Bevoorrechte accounts beschermen met Secure Access Workstations (SAW)

Bevoorrechte accounts beschermen met Secure Access Workstations (SAW)

11/08/2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het implementeren van Secure Access Workstations (SAW), ook bekend als Privileged Access Workstations (PAW), om geprivilegieerde accounts en taken te beschermen. SAW's zijn ontworpen om een ​​zeer veilige en geïsoleerde computeromgeving te creëren, waardoor het risico op inbreuk op zeer geprivilegieerde accounts, die het meest waardevolle doelwit zijn voor aanvallers, wordt geminimaliseerd [1].

Introductie

Het compromitteren van geprivilegieerde inloggegevens is een van de meest verwoestende aanvalsvectoren. De traditionele aanpak waarbij hetzelfde werkstation wordt gebruikt voor administratieve en productiviteitstaken (e-mail, browsen) stelt geprivilegieerde inloggegevens bloot aan onaanvaardbare risico's. SAW's lossen dit probleem op door speciale, geharde computers te zijn die uitsluitend voor administratieve taken worden gebruikt, volgens het Clean Source Principle: een systeem met een hogere beveiliging mag nooit worden beheerd vanuit een systeem met een lagere beveiliging [2].

Waarom zijn SAW's cruciaal?

  • Isolatie van inloggegevens: Voorkomt dat geprivilegieerde inloggegevens worden blootgesteld aan minder veilige omgevingen.
  • Vermindering van aanvalsoppervlak: Minimaliseert de aanvalsvectoren die beschikbaar zijn op het administratieve werkstation.
  • Strikte controle: Maakt de toepassing mogelijk van strikt beveiligingsbeleid, zoals applicatiecontrole, dat onpraktisch zou zijn op werkstations voor algemene doeleinden.

Vereisten

  1. Licenties: Windows 10/11 Enterprise. Tools zoals Microsoft Intune worden ten zeerste aanbevolen voor beheer.
  2. Beheerderstoegang: bevoegdheden om beveiligingsbeleid te configureren (GPO of Intune).
  3. Dedicated hardware of veilige gevirtualiseerde omgeving: fysieke computers of geïsoleerde VM's.

Stap voor stap: een SAW implementeren

1. Het niveaumodel definiëren

Het privileged access-model van Microsoft categoriseert assets in lagen. SAW is essentieel om de toegang tot de hoogste niveaus te beschermen:

  • Tier 0: Directe controle over de infrastructuur (bijvoorbeeld: domeincontrollers, Azure AD Global Admins).
  • Tier 1: Servers en bedrijfskritische applicaties.
  • Niveau 2: werkstations voor eindgebruikers.

Een Tier 0-SAW mag alleen worden gebruikt voor het beheren van Tier 0-bronnen.

2. SAW-voorziening en verharding

  1. Schone installatie: installeer een schoon exemplaar van Windows 10/11 Enterprise. Installeer geen onnodige software.
  2. Updates: pas de nieuwste beveiligingspatches toe.
  3. Windows Firewall: configureer de firewall om standaard al het inkomende verkeer te blokkeren en alleen uitgaand verkeer toe te staan ​​dat strikt noodzakelijk is voor administratieve taken (bijvoorbeeld RDP naar specifieke servers, toegang tot cloudportals).
  4. Onnodige services uitschakelen: gebruik PowerShell om niet-essentiële services uit te schakelen. powershell # Voorbeeld om de print spooler-service uit te schakelen Set-Service -Naam "Spooler" -StartupType uitgeschakeld Stop-Service -Naam "Spooler"
  5. Beveiligingsbasislijnen toepassen: gebruik beveiligingsbasislijnen van Microsoft of CIS (Center for Internet Security) om honderden beveiligingsinstellingen tegelijk toe te passen via GPO of Intune.

3. Applicatiebeheer implementeren

Dit is een van de belangrijkste bedieningselementen op een SAW. Alleen expliciet toegestane applicaties mogen worden uitgevoerd.

  • Windows Defender Application Control (WDAC): het is de geprefereerde en veiligste technologie. WDAC creëert code-integriteitsbeleid dat wordt afgedwongen op kernelniveau, waardoor wordt voorkomen dat ongeautoriseerde software of scripts worden uitgevoerd. De configuratie is complexer, maar biedt het hoogste beveiligingsniveau [3].
  • AppLocker: eenvoudiger te beheren, maar wordt beschouwd als een oudere technologie met bekende bypasses. Het kan worden gebruikt als een aanvullende laag voor WDAC voor specifieke scenario's.

Basisimplementatie met AppLocker (via GPO):

  1. Navigeer naar 'Computerconfiguratie > Beleid > Windows-instellingen > Beveiligingsinstellingen > Applicatiebeheerbeleid > AppLocker'.
  2. Maak Standaardregels om de uitvoering van bestanden toe te staanWindows huilt.
  3. Maak regels om alleen uitvoerbare bestanden, scripts en installatieprogramma's van noodzakelijke beheertools toe te staan ​​(bijvoorbeeld mmc.exe, Remote Desktop Connection).
  4. Configureer de Application Identity-service om automatisch te starten.

4. Toegang tot internet en lokale bronnen beperken

  • Netwerkisolatie: De SAW moet zich op een geïsoleerd VLAN- of netwerksegment bevinden, met strikte firewallregels die inkomend en uitgaand verkeer controleren.
  • Browsingblokkering: internettoegang moet worden geblokkeerd of op zijn minst worden beperkt tot een zeer kleine lijst met vertrouwde sites (bijvoorbeeld portal.azure.com, portal.office.com) via een proxyserver of firewall.
  • Verwijderbare media blokkeren: Gebruik apparaatbeleid om het gebruik van USB-drives en andere verwijderbare opslag te blokkeren.
  • Gescheiden accounts: de SAW-gebruiker moet een standaardgebruiker op de machine zijn, en geen lokale beheerder. Het account dat wordt gebruikt om in te loggen op SAW mag niet hetzelfde account zijn met domein- of cloudrechten. Het verhogen van bevoegdheden mag alleen plaatsvinden bij het verbinden met de doelbron (bijvoorbeeld door het gebruik van runas of het invoeren van inloggegevens in de beheertool).

5. SAW-beheer en onderhoud

  • Updates: SAW moet een rigoureus proces hanteren voor het ontvangen en toepassen van beveiligingspatches.
  • Monitoring: SAW moet nauwlettend worden gemonitord door uw SIEM (zoals Microsoft Sentinel) en EDR-oplossing (Microsoft Defender for Endpoint). Elke afwijkende activiteit moet een waarschuwing met hoge prioriteit genereren.

Voorbeeld van dagelijks gebruik

  1. De beheerder logt in op zijn gebruikerswerkstation (Niveau 2) voor productiviteitstaken (e-mail, Teams).
  2. Wanneer het een administratieve taak moet uitvoeren (bijvoorbeeld een domeincontroller beheren), gaat het fysiek naar zijn SAW (Tier 0) of maakt er verbinding mee via een veilige methode.
  3. In SAW logt hij in met zijn standaard SAW-gebruikersaccount.
  4. Het opent het beheerprogramma (bijvoorbeeld: Active Directory-gebruikers en computers). Het hulpprogramma wordt uitgevoerd en wanneer er verbinding wordt gemaakt met de domeincontroller, worden de inloggegevens van uw domeinbeheerder (Tier 0) gebruikt.
  5. Nadat hij de taak heeft voltooid, sluit hij de tool en meldt hij zich af bij SAW. Niveau 0-referenties zijn nooit buiten SAW getypt of weergegeven.

Conclusie

Het implementeren van Secure Access Workstations is een essentiële diepgaande verdedigingsmaatregel om de 'sleutels tot het koninkrijk' van een organisatie te beschermen. Door administratieve taken te isoleren in een verharde, strak gecontroleerde omgeving, doorbreken SAW's de aanvalsketen die tegenstanders gebruiken om privileges te escaleren en lateraal te bewegen. Hoewel het planning en discipline vereist, is investeren in het creëren van een veilige beheeromgeving een van de belangrijkste stappen die een organisatie kan nemen om zichzelf te beschermen tegen geavanceerde cyberaanvallen.

Referenties

[1]Microsoft. (2023). Overzicht van bevoorrechte toegang beveiligen. [2]Microsoft. (2023). Schone bronprincipe. [3]Microsoft. (2023). Windows Defender-toepassingscontrole (WDAC). [4]Microsoft. (2023). Bevoorrechte toegangsmodel.