Usar estações de trabalho de acesso privilegiado
- {númeroDeMinutos} minutos
Ao analisar o relatório de segurança produzido por consultores para a Contoso, você descobriu que hackers mal-intencionados se concentram em estações de trabalho que são usadas regularmente por administradores com acesso de alto nível à infraestrutura. Portanto, é importante garantir que essas estações de trabalho sejam seguras.
O que é uma estação de trabalho de acesso privilegiado?
Uma estação de trabalho de acesso privilegiado (PAW) é um computador que você pode usar para executar tarefas de administração, como a administração de sistemas de identidade, serviços de nuvem e outras funções confidenciais. Este computador está protegido da Internet e bloqueado para que apenas as aplicações de administração necessárias possam ser executadas.
Atenção
Certifique-se de que as contas de usuário administrativo não sejam usadas como contas de usuário padrão.
Você nunca deve usar essa estação de trabalho para navegação na Web, e-mail e outros aplicativos comuns de usuário final, e ela deve ter um controle estrito de aplicativos. Não deve permitir a ligação a redes sem fios ou a dispositivos USB externos. Um PAW deve implementar recursos de segurança, como autenticação multifator (MFA).
Gorjeta
Você deve configurar servidores privilegiados para não aceitar conexões de uma estação de trabalho sem privilégios.
A Microsoft recomenda o uso do Windows 11 Enterprise para seus PAWs. Isso ocorre porque o Windows 11 Enterprise oferece suporte a recursos de segurança que não estão disponíveis em outras edições. Esses recursos do Windows Defender são descritos na tabela a seguir.
| Funcionalidade | Description |
|---|---|
| Controlo de Aplicações do Windows Defender | Afasta-se do modelo tradicional de confiança de aplicativos, em que todos os aplicativos são considerados confiáveis por padrão, para um modelo em que os aplicativos devem ganhar confiança para serem executados. |
| Proteção de credenciais do Windows Defender | Protege hashes de senha NTLM, tíquetes de concessão de tíquetes Kerberos e credenciais armazenadas por aplicativos como credenciais de domínio. Como eles não estão mais armazenados na autoridade de segurança local (LSA), o roubo de credenciais pode ser bloqueado mesmo em um sistema comprometido. |
| Proteção de dispositivo do Windows Defender | Combina os recursos do Controle de Aplicativos do Windows com a capacidade de usar o hipervisor Hyper-V do Windows para proteger os processos do modo kernel do Windows contra a injeção e a execução de código mal-intencionado ou não verificado. |
| Windows Defender Exploit Guard | Permite que os administradores definam e gerenciem políticas para reduzir ataques e explorações de superfície, proteção de rede e proteção de aplicativos suspeitos de acessar pastas comumente visadas. |
Perfis de hardware PAW
É importante lembrar que os administradores também são usuários. Isso significa que eles usam email, navegam na Web e executam aplicativos de produtividade como o Microsoft Office. Um PAW configurado corretamente afeta severamente a capacidade do usuário de ser produtivo em tarefas não administrativas.
Atenção
Vale lembrar que os usuários tendem a abandonar soluções seguras que limitam a produtividade em favor de soluções inseguras que aumentam a produtividade.
Para manter a segurança, os usuários administradores devem receber duas estações de trabalho. Uma estação de trabalho é um PAW, enquanto a outra é usada para tarefas do dia-a-dia que não exigem elevação. Você pode obter essa separação usando perfis de hardware PAW. A Microsoft recomenda o uso de um dos seguintes perfis de hardware:
- Hardware dedicado. Separe dispositivos dedicados para tarefas do usuário e tarefas administrativas. A estação de trabalho de administração deve oferecer suporte a mecanismos de segurança de hardware, como um TPM (trusted platform module), e implementar os recursos de segurança do Windows 10 Enterprise já discutidos.
- Utilização simultânea. Um único dispositivo que pode executar tarefas de usuário e tarefas administrativas simultaneamente executando dois sistemas operacionais, onde um é um sistema de usuário e o outro é um sistema de administrador. Você pode fazer isso executando um sistema operacional separado em uma VM para uso diário.
Atenção
Se você estiver usando um único dispositivo, verifique se o PAW é executado no computador físico, enquanto sua estação de trabalho normal está sendo executada como uma VM. Isso fornece a segurança correta.
A tabela a seguir descreve as vantagens e desvantagens dessas abordagens.
| Cenário | Vantagens | Desvantagens |
|---|---|---|
| Hardware dedicado | Forte separação de segurança | Requer dois dispositivos. Isso requer mais espaço e custa mais para implementar. |
| Utilização Simultânea | Custos de hardware reduzidos | Partilhar o mesmo teclado e rato pode resultar em erros e representar riscos de segurança. |