Ochrana privilegovaných účtů pomocí pracovních stanic se zabezpečeným přístupem (SAW)

Ochrana privilegovaných účtů pomocí pracovních stanic se zabezpečeným přístupem (SAW)

11/08/2024

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při implementaci Secure Access Workstation (SAW), také známé jako Privileged Access Workstation (PAW), k ochraně privilegovaných účtů a úkolů. SAW jsou navrženy tak, aby vytvářely vysoce bezpečné a izolované výpočetní prostředí, čímž se minimalizuje riziko kompromitace vysoce privilegovaných účtů, které jsou nejcennějším cílem útočníků [1].

Úvod

Ohrožení privilegovaných přihlašovacích údajů je jedním z nejničivějších vektorů útoku. Tradiční přístup používání stejné pracovní stanice pro administrativní a produktivní úkoly (e-mail, prohlížení) vystavuje privilegované přihlašovací údaje nepřijatelnému riziku. SAW řeší tento problém tím, že jsou vyhrazenými a odolnými počítači, které se používají výhradně pro administrativní úkoly, a to podle Principu čistého zdroje: systém s vyšším zabezpečením by nikdy neměl být řízen ze systému s nižším zabezpečením [2].

Proč jsou SAW klíčové?

  • Credential Isolation: Zabraňuje tomu, aby byly privilegované přihlašovací údaje vystaveny méně bezpečným prostředím.
  • Attack Surface Reduction: Minimalizuje útočné vektory dostupné na administrativní pracovní stanici.
  • Přísná kontrola: Umožňuje aplikaci přísných bezpečnostních zásad, jako je kontrola aplikací, která by byla nepraktická na pracovních stanicích pro všeobecné použití.

Předpoklady

  1. Licencování: Windows 10/11 Enterprise. Nástroje jako Microsoft Intune jsou pro správu vysoce doporučeny.
  2. Administrativní přístup: Oprávnění ke konfiguraci zásad zabezpečení (GPO nebo Intune).
  3. Vyhrazený hardware nebo zabezpečené virtualizované prostředí: Fyzické počítače nebo izolované virtuální počítače.

Krok za krokem: Implementace SAW

1. Definování modelu vrstvení

Model privilegovaného přístupu společnosti Microsoft kategorizuje aktiva do úrovní. SAW je zásadní pro ochranu přístupu k nejvyšším úrovním:

  • Vrstva 0: Přímá kontrola nad infrastrukturou (např. řadiče domén, globální správci Azure AD).
  • Tier 1: Servery a kriticky důležité aplikace.
  • Tier 2: Pracovní stanice koncových uživatelů.

SAW úrovně 0 by se mělo používat pouze ke správě zdrojů úrovně 0.

2. Příprava a kalení pily

  1. Čistá instalace: Nainstalujte čistou kopii Windows 10/11 Enterprise. Neinstalujte nepotřebný software.
  2. Aktualizace: Použijte všechny nejnovější opravy zabezpečení.
  3. Brána firewall systému Windows: Nakonfigurujte bránu firewall tak, aby ve výchozím nastavení blokovala veškerý příchozí provoz a povolovala pouze odchozí provoz, který je nezbytně nutný pro administrativní úlohy (např. RDP na konkrétní servery, přístup ke cloudovým portálům).
  4. Zakázat nepotřebné služby: Pomocí PowerShellu zakažte nepodstatné služby. powershell # Příklad pro zakázání služby zařazování tisku Set-Service -Name "Spooler" -StartupType Disabled Stop-Service - Název "Spooler"
  5. Použít základní linie zabezpečení: Použijte základní linie zabezpečení společnosti Microsoft nebo CIS (Centrum pro internetovou bezpečnost) k použití stovek nastavení zabezpečení najednou prostřednictvím GPO nebo Intune.

3. Implementace kontroly aplikací

Toto je jeden z nejdůležitějších ovládacích prvků na SAW. Mělo by být možné spustit pouze výslovně povolené aplikace.

  • ** Windows Defender Application Control (WDAC)**: Je to preferovaná a nejbezpečnější technologie. WDAC vytváří zásady integrity kódu, které jsou vynucovány na úrovni jádra, čímž zabraňují spuštění jakéhokoli neoprávněného softwaru nebo skriptů. Konfigurace je složitější, ale nabízí nejvyšší úroveň zabezpečení [3].
  • AppLocker: Snazší správa, ale považována za starší technologii se známými obcházeními. Může být použit jako doplňková vrstva k WDAC pro specifické scénáře.

Základní implementace s AppLockerem (přes GPO):

  1. Přejděte na Konfigurace počítače > Zásady > Nastavení systému Windows > Nastavení zabezpečení > Zásady řízení aplikací > AppLocker.
  2. Vytvořte Výchozí pravidla, která umožní spuštění souboruWindows kvílí.
  3. Vytvořte pravidla, která povolí pouze spustitelné soubory, skripty a instalační programy nezbytných nástrojů pro správu (např. mmc.exe, Připojení ke vzdálené ploše).
  4. Nakonfigurujte službu Application Identity, aby se spouštěla ​​automaticky.

4. Omezení přístupu k internetu a místním zdrojům

  • Izolace sítě: SAW musí být na izolovaném segmentu VLAN nebo sítě s přísnými pravidly brány firewall, která řídí příchozí a odchozí provoz.
  • Blokování procházení: Přístup k internetu musí být blokován nebo minimálně omezen na velmi malý seznam důvěryhodných stránek (např. portal.azure.com, portal.office.com) přes proxy server nebo firewall.
  • Blokování vyměnitelných médií: Pomocí zásad zařízení zablokujte používání jednotek USB a dalších vyměnitelných úložišť.
  • Oddělení účtů: Uživatel SAW musí být standardním uživatelem na stroji, nikoli místním správcem. Účet používaný k přihlášení do SAW nesmí být stejný účet s právy domény nebo cloudu. Ke zvýšení oprávnění by mělo dojít pouze při připojování k cílovému zdroji (např. pomocí runas nebo zadáním přihlašovacích údajů do nástroje pro správu).

5. Správa a údržba SAW

  • Aktualizace: SAW musí mít přísný proces přijímání a aplikace bezpečnostních záplat.
  • Monitorování: SAW musí být pečlivě sledován vaším SIEM (jako je Microsoft Sentinel) a řešením EDR (Microsoft Defender for Endpoint). Jakákoli anomální aktivita by měla generovat výstrahu s vysokou prioritou.

Příklad každodenního použití

  1. Administrátor se přihlásí ke své uživatelské pracovní stanici (úroveň 2) pro úkoly produktivity (e-mail, týmy).
  2. Když potřebuje provést administrativní úlohu (např. spravovat řadič domény), fyzicky se přesune do svého SAW (úroveň 0) nebo se k němu připojí prostřednictvím zabezpečené metody.
  3. V SAW se přihlásí svým standardním uživatelským účtem SAW.
  4. Otevře se nástroj pro správu (např. Uživatelé a počítače služby Active Directory). Nástroj běží a při připojování k řadiči domény používá vaše přihlašovací údaje správce domény (úroveň 0).
  5. Po dokončení úkolu zavře nástroj a odhlásí se ze SAW. Pověření úrovně 0 nebyly nikdy zadány ani vystaveny mimo SAW.

Závěr

Implementace Secure Access Workstations je základním hloubkovým opatřením k ochraně „klíčů ke království“ organizace. Izolací administrativních úkolů ve zpevněném, přísně kontrolovaném prostředí přerušují SAW řetězec útoků, který protivníci používají k eskalaci privilegií a přesunu do strany. I když to vyžaduje plánování a disciplínu, investice do vytvoření bezpečného prostředí pro správu je jedním z nejdůležitějších kroků, které může organizace podniknout, aby se ochránila před pokročilými kybernetickými útoky.

Reference

[1] Microsoft. (2023). Přehled zabezpečení privilegovaného přístupu. [2] Microsoft. (2023). Princip čistého zdroje. [3] Microsoft. (2023). Ovládání aplikací Windows Defender (WDAC). [4] Microsoft. (2023). Model privilegovaného přístupu.