本指南是完整特权访问策略的一部分,作为特权访问部署的一部分实现
用于 特权访问 的端到端零信任安全性需要设备安全性的坚实基础,以便为会话生成其他安全保证。 虽然可以在会话中增强安全保证,但它们受原始设备中安全保证的增强程度的限制。 控制此设备的攻击者可以模拟其上的用户,或窃取其凭据以供将来模拟。 此风险会破坏帐户、中介(如跳转服务器)和资源本身的其他保证。 有关详细信息,请参阅 清洁源原则
本文概述了安全控制,以便在整个生命周期内为敏感用户提供安全工作站。
此解决方案依赖于 Windows 10作系统中的核心安全功能、Microsoft Defender for Endpoint、Microsoft Entra ID 和 Microsoft Intune。
谁受益于安全工作站?
所有用户和操作员都受益于使用安全工作站。 入侵电脑或设备的攻击者可以模拟或窃取使用该电脑或设备的所有帐户的凭据/令牌,从而破坏许多其他安全保证。 对于管理员或敏感帐户,这允许攻击者提升特权并增加他们在组织中拥有的访问权限,通常显著提升到域、全局或企业管理员权限。
有关安全级别以及应将哪些用户分配到哪个级别的详细信息,请参阅 特权访问安全级别
设备安全控制
安全工作站的成功部署要求它是端到端方法的一部分,包括应用于应用程序接口的设备、帐户、中介和安全策略。 必须解决堆栈的所有元素,才能制定完整的特权访问安全策略。
下表汇总了不同设备级别的安全控制:
| Profile | Enterprise | 专业 | 特权 |
|---|---|---|---|
| Microsoft Endpoint Manager (MEM) 托管 | 是的 | 是的 | 是的 |
| 拒绝 BYOD 设备注册 | 否 | 是的 | 是的 |
| 应用的 MEM 安全基线 | 是的 | 是的 | 是的 |
| Microsoft Defender 端点版 | 是的* | 是的 | 是的 |
| 通过 Autopilot 加入个人设备 | 是的* | 是的* | 否 |
| 限制为已批准列表的 URL | 允许最多 | 允许最多 | 拒绝默认值 |
| 删除管理员权限 | 是的 | 是的 | |
| 应用程序执行控制 (AppLocker) | 审核 -> 强制实施 | 是的 | |
| 仅 MEM 安装的应用程序 | 是的 | 是的 |
注释
可以使用新的硬件、现有硬件和自带设备(BYOD)方案部署解决方案。
在所有级别,Intune 策略将强制实施安全更新的良好安全维护卫生。 随着设备安全级别的提高,安全性的差异侧重于减少攻击者可能尝试利用的攻击面(同时保持尽可能多的用户工作效率)。 企业和专用级别设备允许生产力应用程序和常规 Web 浏览,但特权访问工作站没有。 企业用户可能会安装自己的应用程序,但专用用户可能不是其工作站的本地管理员。
注释
此处的 Web 浏览是指对可能具有高风险活动的任意网站的常规访问。 此类浏览与使用 Web 浏览器访问 Azure、Microsoft 365、其他云提供商和 SaaS 应用程序等服务的少数已知管理网站截然不同。
硬件信任根
安全工作站至关重要的是一种供应链解决方案,你可以使用名为“信任根”的受信任工作站。 在选择信任硬件根时必须考虑的技术应包括现代笔记本电脑中包含的以下技术:
- 受信任的平台模块 (TPM) 2.0
- BitLocker 驱动器加密
- UEFI 安全启动
- 通过 Windows 更新分发的驱动程序和固件
- 虚拟化和 HVCI 已启用
- 驱动程序和应用 HVCI 就绪
- Windows Hello
- DMA I/O 保护
- 系统防护
- 新式待机
对于此解决方案,将使用 Windows Autopilot 技术与满足现代技术要求的硬件部署信任根。 为了保护工作站,Autopilot 允许你利用 Microsoft OEM 优化的 Windows 10 设备。 这些设备处于制造商的已知良好状态。 Autopilot 可以将 Windows 10 设备转换为“业务就绪”状态,而不是重新映像可能不安全的设备。 它应用设置和策略、安装应用和更改 Windows 10 版本。
设备角色和配置文件
本指南演示如何强化 Windows 10 并降低与设备或用户泄露相关的风险。 为了利用新式硬件技术和信任设备根,解决方案使用 设备运行状况证明。 此功能存在,可确保攻击者在设备早期启动期间无法持久。 它通过使用策略和技术来帮助管理安全功能和风险来执行此作。
- 企业设备 – 第一个托管角色适用于家庭用户、小型企业用户、普通开发人员和企业,组织希望提高最低安全标准。 此配置文件允许用户运行任何应用程序并浏览任何网站,但需要Microsoft Defender for Endpoint 等反恶意软件和终结点检测和响应(EDR)解决方案。 采用基于策略的方法来提高安全状况。 它提供了一种安全的方法,用于处理客户数据,同时使用生产力工具,如电子邮件和 Web 浏览。 通过审核策略和 Intune,可以监视企业工作站的用户行为和配置文件使用情况。
特权访问部署指南中的企业安全配置文件使用 JSON 文件通过 Windows 10 和提供的 JSON 文件对此进行配置。
-
专用设备 – 这表示企业使用情况的显著提升,方法是删除自我管理工作站的能力,并限制哪些应用程序只能运行给授权管理员安装的应用程序(在用户配置文件位置的程序文件和预先批准的应用程序)。 如果无法正确实施,则删除安装应用程序的能力可能会影响工作效率,因此请确保已提供对Microsoft存储应用程序或公司托管应用程序的访问权限,这些应用程序可以快速安装以满足用户需求。 有关应使用专用级别设备配置用户的指导,请参阅 特权访问安全级别
- 专用安全用户要求更受控的环境,同时仍能够在易于使用的体验中执行电子邮件和 Web 浏览等活动。 这些用户需要 Cookie、收藏夹和其他快捷方式等功能才能正常工作,但不需要修改或调试其设备作系统、安装驱动程序或类似功能。
特权访问部署指南中的专用安全配置文件使用 JSON 文件通过 Windows 10 和提供的 JSON 文件来配置此配置文件。
-
特权访问工作站 (PAW) - 这是专为极其敏感的角色设计的最高安全配置,如果帐户遭到入侵,这些角色会对组织产生重大或重大影响。 PAW 配置包括安全控制和策略,这些控制措施和策略限制本地管理访问和生产力工具,以最大程度地减少攻击面,以仅将执行敏感作业任务所需的内容降至最低。
这使得攻击者难以入侵 PAW 设备,因为它阻止了钓鱼攻击的最常见途径:电子邮件和 Web 浏览。
若要为这些用户提供工作效率,必须为生产力应用程序和 Web 浏览提供单独的帐户和工作站。 虽然不方便,但这是保护帐户可能对组织中大部分或所有资源造成损害的用户的必要控制。
- Privileged 工作站提供一个强化的工作站,该工作站具有明确的应用程序控制和应用程序防护。 工作站使用凭据防护、设备防护、应用防护和攻击防护来保护主机免受恶意行为的影响。 所有本地磁盘都使用 BitLocker 加密,Web 流量限制为一组允许的目标(全部拒绝)。
特权访问部署指南中的特权安全配置文件使用 JSON 文件通过 Windows 10 和提供的 JSON 文件来配置此配置文件。