Eszközök védelme a kiemelt hozzáférési történet részeként
Ez az útmutató egy teljes emelt szintű hozzáférési stratégia része, és a privileged access deployment részeként implementálva van
A végponttól végpontig tartó zéró bizalom a privilegizált hozzáférés megköveteli az eszközbiztonság erős alapjait, melyre más biztonsági biztosítékokat építhet a munkamenet során. Bár a biztonsági biztosítékok fokozhatók a munkamenet során, azokat mindig korlátozni fogja, hogy milyen erősek a biztonsági garanciák az eredeti eszközben. Az eszköz irányításával rendelkező támadók megszemélyesíthetik a felhasználókat, vagy ellophatják a hitelesítő adataikat a későbbi megszemélyesítéshez. Ez a kockázat aláássa a fiókra, a közvetítőkre, például a jump-kiszolgálókra és magukra az erőforrásokra vonatkozó egyéb biztosítékokat. További információ: tiszta forrás elve
A cikk áttekintést nyújt a biztonsági vezérlőkről, amelyek biztonságos munkaállomást biztosítanak a bizalmas felhasználók számára az életciklusuk során.
Ez a megoldás a Windows 10 operációs rendszer, a Microsoft Defender for Endpoint, a Microsoft Entra ID és a Microsoft InTune alapvető biztonsági képességeire támaszkodik.
Ki élvezi a biztonságos munkaállomás előnyeit?
Minden felhasználó és operátor számára előnyös a biztonságos munkaállomás használata. Azok a támadók, akik feltörnek egy számítógépet vagy eszközt, megszemélyesíthetik vagy ellophatják a hitelesítő adatokat/jogkivonatokat az azt használó összes fiókhoz, ezzel aláásva számos vagy minden más biztonsági biztosítékot. Rendszergazdák vagy bizalmas fiókok esetén ez lehetővé teszi a támadók számára, hogy eszkalálják a jogosultságokat, és növeljék a szervezeten belüli hozzáférését, gyakran drámai módon a tartományi, globális vagy vállalati rendszergazdai jogosultságokhoz.
A biztonsági szintekről és a felhasználók melyik szinthez való hozzárendeléséről további információt Emelt szintű hozzáférés biztonsági szintjei
Eszközbiztonsági vezérlők
A biztonságos munkaállomás sikeres üzembe helyezéséhez hozzá kell tartoznia egy végpontok közötti megközelítésnek, beleértve az eszközöket, fiókokat, közvetítőket, valamint a alkalmazásfelületekrealkalmazott biztonsági szabályzatokat. Minden réteg elemével foglalkozni kell a jogosultsági hozzáférési biztonsági stratégia teljessége érdekében.
Ez a táblázat a különböző eszközszintek biztonsági vezérlőit foglalja össze:
| Profil | Vállalat | Specializált | Kiváltságos |
|---|---|---|---|
| Microsoft Endpoint Manager (MEM) által felügyelt | Igen | Igen | Igen |
| BYOD-eszközregisztráció megtagadása | Nem | Igen | Igen |
| MEM biztonsági alapkonfiguráció alkalmazása | Igen | Igen | Igen |
| Microsoft Defender végponthoz | Igen* | Igen | Igen |
| Személyes eszköz csatlakoztatása az Autopiloton keresztül | Igen* | Igen* | Nem |
| Jóváhagyott listára korlátozott URL-címek | A legtöbb engedélyezése | A legtöbb engedélyezése | Alapértelmezett elutasítás |
| Rendszergazdai jogosultságok eltávolítása | Igen | Igen | |
| Alkalmazásvégrehajtás-vezérlés (AppLocker) | Ellenőrzés -> kényszerítve | Igen | |
| Csak a MEM által telepített alkalmazások | Igen | Igen |
Jegyzet
A megoldás üzembe helyezhető új hardverrel, meglévő hardverrel, és saját eszköz (BYOD) forgatókönyvekkel is üzembe helyezhető.
A biztonsági frissítések megfelelő biztonsági karbantartási higiéniát minden szinten az Intune-szabályzatok érvényesítik. Az eszköz biztonsági szintjének növekedésével kapcsolatos biztonsági különbségek a támadó által kihasználni kívánt támadási felület csökkentésére összpontosítanak (a lehető legnagyobb felhasználói hatékonyság megőrzése mellett). A nagyvállalati és speciális szintű eszközök lehetővé teszik a hatékonyságnövelő alkalmazásokat és az általános webböngészést, a kiemelt hozzáférésű munkaállomások azonban nem. A vállalati felhasználók saját alkalmazásokat telepíthetnek, de a speciális felhasználók nem (és nem helyi rendszergazdák a munkaállomásaikon).
Jegyzet
A webböngészés itt az tetszőleges webhelyekhez való általános hozzáférést jelenti, ami nagy kockázatú tevékenység lehet. Az ilyen böngészés teljesen más, mint a webböngésző használata, amely néhány jól ismert felügyeleti webhelyet biztosít olyan szolgáltatásokhoz, mint az Azure, a Microsoft 365, a többi felhőszolgáltató és az SaaS-alkalmazások.
A megbízhatóság hardveres gyökere
A biztonságos munkaállomások alapvető fontosságúak egy ellátási lánc megoldásában, ahol egy megbízható munkaállomást, az úgynevezett "megbízhatóság gyökerét" használjuk. A megbízhatósági hardver gyökerének kiválasztásánál figyelembe kell venni a modern laptopok következő technológiáit:
- Megbízható platform modul (TPM) 2.0
- BitLocker meghajtótitkosítása
- UEFI biztonságos rendszerindítás
- Meghajtók és belső vezérlőprogramok, amelyeket a Windows Update keresztül terjesztenek
- Virtualizálás és HVCI-kompatibilis
- HVCI-kompatibilis illesztőprogramok és alkalmazások
- Windows Hello
- DMA I/O védelme
- Rendszerőrség
- Modern Készenléti
Ebben a megoldásban a bizalom gyökerét a Windows Autopilot technológia segítségével helyezik üzembe, modern technikai követelményeknek megfelelő hardverrel. A munkaállomások védelme érdekében az Autopilot lehetővé teszi a Microsoft OEM által optimalizált Windows 10-eszközök használatát. Ezek az eszközök ismert jó állapotban vannak a gyártótól. A potenciálisan nem biztonságos eszközök újraimálása helyett az Autopilot "üzleti használatra kész" állapotba alakíthatja a Windows 10-eszközöket. Beállításokat és szabályzatokat alkalmaz, alkalmazásokat telepít, és még a Windows 10 kiadását is módosítja.
Eszközszerepkörök és -profilok
Ez az útmutató bemutatja, hogyan erősítheti meg a Windows 10-et, és hogyan csökkentheti az eszközök vagy a felhasználók kompromittálódásával járó kockázatokat. A modern hardvertechnológia és a megbízhatósági eszköz gyökereinek kihasználása érdekében a megoldás az eszközállapot-igazolásthasználja. Ez a képesség biztosítja, hogy a támadók ne legyenek állandók az eszköz korai indításakor. Ezt úgy teszi, hogy szabályzatot és technológiát használ a biztonsági funkciók és kockázatok kezeléséhez.
- Nagyvállalati eszköz – Az első felügyelt szerepkör az otthoni felhasználók, a kisvállalati felhasználók, az általános fejlesztők és a vállalatok számára hasznos, ahol a szervezetek a minimális biztonsági sávot szeretnék emelni. Ez a profil lehetővé teszi a felhasználók számára, hogy bármilyen alkalmazást futtatjanak, és bármilyen webhelyet böngészhessenek, de olyan kártevőirtó és végpontészlelési és -válaszmegoldásra (EDR) van szükség, mint Microsoft Defender for Endpoint. A biztonsági helyzet növeléséhez szabályzatalapú megközelítést alkalmazunk. Biztonságos eszközt biztosít az ügyféladatok kezeléséhez, miközben olyan hatékonyságnövelő eszközöket is használ, mint az e-mailek és a webböngészés. A naplózási szabályzatok és az Intune lehetővé teszi egy vállalati munkaállomás monitorozását a felhasználói viselkedés és a profilhasználat szempontjából.
A emelt szintű hozzáférés központi telepítésének vállalati biztonsági profilja útmutató JSON-fájlokkal konfigurálja ezt a Windows 10-zel és a megadott JSON-fájlokkal.
-
specializált eszköz – Ez jelentős lépést jelent a vállalati használatból azáltal, hogy megszünteti a munkaállomás önadminisztrációjának lehetőségét, és korlátozza, hogy mely alkalmazások futhatnak csak a jogosult rendszergazda által telepített alkalmazásokra (a programfájlokban és az előre jóváhagyott alkalmazásokban a felhasználói profil helyén). Az alkalmazások telepítésének megszüntetése hatással lehet a termelékenységre, ha helytelenül implementálják, ezért győződjön meg arról, hogy hozzáférést biztosított a Microsoft Store-alkalmazásokhoz vagy a vállalati felügyelt alkalmazásokhoz, amelyek gyorsan telepíthetők a felhasználók igényeinek megfelelően. A speciális szintű eszközökkel konfigurálandó felhasználókkal kapcsolatos útmutatásért lásd emelt szintű hozzáférési biztonsági szinteket
- A specializált biztonsági felhasználó szabályozottabb környezetet igényel, miközben továbbra is képes az olyan tevékenységekre, mint az e-mailek és a webböngészés, egy egyszerűen használható felületen. Ezek a felhasználók olyan funkciókat várnak el, mint a cookie-k, a kedvencek és más billentyűparancsok, de nem igénylik az eszköz operációs rendszerének módosítását vagy hibakeresését, illesztőprogramok telepítését vagy hasonlókat.
A speciális biztonsági profil a emelt szintű hozzáférés központi telepítésének útmutatásában JSON-fájlok és Windows 10 segítségével konfigurálja ezt, a megadott JSON-fájlokkal.
-
Privileged Access Workstation (PAW) – Ez a legmagasabb biztonsági konfiguráció, amelyet rendkívül érzékeny szerepkörökhöz terveztek, amelyek jelentős vagy jelentős hatással lennének a szervezetre, ha a fiókjuk sérülne. A PAW-konfiguráció olyan biztonsági vezérlőket és szabályzatokat tartalmaz, amelyek korlátozzák a helyi rendszergazdai hozzáférést és a hatékonyságnövelő eszközöket, hogy a támadási felület csak a bizalmas feladatok elvégzéséhez feltétlenül szükséges legyen.
Ez megnehezíti a PAW-eszköz feltörését a támadók számára, mivel blokkolja az adathalász támadások leggyakoribb vektorát: az e-maileket és a webes böngészést.
Ahhoz, hogy ezek a felhasználók termelékenységet biztosítsanak, külön fiókokat és munkaállomásokat kell biztosítani a hatékonyságnövelő alkalmazásokhoz és a webes böngészéshez. Bár ez kényelmetlen, ez egy szükséges ellenőrzés a felhasználók védelméhez, akiknek a fiókja kárt okozhat a szervezet legtöbb vagy összes erőforrásában.
- A privileged munkaállomások olyan edzett munkaállomást biztosítanak, amely egyértelmű alkalmazásvezérléssel és alkalmazásőrrel rendelkezik. A munkaállomás hitelesítőadat-védőt, eszközőrt, alkalmazásőrt és biztonsági őrt használ, hogy megvédje a gazdagépet a rosszindulatú viselkedéstől. Minden helyi lemez titkosítva van a BitLockerrel, és a webes forgalom korlátozott számú engedélyezett célhelyre korlátozódik (az összes megtagadása).
Az jogosultsági hozzáférés központi telepítésének kiemelt biztonsági profilja útmutató JSON-fájlokkal konfigurálja ezt a Windows 10-zel és a megadott JSON-fájlokkal.
Következő lépések
Biztonságos, Azure által felügyelt munkaállomás üzembe helyezése.