حماية الحسابات المميزة من خلال محطات عمل الوصول الآمن (SAW)

08/11/2024

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمن ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في تنفيذ محطات عمل الوصول الآمن (SAW)، والمعروفة أيضًا باسم محطات عمل الوصول المميز (PAW)، لحماية الحسابات والمهام المميزة. تم تصميم SAWs لإنشاء بيئة حوسبة آمنة ومعزولة للغاية، مما يقلل من مخاطر اختراق الحسابات ذات الامتيازات العالية، والتي تعد الأهداف الأكثر قيمة للمهاجمين [1].

مقدمة

يعد المساس ببيانات الاعتماد المميزة أحد أكثر نواقل الهجوم تدميراً. إن النهج التقليدي المتمثل في استخدام نفس محطة العمل للمهام الإدارية والإنتاجية (البريد الإلكتروني والتصفح) يعرض بيانات الاعتماد المميزة لمخاطر غير مقبولة. تعمل SAWs على حل هذه المشكلة من خلال كونها أجهزة كمبيوتر مخصصة ومقواة، تُستخدم حصريًا للمهام الإدارية، وفقًا لمبدأ المصدر النظيف: لا ينبغي أبدًا إدارة نظام الأمان الأعلى من نظام أمان أقل [2].

لماذا تعتبر الموجات الصوتية المرئية حاسمة؟

• عزل بيانات الاعتماد: يمنع بيانات الاعتماد المميزة من التعرض لبيئات أقل أمانًا.
• تقليل سطح الهجوم: يقلل من نواقل الهجوم المتوفرة على محطة العمل الإدارية.
• التحكم الصارم: يسمح بتطبيق سياسات أمنية صارمة، مثل التحكم في التطبيقات، والتي قد تكون غير عملية على محطات العمل ذات الأغراض العامة.

المتطلبات الأساسية

1. الترخيص: Windows 10/11 Enterprise. يوصى بشدة باستخدام أدوات مثل Microsoft Intune للإدارة.
2. الوصول الإداري: امتيازات لتكوين سياسات الأمان (GPO أو Intune).
3. أجهزة مخصصة أو بيئة افتراضية آمنة: أجهزة كمبيوتر فعلية أو أجهزة افتراضية معزولة.

خطوة بخطوة: تنفيذ المنشار

1. تحديد نموذج التدرج

يقوم نموذج الوصول المميز الخاص بشركة Microsoft بتصنيف الأصول إلى طبقات. يعد SAW ضروريًا لحماية الوصول إلى أعلى المستويات:

• المستوى 0: التحكم المباشر في البنية التحتية (على سبيل المثال: وحدات تحكم المجال، والمسؤولون العالميون في Azure AD).
• المستوى 1: الخوادم والتطبيقات ذات المهام الحرجة.
• المستوى 2: محطات عمل المستخدم النهائي.

ينبغي استخدام Tier 0 SAW فقط لإدارة موارد المستوى 0.

2. التزويد والتصلب للمنشار

1. التثبيت النظيف: قم بتثبيت نسخة نظيفة من Windows 10/11 Enterprise. لا تقم بتثبيت البرامج غير الضرورية.
2. التحديثات: تطبيق أحدث تصحيحات الأمان.
3. جدار حماية Windows: قم بتكوين جدار الحماية لحظر كل حركة المرور الواردة بشكل افتراضي والسماح فقط بحركة المرور الصادرة الضرورية تمامًا للمهام الإدارية (مثل RDP إلى خوادم محددة، والوصول إلى البوابات السحابية).
4. تعطيل الخدمات غير الضرورية: استخدم PowerShell لتعطيل الخدمات غير الضرورية. بوويرشيل # مثال لتعطيل خدمة التخزين المؤقت للطباعة مجموعة الخدمة - اسم "التخزين المؤقت" - نوع بدء التشغيل معطل إيقاف الخدمة - الاسم "التخزين المؤقت"
5. تطبيق خطوط الأساس للأمان: استخدم خطوط الأساس لأمان Microsoft أو CIS (مركز أمان الإنترنت) لتطبيق مئات إعدادات الأمان مرة واحدة عبر GPO أو Intune.

3. تنفيذ التحكم في التطبيق

يعد هذا أحد أهم عناصر التحكم في SAW. يجب أن تكون التطبيقات المسموح بها بشكل صريح فقط قادرة على التشغيل.

• التحكم في تطبيق Windows Defender (WDAC): إنها التقنية المفضلة والأكثر أمانًا. يقوم WDAC بإنشاء سياسات تكامل التعليمات البرمجية التي يتم فرضها على مستوى kernel، مما يمنع تشغيل أي برامج أو نصوص برمجية غير مصرح بها. التكوين أكثر تعقيدًا، ولكنه يوفر أعلى مستوى من الأمان [3].
• AppLocker: أسهل في الإدارة، ولكنها تعتبر تقنية قديمة ذات تجاوزات معروفة. ويمكن استخدامه كطبقة مكملة لـ WDAC لسيناريوهات محددة.

التنفيذ الأساسي باستخدام AppLocker (عبر GPO):

1. انتقل إلى "تكوين الكمبيوتر > السياسات > إعدادات Windows > إعدادات الأمان > سياسات التحكم في التطبيق > AppLocker".
2. قم بإنشاء القواعد الافتراضية للسماح بتنفيذ الملفيعوي النوافذ.
3. قم بإنشاء قواعد للسماح فقط بالملفات التنفيذية والبرامج النصية ومثبتات الأدوات الإدارية الضرورية (مثل mmc.exe والاتصال بسطح المكتب البعيد).
4. قم بتكوين خدمة "هوية التطبيق" لتبدأ تلقائيًا.

4. تقييد الوصول إلى الإنترنت والموارد المحلية

• عزل الشبكة: يجب أن يكون SAW على شبكة محلية ظاهرية (VLAN) أو مقطع شبكة معزول، مع قواعد جدار الحماية الصارمة التي تتحكم في حركة المرور الواردة والصادرة.
• حظر التصفح: يجب حظر الوصول إلى الإنترنت أو، على الأقل، تقييده بقائمة صغيرة جدًا من المواقع الموثوقة (مثل portal.azure.com، portal.office.com) من خلال خادم وكيل أو جدار حماية.
• حظر الوسائط القابلة للإزالة: استخدم سياسات الجهاز لمنع استخدام محركات أقراص USB ووحدات التخزين الأخرى القابلة للإزالة.
• فصل الحسابات: يجب أن يكون مستخدم SAW مستخدمًا قياسيًا على الجهاز، وليس مسؤولاً محليًا. الحساب المستخدم لتسجيل الدخول إلى SAW يجب ألا يكون نفس الحساب الذي يتمتع بامتيازات المجال أو السحابة. يجب أن يتم رفع الامتيازات فقط عند الاتصال بالمورد المستهدف (على سبيل المثال، استخدام "runas" أو إدخال بيانات الاعتماد في أداة الإدارة).

5. إدارة وصيانة المنشار

• التحديثات: يجب أن يكون لدى SAW عملية صارمة لتلقي تصحيحات الأمان وتطبيقها.
• المراقبة: يجب مراقبة SAW عن كثب بواسطة SIEM (مثل Microsoft Sentinel) وحل EDR (Microsoft Defender for Endpoint). يجب أن يؤدي أي نشاط شاذ إلى إنشاء تنبيه ذي أولوية عالية.

مثال للاستخدام اليومي

1. يقوم المسؤول بتسجيل الدخول إلى محطة عمل المستخدم الخاصة به (المستوى 2) للقيام بمهام الإنتاجية (البريد الإلكتروني، الفرق).
2. عندما يحتاج إلى تنفيذ مهمة إدارية (على سبيل المثال، إدارة وحدة تحكم المجال)، فإنه ينتقل فعليًا إلى SAW (المستوى 0) أو يتصل به عبر طريقة آمنة.
3. في SAW، يقوم بتسجيل الدخول باستخدام حساب مستخدم SAW القياسي الخاص به.
4. يفتح الأداة الإدارية (على سبيل المثال: "مستخدمو Active Directory وأجهزة الكمبيوتر"). يتم تشغيل الأداة، وعند الاتصال بوحدة تحكم المجال، فإنها تستخدم بيانات اعتماد مسؤول المجال (المستوى 0).
5. بعد الانتهاء من المهمة، يقوم بإغلاق الأداة وتسجيل الخروج من SAW. لم يتم كتابة بيانات اعتماد المستوى 0 أو عرضها خارج SAW.

الخلاصة

يعد تنفيذ محطات عمل الوصول الآمن بمثابة إجراء دفاعي متعمق أساسي لحماية "مفاتيح المملكة" الخاصة بالمؤسسة. من خلال عزل المهام الإدارية في بيئة متشددة وخاضعة لرقابة مشددة، تكسر SAWs سلسلة الهجوم التي يستخدمها الخصوم لتصعيد الامتيازات والتحرك أفقيًا. على الرغم من أن الأمر يتطلب التخطيط والانضباط، إلا أن الاستثمار في إنشاء بيئة إدارية آمنة يعد أحد أهم الخطوات التي يمكن لأي مؤسسة اتخاذها لحماية نفسها من الهجمات الإلكترونية المتقدمة.

المراجع

[1] مايكروسوفت. (2023). تأمين نظرة عامة على الوصول المميز. [2] مايكروسوفت. (2023). مبدأ المصدر النظيف. [3] مايكروسوفت. (2023). التحكم في تطبيق Windows Defender (WDAC). [4] مايكروسوفت. (2023). نموذج الوصول المميز.