Protezione degli account privilegiati con workstation ad accesso sicuro (SAW)

Protezione degli account privilegiati con workstation ad accesso sicuro (SAW)

08/11/2024

Questo articolo tecnico ed educativo mira a guidare gli analisti della sicurezza, gli amministratori IT e gli ingegneri di sistema nell'implementazione di Secure Access Workstation (SAW), note anche come Privileged Access Workstation (PAW), per proteggere account e attività privilegiati. Le SAW sono progettate per creare un ambiente informatico altamente sicuro e isolato, riducendo al minimo il rischio di compromissione di account altamente privilegiati, che rappresentano gli obiettivi più preziosi per gli aggressori [1].

Introduzione

La compromissione delle credenziali privilegiate è uno dei vettori di attacco più devastanti. L'approccio tradizionale che prevede l'utilizzo della stessa postazione di lavoro per attività amministrative e di produttività (e-mail, navigazione) espone le credenziali privilegiate a rischi inaccettabili. I SAW risolvono questo problema essendo computer dedicati e rafforzati, utilizzati esclusivamente per attività amministrative, seguendo il Principio della fonte pulita: un sistema di sicurezza più elevato non dovrebbe mai essere gestito da un sistema di sicurezza inferiore [2].

Perché le SAW sono cruciali?

  • Isolamento delle credenziali: impedisce che le credenziali privilegiate vengano esposte ad ambienti meno sicuri.
  • Riduzione della superficie di attacco: riduce al minimo i vettori di attacco disponibili sulla workstation amministrativa.
  • Controllo rigoroso: consente l'applicazione di policy di sicurezza rigorose, come il controllo delle applicazioni, che sarebbero poco pratiche su workstation generiche.

Prerequisiti

  1. Licenza: Windows 10/11 Enterprise. Strumenti come Microsoft Intune sono altamente consigliati per la gestione.
  2. Accesso amministrativo: privilegi per configurare i criteri di sicurezza (GPO o Intune).
  3. Hardware dedicato o ambiente virtualizzato sicuro: computer fisici o VM isolate.

Passo dopo passo: implementazione di una SAW

1. Definizione del modello di suddivisione in livelli

Il modello di accesso privilegiato di Microsoft classifica le risorse in livelli. SAW è essenziale per proteggere l'accesso ai livelli più alti:

  • Livello 0: controllo diretto dell'infrastruttura (es: controller di dominio, amministratori globali di Azure AD).
  • Livello 1: server e applicazioni mission-critical.
  • Livello 2: workstation degli utenti finali.

Una SAW di livello 0 deve essere utilizzata solo per amministrare risorse di livello 0.

2. Fornitura e rafforzamento di SAW

  1. Installazione pulita: installa una copia pulita di Windows 10/11 Enterprise. Non installare software non necessario.
  2. Aggiornamenti: applica tutte le ultime patch di sicurezza.
  3. Windows Firewall: configura il firewall per bloccare tutto il traffico in entrata per impostazione predefinita e consentire solo il traffico in uscita strettamente necessario per attività amministrative (ad esempio RDP su server specifici, accesso a portali cloud).
  4. Disabilita servizi non necessari: utilizza PowerShell per disabilitare i servizi non essenziali. "PowerShell". # Esempio per disabilitare il servizio spooler di stampa Set-Service -Name "Spooler" -StartupType Disabilitato Stop-Service -Nome "Spooler" ```
  5. Applica linee di base di sicurezza: utilizza le linee di base di sicurezza Microsoft o CIS (Center for Internet Security) per applicare centinaia di impostazioni di sicurezza contemporaneamente tramite GPO o Intune.

3. Implementazione del controllo delle applicazioni

Questo è uno dei controlli più importanti su una SAW. Dovrebbero essere possibili l'esecuzione solo delle applicazioni esplicitamente autorizzate.

  • Windows Defender Application Control (WDAC): è la tecnologia preferita e più sicura. WDAC crea policy di integrità del codice applicate a livello di kernel, impedendo l'esecuzione di software o script non autorizzati. La configurazione è più complessa, ma offre il massimo livello di sicurezza [3].
  • AppLocker: più facile da gestire, ma considerata una tecnologia legacy con aggiramenti noti. Può essere utilizzato come livello complementare al WDAC per scenari specifici.

Implementazione di base con AppLocker (tramite oggetto Criteri di gruppo):

  1. Passare a "Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Criteri di controllo delle applicazioni > AppLocker".
  2. Crea Regole predefinite per consentire l'esecuzione del fileWindows urla.
  3. Creare regole per consentire solo file eseguibili, script e programmi di installazione degli strumenti amministrativi necessari (ad esempio mmc.exe, Connessione desktop remoto).
  4. Configura il servizio "Identità applicazione" per l'avvio automatico.

4. Limitare l'accesso a Internet e alle risorse locali

  • Isolamento della rete: SAW deve trovarsi su una VLAN isolata o su un segmento di rete, con rigide regole firewall che controllano il traffico in entrata e in uscita.
  • Blocco della navigazione: l'accesso a Internet deve essere bloccato o, come minimo, limitato a un elenco molto limitato di siti attendibili (ad esempio portal.azure.com, portal.office.com) tramite un server proxy o un firewall.
  • Blocco dei supporti rimovibili: utilizza i criteri del dispositivo per bloccare l'utilizzo di unità USB e altri dispositivi di archiviazione rimovibili.
  • Separazione degli account: l'utente SAW deve essere un utente standard sulla macchina, non un amministratore locale. L'account utilizzato per accedere a SAW non deve essere lo stesso account con privilegi di dominio o cloud. L'elevazione dei privilegi dovrebbe avvenire solo quando ci si connette alla risorsa di destinazione (ad esempio utilizzando "runas" o inserendo le credenziali nello strumento di amministrazione).

5. Gestione e manutenzione delle SEGA

  • Aggiornamenti: SAW deve disporre di un processo rigoroso per la ricezione e l'applicazione delle patch di sicurezza.
  • Monitoraggio: SAW deve essere attentamente monitorato dalla soluzione SIEM (come Microsoft Sentinel) e EDR (Microsoft Defender for Endpoint). Qualsiasi attività anomala dovrebbe generare un avviso ad alta priorità.

Esempio di utilizzo quotidiano

  1. L'amministratore accede alla propria workstation utente (Livello 2) per attività di produttività (e-mail, Teams).
  2. Quando deve eseguire un'attività amministrativa (ad esempio gestire un controller di dominio), si sposta fisicamente sul suo SAW (Tier 0) o si connette ad esso tramite un metodo sicuro.
  3. In SAW, accede con il suo account utente SAW standard.
  4. Apre lo strumento di amministrazione (es: Utenti e computer di Active Directory). Lo strumento viene eseguito e, quando si connette al controller di dominio, utilizza le credenziali di amministratore di dominio (livello 0).
  5. Dopo aver completato l'attività, chiude lo strumento e si disconnette da SAW. Le credenziali di livello 0 non sono mai state digitate o esposte al di fuori di SAW.

Conclusione

L'implementazione di workstation ad accesso sicuro è una misura di difesa approfondita essenziale per proteggere le "chiavi del regno" di un'organizzazione. Isolando le attività amministrative in un ambiente rafforzato e strettamente controllato, le SAW interrompono la catena di attacco utilizzata dagli avversari per aumentare i privilegi e spostarsi lateralmente. Sebbene richieda pianificazione e disciplina, investire nella creazione di un ambiente di gestione sicuro è uno dei passi più importanti che un’organizzazione può intraprendere per proteggersi dagli attacchi informatici avanzati.

Riferimenti

[1]Microsoft. (2023). Panoramica sulla protezione dell'accesso privilegiato. [2]Microsoft. (2023). Principio della fonte pulita. [3]Microsoft. (2023). Controllo delle applicazioni Windows Defender (WDAC). [4]Microsoft. (2023). Modello di accesso privilegiato.