本指南是完整特殊許可權存取策略的一部分,並實作為特殊許可權存取部署的一部分
特權存取的端對端零信任安全性需要強大的裝置安全性基礎,在此基礎上為會話建立其他安全性保證。 雖然可以在階段作業中增強安全性保證,但它們會受到原始裝置中安全性保證強度的限制。 控制此裝置的攻擊者可以模擬其上的使用者或竊取其憑證以供將來模擬。 這種風險破壞了對帳戶、跳轉伺服器等中介機構以及資源本身的其他保證。 如需詳細資訊,請參閱 clean 來源原則
本文提供安全性控制的概觀,以在整個生命週期中為敏感使用者提供安全的工作站。
此解決方案依賴 Windows 10 作業系統、適用於端點的 Microsoft Defender、Microsoft Entra ID 和 Microsoft Intune 中的核心安全性功能。
誰受益於安全工作站?
所有使用者和操作員都可以從使用安全工作站中受益。 入侵電腦或裝置的攻擊者可以模擬或竊取使用它的所有帳戶的認證/令牌,從而破壞許多或所有其他安全保證。 對於系統管理員或敏感帳戶,這可讓攻擊者提升權限並增加他們在組織中的存取權,通常會大幅提升網域、全域或企業系統管理員權限。
如需安全性層級的詳細資訊,以及哪些使用者應該指派給哪個層級,請參閱 特殊許可權存取安全性層級
裝置安全控制
成功部署安全工作站需要它成為端對端方法的一部分,包括應用於應用程式介面的裝置、帳戶、中介和安全策略。 必須處理堆疊的所有元素,才能完成完整的特殊許可權存取安全性策略。
下表摘要說明不同裝置層級的安全控制:
| Profile | Enterprise | 專業 | 特權 |
|---|---|---|---|
| Microsoft Endpoint Manager (MEM) 受控 | Yes | Yes | Yes |
| 拒絕 BYOD 裝置註冊 | 否 | Yes | Yes |
| 已套用 MEM 安全性基準 | Yes | Yes | Yes |
| Microsoft Defender 端點防護 | 是* | Yes | Yes |
| 透過 Autopilot 加入個人裝置 | 是* | 是* | 否 |
| 僅限於核准清單的網址 | 允許最多 | 允許最多 | 拒絕預設值 |
| 刪除管理員權限 | Yes | Yes | |
| 應用程式執行控制 (AppLocker) | 稽核 -> 強制執行 | Yes | |
| 僅由 MEM 安裝的應用程式 | Yes | Yes |
備註
解決方案可以與新硬體、現有硬體和自帶裝置 (BYOD) 案例一起部署。
在所有層級,Intune 原則都會強制執行安全性更新的良好安全性維護衛生。 隨著裝置安全性層級的提高,安全性的差異著重於減少攻擊者可以嘗試利用的攻擊面 (,同時盡可能保留使用者生產力)。 企業和專用級設備允許生產力應用程序和一般 Web 瀏覽,但特權訪問工作站不允許。 企業使用者可以安裝自己的應用程式,但特殊使用者可能無法安裝 (且不是其工作站的本機管理員)。
備註
這裡的網頁瀏覽是指對任意網站的一般訪問,這可能是一項高風險活動。 這類瀏覽與使用 Web 瀏覽器存取少數知名管理網站,以取得 Azure、Microsoft 365、其他雲端供應商和 SaaS 應用程式等服務,明顯不同。
硬體信任根目錄
安全工作站的必要條件是供應鏈解決方案,您可以在其中使用稱為「信任根」的受信任工作站。 選擇信任根硬件時必須考慮的技術應包括現代筆記本電腦中包含的以下技術:
- 可信任平台模組 (TPM) 2.0
- BitLocker 磁碟機加密
- UEFI 安全啟動
- 透過 Windows Update 分發的驅動程式和韌體
- 虛擬化和 HVCI 啟用
- 驅動程式和應用程式 HVCI 就緒
- Windows 你好
- DMA I/O 保護
- 系統防護
- 新式待命
針對此解決方案,信任根目錄將使用 Windows Autopilot 技術與符合新式技術需求的硬體進行部署。 為了保護工作站,Autopilot 允許您利用 Microsoft OEM 優化的 Windows 10 設備。 這些設備在製造商處處於已知的良好狀態。 Autopilot 可以將 Windows 10 裝置轉換為「商務就緒」狀態,而不是重新映像潛在不安全的裝置。 它應用設置和策略、安裝應用程序並更改 Windows 10 版本。
裝置角色和設定檔
本指南示範如何強化 Windows 10,並降低與裝置或使用者入侵相關聯的風險。 若要利用新式硬體技術和信任根目錄裝置,解決方案會使用 裝置健康情況證明。 此功能的存在是為了確保攻擊者在裝置早期啟動期間無法持續存在。 它透過使用策略和技術來幫助管理安全功能和風險來實現這一點。
- 企業裝置 – 第一個受管理角色適用於家庭使用者、小型企業使用者、一般開發人員,以及組織想要提高最低安全性標準的企業。 此配置檔可讓使用者執行任何應用程式並流覽任何網站,但需要反惡意代碼和端點偵測和回應 (EDR) 解決方案,例如 適用於端點的 Microsoft Defender 。 採用策略型方法來增強安全態勢。 它提供了一種安全的方式來處理客戶數據,同時還可以使用電子郵件和網頁瀏覽等生產力工具。 稽核原則和 Intune 可讓您監視企業工作站的使用者行為和配置檔使用量。
特殊許可權存取部署指引中的企業安全性配置檔會使用 JSON 檔案來設定 Windows 10 和提供的 JSON 檔案。
-
專用裝置 – 這代表企業使用的重要進步,它移除了自我管理工作站的能力,並將哪些應用程式只能執行為授權管理員安裝的應用程式(在使用者設定檔位置的程式檔案和預先核准的應用程式中)。 如果實作不正確,移除安裝應用程式的功能可能會影響生產力,因此請確定您已提供 Microsoft 市集應用程式或公司受控應用程式的存取權,這些應用程式或公司受控應用程式可快速安裝以符合使用者需求。 如需哪些使用者應該設定特製層級裝置的指引,請參閱 特殊許可權存取安全性層級
- 專業安全使用者需要更受控的環境,同時仍能夠在簡單易用的體驗中執行電子郵件和網頁瀏覽等活動。 這些用戶希望 cookie、收藏夾和其他快捷方式等功能能夠正常工作,但不需要修改或調試其設備操作系統、安裝驅動程序或類似功能。
特殊許可權存取部署指引中的特殊化安全性配置檔會使用 JSON 檔案來設定此專案,並搭配 Windows 10 和提供的 JSON 檔案。
-
特殊許可權存取工作站 (PAW) — 這是專為極其敏感的角色所設計的最高安全性設定,如果其帳戶遭到入侵,這些角色將對組織產生重大或重大影響。 PAW 設定包含安全性控制和原則,可限制本機系統管理存取和生產力工具,以將攻擊面降到最低,僅執行敏感性工作工作絕對需要。
這使得攻擊者很難破壞 PAW 設備,因為它阻止了網絡釣魚攻擊最常見的載體:電子郵件和網頁瀏覽。
為了為這些使用者提供生產力,必須為生產力應用程式和網頁瀏覽提供單獨的帳戶和工作站。 雖然不方便,但這是必要的控制項,可保護其帳戶可能對組織中大部分或所有資源造成損害的使用者。
- 「特殊許可權」工作站提供具有明確應用程式控制及應用程式防護的強化工作站。 工作站會使用認證防護、裝置防護、應用程式防護和惡意探索防護來保護主機免受惡意行為的侵害。 所有本機磁碟都會使用 BitLocker 加密,而 Web 流量會限制為一組允許的目的地 (全部拒絕) 。
特殊許可權存取部署指引中的特殊許可權安全性配置檔會使用 JSON 檔案,使用 Windows 10 和提供的 JSON 檔案來設定此配置。