Beskerming van bevoorregte rekeninge met veilige toegang werkstasies (SAW)

Beskerming van bevoorregte rekeninge met veilige toegang werkstasies (SAW)

11/08/2024

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die implementering van Secure Access Workstations (SAW), ook bekend as Privileged Access Workstations (PAW), om bevoorregte rekeninge en take te beskerm. SAW's is ontwerp om 'n hoogs veilige en geïsoleerde rekenaaromgewing te skep, wat die risiko van kompromie van hoogs bevoorregte rekeninge, wat die waardevolste teikens vir aanvallers is, tot die minimum beperk [1].

Inleiding

Om bevoorregte geloofsbriewe te kompromitteer is een van die mees verwoestende aanvalsvektore. Die tradisionele benadering van die gebruik van dieselfde werkstasie vir administratiewe en produktiwiteitstake (e-pos, blaai) stel bevoorregte geloofsbriewe aan onaanvaarbare risiko bloot. SAW's los hierdie probleem op deur toegewyde en geharde rekenaars te wees wat uitsluitlik vir administratiewe take gebruik word, volgens die Skoonbronbeginsel: 'n hoër sekuriteitstelsel moet nooit vanaf 'n laer sekuriteitstelsel bestuur word nie [2].

Hoekom is SAW's deurslaggewend?

  • Geloofsbriewe isolasie: Voorkom dat bevoorregte geloofsbriewe aan minder veilige omgewings blootgestel word.
  • Aanvaloppervlakvermindering: Minimaliseer die aanvalvektore wat op die administratiewe werkstasie beskikbaar is.
  • Streng beheer: Laat die toepassing van streng sekuriteitsbeleide toe, soos toepassingsbeheer, wat onprakties op algemene-doel werkstasies sou wees.

Voorvereistes

  1. Lisensiëring: Windows 10/11 Enterprise. Gereedskap soos Microsoft Intune word sterk aanbeveel vir bestuur.
  2. Administratiewe toegang: Voorregte om sekuriteitsbeleide (GPO of Intune) op te stel.
  3. Toegewyde hardeware of veilige gevirtualiseerde omgewing: Fisiese rekenaars of geïsoleerde VM's.

Stap vir stap: Implementering van 'n SAW

1. Definieer die Tiering Model

Microsoft se bevoorregte toegangsmodel kategoriseer bates in vlakke. SAW is noodsaaklik om toegang tot die hoogste vlakke te beskerm:

  • ** Vlak 0**: Direkte beheer van die infrastruktuur (bv. domeinbeheerders, Azure AD Global Admins).
  • ** Vlak 1**: Bedieners en missiekritieke toepassings.
  • ** Vlak 2**: Eindgebruiker werkstasies.

'n Vlak 0 SAW moet slegs gebruik word om Vlak 0 hulpbronne te administreer.

2. SAW-voorsiening en verharding

  1. Skoon installeer: Installeer 'n skoon kopie van Windows 10/11 Enterprise. Moenie onnodige sagteware installeer nie.
  2. Opdaterings: Pas al die nuutste sekuriteitsreëlings toe.
  3. Windows Firewall: Stel die firewall op om alle inkomende verkeer by verstek te blokkeer en laat slegs uitgaande verkeer toe wat streng nodig is vir administratiewe take (bv. RDP na spesifieke bedieners, toegang tot wolkportale).
  4. Deaktiveer onnodige dienste: Gebruik PowerShell om nie-noodsaaklike dienste te deaktiveer. powershell # Voorbeeld om die print spooler diens te deaktiveer Set-Service -Name "Spooler" -StartupType Disabled Stop-diens - Naam "Spooler"
  5. Pas sekuriteitsbasislyne toe: Gebruik Microsoft of CIS (Center for Internet Security) sekuriteitsbasislyne om honderde sekuriteitinstellings gelyktydig toe te pas via GPO of Intune.

3. Implementering van toepassingsbeheer

Dit is een van die belangrikste kontroles op 'n SAW. Slegs uitdruklik toegelate toepassings moet kan loop.

  • Windows Defender Application Control (WDAC): Dit is die voorkeur en veiligste tegnologie. WDAC skep kode-integriteitbeleide wat op kernvlak afgedwing word, wat verhoed dat enige ongemagtigde sagteware of skrifte loop. Die konfigurasie is meer kompleks, maar bied die hoogste vlak van sekuriteit [3].
  • AppLocker: Makliker om te bestuur, maar word beskou as 'n erfenistegnologie met bekende omseilings. Dit kan as 'n komplementêre laag tot WDAC vir spesifieke scenario's gebruik word.

Basiese implementering met AppLocker (via GPO):

  1. Gaan na Rekenaaropstelling > Beleide > Windows-instellings > Sekuriteitsinstellings > Toepassingsbeheerbeleide > AppLocker.
  2. Skep Verstekreëls om lêeruitvoering toe te laatVensters huil.
  3. Skep reëls om slegs uitvoerbare, skrifte en installeerders van nodige administratiewe gereedskap toe te laat (bv. mmc.exe, Remote Desktop Connection).
  4. Stel die Application Identity diens op om outomaties te begin.

4. Beperk toegang tot die internet en plaaslike hulpbronne

  • Netwerkisolasie: Die SAW moet op 'n geïsoleerde VLAN of netwerksegment wees, met streng brandmuurreëls wat inkomende en uitgaande verkeer beheer.
  • Blaaiblokkering: Internettoegang moet geblokkeer word of, ten minste, beperk word tot 'n baie klein lys van vertroude werwe (bv. portal.azure.com, portal.office.com) deur middel van 'n instaanbediener of firewall.
  • Blokkering van verwyderbare media: Gebruik toestelbeleide om die gebruik van USB-aandrywers en ander verwyderbare berging te blokkeer.
  • Skeiding van rekeninge: Die SAW-gebruiker moet 'n standaardgebruiker op die masjien wees, nie 'n plaaslike administrateur nie. Die rekening wat gebruik word om by SAW aan te meld moet nie dieselfde rekening met domein- of wolkvoorregte wees nie. Verheffing van voorregte moet slegs plaasvind wanneer u aan die teikenhulpbron koppel (bv. deur 'runas' te gebruik of geloofsbriewe in die administrasienutsding in te voer).

5. SAW Bestuur en Instandhouding

  • Opdaterings: SAW moet 'n streng proses hê vir die ontvang en toepassing van sekuriteitskolle.
  • Monitering: SAW moet fyn gemonitor word deur jou SIEM (soos Microsoft Sentinel) en EDR-oplossing (Microsoft Defender for Endpoint). Enige abnormale aktiwiteit moet 'n hoë prioriteit waarskuwing genereer.

Voorbeeld van daaglikse gebruik

  1. Die administrateur meld aan by hul gebruikerswerkstasie (vlak 2) vir produktiwiteitstake (e-pos, spanne).
  2. Wanneer dit 'n administratiewe taak moet uitvoer (bv. 'n Domeinkontroleerder bestuur), skuif dit fisies na sy SAW (vlak 0) of koppel dit via 'n veilige metode.
  3. In SAW meld hy aan met sy standaard SAW-gebruikersrekening.
  4. Dit maak die administratiewe hulpmiddel oop (bv.: Active Directory-gebruikers en rekenaars). Die instrument loop, en wanneer dit aan die domeinbeheerder gekoppel word, gebruik dit u domeinadministrateur (vlak 0) geloofsbriewe.
  5. Nadat hy die taak voltooi het, maak hy die instrument toe en meld uit SAW af. Vlak 0 geloofsbriewe is nooit buite SAW getik of blootgestel nie.

Gevolgtrekking

Die implementering van Veilige Toegang Werkstasies is 'n noodsaaklike verdediging-in-diepte maatreël om 'n organisasie se "sleutels tot die koninkryk" te beskerm. Deur administratiewe take in 'n geharde, streng beheerde omgewing te isoleer, verbreek SAW's die aanvalsketting wat teenstanders gebruik om voorregte te eskaleer en sywaarts te beweeg. Alhoewel dit beplanning en dissipline verg, is investering in die skep van 'n veilige bestuursomgewing een van die belangrikste stappe wat 'n organisasie kan neem om homself teen gevorderde kuberaanvalle te beskerm.

Verwysings

[1] Microsoft. (2023). Beveiliging van bevoorregte toegang oorsig. [2] Microsoft. (2023). Skoonbronbeginsel. [3] Microsoft. (2023). Windows Defender Application Control (WDAC). [4] Microsoft. (2023). Bevoorregte toegangsmodel.