Fase 3 - Aplicar políticas de acesso privilegiado

Este artigo faz parte do guia de soluções Implementar uma arquitetura de acesso privilegiado .

O acesso privilegiado representa um risco crítico de segurança na maioria das organizações porque permite o controlo direto sobre sistemas de identidade, planos de controlo cloud e ativos críticos para o negócio.

Saiba como uma arquitetura de acesso privilegiado seguro desempenha um papel crítico no seu cenário de negócio – Proteja ativos empresariais críticos – reduzindo este risco e reforçando o controlo sobre sistemas sensíveis.

Este artigo descreve a Fase 3 da implementação. Aplica políticas de acesso privilegiado para restringir onde as identidades privilegiadas podem ser usadas.

Utilizando os sinais de dispositivo de confiança estabelecidos na Fase 2, configura o Acesso Condicional para que papéis privilegiados, portais e interfaces de gestão possam ser usados apenas a partir de estações de trabalho de acesso privilegiado (PAWs) aprovadas e de baixo risco.

Objetivos de proteção

A Fase 3 faz cumprir os seguintes objetivos de proteção:

  • Garanta que credenciais privilegiadas não podem ser usadas a partir de dispositivos que não sejam PAW.
  • Portais de administração e interfaces só são acessíveis a partir de dispositivos conformes e de baixo risco.
  • O acesso privilegiado requer autenticação forte do utilizador e confiança verificada nos dispositivos.
  • Restringa o acesso a interfaces administrativas (portais, APIs, PowerShell) a PAWs aprovados.
  • As credenciais roubadas não podem ser reutilizadas em dispositivos padrão ou não geridos.
  • Os caminhos de acesso privilegiados são explícitos, auditáveis e aplicáveis.

Âmbito de proteção

A Fase 3 protege interfaces de acesso privilegiado e fluxos de trabalho através dos quais ocorrem ações privilegiadas, incluindo:

  • Portais de gestão cloud (portal Azure, centro de administração Microsoft Entra, centro de administração do Microsoft 365)
  • Portais de gestão de segurança (portais Microsoft Defender)
  • Utilização e ativação de papéis privilegiados (incluindo papéis controlados por PIM)
  • Sessões do navegador administrativo
  • Caminhos de saída de rede usados por dispositivos privilegiados

A Fase 3 não reconfigura dispositivos ou identidades. Aplica a política utilizando os resultados das Fases 1 e 2.

Riscos mitigados

Risk Porque é que isso importa Mitigação da Fase 3
Credenciais privilegiadas reutilizadas de dispositivos não-PAW A MFA e as aprovações não impedem que os atacantes reutilizem tokens roubados ou credenciais em estações de trabalho padrão comprometidas. O Acesso Condicional exige que as funções privilegiadas se autentiquem apenas a partir de PAWs em conformidade e de baixo risco.
Acesso privilegiado a partir de dispositivos de alto risco ou não atualizados Um dispositivo vulnerável permite aos atacantes exercer imediatamente controlo administrativo. As decisões de acesso avaliam a conformidade com o Intune e o nível de risco do Microsoft Defender para Endpoint antes de concederem acesso privilegiado.
Portais administrativos acessíveis a partir de dispositivos não geridos ou BYOD Os planos de controlo cloud tornam-se acessíveis a partir de dispositivos fora do controlo organizacional. O Acesso Condicional restringe os portais administrativos aos PAWs, bloqueando o acesso a partir de dispositivos não PAW.
Desvio de portais protegidos usando interfaces alternativas Os atacantes podem evitar os controlos usando PowerShell, APIs ou endpoints administrativos alternativos. A aplicação das regras é feita de forma consistente em todas as interfaces administrativas, não apenas nos portais principais.
Ativação de funções privilegiadas a partir de estações de trabalho comprometidas Os fluxos de trabalho de aprovação podem ser comprometidos se a ativação da função ocorrer num dispositivo inseguro. A ativação e a utilização da função PIM estão sujeitas aos mesmos requisitos de confiança do dispositivo do Acesso Condicional.
Só as credenciais concedem acesso privilegiado As proteções apenas de identidade assumem um ambiente de execução fiável. A Fase 3 vincula as condições de identidade, dispositivo e interface, pelo que as credenciais sozinhas são insuficientes.
Falta de visibilidade sobre a aplicação da lei Sem aplicação das políticas, é difícil provar que o acesso privilegiado está limitado. As decisões de Acesso Condicional e a telemetria Defender fornecem provas de aplicação auditáveis e observáveis.
Escalada rápida após comprometimento da estação de trabalho Os atacantes mudam rapidamente de um dispositivo comprometido para o controlo a nível empresarial. A Fase 3 garante que as credenciais roubadas são inutilizáveis fora dos PAWs, quebrando os caminhos comuns de escalonamento.

Resultados de fase

Após concluir a Fase 3:

  • As funções com privilégios e os portais de administração só são acessíveis a partir de PAWs em conformidade e de baixo risco.
  • O Acesso Condicional bloqueia o acesso privilegiado de dispositivos não-PAW.
  • A conformidade com dispositivos e os sinais de risco do Microsoft Defender para Endpoint são entradas necessárias para aceder às decisões.
  • O acesso privilegiado é imposto através das camadas de identidade, dispositivo e interface.
  • As tentativas de acesso são registadas, observáveis e auditáveis.

Pré-requisitos

Antes de configurar os procedimentos deste artigo:

  • Completar as instruções da Fase 1 para assegurar o plano de controlo de identidade.
  • Completar a Fase 2 para implantar e endurecer os PAWs.
  • Certifique-se de que a conformidade com dispositivos e a integração com o Defender for Endpoint estão ativas.

Passo 1 — Exigir MFA e confiança no dispositivo para acesso privilegiado

Garantir que o acesso privilegiado requer autenticação forte do utilizador e dispositivos de confiança.

  1. No Centro de Administração Microsoft Entra, navegue até Proteção>Acesso Condicional>Políticas.
  2. Selecione Criar nova política.
  3. Em Atribuições>, os utilizadores configuram estas definições:
    • Inclua funções privilegiadas de diretórios como Administrador Global, Administrador de Segurança.
    • Exclua o grupo de quebra de vidro de emergência.
  4. Em Assignments>, as aplicações na cloud incluem aplicações de gestão da cloud, como o portal do Azure, o centro de administração do Microsoft Entra, o centro de administração do Microsoft 365 e os portais do Defender.
  5. Nos controlos de acesso, conceda acesso com estas definições:
    • Exigir autenticação multifator
    • Exigir que o dispositivo seja marcado como conforme
    • Exigir que o risco do dispositivo do Microsoft Defender para Endpoint seja = Baixo
  6. Ative a política.

Passo 2 - Restringir portais administrativos a PAWs

Assegure que os portais administrativos só são acessíveis a partir de PAWs compatíveis.

  1. No Centro de Administração Microsoft Entra, navegue até Proteção>Acesso Condicional>Políticas.
  2. Selecione Criar nova política para criar uma política adicional.
  3. Em Atribuições>, os utilizadores configuram estas definições:
    • Inclua funções privilegiadas de diretórios como Administrador Global, Administrador de Segurança.
    • Exclua o grupo de acesso de emergência.
  4. Em Assignments>aplicações na cloud, inclua as aplicações administrativas utilizadas para acesso privilegiado no seu ambiente.
  5. Nos controlos de acesso, conceda acesso com estas definições:
    • Exigir que o dispositivo seja marcado como conforme
    • Exigir que o risco do dispositivo no Microsoft Defender para Endpoint seja baixo
  6. Ative a política.

Passo 3 - Bloquear o acesso privilegiado a partir de dispositivos que não sejam PAW

Garantir que o acesso privilegiado a portais administrativos é bloqueado para dispositivos não-PAW, mesmo que esses dispositivos cumpram os requisitos gerais de conformidade.

  1. No Centro de Administração Microsoft Entra, navegue até Proteção>Acesso Condicional>Políticas.
  2. Selecione Criar nova política para criar uma terceira política.
  3. Em Atribuições>, os utilizadores configuram estas definições:
    • Inclua funções privilegiadas de diretórios como Administrador Global, Administrador de Segurança.
    • Exclua as contas de acesso de emergência designadas.
  4. No Assignments>Cloud, as aplicações incluem os mesmos portais administrativos.
  5. Em Condições, selecione Filtrar para dispositivos.
  6. Configure o filtro do dispositivo para direcionar dispositivos não-PAW:
    • Selecionar Incluir dispositivos filtrados:
    • Configure um filtro de dispositivos que identifique dispositivos não-PAW com base no atributo ou na regra que a sua organização utiliza para distinguir PAWs. Certifique-se de que isto corresponde ao método de identificação estabelecido na Fase 2.
  7. Selecione Feito para aplicar a condição de filtro do dispositivo.
  8. Em Controlos de Acesso, selecione Bloquear acesso.
  9. Selecione Criar para ativar a política.

Passo 4 - Restringir o acesso à rede PAW

Limitar o acesso à rede PAW apenas aos endpoints administrativos e de gestão necessários. Esta configuração baseia-se em regras explícitas de firewall para permitir os endpoints necessários, em vez de permissões amplas baseadas em protocolos.

  1. No centro de administração Microsoft Intune, navegue até Endpoint Security>Firewall.

  2. Selecione Criar política.

  3. Configure a política: - Platform: Windows 10 e posteriores. 1. Configurar as definições do perfil do firewall:

    • Ligações de entrada: Bloqueio
    • Ligações de saída: Permitir (por defeito, controlado pelas regras abaixo)

  4. Em Definições, configura as regras do firewall. Use regras de firewall para definir o tráfego necessário para a administração privilegiada.

  5. Crie regras de permissão outbound para serviços obrigatórios, tais como:

    • DNS
    • DHCP
    • NTP
    • Exigia endpoints de gestão cloud da Microsoft como Intune e Microsoft Entra ID.
    • Requisitos de endpoints administrativos.

    Cada regra deve:

    • Especifique a direção: Saída.
    • Especificar Ação: Permitir
    • Defina os pontos finais de destino (intervalos de IP, FQDNs ou etiquetas de serviço quando suportado)

  6. Certifique-se de que não existem regras amplas de permissão, como HTTP/HTTPS irrestrito.

  7. Atribua a política a Dispositivos de Estação de Trabalho Seguros (PAWs).

  8. Selecione Criar para implementar a política.

Isto conclui a camada de imposição de acesso privilegiado. O próximo artigo pode desenvolver isto para abordar critérios de medição, monitorização e sucesso.

Passos seguintes

Com a camada de aplicação de acesso privilegiado implementada, o passo final é configurar a monitorização.

  • Last updated on