阶段 2:配置和保护特权工作站

本文是 实现特权访问体系结构解决方案指南的一 部分。

特权访问在大多数组织中都存在严重安全风险,因为它能够直接控制标识系统、云控制平面和业务关键型资产。

了解 安全特权访问体系结构 在业务场景中如何发挥关键作用- 保护关键业务资产 -通过降低此风险和加强对敏感系统的控制。

本文介绍解决方案的第 2 阶段。 它部署并强化特权访问工作站(PAW),因此特权活动仅源自受信任的设备。 它建立在第 1 阶段的基础之上,并生成用于第 3 阶段强制执行的设备信任信号(Intune 合规性和 Microsoft Defender for Endpoint 风险)。

保护目标

阶段 2 确保特权访问:

  • 仅来自可信且经过安全加固的设备。
  • 与高风险生产力活动隔离开来。
  • 生成一个干净的可靠设备信号,供以后强制执行。
  • 减少凭据被盗、令牌重播和会话劫持风险。
  • 如果设备遭到入侵,则限制爆炸半径。

保护范围

特权访问的可信程度,取决于发起该访问的设备是否可信。 身份保护措施(如 MFA、审批和角色激活)无法弥补工作站已被入侵这一问题。 如果攻击者控制用于特权访问的设备,他们可以:

  • 在 MFA 完成后窃取认证令牌。
  • 将恶意进程注入管理会话。
  • 从内存中重放凭据或令牌。
  • 通过作为合法用户运行来绕过审批工作流。

对于特权角色,单个受入侵的工作站可以快速升级到租户范围或企业范围的控制。 因此,设备安全性定义了特权访问的信任上限。 因此,特权访问策略假定管理会话源自满足最高安全栏的设备。 这些设备构成了特权操作的信任边界。

特权访问工作站(PAW)

PAW 是专为特权任务设计的强化托管Windows工作站。 PAW 定义特权访问的设备信任边界,并独立于常见的攻击途径。

  • 与电子邮件、常规网页浏览和办公类工作负载隔离。
  • 通过 Microsoft Intune 进行注册和管理。
  • 使用Microsoft Entra ID进行标识集成。
  • 由 Microsoft Defender for Endpoint 监控。
  • 提供强大的基于硬件的信任根。

下面说明从安全级别/配置文件的角度来看,PAW 处于什么位置。

安全级别 设备配置文件
企业用户 标准型托管设备
专用运算符 加固的受管设备
特权用户(控制平面管理员) 爪子

已缓解风险

风险 为什么它很重要 阶段 1 缓解
攻击者在 MFA 后窃取身份验证令牌 MFA 保护身份验证,而不是执行环境。 如果工作站遭到入侵,攻击者可以窃取身份验证后令牌,并重复使用它们来模拟特权用户。 PAW 通过在经过加固的设备上隔离特权工作,并缩小攻击面、提供凭据保护(Credential Guard)和持续监控,防止令牌从已被入侵的生产力设备上被窃取。
恶意进程注入到管理会话 攻击者可以在受攻击的设备上将代码注入管理工具或浏览器会话,即使标识受到保护,也能控制特权操作。 应用程序控制、删除本地管理员权限和 PAW 上的受限应用程序执行可防止在管理会话期间执行未经授权的代码。
来自内存的凭据重放 攻击者可以从受攻击的工作站上的内存中提取凭据或令牌,并重播这些凭据,以提升特权或横向移动。 PAW 使用基于虚拟化的安全性和强化的 OS 配置来强制实施凭据隔离,从而减少内存中凭据的暴露,并限制重播机会。
通过已遭入侵的设备绕过审批工作流 即使使用基于审批的角色激活,控制工作站的攻击者也可以劫持已批准的会话并快速提升特权。 设备信任成为特权工作的先决条件。 PAW 可确保审批和管理操作只能通过专为抵御入侵而设计的设备进行。
从受损工作站快速升级 单个遭到入侵的管理工作站就可能使攻击者迅速将攻击扩展到身份系统、控制平面以及整个企业范围内的管理权限。 设备安全性设置信任上限。 PAW 提供最高级别的安全保障,从而降低已遭入侵的终端被用来提升为特权角色的可能性。

阶段结果

完成第 2 阶段后:

  • 已设置一个或多个专用 PAW 设备。
  • 特权管理操作只能从 PAW 发起。
  • PAW 与日常办公用途相隔离。
  • 设备可集中管理、监视和可恢复。
  • 设备信任假设是显式的,可强制实施。
  • 后续阶段可以安全地应用条件访问和监视。

先决条件

在配置本文中的过程之前:

  • 确保 阶段 1 说明 已完成。
  • 了解 特权访问情景中的设备安全性
  • 应提供以下服务:
    • 作为标识提供者的 Microsoft Entra ID
    • 用于设备管理的Microsoft Intune。
    • 用于威胁防护的 Microsoft Defender for Endpoint
  • 每个管理员至少需要一个受支持的Windows设备,支持新式Windows硬件:
    • TPM 2.0
    • UEFI 安全启动
    • BitLocker
    • 基于虚拟化的安全性(VBS/HVCI)
    • 通过Windows 更新提供服务的固件和驱动程序。

未达到这一标准的设备不得用于特权访问。

步骤 1:明确 PAW 的预配和生命周期

定义哪些设备是 PAW、如何创建、注册、管理和阻止设备在准备就绪之前使用。

创建 PAW 设备组

该组将包含 PAW 设备,用于以下用途:

  • 注册目标
  • 加固配置文件
  • 合规性评估
  • 后续阶段的条件访问强制实施。

按如下所示创建:

  1. Microsoft Entra 管理中心中,导航到 Microsoft Entra ID>Groups>New group

  2. 配置组设置,然后选择“ 创建”。

    • 组类型:安全
    • 组名称:安全工作站设备
    • 成员类型:动态设备

  3. 选择 “添加动态查询 ”并添加具有以下语法的规则: device.devicePhysicalIds -any _ -contains“[OrderID]: PAW”

  4. 选择保存>创建

使用 PAW Autopilot 组标记注册的设备由 PAW 动态设备规则标识,并被视为特权访问工作站。

管理谁可以创建 PAW

确保有意且安全地注册 PAW。

  • 限制哪些用户可将设备加入到 Microsoft Entra ID。
  • 要求使用 MFA 才能加入设备。
  • 删除加入时自动的本地管理员权限。
  1. 在 Entra 管理中心中,导航到 “设备>设备”设置
  2. 用户可将设备加入 Microsoft Entra ID>已选择中,选择 Secure Workstation Users
  3. “要求多重身份验证”加入设备时,选择“ ”。
  4. Microsoft Entra 加入设备上的其他本地管理员中,选择
  5. 保存设置。

在此措施实施后,只有 PAW 用户才能注册 PAW,必须使用 MFA,并且默认情况下,PAW 用户不会被设为本地管理员。

从首次启动开始管理 PAW

PAW 必须从首次启动开始进行管理。 非托管设备不能被信任用于特权访问。

  • 配置Microsoft Entra ID以自动将设备注册到 Intune。
  • 确保所有 PAW 在加入后立即纳入 MDM 管理。
  • 将设备注册限制为已批准的平台。
  1. 打开 Microsoft Entra ID>Mobility (MDM 和 MAM)>Microsoft Intune
  2. MDM 用户范围 设置为 “全部 ”并保存。
  3. 配置 注册限制
    • 允许Windows设备注册。
    • 阻止或限制个人拥有的设备。

PAW 始终处于受管理状态,绝不会处于未受管理状态。

统一预配 PAW

使用 Windows Autopilot 强制执行一致且可重复的 PAW 预配,确保 PAW 在已知良好的状态下启动。

创建专用 Autopilot 部署配置文件,并将其分配给 PAW 设备组。

  1. 在 Microsoft Intune 管理中心,转到 Devices>Windows>Windows enrollment>Deployment profiles
  2. 选择“ 创建配置文件 ”并使用以下设置创建配置文件:
    • 名称:安全工作站部署配置文件
    • 将所有目标设备转换为 Autopilot:是
    • 部署模式:自我部署
    • 用户帐户类型:标准
  3. 选择“创建”

在完成加固之前,防止 PAW 被使用

防止在 PAW 完全加固之前使用它们。 这可以防止在设置过程中提前暴露。

  • 配置注册状态页(ESP)
  • 阻止设备使用,直到安装所有必需的配置文件和应用程序
  • 为 PAW 设备分配 ESP

  1. 在 Microsoft Intune 管理中心中,转到 Devices>Windows>Windows enrollment>Enrollment status

  2. 选择“ 创建配置文件 ”并使用以下设置创建配置文件:

    • 显示应用和配置文件安装进度:是
    • 阻止设备使用,直到安装所有应用和配置文件:是

  3. 分配到 安全工作站设备 ,然后选择“ 创建”。

持续的生命周期运维

  1. 恢复并重建 PAW:

    • 在遭到入侵时,通过 Autopilot 重置/重新预配 PAW。
    • 将 PAW 视为可替换的,而不是手动修复的。

  2. 若要标识和跟踪 PAW,请使用:

    • 设备组成员资格
    • Autopilot 注册

在落实这些流程后,PAW 是可被明确识别并集中管理的设备;如果遭到入侵,可通过 Autopilot 将其纳入资产清单、进行审查,并安全地擦除和重新预配。

步骤 2:加固 PAWs

强化特权访问工作站(PAW),以显示干净、低风险的设备信号。 强化控制包括减少攻击面、强制修补和生成Defender风险/合规性信号。

条件访问和监视控制依赖于此状况来强制实施特权访问决策。

这些控制假设 PAW 满足前面定义的所需硬件安全先决条件。

配置 Windows 更新 更新环

PAW 必须快速且以可预测的方式打补丁。 延迟或用户控制的延迟会破坏设备信任。

  1. 在 Microsoft Intune 管理中心中,依次转到 设备>Windows>软件更新>Windows 更新环

  2. 选择“创建配置文件”。

  3. 配置下列设置:

    • 名称:PAW – Windows 更新环
    • 质量更新延迟(天): 3
    • 功能更新延迟(天):3
    • 自动更新行为:无需最终用户控制即可自动安装和重新启动
    • 阻止用户暂停更新:阻止
    • 设置待重启的截止时间:3 天

  4. “分配”中,将其分配给安全工作站设备。

  5. 创建配置文件。

完成此过程后,PAW 将保持已打补丁状态,暴露窗口最小,且用户无法绕过。

将设备载入到 Defender for Endpoint

条件访问和符合性取决于Defender风险信号。 如果没有 Microsoft Defender for Endpoint,设备信任将不完整。

  1. 在 Microsoft Intune 管理中心中,转到 Endpoint security>Microsoft Defender for Endpoint
  2. Microsoft Defender for Endpoint 连接到 Intune 设置为
  3. 选择“保存”
  4. 在 Intune 中刷新以确认连接。

创建引导配置文件

  1. 在 Microsoft Intune 管理中心中,转到 Endpoint security>Endpoint 检测和响应

  2. 选择“ 创建配置文件 ”并配置以下设置:

    • 平台:Windows 10及更高版本
    • 配置文件类型:终结点检测和响应
    • 名称:PAW - 用于终结点的 Defender

  3. 配置设置中,为所有文件启用示例共享

  4. 分配到 安全工作站设备 组。

  5. 创建个人资料。

完成相关配置后,PAW 会发送供条件访问和 SecOps 使用的设备风险、恶意软件和 EDR 遥测数据。

强制实施防火墙和网络限制

大多数 PAW 入侵路径都是出站路径。 限制出口至关重要。

  1. 在 Microsoft Intune 管理中心中,转到 Endpoint security>Firewall
  2. 创建 Endpoint Protection 配置文件。
  3. 配置出站防火墙规则以仅允许所需的服务,例如 DNS、DHCP、NTP 和批准的管理和管理终结点。 默认情况下,阻止不必要的出站流量。
  4. 分配到安全工作站设备

配置该流程后,PAW 只能访问执行管理任务所需的管理端点。

后续步骤

配置并强化 PAW 后,下一步是 使用条件访问和策略强制实施特权访问

  • Last updated on