Защита устройств в ходе развития привилегированного доступа
Это руководство является частью полной стратегии привилегированного доступа и реализуется в рамках развертывания привилегированного доступа.
Модель комплексной защиты "Никому не доверяй" для привилегированного доступа требует надежной платформы безопасности устройств, на основе которой можно обеспечить другие гарантии безопасности сеанса. Хотя гарантии безопасности могут быть улучшены в сеансе, они всегда будут ограничены надежностью гарантий безопасности в исходном устройстве. Злоумышленник, имеющий контроль над этим устройством, может олицетворить пользователей на нем или украсть учетные данные для будущего олицетворения. Этот риск нарушает другие гарантии для учетной записи, посредников, таких как серверы переходов, и самих ресурсов. Дополнительные сведения см. в разделе Принцип чистоты источника.
В этой статье представлен обзор элементов управления безопасностью, обеспечивающих безопасную рабочую станцию для конфиденциальных пользователей в течение всего жизненного цикла.
Это решение использует основные возможности безопасности в операционной системе Windows 10, Microsoft Defender для конечной точки, идентификаторе Microsoft Entra и Microsoft InTune.
Кто получает преимущества от защищенной рабочей станции?
Все пользователи и операторы получают преимущества от использования защищенной рабочей станции. Злоумышленник, который скомпрометировал компьютер или устройство, может олицетворить или украсть учетные данные или маркеры всех учетных записей, которые его используют, нарушив тем самым многие или все прочие гарантии безопасности. Учетные записи администратора или конфиденциальные учетные записи позволяют злоумышленникам эскалировать привилегии и повышать уровень доступа в вашей организации, нередко до уровня привилегий администратора домена, глобального администратора или администратора предприятия.
Дополнительные сведения об уровнях безопасности и о том, какие пользователи должны быть назначены на различных уровнях, см. в разделе Уровни безопасности привилегированного доступа.
Элементы управления безопасностью устройств
Для успешного развертывания защищенной рабочей станции необходимо, чтобы она была частью комплексного подхода, охватывающего устройства, учетные записи, посредники и политики безопасности, применяемые к вашим интерфейсам приложений. Все элементы стека должны быть учтены в полной стратегии безопасности привилегированного доступа.
В этой таблице перечислены элементы управления безопасностью для различных уровней устройств.
Profile | Функции корпоративного уровня | Специализированный | Привилегированная |
---|---|---|---|
Управление Microsoft Endpoint Manager (MEM) | Да | Да | Да |
Отказ регистрации устройств BYOD | No | Да | Да |
Применение базового плана безопасности MEM | Да | Да | Да |
Microsoft Defender для конечной точки | Да* | Да | Да |
Присоединение личного устройства посредством Автопилота | Да* | Да* | No |
URL-адреса ограничены утвержденным списком | Большинство разрешено | Большинство разрешено | Запрещено по умолчанию |
Удаление прав администратора | Да | Да | |
Управление выполнением приложений (AppLocker) | Принудительный аудит > | Да | |
Установка приложений только через MEM | Да | Да |
Примечание.
Решение можно развернуть на новом оборудовании, имеющемся оборудовании и в сценариях использования собственных устройств (BYOD).
Качественную гигиену обслуживания безопасности для обновления системы безопасности на всех уровнях будут обеспечивать политики Intune. Различия в средствах безопасности при увеличении уровня безопасности устройств направлены на сокращение направлений атак, которые злоумышленник может пытаться использовать (сохраняя как можно большую эффективность работы пользователей). Корпоративные и специализированные устройства обеспечивают запуск офисных приложений и общий просмотр веб-страниц, а рабочие станции с привилегированным доступом — нет. Корпоративные пользователи могут устанавливать собственные приложения, а специализированные пользователи не могут (и не являются локальными администраторами своих рабочих станций).
Примечание.
Просмотр веб-страниц в Интернете означает общий доступ к произвольным веб-сайтам, которые могут быть высокорисковыми. Такой просмотр заметно отличается от использования веб-браузера для доступа к небольшому числу хорошо известных административных веб-сайтов для таких служб, как Azure, Microsoft 365, другие поставщики облачных решений и приложения SaaS.
Аппаратный корень доверия
Для защищенной рабочей станции важно решение цепочки поставок, в котором используется доверенная рабочая станция, называемая "корнем доверия". Технология, которую следует рассматривать при выборе оборудования для корня доверия, должна включать в себя приведенные ниже технологии, которыми оснащены современные ноутбуки:
- доверенный платформенный модуль (TPM) 2.0;
- Шифрование дисков BitLocker
- безопасная загрузка UEFI;
- драйверы и встроенное ПО, распространяемое через Центр обновления Windows;
- виртуализация и поддержка HVCI;
- драйверы и приложения, совместимые с HVCI;
- Windows Hello
- защита ввода-вывода DMA;
- System Guard;
- современный ждущий режим.
Для этого решения корень доверия будет развернут с помощью технологии Автопилот Windows на оборудовании, которое соответствует современным техническим требованиям. Для защиты рабочей станции Автопилот позволяет использовать оптимизированные для Microsoft OEM устройства с Windows 10. Эти устройства поставляются производителем в известном хорошем состоянии. Вместо того чтобы пересоздать образ потенциально небезопасного устройства, Автопилот может преобразовать устройство с Windows 10 в состояние "готово к использованию". Этот процесс применяет настройки и политики, устанавливает приложения и даже изменяет выпуск Windows 10.
Роли и профили устройств
В этом руководстве показано, как защитить Windows 10 и снизить риски, связанные с компрометацией устройства или пользователя. Чтобы можно было воспользоваться преимуществами современных аппаратных технологий и устройства корня доверия, решение использует подтверждение работоспособности устройства. Эта возможность гарантирует, что злоумышленники не смогут сохранять доступ при раннем запуске устройства. Для этого применяются политики и технологии, помогающие управлять функциями безопасности и рисками.
- Корпоративное устройство — первая управляемая роль, которая подходит для домашних пользователей, пользователей малого бизнеса, разработчиков приложений общего назначения и предприятий, на которых требуется поднять минимальную планку безопасности. Этот профиль позволяет пользователям запускать любые приложения и просматривать любые веб-сайты, но требует наличия решения для защиты от вредоносных программ и обнаружения и нейтрализации атак на конечные точки (EDR), например Microsoft Defender для конечной точки. Для повышения безопасности применяется подход на основе политик. Он обеспечивает безопасную работу с данными клиентов, а также использование офисных инструментов, таких как электронная почта и просмотр веб-страниц. Политики аудита и Intune позволяют отслеживать поведение пользователя и профиль на корпоративной рабочей станции.
Корпоративный профиль безопасности в руководстве по развертыванию привилегированного доступа использует предоставленные JSON-файлы для настройки этих элементов в Windows 10.
- Специализированное устройство представляет значительное повышение уровня по сравнению с корпоративным устройством за счет удаления возможности самостоятельного администрирования рабочей станции и ограничения полномочным администратором приложений, устанавливаемых в папку "Program Files", а также предварительно утвержденных приложений в расположении профиля пользователя. Удаление возможности установки приложений может повлиять на эффективность работы, если реализовать это неправильно. Убедитесь, что вы предоставили доступ к приложениям Microsoft Store или корпоративным управляемым приложениям, которые можно быстро установить в соответствии с потребностями пользователей. Руководство по настройке пользователей для специализированных устройств приведено в статье Уровни безопасности привилегированного доступа.
- Специализированный пользователь безопасности требует более управляемой среды, при этом он должен иметь возможность выполнять такие действия, как обмен электронной почтой и просмотр веб-страниц, с помощью удобного интерфейса Этим пользователям требуются такие функции, как файлы cookie, избранное и другие ярлыки, но им не нужны возможности для изменения или отладки операционной системы устройства, установки драйверов и т. п.
Специализированный профиль безопасности в руководстве по развертыванию привилегированного доступа использует предоставленные JSON-файлы для настройки этих элементов в Windows 10.
- Рабочая станция привилегированного доступа (PAW) — это самая высокая конфигурация безопасности, предназначенная для очень конфиденциальных ролей, которые будут иметь значительное или материальное влияние на организацию, если их учетная запись была скомпрометирована. Конфигурация PAW включает в себя элементы управления и политики безопасности, ограничивающие локальный административный доступ и офисные инструменты, чтобы сократить направления атак до средств, которые действительно необходимы для выполнения конфиденциальных задач.
Это усложняет компрометацию устройства PAW для злоумышленников, так как оно блокирует наиболее распространенный вектор для фишинговых атак: электронную почту и просмотр веб-страниц.
Чтобы обеспечить эффективную работу этих пользователей, необходимо предоставить им отдельные учетные записи и рабочие станции для запуска офисных приложений и просмотра веб-страниц. Хотя это неудобно, но это необходимый элемент управления для защиты пользователей, учетные записи которых могут позволить нанести вред большинству или всем ресурсам в организации.
- Привилегированная рабочая станция предоставляет защищенную рабочую станцию с четким контролем приложений и службой Application Guard. Такая рабочая станция использует службы Credential Guard, Device Guard, Application Guard и Exploit Guard для защиты узла от вредоносного поведения. Все локальные диски шифруются с помощью BitLocker, а веб-трафик ограничивается определенным набором разрешенных назначений (все запрещено).
Привилегированный профиль безопасности в руководстве по развертыванию привилегированного доступа использует предоставленные JSON-файлы для настройки этих элементов в Windows 10.
Следующие шаги
Развертывание защищенной рабочей станции под управлением Azure.