可達此目的。
警告
如果您要使用單一裝置,請確定 PAW 會在實體電腦上執行,而常規工作站則會以 VM 的形式執行。 如此即可提供正確的安全性。
下表說明這些方法的優點和缺點。
| 案例 | 優點 | 缺點 |
|---|---|---|
| 專用硬體 | 增強式安全性隔離 | 需要兩個裝置。 這需要更多的空間和成本來實行。 |
| 同時使用 | 降低硬體成本 | 共用相同的鍵盤和滑鼠會導致錯誤並造成安全性風險。 |