Поделиться через

"Никому не доверяй" и работоспособности устройств Windows

  • Статья

Организациям нужна модель безопасности, которая более эффективно адаптируется к сложности современной рабочей среды. ИТ-администраторы должны использовать гибридное рабочее место, защищая людей, устройства, приложения и данные, где бы они ни находились. Реализация модели "Никому не доверяй" для обеспечения безопасности помогает решать сложные современные среды.

Принципы "Никому не доверяй":

  • Проверка явным образом. Всегда выполняйте проверку подлинности и авторизацию на основе всех доступных точек данных, включая удостоверение пользователя, расположение, работоспособности устройства, службу или рабочую нагрузку, классификацию данных и мониторинг аномалий.
  • Используйте доступ с минимальными привилегиями. Ограничьте доступ пользователей с помощью JIT и достаточного доступа, адаптивных политик на основе рисков и защиты данных, чтобы защитить данные и поддерживать производительность
  • Предположим, что нарушение. Предотвратить получение доступа злоумышленниками, чтобы свести к минимуму потенциальный ущерб для данных и систем. Защита привилегированных ролей, проверка сквозного шифрования, использование аналитики для получения видимости и обнаружение угроз для улучшения защиты

Концепция проверки "Никому не доверяй" явно применяется к рискам, создаваемым как устройствами, так и пользователями. Windows включает возможности аттестации работоспособности устройств и условного доступа , которые используются для предоставления доступа к корпоративным ресурсам.

Условный доступ оценивает сигналы идентификации, чтобы подтвердить, что пользователи являются тем, за кого они говорят, прежде чем им будет предоставлен доступ к корпоративным ресурсам.

Windows 11 поддерживает аттестацию работоспособности устройств, помогая подтвердить, что устройства находятся в хорошем состоянии и не были изменены. Эта возможность помогает пользователям получать доступ к корпоративным ресурсам независимо от того, находитесь ли они в офисе, дома или во время поездок.

Аттестация помогает проверить удостоверение и состояние основных компонентов, а также то, что устройство, встроенное ПО и процесс загрузки не были изменены. Сведения о встроенном ПО, процессе загрузки и программном обеспечении используются для проверки состояния безопасности устройства. Эти сведения криптографически хранятся в доверенном платформенный модуль (TPM) для совместного обработчика безопасности. После аттестации устройство может получить доступ к ресурсам.

Аттестация работоспособности устройств в Windows

Во время загрузки может возникнуть множество рисков безопасности, так как этот процесс может быть наиболее привилегированным компонентом всей системы. Процесс проверки использует удаленную аттестацию в качестве безопасного канала для определения и представления работоспособности устройства. Удаленная аттестация определяет:

  • Если устройство может быть доверенным
  • Если операционная система загружена правильно
  • Если в ОС включен правильный набор функций безопасности

Эти определения выполняются с помощью защищенного корня доверия с помощью доверенного платформенного модуля (TPM). Устройства могут подтвердить, что TPM включен и что устройство не было изменено.

Windows включает множество функций безопасности для защиты пользователей от вредоносных программ и атак. Однако доверия к компонентам безопасности Windows можно добиться только в том случае, если платформа загружается должным образом и не была изменена. Windows использует безопасную загрузку единого расширенного встроенного ПО (UEFI), антивредоносное ПО при раннем запуске (ELAM), динамический корень доверия для измерения (DRTM), доверенную загрузку и другие низкоуровневые функции безопасности оборудования и встроенного ПО. При включении компьютера до запуска защиты от вредоносных программ Windows будет поддерживаться соответствующей конфигурацией оборудования, чтобы обеспечить безопасность. Измеряемая и доверенная загрузка, реализованная загрузчиками и BIOS, проверяет и криптографически записывает каждый шаг загрузки в цепочке. Эти события привязаны к сопроцессору безопасности (TPM), который выступает в качестве корня доверия. Удаленная аттестация — это механизм, с помощью которого эти события считываются и проверяются службой для предоставления проверяемого, объективного и устойчивого отчета о незаконном использовании. Удаленная аттестация — это доверенный аудитор загрузки системы, позволяющий определенным сущностям доверять устройству.

Ниже приведена сводка действий, связанных с аттестацией и "Никому не доверяй" на стороне устройства.

  1. На каждом этапе процесса загрузки, например при загрузке файла, обновлении специальных переменных и т. д., такие сведения, как хэши файлов и сигнатуры, измеряются в PCR доверенного платформенного модуля. Измерения связаны спецификацией группы доверенных вычислений (TCG), которая определяет, какие события можно записывать и формат каждого события.

  2. После загрузки Windows аттестер или средство проверки запрашивает TPM для получения измерений, хранящихся в регистре конфигурации платформы (PCR), вместе с журналом TCG. Измерения в обоих этих компонентах вместе образуют свидетельство аттестации, которое затем отправляется в службу аттестации.

  3. Доверенный платформенный модуль проверяется с помощью ключей или криптографических материалов, доступных на наборе микросхем со службой сертификатов Azure.

  4. Затем эти сведения отправляются в службу аттестации в облаке, чтобы убедиться, что устройство безопасно. Microsoft Endpoint Manger интегрируется с Microsoft Аттестация Azure для комплексного просмотра работоспособности устройств и подключения этих сведений к Microsoft Entra условного доступа. Эта интеграция является ключом для решений "Никому не доверяй", которые помогают привязать доверие к ненадежным устройствам

  5. Служба аттестации выполняет следующие задачи:

    • Проверьте целостность доказательств. Эта проверка выполняется путем проверки PCR, которые соответствуют значениям, повторно вычисляемым путем воспроизведения журнала TCG.
    • Убедитесь, что доверенный платформенный модуль имеет действительный ключ удостоверения аттестации, выданный доверенным модулем, прошедшим проверку подлинности.
    • Убедитесь, что функции безопасности находятся в ожидаемом состоянии

  6. Служба аттестации возвращает отчет об аттестации, содержащий сведения о функциях безопасности на основе политики, настроенной в службе аттестации.

  7. Затем устройство отправляет отчет в облако Microsoft Intune для оценки надежности платформы в соответствии с правилами соответствия устройств, настроенными администратором.

  8. Условный доступ, а также состояние соответствия устройства, затем решает разрешить или запретить доступ

Другие ресурсы

Дополнительные сведения о решениях "Никому не доверяй" (Майкрософт) см. в центре руководств по обеспечению никому не доверяй.