Fase 2: Configurar e proteger estações de trabalho privilegiadas

Este artigo faz parte do guia de soluções Implementar uma arquitetura de acesso privilegiado .

O acesso privilegiado representa um risco crítico de segurança na maioria das organizações porque permite o controlo direto sobre sistemas de identidade, planos de controlo cloud e ativos críticos para o negócio.

Saiba como uma arquitetura de acesso privilegiado seguro desempenha um papel crítico no seu cenário de negócio – Proteja ativos empresariais críticos – reduzindo este risco e reforçando o controlo sobre sistemas sensíveis.

Este artigo descreve a Fase 2 da solução. Implementa e reforça as Estações de Trabalho de Acesso Privilegiado (PAWs), pelo que a atividade privilegiada origina-se apenas em dispositivos de confiança. Baseia-se na Fase 1 e produz os sinais de confiança no dispositivo (conformidade com Intune e Microsoft Defender para Endpoint Risk) usados para a aplicação na Fase 3.

Objetivos de proteção

A Fase 2 garante que o acesso privilegiado:

  • Tem origem apenas em dispositivos fidedignos e protegidos.
  • Está isolado de atividades de produtividade de alto risco.
  • Produz um sinal limpo e fiável do dispositivo para fiscalização posterior.
  • Reduz o roubo de credenciais, a repetição de tokens e o risco de sequestro de sessão.
  • Limita o raio de explosão se um dispositivo for comprometido.

Âmbito de proteção

O acesso privilegiado só é tão fiável quanto o dispositivo de onde provém. As proteções de identidade — como MFA, aprovações e ativação de funções — não compensam uma estação de trabalho comprometida. Se um atacante controlar o dispositivo utilizado para acesso privilegiado, pode:

  • Roube os tokens de autenticação depois de concluída a MFA.
  • Injetar processos maliciosos nas sessões administrativas.
  • Reproduz credenciais ou tokens a partir da memória.
  • Evite os fluxos de trabalho de aprovação atuando como o utilizador legítimo.

Para funções privilegiadas, uma única estação de trabalho comprometida pode permitir uma escalada rápida para o controlo sobre toda a organização ou empresa. Como resultado, a segurança do dispositivo define o limite superior da confiança para o acesso privilegiado. As políticas de acesso privilegiado assumem, portanto, que as sessões administrativas têm origem em dispositivos que cumprem o mais alto padrão de segurança. Estes dispositivos formam a fronteira de confiança para operações privilegiadas.

Estações de trabalho de acesso privilegiado (PAWs)

Uma PAW é uma estação de trabalho Windows reforçada e gerida, concebida exclusivamente para tarefas privilegiadas. Os PAWs definem o limite de confiança do dispositivo para acesso privilegiado e estão isolados dos vetores de ataque comuns.

  • Estão isolados do email, da navegação geral na web e das cargas de trabalho de produtividade.
  • Estão inscritos e geridos através do Microsoft Intune.
  • Use o Microsoft Entra ID para integração de identidade.
  • São monitorizados pelo Microsoft Defender para Endpoint.
  • Fornecer uma base forte de confiança baseada em hardware.

Eis como os PAWs se enquadram na perspetiva do nível/perfil de segurança.

Nível de segurança Perfil do dispositivo
Utilizadores empresariais Dispositivo gerido padrão
Operadores especializados Dispositivo gerido reforçado
Privilegiados (administradores do plano de controlo) PAW

Riscos mitigados

Risk Porque é que isso importa Mitigação da Fase 1
Atacante rouba tokens de autenticação após MFA A MFA protege a autenticação, não o ambiente de execução. Se uma estação de trabalho for comprometida, os atacantes podem roubar tokens após a autenticação e reutilizá-los para se fazerem passar por utilizadores privilegiados. Os PAWs isolam trabalho privilegiado em dispositivos reforçados com superfície de ataque reduzida, proteção de credenciais (Credential Guard) e monitorização contínua, prevenindo o roubo de tokens de dispositivos de produtividade comprometidos.
Injeção maliciosa de processos em sessões administrativas Os atacantes podem injetar código em ferramentas administrativas ou sessões de navegador em dispositivos comprometidos, ganhando controlo das operações privilegiadas mesmo quando as identidades estão protegidas. O controlo de aplicações, a remoção dos direitos de administrador local e a execução restrita de aplicações em PAWs impedem a execução não autorizada de código durante sessões administrativas.
Reprodução de credenciais a partir da memória Os atacantes podem extrair credenciais ou tokens da memória em estações de trabalho comprometidas e reproduzi-los para escalar privilégios ou mover-se lateralmente. Os PAWs impõem isolamento de credenciais usando segurança baseada em virtualização e configurações reforçadas do sistema operativo, reduzindo a exposição das credenciais na memória e limitando as oportunidades de repetição.
Fluxos de trabalho de aprovação contornados por dispositivos comprometidos Mesmo com ativação de funções baseada em aprovação, os atacantes que controlam uma estação de trabalho podem sequestrar sessões aprovadas e escalar rapidamente privilégios. A confiança no dispositivo torna-se um pré-requisito para o trabalho privilegiado. Os PAWs garantem que as aprovações e as ações administrativas sejam efetuadas apenas a partir de dispositivos concebidos para resistir ao comprometimento.
Escalada rápida a partir de estação de trabalho comprometida Uma única estação de trabalho administrativa comprometida pode permitir que os atacantes migrem rapidamente para sistemas de identidade, planos de controlo e administração a nível empresarial. A segurança do dispositivo estabelece um limite superior para a confiança. Os PAWs fornecem a barra de segurança mais elevada, reduzindo a probabilidade de que um endpoint comprometido possa ser usado para escalar para funções privilegiadas.

Resultados de fase

Após completar a Fase 2:

  • Um ou mais dispositivos PAW dedicados são configurados.
  • O trabalho administrativo privilegiado origina-se apenas nas PAWs.
  • Os PAWs estão isolados da utilização para fins de produtividade.
  • Os dispositivos são geridos centralmente, monitorizados e recuperáveis.
  • As suposições de confiança no dispositivo são explícitas e aplicáveis.
  • Fases posteriores podem aplicar com segurança o Acesso Condicional e a monitorização.

Pré-requisitos

Antes de configurar os procedimentos deste artigo:

  • Certifique-se de que as instruções da Fase 1 estão completas.
  • Saiba mais sobre a segurança dos dispositivos na história do acesso privilegiado.
  • Os seguintes serviços devem estar disponíveis:
    • Microsoft Entra ID como fornecedor de identidade.
    • Microsoft Intune para gestão de dispositivos.
    • Microsoft Defender para Endpoint para proteção contra ameaças.
  • É necessário pelo menos um dispositivo Windows suportado por cada administrador, com hardware Windows moderno que suporte:
    • TPM 2,0
    • Inicialização segura UEFI
    • BitLocker
    • Segurança baseada em virtualização (VBS/HVCI)
    • firmware e drivers disponibilizados através do Windows Update.

Dispositivos que não cumpram este critério não devem ser usados para acesso privilegiado.

Passo 1: Definir o aprovisionamento/ciclo de vida do PAW

Defina quais os dispositivos que são PAWs, como são criados, registados, geridos e impedidos de serem usados antes de estarem prontos.

Criar um grupo de dispositivos PAW

Este grupo conterá dispositivos PAW e é utilizado para:

  • Metas de matrícula
  • Perfis de endurecimento
  • Avaliação da conformidade
  • Aplicação do Acesso Condicional numa fase posterior.

Crie da seguinte forma:

  1. No Centro de Administração Microsoft Entra, navegue até Microsoft Entra ID>Grupos>Novo grupo.

  2. Configura as definições do grupo e depois seleciona Criar.

    • Tipo de grupo: Segurança
    • Nome do grupo: Dispositivos de Estação de Trabalho Seguros
    • Tipo de membro: Dispositivos Dinâmicos

  3. Selecione Adicionar consulta dinâmica e adicione uma regra com esta sintaxe: device.devicePhysicalIds -any _ -contains "[OrderID]: PAW"

  4. Selecione Guardar>Criar.

Os dispositivos inscritos com a etiqueta de grupo PAW Autopilot são identificados pela regra dinâmica de dispositivos PAW e tratados como estações de trabalho de acesso privilegiado.

Controla quem pode criar PAWs

Garantir que os PAWs são inscritos de forma intencional e segura.

  • Restringa quem pode ligar dispositivos ao Microsoft Entra ID.
  • Exige MFA para ligar dispositivos.
  • Remover direitos automáticos de administrador local ao entrar.
  1. No Centro de administração do Entra, navegue até Dispositivos>Definições do dispositivo.
  2. Na opção Os utilizadores podem associar dispositivos ao Microsoft Entra ID>Selecionado, selecione Utilizadores de estações de trabalho seguras.
  3. Em Exigir Autenticação Multi-Fator para ligar dispositivos, selecione Sim.
  4. Em Administrador local adicional em dispositivos Microsoft Entra ligados, selecione Nenhum.
  5. Salve as configurações.

Com esta configuração implementada, apenas os utilizadores de PAW podem registar PAWs, a MFA é obrigatória e nenhum utilizador de PAW se torna administrador local por defeito.

Gerir os PAWs desde o primeiro arranque

Os PAWs devem ser geridos desde o primeiro arranque. Dispositivos não geridos não podem ser confiáveis para acesso privilegiado.

  • Configure o Microsoft Entra ID para inscrever automaticamente os dispositivos no Intune.
  • Garante que todos os PAWs são geridos através do MDM imediatamente após a adesão.
  • Restringa a inscrição de dispositivos a plataformas aprovadas.
  1. Abrir Microsoft Entra ID>Mobilidade (MDM e MAM)>Microsoft Intune.
  2. Define o âmbito do utilizador do MDM para Todos e guarda.
  3. Configurar restrições de inscrição:
    • Permitir a inscrição de dispositivos Windows.
    • Bloqueie ou restrinja dispositivos de propriedade pessoal.

Os PAWs são sempre geridos, nunca sem gestão.

Provisão de PAWs de forma consistente

Use o Windows Autopilot para impor um provisionamento PAW consistente e repetível que assegure que os PAWs iniciem num estado conhecido e bom.

Crie um perfil dedicado de implementação do Autopilot e atribua-o ao grupo de dispositivos PAW.

  1. No Centro de Administração do Microsoft Intune, aceda a Devices>Windows>Windows enrollment>Perfis de implementação.
  2. Selecione Criar perfil e crie um perfil com as seguintes definições:
    • Nome: Perfil de implementação de estação de trabalho segura
    • Converter todos os dispositivos alvo para o Autopilot: Sim
    • Modo de implantação: Auto-dobramento
    • Tipo de conta de utilizador: Standard
  3. Selecione Criar.

Prevenir o uso dos PAWs antes do endurecimento

Evitar que os PAWs sejam utilizados antes de estarem completamente protegidos. Isto evita uma exposição precoce durante a configuração.

  • Configurar uma Página de Estado de Inscrição (ESP)
  • Bloqueie a utilização de dispositivos até que todos os perfis e aplicações necessários sejam instalados
  • Atribuir ESP a dispositivos PAW

  1. No Centro de Administração do Microsoft Intune, vá a Devices>Windows>Inscrição do Windows>Estado da inscrição.

  2. Selecione Criar perfil e crie um perfil com as seguintes definições:

    • Mostrar o progresso da aplicação e da instalação do perfil: Sim
    • Bloquear o uso de dispositivos até que todas as aplicações e perfis estejam instalados: Sim

  3. Atribua a Dispositivos da Estação de Trabalho Segura e selecione Criar.

Operações do ciclo de vida em curso

  1. Para recuperar e reconstruir PAWs:

    • Reiniciar/reprovisionar PAWs através do Autopilot quando comprometidos.
    • Trate os PAWs como substituíveis, não como reparados manualmente.

  2. Para identificar e rastrear PAWs, utilize:

    • Pertença a grupos de dispositivos
    • Registo do piloto automático

Com estes processos em vigor, os PAWs são dispositivos claramente identificáveis e geridos de forma centralizada, que podem ser inventariados, inspecionados e eliminados com segurança e reprovisionados através do Autopilot, caso sejam comprometidos.

Passo 2: Reforçar a segurança dos PAWs

Reforçar as Estações de Trabalho de Acesso Privilegiado (PAWs) para apresentar um sinal limpo e de baixo risco do dispositivo. Os controlos de endurecimento incluem a redução da superfície de ataque, a aplicação de correções e a produção de sinais de risco/conformidade do Defender.

O Acesso Condicional e os controlos de monitorização baseiam-se nesta postura para impor decisões de acesso privilegiado.

Estes controlos assumem que os PAWs cumprem os pré-requisitos de segurança de hardware definidos anteriormente.

Configurar anéis do Windows Update

Os PAWs devem ser atualizados com patches rapidamente e de forma previsível. Atrasos ou adiamentos controlados pelo utilizador minam a confiança nos dispositivos.

  1. No Centro de administração do Microsoft Intune, vá para Dispositivos>Windows>Atualizações de software>Anéis do Windows Update.

  2. Selecione Criar perfil.

  3. Defina as seguintes configurações:

    • Nome: PAW – Windows Update Ring
    • Diferimento da atualização de qualidade (dias): 3
    • Adiamento da atualização de funcionalidades (dias): 3
    • Comportamento de atualização automática: Instalação e reinício automáticos sem controlo do utilizador final
    • Bloquear utilizadores de pausar atualizações: Bloquear
    • Prazo definido para reinícios pendentes: 3 dias

  4. Em Atribuições, atribua a dispositivos de estações de trabalho seguras.

  5. Cria o perfil.

Depois de concluir este procedimento, os PAWs mantêm-se corrigidos com uma janela de exposição mínima e sem que o utilizador os possa contornar.

Configurar o Defender para Endpoint

O Acesso Condicional e a conformidade dependem dos sinais de risco do Defender. Sem o Defender for Endpoint, a confiança no dispositivo é incompleta.

  1. No Centro de Administração Microsoft Intune, vai a Endpoint security>Microsoft Defender para Endpoint.
  2. Defina Ligar o Microsoft Defender para Endpoint ao Intune como Ativado.
  3. Selecione Guardar.
  4. No Intune, selecione Atualizar para confirmar a ligação.

Crie um perfil de integração

  1. No Centro de Administração do Microsoft Intune, aceda a Endpoint security>Deteção e resposta em endpoints.

  2. Selecione Criar perfil e configure as seguintes definições:

    • Plataforma: Windows 10 e versões posteriores
    • Tipo de perfil: Deteção e resposta de endpoint
    • Nome: PAW - Defender for Endpoint

  3. Nas definições de configuração, ative a partilha de exemplos para todos os ficheiros.

  4. Atribua ao grupo Dispositivos Seguros da Estação de Trabalho.

  5. Cria o perfil.

Depois de configurar o procedimento, os PAWs emitem risco de dispositivo, malware e telemetria EDR usada pelo Acesso Condicional e pelo SecOps.

Aplicar restrições de firewall e rede

A maioria dos vetores de comprometimento de PAW são de saída. Restringir a saída é fundamental.

  1. No Centro de Administração Microsoft Intune, vá a Endpoint security>Firewall.
  2. Crie um perfil de proteção de endpoint .
  3. Configure as regras do firewall de saída para permitir apenas serviços obrigatórios como DNS, DHCP, NTP e endpoints administrativos e de gestão aprovados. Bloqueia o tráfego de saída desnecessário por defeito.
  4. Atribuir adispositivos de estação de trabalho segura.

Depois de configurar o procedimento, os PAWs só conseguem chegar aos endpoints administrativos necessários para tarefas de gestão.

Passos seguintes

Com os PAWs configurados e reforçados, o passo seguinte é impor o acesso privilegiado usando o Acesso Condicional e a política.

  • Last updated on