सुरक्षित एक्सेस वर्कस्टेशन (SAW) के साथ विशेषाधिकार प्राप्त खातों की सुरक्षा

सुरक्षित एक्सेस वर्कस्टेशन (SAW) के साथ विशेषाधिकार प्राप्त खातों की सुरक्षा

11/08/2024

इस तकनीकी और शैक्षिक लेख का उद्देश्य विशेषाधिकार प्राप्त खातों और कार्यों की सुरक्षा के लिए सिक्योर एक्सेस वर्कस्टेशन (एसएडब्ल्यू), जिसे प्रिविलेज्ड एक्सेस वर्कस्टेशन (पीएडब्ल्यू) के रूप में भी जाना जाता है, को लागू करने में सुरक्षा विश्लेषकों, आईटी प्रशासकों और सिस्टम इंजीनियरों का मार्गदर्शन करना है। SAW को अत्यधिक सुरक्षित और पृथक कंप्यूटिंग वातावरण बनाने के लिए डिज़ाइन किया गया है, जो अत्यधिक विशेषाधिकार प्राप्त खातों के समझौते के जोखिम को कम करता है, जो हमलावरों के लिए सबसे मूल्यवान लक्ष्य हैं [1]।

परिचय

विशेषाधिकार प्राप्त साख से समझौता करना सबसे विनाशकारी आक्रमण वाहकों में से एक है। प्रशासनिक और उत्पादकता कार्यों (ईमेल, ब्राउज़िंग) के लिए एक ही कार्य केंद्र का उपयोग करने का पारंपरिक दृष्टिकोण विशेषाधिकार प्राप्त साख को अस्वीकार्य जोखिम में उजागर करता है। SAW समर्पित और कठोर कंप्यूटर होने के कारण इस समस्या का समाधान करते हैं, जिनका उपयोग विशेष रूप से प्रशासनिक कार्यों के लिए किया जाता है, स्वच्छ स्रोत सिद्धांत का पालन करते हुए: एक उच्च सुरक्षा प्रणाली को कभी भी कम सुरक्षा प्रणाली से प्रबंधित नहीं किया जाना चाहिए [2]।

SAWs महत्वपूर्ण क्यों हैं?

  • क्रेडेंशियल आइसोलेशन: विशेषाधिकार प्राप्त क्रेडेंशियल्स को कम सुरक्षित वातावरण में उजागर होने से रोकता है।
  • हमले की सतह में कमी: प्रशासनिक कार्य केंद्र पर उपलब्ध हमले के वैक्टर को कम करता है।
  • सख्त नियंत्रण: एप्लिकेशन नियंत्रण जैसी सख्त सुरक्षा नीतियों के अनुप्रयोग की अनुमति देता है, जो सामान्य-उद्देश्य वाले कार्यस्थानों पर अव्यावहारिक होगा।

पूर्वावश्यकताएँ

  1. लाइसेंसिंग: विंडोज 10/11 एंटरप्राइज। प्रबंधन के लिए Microsoft Intune जैसे टूल की अत्यधिक अनुशंसा की जाती है।
  2. प्रशासनिक पहुंच: सुरक्षा नीतियों को कॉन्फ़िगर करने का विशेषाधिकार (जीपीओ या इंट्यून)।
  3. समर्पित हार्डवेयर या सुरक्षित वर्चुअलाइज्ड वातावरण: भौतिक कंप्यूटर या पृथक वीएम।

चरण दर चरण: एक SAW लागू करना

1. टियरिंग मॉडल को परिभाषित करना

माइक्रोसॉफ्ट का विशेषाधिकार प्राप्त एक्सेस मॉडल परिसंपत्तियों को स्तरों में वर्गीकृत करता है। उच्चतम स्तरों तक पहुंच की सुरक्षा के लिए SAW आवश्यक है:

  • टियर 0: बुनियादी ढांचे का प्रत्यक्ष नियंत्रण (उदा: डोमेन नियंत्रक, Azure AD ग्लोबल एडमिन)।
  • टियर 1: सर्वर और मिशन-महत्वपूर्ण अनुप्रयोग।
  • टियर 2: अंतिम उपयोगकर्ता कार्यस्थान।

टियर 0 SAW का उपयोग केवल टियर 0 संसाधनों को प्रशासित करने के लिए किया जाना चाहिए।

2. SAW प्रोविजनिंग और हार्डनिंग

  1. क्लीन इंस्टाल: विंडोज 10/11 एंटरप्राइज की एक क्लीन कॉपी इंस्टॉल करें। अनावश्यक सॉफ़्टवेयर इंस्टॉल न करें.
  2. अपडेट: सभी नवीनतम सुरक्षा पैच लागू करें।
  3. विंडोज फ़ायरवॉल: सभी इनबाउंड ट्रैफ़िक को डिफ़ॉल्ट रूप से ब्लॉक करने के लिए फ़ायरवॉल को कॉन्फ़िगर करें और केवल प्रशासनिक कार्यों के लिए आवश्यक आउटबाउंड ट्रैफ़िक की अनुमति दें (उदाहरण के लिए विशिष्ट सर्वर के लिए आरडीपी, क्लाउड पोर्टल तक पहुंच)।
  4. अनावश्यक सेवाएँ अक्षम करें: गैर-आवश्यक सेवाओं को अक्षम करने के लिए PowerShell का उपयोग करें। पॉवरशेल # प्रिंट स्पूलर सेवा को अक्षम करने का उदाहरण सेट-सेवा -नाम "स्पूलर" -स्टार्टअप प्रकार अक्षम स्टॉप-सर्विस -नाम "स्पूलर"
  5. सुरक्षा बेसलाइन लागू करें: GPO या Intune के माध्यम से एक साथ सैकड़ों सुरक्षा सेटिंग्स लागू करने के लिए Microsoft या CIS (इंटरनेट सुरक्षा केंद्र) सुरक्षा बेसलाइन का उपयोग करें।

3. एप्लिकेशन नियंत्रण लागू करना

यह SAW पर सबसे महत्वपूर्ण नियंत्रणों में से एक है। केवल स्पष्ट रूप से अनुमति प्राप्त एप्लिकेशन ही चलने में सक्षम होने चाहिए।

  • विंडोज डिफेंडर एप्लीकेशन कंट्रोल (डब्ल्यूडीएसी): यह पसंदीदा और सबसे सुरक्षित तकनीक है। WDAC कोड अखंडता नीतियां बनाता है जिन्हें कर्नेल स्तर पर लागू किया जाता है, जो किसी भी अनधिकृत सॉफ़्टवेयर या स्क्रिप्ट को चलने से रोकता है। कॉन्फ़िगरेशन अधिक जटिल है, लेकिन उच्चतम स्तर की सुरक्षा प्रदान करता है [3]।
  • ऐपलॉकर: प्रबंधित करना आसान है, लेकिन ज्ञात बाईपास के साथ एक विरासत तकनीक मानी जाती है। इसे विशिष्ट परिदृश्यों के लिए WDAC की पूरक परत के रूप में उपयोग किया जा सकता है।

ऐपलॉकर के साथ बुनियादी कार्यान्वयन (जीपीओ के माध्यम से):

  1. कंप्यूटर कॉन्फ़िगरेशन > नीतियां > विंडोज़ सेटिंग्स > सुरक्षा सेटिंग्स > एप्लिकेशन नियंत्रण नीतियां > ऐपलॉकर पर नेविगेट करें।
  2. फ़ाइल निष्पादन की अनुमति देने के लिए डिफ़ॉल्ट नियम बनाएंखिड़कियाँ चिल्लाती हैं।
  3. केवल आवश्यक प्रशासनिक उपकरणों (जैसे mmc.exe, रिमोट डेस्कटॉप कनेक्शन) के निष्पादन योग्य, स्क्रिप्ट और इंस्टॉलर को अनुमति देने के लिए नियम बनाएं।
  4. 'एप्लिकेशन आइडेंटिटी' सेवा को स्वचालित रूप से प्रारंभ करने के लिए कॉन्फ़िगर करें।

4. इंटरनेट और स्थानीय संसाधनों तक पहुंच को प्रतिबंधित करना

  • नेटवर्क अलगाव: SAW एक पृथक वीएलएएन या नेटवर्क खंड पर होना चाहिए, जिसमें सख्त फ़ायरवॉल नियम इनबाउंड और आउटबाउंड ट्रैफ़िक को नियंत्रित करते हैं।
  • ब्राउज़िंग ब्लॉकिंग: प्रॉक्सी सर्वर या फ़ायरवॉल के माध्यम से इंटरनेट एक्सेस को ब्लॉक किया जाना चाहिए या, कम से कम, विश्वसनीय साइटों (जैसे portal.azure.com, portal.office.com) की एक बहुत छोटी सूची तक सीमित होना चाहिए।
  • रिमूवेबल मीडिया ब्लॉकिंग: यूएसबी ड्राइव और अन्य रिमूवेबल स्टोरेज के उपयोग को ब्लॉक करने के लिए डिवाइस नीतियों का उपयोग करें।
  • खातों का पृथक्करण: SAW उपयोगकर्ता को मशीन पर मानक उपयोगकर्ता* होना चाहिए, स्थानीय प्रशासक नहीं। SAW में लॉग इन करने के लिए उपयोग किया जाने वाला खाता डोमेन या क्लाउड विशेषाधिकारों वाला एक ही खाता नहीं होना चाहिए। विशेषाधिकारों का उन्नयन केवल लक्ष्य संसाधन से कनेक्ट होने पर ही होना चाहिए (उदाहरण के लिए 'रनस' का उपयोग करना या प्रशासन उपकरण में क्रेडेंशियल दर्ज करना)।

5. SAW प्रबंधन और रखरखाव

  • अपडेट: सुरक्षा पैच प्राप्त करने और लागू करने के लिए SAW के पास एक कठोर प्रक्रिया होनी चाहिए।
  • निगरानी: SAW की आपके SIEM (जैसे Microsoft सेंटिनल) और EDR समाधान (एंडपॉइंट के लिए Microsoft डिफेंडर) द्वारा बारीकी से निगरानी की जानी चाहिए। किसी भी असामान्य गतिविधि को उच्च प्राथमिकता वाली चेतावनी उत्पन्न करनी चाहिए।

दैनिक उपयोग का उदाहरण

  1. व्यवस्थापक उत्पादकता कार्यों (ईमेल, टीम) के लिए अपने उपयोगकर्ता कार्य केंद्र (टियर 2) में लॉग इन करता है।
  2. जब इसे कोई प्रशासनिक कार्य करने की आवश्यकता होती है (उदाहरण के लिए एक डोमेन नियंत्रक को प्रबंधित करना), तो यह भौतिक रूप से अपने SAW (टियर 0) में चला जाता है या एक सुरक्षित विधि के माध्यम से इससे जुड़ जाता है।
  3. SAW में, वह अपने मानक SAW उपयोगकर्ता खाते से लॉग इन करता है।
  4. यह प्रशासनिक उपकरण खोलता है (उदाहरण: सक्रिय निर्देशिका उपयोगकर्ता और कंप्यूटर)। टूल चलता है, और डोमेन नियंत्रक से कनेक्ट होने पर, यह आपके डोमेन प्रशासक (टियर 0) क्रेडेंशियल्स का उपयोग करता है।
  5. कार्य पूरा करने के बाद, वह टूल बंद कर देता है और SAW से लॉग आउट हो जाता है। टियर 0 क्रेडेंशियल को कभी भी SAW के बाहर टाइप या प्रदर्शित नहीं किया गया।

निष्कर्ष

किसी संगठन की "राज्य की चाबियाँ" की सुरक्षा के लिए सिक्योर एक्सेस वर्कस्टेशन को लागू करना एक आवश्यक रक्षा-गहन उपाय है। कठोर, कसकर नियंत्रित वातावरण में प्रशासनिक कार्यों को अलग करके, SAWs उस हमले की श्रृंखला को तोड़ देते हैं जिसका उपयोग विरोधी विशेषाधिकारों को बढ़ाने और पार्श्व में आगे बढ़ने के लिए करते हैं। हालाँकि इसके लिए योजना और अनुशासन की आवश्यकता होती है, एक सुरक्षित प्रबंधन वातावरण बनाने में निवेश करना सबसे महत्वपूर्ण कदमों में से एक है जो एक संगठन खुद को उन्नत साइबर हमलों से बचाने के लिए उठा सकता है।

सन्दर्भ

[1] माइक्रोसॉफ्ट। (2023)। सुरक्षित विशेषाधिकार प्राप्त पहुंच अवलोकन। [2] माइक्रोसॉफ्ट। (2023)। स्वच्छ स्रोत सिद्धांत. [3] माइक्रोसॉफ्ट। (2023)। विंडोज डिफेंडर एप्लिकेशन कंट्रोल (डब्ल्यूडीएसी)। [4] माइक्रोसॉफ्ट। (2023)। विशेषाधिकार प्राप्त पहुंच मॉडल.