Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Essa orientação faz parte de uma estratégia completa de acesso privilegiado e é implementada como parte da implantação de acesso privilegiado
A segurança de confiança zero de ponta a ponta para acesso privilegiado requer uma base forte de segurança do dispositivo na qual criar outras garantias de segurança para a sessão. Embora as garantias de segurança possam ser aprimoradas na sessão, elas são limitadas pela força das garantias de segurança no dispositivo de origem. Um invasor com controle desse dispositivo pode representar os usuários nele ou roubar suas credenciais para representação futura. Esse risco prejudica outras garantias na conta, intermediários como servidores de salto e nos próprios recursos. Para obter mais informações, consulte o princípio de origem limpa
O artigo fornece uma visão geral dos controles de segurança para fornecer uma estação de trabalho segura para usuários confidenciais durante todo o ciclo de vida.
Essa solução depende dos principais recursos de segurança no sistema operacional Windows 10, no Microsoft Defender para Ponto de Extremidade, na ID do Microsoft Entra e no Microsoft Intune.
Quem se beneficia de uma estação de trabalho segura?
Todos os usuários e operadores se beneficiam do uso de uma estação de trabalho segura. Um invasor que compromete um computador ou dispositivo pode representar ou roubar credenciais/tokens para todas as contas que o usam, prejudicando muitas ou todas as outras garantias de segurança. Para administradores ou contas confidenciais, isso permite que os invasores escalonem privilégios e aumentem o acesso que têm em sua organização, muitas vezes dramaticamente para privilégios de administrador corporativo, global ou de domínio.
Para obter detalhes sobre os níveis de segurança e quais usuários devem ser atribuídos a qual nível, consulte os níveis de segurança de acesso privilegiado
Controles de segurança do dispositivo
A implantação bem-sucedida de uma estação de trabalho segura exige que ela faça parte de uma abordagem de ponta a ponta, incluindo dispositivos, contas, intermediários e políticas de segurança aplicadas às interfaces do aplicativo. Todos os elementos da pilha devem ser abordados para uma estratégia completa de segurança de acesso privilegiado.
Esta tabela resume os controles de segurança para diferentes níveis de dispositivo:
| Profile | Enterprise | Especializada | Privilegiado |
|---|---|---|---|
| Gerenciado pelo MEM (Microsoft Endpoint Manager) | Yes | Yes | Yes |
| Negar registro de dispositivo BYOD | Não | Yes | Yes |
| Linha de base de segurança do MEM aplicada | Yes | Yes | Yes |
| Microsoft Defender para Endpoint | Sim* | Yes | Yes |
| Ingressar em dispositivo pessoal via Autopilot | Sim* | Sim* | Não |
| URLs restritas à lista aprovada | Permitir mais | Permitir mais | Negar Padrão |
| Remoção de direitos de administrador | Yes | Yes | |
| Controle de execução de aplicativo (AppLocker) | Auditoria –> Imposta | Yes | |
| Aplicativos instalados somente pelo MEM | Yes | Yes |
Observação
A solução pode ser implantada com hardware novo, hardware existente e cenários BYOD (dispositivo próprio).
Em todos os níveis, uma boa higiene de manutenção de segurança para atualizações de segurança será imposta pelas políticas do Intune. As diferenças na segurança à medida que o nível de segurança do dispositivo aumenta se concentram na redução da superfície de ataque que um invasor pode tentar explorar (preservando o máximo possível de produtividade do usuário). Dispositivos de nível corporativo e especializado permitem aplicativos de produtividade e navegação na Web geral, mas estações de trabalho de acesso privilegiado não. Os usuários empresariais podem instalar seus próprios aplicativos, mas os usuários especializados podem não (e não são administradores locais de suas estações de trabalho).
Observação
A navegação na Web aqui refere-se ao acesso geral a sites arbitrários que podem ser uma atividade de alto risco. Essa navegação é distintamente diferente de usar um navegador da Web para acessar um pequeno número de sites administrativos conhecidos para serviços como Azure, Microsoft 365, outros provedores de nuvem e aplicativos SaaS.
Raiz de hardware de confiança
Essencial para uma estação de trabalho protegida é uma solução de cadeia de suprimentos em que você usa uma estação de trabalho confiável chamada "raiz da confiança". A tecnologia que deve ser considerada na seleção da raiz do hardware de confiança deve incluir as seguintes tecnologias incluídas em laptops modernos:
- TPM (Trusted Platform Module) 2.0
- Criptografia de unidade do BitLocker
- Inicialização Segura UEFI
- Drivers e firmware distribuídos por meio do Windows Update
- Virtualização e HVCI Habilitadas
- Drivers e aplicativos prontos para HVCI
- Windows Hello
- Proteção contra E/S de DMA
- System Guard
- Espera moderna
Para essa solução, a raiz da confiança será implantada usando a tecnologia do Windows Autopilot com hardware que atenda aos requisitos técnicos modernos. Para proteger uma estação de trabalho, o Autopilot permite aproveitar os dispositivos Windows 10 otimizados para OEM da Microsoft. Esses dispositivos vêm em um bom estado conhecido do fabricante. Em vez de reimaginar um dispositivo potencialmente inseguro, o Autopilot pode transformar um dispositivo Windows 10 em um estado "pronto para negócios". Ele aplica configurações e políticas, instala aplicativos e altera a edição do Windows 10.
Funções e perfis de dispositivo
Esta orientação mostra como proteger o Windows 10 e reduzir os riscos associados ao comprometimento do dispositivo ou do usuário. Para aproveitar a tecnologia de hardware moderna e a raiz do dispositivo de confiança, a solução usa o Atestado de Integridade do Dispositivo. Essa funcionalidade está presente para garantir que os invasores não possam ser persistentes durante a inicialização antecipada de um dispositivo. Ele faz isso usando política e tecnologia para ajudar a gerenciar recursos e riscos de segurança.
- Dispositivo Enterprise – A primeira função gerenciada é boa para usuários domésticos, usuários de pequenas empresas, desenvolvedores gerais e empresas em que as organizações desejam elevar a barra de segurança mínima. Esse perfil permite que os usuários executem todos os aplicativos e naveguem por qualquer site, mas uma solução EDR (detecção e resposta de ponto de extremidade e antimalware), como o Microsoft Defender para Ponto de Extremidade , é necessária. Uma abordagem baseada em política para aumentar a postura de segurança é tomada. Ele fornece um meio seguro para trabalhar com dados do cliente e, ao mesmo tempo, usar ferramentas de produtividade, como email e navegação na Web. As políticas de auditoria e o Intune permitem monitorar uma estação de trabalho Enterprise para o comportamento do usuário e o uso do perfil.
O perfil de segurança da empresa nas diretrizes de implantação de acesso privilegiado usa arquivos JSON para configurá-lo com o Windows 10 e os arquivos JSON fornecidos.
-
Dispositivo especializado – isso representa um passo significativo do uso da empresa removendo a capacidade de autogerenciar a estação de trabalho e limitando quais aplicativos podem ser executados apenas para os aplicativos instalados por um administrador autorizado (nos arquivos do programa e aplicativos pré-aprovados no local do perfil do usuário. Remover a capacidade de instalar aplicativos pode afetar a produtividade se implementado incorretamente, portanto, verifique se você forneceu acesso a aplicativos da Microsoft Store ou aplicativos gerenciados corporativos que podem ser instalados rapidamente para atender às necessidades dos usuários. Para obter diretrizes sobre quais usuários devem ser configurados com dispositivos de nível especializado, consulte os níveis de segurança de acesso privilegiado
- O usuário de segurança especializado exige um ambiente mais controlado e ainda pode realizar atividades como email e navegação na Web em uma experiência simples de uso. Esses usuários esperam que recursos como cookies, favoritos e outros atalhos funcionem, mas não exigem a capacidade de modificar ou depurar o sistema operacional do dispositivo, instalar drivers ou similares.
O perfil de segurança especializado nas diretrizes de implantação de acesso privilegiado usa arquivos JSON para configurá-lo com o Windows 10 e os arquivos JSON fornecidos.
-
PAW (Estação de Trabalho de Acesso Privilegiado) – essa é a configuração de segurança mais alta projetada para funções extremamente confidenciais que teriam um impacto significativo ou material na organização se sua conta fosse comprometida. A configuração da PAW inclui controles de segurança e políticas que restringem o acesso administrativo local e as ferramentas de produtividade para minimizar a superfície de ataque apenas para o que é absolutamente necessário para executar tarefas de trabalho confidenciais.
Isso dificulta o comprometimento do dispositivo PAW para os invasores, pois bloqueia o vetor mais comum para ataques de phishing: email e navegação na Web.
Para fornecer produtividade a esses usuários, contas e estações de trabalho separadas devem ser fornecidas para aplicativos de produtividade e navegação na Web. Embora inconveniente, esse é um controle necessário para proteger os usuários cuja conta pode causar danos à maioria ou a todos os recursos da organização.
- Uma estação de trabalho com privilégios fornece uma estação de trabalho protegida que tem controle de aplicativo claro e proteção de aplicativo. A estação de trabalho usa proteção de credenciais, proteção de dispositivo, proteção de aplicativo e proteção de exploração para proteger o host contra comportamentos mal-intencionados. Todos os discos locais são criptografados com o BitLocker e o tráfego da Web é restrito a um conjunto de limites de destinos permitidos (Negar tudo).
O perfil de segurança privilegiado nas diretrizes de implantação de acesso privilegiado usa arquivos JSON para configurá-lo com o Windows 10 e os arquivos JSON fornecidos.
Próximas etapas
Implantar uma estação de trabalho segura gerenciada pelo Azure.