Phase 2: Konfigurieren und Sichern privilegierter Arbeitsstationen

Dieser Artikel ist Teil des Leitfadens zur Implementierung einer Architekturlösung mit privilegiertem Zugriff .

Privilegierter Zugriff stellt in den meisten Organisationen ein kritisches Sicherheitsrisiko dar, da er die direkte Kontrolle über Identitätssysteme, Cloudsteuerungsebenen und unternehmenskritische Ressourcen ermöglicht.

Erfahren Sie, wie eine Architektur für sicheren privilegierten Zugriff eine wichtige Rolle in Ihrem Geschäftsszenario spielt – Schützen kritischer Geschäftsressourcen – indem Sie dieses Risiko verringern und die Kontrolle über sensible Systeme stärken.

In diesem Artikel wird Phase 2 der Lösung beschrieben. Sie stellt Arbeitsstationen für privilegierten Zugriff (Privileged Access Workstations, PAWs) bereit und härtet sie ab, sodass Aktivitäten mit erhöhten Rechten ausschließlich von vertrauenswürdigen Geräten ausgehen. Es basiert auf Phase 1 und liefert die Gerätevertrauenssignale (Intune-Compliance und die Risikobewertung von Microsoft Defender for Endpoint), die zur Durchsetzung in Phase 3 verwendet werden.

Schutzziele

Phase 2 gewährleistet privilegierten Zugriff:

  • Stammt nur von vertrauenswürdigen, gehärteten Geräten.
  • Ist von Hochrisiko-Produktivitätsaktivitäten isoliert.
  • Erzeugt ein sauberes, zuverlässiges Gerätesignal für die spätere Erzwingung.
  • Reduziert den Diebstahl von Anmeldeinformationen, die Tokenwiedergabe und das Risiko des Sitzungsdiebstahls.
  • Schränkt den Strahlradius ein, wenn ein Gerät kompromittiert wird.

Schutzumfang

Privilegierter Zugriff ist nur so vertrauenswürdig wie das Gerät, von dem es stammt. Identitätsschutz ( z. B. MFA, Genehmigungen und Rollenaktivierung ) kann keine kompromittierte Arbeitsstation ausgleichen. Wenn ein Angreifer das gerät steuert, das für den privilegierten Zugriff verwendet wird, können sie:

  • Authentifizierungstoken nach Abschluss der Multi-Faktor-Authentifizierung stehlen.
  • Einfügen bösartiger Prozesse in Administrative Sitzungen.
  • Wiedergeben von Anmeldeinformationen oder Token aus dem Arbeitsspeicher
  • Umgehen Sie Genehmigungsworkflows, indem Sie als legitimer Benutzer arbeiten.

Bei privilegierten Rollen kann eine einzelne kompromittierte Arbeitsstation eine schnelle Eskalation zur mandantenweiten oder unternehmensweiten Kontrolle ermöglichen. Die Gerätesicherheit definiert daher die obere Vertrauensgrenze für privilegierten Zugriff. Richtlinien für privilegierten Zugriff gehen daher davon aus, dass administrative Sitzungen von Geräten stammen, die die höchste Sicherheitsleiste erfüllen. Diese Geräte bilden die Vertrauensgrenze für privilegierte Vorgänge.

Arbeitsstationen mit privilegiertem Zugriff (PAWs)

Eine PAW ist eine gehärtete, verwaltete Windows Arbeitsstation, die ausschließlich für privilegierte Aufgaben entwickelt wurde. PAWs definieren die Gerätevertrauensgrenze für privilegierten Zugriff und sind von gängigen Angriffsvektoren isoliert.

  • Sind von E-Mails, allgemeinem Webbrowsen und Produktivitätsworkloads isoliert.
  • Werden über Microsoft Intune registriert und verwaltet.
  • Verwenden Sie Microsoft Entra ID für die Identitätsintegration.
  • Werden von Microsoft Defender for Endpoint überwacht.
  • Stellen Sie einen starken hardwarebasierten Vertrauensstamm bereit.

So lassen sich PAWs hinsichtlich Sicherheitsstufe und -profil einordnen.

Sicherheitsstufe Geräteprofil
Unternehmensbenutzer Standardverwaltetes Gerät
Spezialisierte Operatoren Gehärtetes verwaltetes Gerät
Privilegiert (Administratoren der Kontrollebene) PFOTE

Risiken abgemildert

Risiko Warum es wichtig ist Entschärfung der Phase 1
Angreifer stehlen Authentifizierungstoken nach MFA MFA schützt die Authentifizierung, nicht die Ausführungsumgebung. Wenn eine Arbeitsstation kompromittiert ist, können Angreifer Token nach der Authentifizierung stehlen und sie wiederverwenden, um privilegierte Benutzer zu imitieren. PAWs isolieren Arbeiten mit privilegierten Zugriffsrechten auf gehärteten Geräten mit reduzierter Angriffsfläche, Schutz von Anmeldeinformationen (Credential Guard) und kontinuierlicher Überwachung und verhindern so den Diebstahl von Tokens von kompromittierten Endgeräten für Produktivitätsaufgaben.
Einfügung bösartiger Prozesse in Administrative Sitzungen Angreifer können Code in Administratortools oder Browsersitzungen auf kompromittierten Geräten einfügen und die Kontrolle über privilegierte Vorgänge erhalten, auch wenn Identitäten geschützt sind. Die Anwendungssteuerung, das Entfernen von lokalen Administratorrechten und die eingeschränkte Anwendungsausführung auf PAWs verhindern die nicht autorisierte Codeausführung während administrativer Sitzungen.
Wiedergabe von Anmeldeinformationen aus dem Arbeitsspeicher Angreifer können Anmeldeinformationen oder Token aus dem Arbeitsspeicher auf kompromittierten Arbeitsstationen extrahieren und sie wiedergeben, um Berechtigungen zu eskalieren oder lateral zu wechseln. PAWs erzwingen die Isolierung von Anmeldeinformationen mithilfe von virtualisierungsbasierter Sicherheit und gehärteten Betriebssystemkonfigurationen, wodurch die Offenlegung von Anmeldeinformationen im Arbeitsspeicher verringert und die Möglichkeiten für Replay-Angriffe eingeschränkt werden.
Genehmigungsworkflows, die von kompromittierten Geräten umgangen werden Selbst bei einer genehmigungsbasierten Rollenaktivierung können Angreifer, die einen Arbeitsplatzrechner kontrollieren, genehmigte Sitzungen kapern und ihre Rechte rasch ausweiten. Gerätevertrauen wird zur Voraussetzung für Arbeiten mit privilegierten Rechten. PAWs stellen sicher, dass Freigaben und administrative Maßnahmen nur auf Geräten ausgeführt werden, die darauf ausgelegt sind, einer Kompromittierung zu widerstehen.
Schnelle Eskalation von einer kompromittierten Arbeitsstation aus Eine einzelne kompromittierte Administratorarbeitsstation kann Es Angreifern ermöglichen, schnell zu Identitätssystemen, Steuerungsebenen und unternehmensweiter Verwaltung zu pivotieren. Die Gerätesicherheit legt eine obere Grenze für die Vertrauensstellung fest. PAWs stellen die höchste Sicherheitsleiste bereit, wodurch die Wahrscheinlichkeit verringert wird, dass ein kompromittierter Endpunkt zum Eskalieren in privilegierte Rollen verwendet werden kann.

Phasenergebnisse

Nach Abschluss der Phase 2:

  • Ein oder mehrere dedizierte PAW-Geräte sind eingerichtet.
  • Privilegierte Verwaltungsaufgaben dürfen ausschließlich von PAWs ausgeführt werden.
  • PAWs sind vom produktiven Einsatz isoliert.
  • Geräte werden zentral verwaltet, überwacht und wiederherstellbar.
  • Annahmen für Gerätevertrauensstellungen sind explizit und erzwingbar.
  • Spätere Phasen können den bedingten Zugriff und die Überwachung sicher anwenden.

Voraussetzungen

Bevor Sie Verfahren in diesem Artikel konfigurieren:

  • Stellen Sie sicher, dass die Anweisungen für Phase 1 abgeschlossen sind.
  • Erfahren Sie mehr über die Gerätesicherheit im Artikel "Privilegierter Zugriff".
  • Die folgenden Dienste sollten verfügbar sein:
    • Microsoft Entra ID als Identitätsanbieter.
    • Microsoft Intune für die Geräteverwaltung.
    • Microsoft Defender for Endpoint für den Bedrohungsschutz.
  • Sie benötigen mindestens eine unterstützte Windows Gerät pro Administrator mit moderner Windows Hardware, die Folgendes unterstützt:
    • TPM 2.0
    • Sicherer UEFI-Start
    • BitLocker
    • Virtualisierungsbasierte Sicherheit (VBS/HVCI)
    • Firmware und Treiber, die über Windows Update gewartet werden.

Geräte, die diese Anforderung nicht erfüllen, dürfen nicht für den privilegierten Zugriff verwendet werden.

Schritt 1: Definieren Sie die Bereitstellung und den Lebenszyklus von PAW

Definieren Sie, welche Geräte PAWs sind, wie sie erstellt, registriert, verwaltet und vor ihrer Einsatzbereitschaft an ihrer Verwendung gehindert werden.

PAW-Gerätegruppe erstellen

Diese Gruppe enthält PAW-Geräte und wird für Folgendes verwendet:

  • Gezielte Registrierung
  • Härten von Profilen
  • Compliancebewertung
  • Durchsetzung des bedingten Zugriffs in einer späteren Phase.

Erstellen Sie wie folgt:

  1. Navigieren Sie im Microsoft Entra Admin Center zu Microsoft Entra ID>Groups>New group.

  2. Konfigurieren Sie die Gruppeneinstellungen, und wählen Sie dann "Erstellen" aus.

    • Gruppentyp: Sicherheit
    • Gruppenname: Sichere Arbeitsstationsgeräte
    • Mitgliedschaftstyp: Dynamische Geräte

  3. Wählen Sie "Dynamische Abfrage hinzufügen " aus, und fügen Sie eine Regel mit dieser Syntax hinzu: device.devicePhysicalIds -any _ -contains "[OrderID]: PAW"

  4. Wählen Sie Speichern>Erstellen aus.

Geräte, die mit der PAW-Autopilot-Gruppenkennzeichnung registriert sind, werden von der dynamischen Geräteregel für PAW identifiziert und als Arbeitsstationen für privilegierten Zugriff behandelt.

Steuern, wer PAWs erstellen kann

Stellen Sie sicher, dass PAWs gezielt und sicher registriert werden.

  • Einschränken, wer Geräte mit Microsoft Entra ID verbinden kann.
  • MFA zum Verbinden von Geräten erforderlich.
  • Automatische lokale Administratorrechte beim Beitritt entfernen.
  1. Navigieren Sie im Entra Admin Center zu den Geräteeinstellungen>.
  2. Unter Benutzer können Geräte bei Microsoft Entra ID registrieren>Ausgewählt wählen Sie Secure Workstation Users.
  3. Wählen Sie in "Mehrstufige Authentifizierung erforderlich" aus, um Geräte zu verbinden. Wählen Sie "Ja" aus.
  4. Wählen Sie in Zusätzliche lokale Administratoren auf Microsoft Entra-verbundenen GerätenKeine aus.
  5. Speichern Sie die Einstellungen.

Damit können nur PAW-Benutzer PAWs registrieren, MFA ist erforderlich, und kein PAW-Benutzer wird standardmäßig zu einem lokalen Administrator.

PAWs ab dem ersten Start verwalten

PAWs müssen ab dem ersten Start verwaltet werden. Nicht verwaltete Geräte können für privilegierten Zugriff nicht als vertrauenswürdig eingestuft werden.

  • Konfigurieren Sie Microsoft Entra ID so, dass Geräte automatisch in Intune registriert werden.
  • Stellen Sie sicher, dass alle PAWs unmittelbar nach dem Beitritt mdm-verwaltet werden.
  • Beschränken Sie die Geräteregistrierung auf genehmigte Plattformen.
  1. Öffnen Sie Microsoft Entra ID>Mobility (MDM and MAM)>Microsoft Intune.
  2. Festlegen des MDM-Benutzerbereichs auf "Alle " und "Speichern".
  3. Konfigurieren von Registrierungseinschränkungen:
    • Windows Geräteregistrierung zulassen.
    • Blockieren oder Einschränken von persönlichen Geräten.

PAWs werden immer verwaltet, nie unverwaltet.

PAWs konsistent bereitstellen

Verwenden Sie Windows Autopilot, um eine konsistente, wiederholbare Bereitstellung von PAWs sicherzustellen, sodass PAWs in einem bekanntermaßen sicheren Zustand starten.

Erstellen Sie ein dediziertes Autopilot-Bereitstellungsprofil, und weisen Sie es der PAW-Gerätegruppe zu.

  1. Navigieren Sie im Microsoft Intune Admin Center zu Geräte>Windows>Windows-Registrierung>Bereitstellungsprofile.
  2. Wählen Sie "Profil erstellen" aus, und erstellen Sie ein Profil mit den folgenden Einstellungen:
    • Name: Bereitstellungsprofil für sichere Arbeitsstationen
    • Konvertieren aller Zielgeräte in Autopilot: Ja
    • Bereitstellungsmodus: Selbstbereitstellung
    • Benutzerkontotyp: Standard
  3. Wählen Sie "Erstellen" aus.

Verhindern, dass PAWs vor der Härtung verwendet werden

Verhindern Sie, dass PAWs verwendet werden, bevor sie vollständig gehärtet sind. Dadurch wird eine frühzeitige Belichtung während des Setups verhindert.

  • Konfigurieren einer Registrierungsstatusseite (ESP)
  • Geräteverwendung blockieren, bis alle erforderlichen Profile und Anwendungen installiert werden
  • ESP PAW-Geräten zuweisen

  1. Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Windows>Windows-Registrierung>Registrierungsstatus.

  2. Wählen Sie "Profil erstellen" aus, und erstellen Sie ein Profil mit den folgenden Einstellungen:

    • Anzeigen des App- und Profilinstallationsfortschritts: Ja
    • Geräteverwendung blockieren, bis alle Apps und Profile installiert sind: Ja

  3. Weisen Sie Sichere Arbeitsstationsgeräte zu und wählen Sie Erstellen aus.

Laufende Lebenszyklusvorgänge

  1. So stellen Sie PAWs wieder her und erstellen sie neu:

    • PAWs bei einer Kompromittierung über Autopilot zurücksetzen bzw. erneut bereitstellen.
    • Behandeln Sie PAWs als austauschbar, nicht als manuell zu reparierende Einheiten.

  2. Zum Identifizieren und Nachverfolgen von PAWs verwenden Sie:

    • Gerätegruppenmitgliedschaft
    • Autopilot-Registrierung

Mit diesen Prozessen sind PAWs eindeutig identifizierbare und zentral verwaltete Geräte, die inventarisiert, überprüft und im Falle einer Kompromittierung mithilfe von Autopilot sicher gelöscht und neu bereitgestellt werden können.

Schritt 2: Härtung von PAWs

Sichern Sie Privileged Access Workstations (PAWs) ab, um ein sauberes Gerätesignal mit geringem Risiko bereitzustellen. Zu den Härtungsmaßnahmen gehören die Verringerung der Angriffsfläche, die konsequente Installation von Patches und die Erstellung von Defender-Signalen zu Risiko und Compliance.

Die Kontrollen für bedingten Zugriff und die Überwachung basieren auf diesem Zustand, um Entscheidungen über den privilegierten Zugriff durchzusetzen.

Bei diesen Steuerelementen wird davon ausgegangen, dass PAWs die zuvor definierten erforderlichen Hardwaresicherheitsvoraussetzungen erfüllen.

Konfigurieren von Windows Update Ringen

PAWs müssen schnell und vorhersehbar gepatcht werden. Verzögerungen oder benutzergesteuerte Aufschübe untergraben das Vertrauen in Geräte.

  1. Wechseln Sie im Microsoft Intune Admin Center zu Devices>Windows>Software updates>Windows Update ring.

  2. Wählen Sie "Profil erstellen" aus.

  3. Konfigurieren Sie die folgenden Einstellungen:

    • Name: PAW – Windows Update Ring
    • Aufschub von Qualitätsupdates (Tage): 3
    • Aufschub für Featureupdates (Tage): 3
    • Automatisches Updateverhalten: Automatische Installation und Neustart ohne Endbenutzersteuerung
    • Benutzer daran hindern, Updates anzuhalten: Blockieren
    • Stichtag für ausstehende Neustarts festlegen: 3 Tage

  4. Weisen Sie in Zuweisungen sicheren Arbeitsstationsgeräten zu.

  5. Erstellen Sie das Profil.

Nachdem Sie diesen Vorgang abgeschlossen haben, bleiben PAWs mit nur einem minimalen Gefährdungsfenster auf dem aktuellen Patchstand, ohne dass Benutzer dies umgehen können.

In Defender für Endpunkt einbinden

Bedingter Zugriff und Compliance sind von Defender Risikosignalen abhängig. Ohne Defender for Endpoint ist das Gerätevertrauen unvollständig.

  1. Wechseln Sie im Microsoft Intune Admin Center zu Endpoint security>Microsoft Defender for Endpoint.
  2. Legen Sie Verbinden Microsoft Defender for Endpoint auf Intune auf On fest.
  3. Wählen Sie Speichern aus.
  4. Aktualisieren Sie in Intune, um die Verbindung zu überprüfen.

Onboarding-Profil erstellen

  1. Wechseln Sie im Microsoft Intune Admin Center zu Endpoint security>Endpoint detection and response.

  2. Wählen Sie "Profil erstellen" aus, und konfigurieren Sie die folgenden Einstellungen:

    • Plattform: Windows 10 und höher
    • Profiltyp: Endpunkterkennung und -reaktion
    • Name: PAW - Defender für Endpunkt

  3. Aktivieren Sie in den Konfigurationseinstellungen die Beispielfreigabe für alle Dateien.

  4. Der Gruppe Sichere Arbeitsstationsgeräte zuweisen.

  5. Erstellen Sie das Profil.

Nachdem Sie die Prozedur konfiguriert haben, übermitteln PAWs Geräterisiko-, Malware- und EDR-Telemetriedaten, die von Bedingtem Zugriff und SecOps verwendet werden.

Erzwingen von Firewall- und Netzwerkeinschränkungen

Die meisten Wege zur Kompromittierung von PAWs sind nach außen gerichtet. Die Beschränkung des ausgehenden Datenverkehrs ist entscheidend.

  1. Wechseln Sie im Microsoft Intune Admin Center zu Endpoint security>Firewall.
  2. Erstellen Sie ein Endpunktschutzprofil .
  3. Konfigurieren Sie ausgehende Firewallregeln, um nur erforderliche Dienste wie DNS, DHCP, NTP und genehmigte Verwaltungs- und Verwaltungsendpunkte zuzulassen. Blockieren Sie standardmäßig unnötigen ausgehenden Datenverkehr.
  4. Zuweisen zusicheren Arbeitsstationsgeräten.

Nachdem Sie das Verfahren konfiguriert haben, können PAWs nur administrative Endpunkte erreichen, die für Verwaltungsaufgaben erforderlich sind.

Nächste Schritte

Nachdem PAWs konfiguriert und gehärtet wurden, besteht der nächste Schritt darin, privilegierten Zugriff mithilfe von bedingtem Zugriff und Richtlinie zu erzwingen.

  • Last updated on