Zabezpečení zařízení jako součást strategie privilegovaného přístupu
Tyto pokyny jsou součástí kompletní strategie privilegovaného přístupu a implementuje se jako součást nasazení privilegovaného přístupu
Kompletní zabezpečení nulové důvěry pro privilegovaný přístup vyžaduje silný základ zabezpečení zařízení, na kterém se vytvářejí další bezpečnostní záruky pro sezení. I když může být zabezpečení v rámci relace posíleno, vždy bude omezeno tím, jak silné je zabezpečení na původním zařízení. Útočník, který má kontrolu nad tímto zařízením, může zosobnit uživatele nebo ukrást své přihlašovací údaje pro budoucí zosobnění. Toto riziko podkopává další záruky týkající se účtu, zprostředkovatelů, jako jsou skokové servery, a samotných prostředků. Další informace najdete v tématu principech čistého zdroje
Článek obsahuje přehled kontrolních mechanismů zabezpečení, které poskytují zabezpečenou pracovní stanici pro citlivé uživatele v průběhu životního cyklu.
Toto řešení spoléhá na základní možnosti zabezpečení v operačním systému Windows 10, v programu Microsoft Defender for Endpoint, na Id Microsoft Entra a v Microsoft InTune.
Kdo využívá zabezpečenou pracovní stanici?
Všichni uživatelé a operátoři můžou využívat zabezpečenou pracovní stanici. Útočník, který kompromituje počítač nebo zařízení, se může vydávat za něj nebo ukrást přihlašovací údaje/tokeny pro všechny účty, které je používají, a tím podkopat mnoho nebo všechny další bezpečnostní záruky. Pro správce nebo citlivé účty to umožňuje útočníkům eskalovat oprávnění a zvýšit přístup, který mají ve vaší organizaci, často výrazně k doméně, globálním nebo podnikovým oprávněním správce.
Podrobnosti o úrovních zabezpečení a o tom, kterým uživatelům by měly být tyto úrovně přiřazeny, najdete v části Úrovně zabezpečení privilegovaného přístupu.
Ovládací prvky zabezpečení zařízení
Úspěšné nasazení zabezpečené pracovní stanice vyžaduje, aby byla součástí komplexního přístupu, včetně zařízení, účtů , zprostředkovatelůa zásad zabezpečení uplatněných na vaše aplikační rozhraní. Všechny prvky zásobníku musí být vyřešeny pro úplnou strategii zabezpečení privilegovaného přístupu.
Tato tabulka shrnuje bezpečnostní prvky pro různé úrovně zařízení:
| Profil | Podnik | Specializovaný | Privilegovaný |
|---|---|---|---|
| Spravovaný Microsoft Endpoint Managerem (MEM) | Ano | Ano | Ano |
| Odepřít registraci zařízení BYOD | Ne | Ano | Ano |
| Použité standardní hodnoty zabezpečení MEM | Ano | Ano | Ano |
| Microsoft Defender for Endpoint | Ano* | Ano | Ano |
| Připojení osobního zařízení přes Autopilot | Ano* | Ano* | Ne |
| Adresy URL omezené na schválený seznam | Povolit většinu | Povolit většinu | Zamítnout výchozí |
| Odebrání práv správce | Ano | Ano | |
| Řízení spouštění aplikací (AppLocker) | Audit – vynucení> | Ano | |
| Aplikace nainstalované pouze pomocí MEM | Ano | Ano |
Poznámka
Řešení je možné nasadit s novým hardwarem, stávajícím hardwarem a v případě scénářů BYOD (bring your own device).
Na všech úrovních budou zásady Intune vynucovat správnou údržbu bezpečnosti pro aktualizace zabezpečení. Rozdíly v zabezpečení při zvýšení úrovně zabezpečení zařízení se zaměřují na snížení prostoru pro útoky, který se útočník může pokusit zneužít (a současně zachovat maximální produktivitu uživatelů). Podniková a specializovaná zařízení umožňují kancelářské aplikace a obecné procházení webu, ale pracovní stanice s privilegovaným přístupem ne. Podnikoví uživatelé mohou instalovat vlastní aplikace, ale specializovaní uživatelé nemusí (a nejsou místními správci jejich pracovních stanic).
Poznámka
Procházení webu zde odkazuje na obecný přístup k libovolným webům, které mohou být vysoce rizikové aktivity. Takové procházení se výrazně liší od použití webového prohlížeče pro přístup k malému počtu známých webů pro správu pro služby, jako je Azure, Microsoft 365, další poskytovatelé cloudu a aplikace SaaS.
Kořen důvěryhodnosti hardwaru
Pro zabezpečenou pracovní stanici je nezbytné řešení dodavatelského řetězce, ve kterém používáte důvěryhodnou pracovní stanici označovanou jako "kořen důvěryhodnosti". Technologie, která musí být při výběru důvěryhodného kořenového hardwaru zvážena, by měla zahrnovat následující technologie obsažené v moderních přenosných počítačích.
- Trusted Platform Module (TPM) 2.0
- BitLocker Drive Encryption
- UEFI Secure Boot
- ovladače a firmware distribuované prostřednictvím služby Windows Update
- s podporou virtualizace a HVCI
- Ovladače a Aplikace připravené pro HVCI
- Windows Hello
- Ochrana I/O DMA
- Strážce systému
- Moderní pohotovostní režim
Pro toto řešení se kořen důvěryhodnosti nasadí pomocí technologie Windows Autopilot s hardwarem, který splňuje moderní technické požadavky. K zabezpečení pracovní stanice vám Autopilot umožňuje využívat zařízení s Windows 10 optimalizovaná pro Microsoft OEM. Tato zařízení mají od výrobce známý dobrý stav. Namísto přeinstalace potenciálně nezabezpečeného zařízení může Autopilot proměnit zařízení s Windows 10 do stavu „připraveného pro podnikání“. Používá nastavení a zásady, instaluje aplikace a dokonce mění edici Windows 10.
Role a profily zařízení
V těchto doprovodných materiálech se dozvíte, jak posílit zabezpečení Windows 10 a snížit rizika spojená s ohrožením zařízení nebo uživatele. K využití moderních hardwarových technologií a kořenu důvěry používá řešení ověření stavu zařízení . Tato funkce je přítomná, aby zajistila, že útočníci nemohou být během počátečního spuštění zařízení vytrvalí. Dělá to pomocí zásad a technologií, které pomáhají spravovat funkce zabezpečení a rizika.
- Podnikové zařízení – Tato první spravovaná role je vhodná pro domácí uživatele, malé firemní uživatele, obecné vývojáře a podniky, kde organizace chtějí zvýšit minimální úroveň zabezpečení. Tento profil umožňuje uživatelům spouštět jakékoli aplikace a procházet jakýkoli web, ale vyžaduje se antimalwarové řešení a zjišťování koncových bodů a reakce (EDR), jako je Microsoft Defender for Endpoint. Používá se přístup založený na zásadách pro zvýšení stavu zabezpečení. Poskytuje bezpečné prostředky pro práci s zákaznickými daty a také používání nástrojů pro produktivitu, jako je e-mail a procházení webu. Zásady auditu a Intune umožňují monitorovat podnikovou pracovní stanici pro chování uživatelů a využití profilu.
Profil podnikového zabezpečení v pokynech pro nasazení privilegovaného přístupu používá soubory JSON k nastavení na Windows 10 a s poskytnutými soubory JSON.
-
specializované zařízení – představuje významný pokrok od podnikového využití odstraněním možnosti vlastní správy pracovní stanice a omezením běhu aplikací pouze na aplikace nainstalované autorizovaným správcem (v souborech programů nebo předem schválených aplikací v místě profilu uživatele). Odebrání možnosti instalace aplikací může mít vliv na produktivitu, pokud je implementovaná nesprávně, takže zajistěte, abyste měli přístup k aplikacím microsoft Storu nebo podnikovým spravovaným aplikacím, které je možné rychle nainstalovat, aby vyhovovaly potřebám uživatelů. Pokyny ke konfiguraci uživatelů se specializovanými zařízeními najdete v tématu úrovně zabezpečení privilegovaného přístupu
- Specializovaný uživatel zabezpečení vyžaduje více řízené prostředí, zatímco stále může provádět aktivity, jako je e-mail a procházení webu v jednoduchém prostředí. Tito uživatelé očekávají, že budou fungovat funkce, jako jsou soubory cookie, oblíbené položky a další klávesové zkratky, ale nevyžadují možnost upravovat nebo ladit operační systém zařízení, instalovat ovladače nebo podobné.
Specializovaný profil zabezpečení v pokynech pro nasazení privilegovaného přístupu používá soubory JSON ke konfiguraci s Windows 10 pomocí zadaných souborů JSON.
-
pracovní stanice s privilegovaným přístupem (PAW) – jedná se o nejvyšší konfiguraci zabezpečení určenou pro extrémně citlivé role, které by měly významný nebo materiálový dopad na organizaci v případě ohrožení jejich účtu. Konfigurace pracovních stanic s privilegovaným přístupem zahrnuje kontrolní mechanismy zabezpečení a zásady, které omezují místní přístup pro správu a nástroje pro produktivitu, aby se minimalizoval prostor pro útoky jenom na to, co je naprosto nezbytné pro provádění citlivých úloh.
Znesnadňuje útočníkům napadnutí zařízení s privilegovaným přístupem, protože blokuje nejběžnější vektor phishingových útoků: e-mail a procházení webu.
Pokud chcete těmto uživatelům poskytnout produktivitu, musí být k dispozici samostatné účty a pracovní stanice pro kancelářské aplikace a procházení webu. I když je to nevhodné, je to nezbytná kontrola pro ochranu uživatelů, jejichž účet by mohl způsobit poškození většiny nebo všech prostředků v organizaci.
- Privilegovaná pracovní stanice poskytuje posílenou pracovní stanici, která má jasné řízení aplikací a ochranu aplikací pomocí Application Guard. Pracovní stanice používá ochranu credential guard, device guard, app guard a exploit guard k ochraně hostitele před škodlivým chováním. Všechny místní disky se šifrují pomocí Nástroje BitLocker a webový provoz je omezený na omezenou sadu povolených cílů (Odepřít vše).
Profil privilegovaného zabezpečení v pokynech k nasazení privilegovaného přístupu používá soubory JSON k konfiguraci ve spolupráci s Windows 10 a zadanými soubory JSON.