Защита привилегированных учетных записей с помощью рабочих станций безопасного доступа (SAW)

Защита привилегированных учетных записей с помощью рабочих станций безопасного доступа (SAW)

08.11.2024

Эта техническая и образовательная статья призвана помочь аналитикам безопасности, ИТ-администраторам и системным инженерам при внедрении рабочих станций безопасного доступа (SAW), также известных как рабочие станции привилегированного доступа (PAW), для защиты привилегированных учетных записей и задач. SAW предназначены для создания высокозащищенной и изолированной вычислительной среды, сводящей к минимуму риск компрометации учетных записей с высоким уровнем привилегий, которые являются наиболее ценными целями для злоумышленников [1].

Введение

Компрометация привилегированных учетных данных — один из самых разрушительных векторов атак. Традиционный подход с использованием одной и той же рабочей станции для административных и производительных задач (электронная почта, просмотр веб-страниц) подвергает привилегированные учетные данные неприемлемому риску. SAW решают эту проблему, поскольку представляют собой выделенные и защищенные компьютеры, используемые исключительно для административных задач, в соответствии с Принципом чистого источника: системой с более высоким уровнем безопасности никогда не следует управлять из системы с более низким уровнем безопасности [2].

Почему пилы так важны?

  • Изоляция учетных данных: предотвращает попадание привилегированных учетных данных в менее безопасные среды.
  • Сокращение поверхности атаки: минимизирует векторы атак, доступные на административной рабочей станции.
  • Строгий контроль: позволяет применять строгие политики безопасности, такие как контроль приложений, которые непрактичны на рабочих станциях общего назначения.

Предварительные условия

  1. Лицензирование: Windows 10/11 Enterprise. Для управления настоятельно рекомендуется использовать такие инструменты, как Microsoft Intune.
  2. Административный доступ: права для настройки политик безопасности (GPO или Intune).
  3. Выделенное оборудование или безопасная виртуализированная среда: физические компьютеры или изолированные виртуальные машины.

Шаг за шагом: реализация SAW

1. Определение многоуровневой модели

Модель привилегированного доступа Microsoft классифицирует активы по уровням. SAW необходим для защиты доступа к самым высоким уровням:

  • Уровень 0: Прямое управление инфраструктурой (например, контроллеры домена, глобальные администраторы Azure AD).
  • Уровень 1: Серверы и критически важные приложения.
  • Уровень 2: Рабочие станции конечных пользователей.

SAW уровня 0 следует использовать только для администрирования ресурсов уровня 0.

2. Подготовка и усиление SAW

  1. Чистая установка: установите чистую копию Windows 10/11 Enterprise. Не устанавливайте ненужное программное обеспечение.
  2. Обновления: установите все последние исправления безопасности.
  3. Брандмауэр Windows: настройте брандмауэр так, чтобы он блокировал весь входящий трафик по умолчанию и разрешал только исходящий трафик, строго необходимый для административных задач (например, RDP к определенным серверам, доступ к облачным порталам).
  4. Отключить ненужные службы. Используйте PowerShell, чтобы отключить второстепенные службы. powershell # Пример отключения службы диспетчера очереди печати Set-Service -Name «Spooler» -StartupType Disabled Stop-Service - Имя «Диспетчер очереди печати»
  5. Применить базовые параметры безопасности. Используйте базовые параметры безопасности Microsoft или CIS (Центр интернет-безопасности), чтобы одновременно применить сотни параметров безопасности через объект групповой политики или Intune.

3. Реализация контроля приложений

Это один из самых важных органов управления пилой. Только явно разрешенные приложения должны иметь возможность запускаться.

  • Управление приложениями Защитника Windows (WDAC): это предпочтительная и наиболее безопасная технология. WDAC создает политики целостности кода, которые применяются на уровне ядра, предотвращая запуск неавторизованного программного обеспечения или сценариев. Конфигурация более сложна, но обеспечивает высочайший уровень безопасности [3].
  • AppLocker: проще в управлении, но считается устаревшей технологией с известными обходными путями. Его можно использовать в качестве дополнительного уровня к WDAC для конкретных сценариев.

Базовая реализация с AppLocker (через объект групповой политики):

  1. Перейдите в «Конфигурация компьютера» > «Политики» > «Настройки Windows» > «Настройки безопасности» > «Политики управления приложениями» > «AppLocker».
  2. Создайте Правила по умолчанию, чтобы разрешить выполнение файла.Окна воют.
  3. Создайте правила, разрешающие только исполняемые файлы, сценарии и установщики необходимых инструментов администрирования (например, «mmc.exe», «Подключение к удаленному рабочему столу»).
  4. Настройте службу Application Identity для автоматического запуска.

4. Ограничение доступа к Интернету и локальным ресурсам

  • Сетевая изоляция: SAW должен находиться в изолированной виртуальной локальной сети или сегменте сети со строгими правилами брандмауэра, контролирующими входящий и исходящий трафик.
  • Блокировка просмотра: доступ в Интернет должен быть заблокирован или, как минимум, ограничен очень небольшим списком доверенных сайтов (например, «portal.azure.com», «portal.office.com») через прокси-сервер или брандмауэр.
  • Блокировка съемных носителей. Используйте политики устройств, чтобы заблокировать использование USB-накопителей и других съемных носителей.
  • Разделение учетных записей: Пользователь SAW должен быть стандартным пользователем на компьютере, а не локальным администратором. Учетная запись, используемая для входа в SAW, не должна совпадать с той же учетной записью с привилегиями домена или облака. Повышение привилегий должно происходить только при подключении к целевому ресурсу (например, с помощью runas или ввода учетных данных в инструменте администрирования).

5. Управление и обслуживание пилы.

  • Обновления: SAW должен иметь строгий процесс получения и применения исправлений безопасности.
  • Мониторинг: SAW должен тщательно отслеживаться вашим SIEM (например, Microsoft Sentinel) и решением EDR (Microsoft Defender для конечной точки). Любая аномальная активность должна вызывать оповещение высокого приоритета.

Пример ежедневного использования

  1. Администратор входит на свою пользовательскую рабочую станцию (уровень 2) для выполнения задач повышения производительности (электронная почта, команды).
  2. Когда ему необходимо выполнить административную задачу (например, управлять контроллером домена), он физически перемещается к своему SAW (уровень 0) или подключается к нему с помощью безопасного метода.
  3. В SAW он входит в систему под своей стандартной учетной записью пользователя SAW.
  4. Откроется инструмент администрирования (например: «Пользователи и компьютеры Active Directory»). Инструмент запускается и при подключении к контроллеру домена использует ваши учетные данные администратора домена (уровень 0).
  5. После выполнения задачи закрывает инструмент и выходит из SAW. Учетные данные уровня 0 никогда не вводились и не раскрывались за пределами SAW.

Заключение

Внедрение рабочих станций с защищенным доступом является важной мерой глубокоэшелонированной защиты для защиты «ключей от королевства» организации. Изолируя административные задачи в защищенной, жестко контролируемой среде, SAW разрывают цепочку атак, которую злоумышленники используют для повышения привилегий и перемещения в горизонтальном направлении. Хотя это требует планирования и дисциплины, инвестиции в создание безопасной среды управления являются одним из наиболее важных шагов, которые организация может предпринять для защиты от сложных кибератак.

Ссылки

[1] Майкрософт. (2023). Обзор обеспечения привилегированного доступа. [2] Майкрософт. (2023). Принцип чистого источника. [3] Майкрософт. (2023). Контроль приложений Защитника Windows (WDAC). [4] Майкрософт. (2023). Модель привилегированного доступа.