使用安全访问工作站 (SAW) 保护特权帐户

使用安全访问工作站 (SAW) 保护特权帐户

11/08/2024

这篇技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师实施安全访问工作站 (SAW)(也称为特权访问工作站 (PAW)),以保护特权帐户和任务。 SAW 旨在创建高度安全和隔离的计算环境,最大限度地降低高特权帐户受到损害的风险,而高特权帐户是攻击者最有价值的目标 [1]。

简介

泄露特权凭证是最具破坏性的攻击媒介之一。使用同一工作站执行管理和生产力任务(电子邮件、浏览)的传统方法会将特权凭据暴露在不可接受的风险中。 SAW 通过专用且强化的计算机来解决此问题,专门用于管理任务,遵循清洁源原则:绝不应通过较低安全性的系统来管理较高安全性的系统 [2]。

为什么 SAW 至关重要?

  • 凭证隔离:防止特权凭证暴露在不太安全的环境中。
  • 减少攻击面:最大限度地减少管理工作站上可用的攻击向量。
  • 严格控制:允许应用严格的安全策略,例如应用程序控制,这在通用工作站上是不切实际的。

先决条件

  1. 许可:Windows 10/11 企业版。强烈建议使用 Microsoft Intune 等工具进行管理。
  2. 管理访问权限:配置安全策略(GPO 或 Intune)的权限。
  3. 专用硬件或安全虚拟化环境:物理计算机或隔离的虚拟机。

一步一步:实施 SAW

1. 定义分层模型

Microsoft 的特权访问模型将资产分为不同的层。 SAW 对于保护最高层的访问至关重要:

  • 第 0 层:直接控制基础设施(例如:域控制器、Azure AD 全局管理员)。
  • 第 1 层:服务器和关键任务应用程序。
  • 第 2 层:最终用户工作站。

第 0 层 SAW 只能用于管理第 0 层资源。

2. SAW 配置和强化

  1. 全新安装:安装 Windows 10/11 Enterprise 的全新副本。不要安装不必要的软件。
  2. 更新:应用所有最新的安全补丁。
  3. Windows 防火墙:将防火墙配置为默认阻止所有入站流量,仅允许管理任务严格必需的出站流量(例如,到特定服务器的 RDP、访问云门户)。
  4. 禁用不必要的服务:使用PowerShell禁用不必要的服务。 powershell # 禁用打印后台处理程序服务的示例 设置服务-名称“Spooler”-StartupType 已禁用 停止服务-名称“后台处理程序”
  5. 应用安全基线:使用 Microsoft 或 CIS(互联网安全中心)安全基线通过 GPO 或 Intune 一次性应用数百个安全设置。

3. 实施应用程序控制

这是 SAW 上最重要的控制之一。只有明确允许的应用程序才应该能够运行。

  • Windows Defender 应用程序控制 (WDAC):它是首选且最安全的技术。 WDAC 创建在内核级别强制执行的代码完整性策略,防止任何未经授权的软件或脚本运行。配置更复杂,但提供最高级别的安全性[3]。
  • AppLocker:更易于管理,但被视为具有已知绕过方式的遗留技术。对于特定场景,它可以用作 WDAC 的补充层。

AppLocker 的基本实现(通过 GPO):

  1. 导航到“计算机配置 > 策略 > Windows 设置 > 安全设置 > 应用程序控制策略 > AppLocker”。
  2. 创建默认规则以允许文件执行窗户嚎叫。
  3. 创建规则以仅允许可执行文件、脚本和必要管理工具的安装程序(例如“mmc.exe”、“远程桌面连接”)。
  4. 将“Application Identity”服务配置为自动启动。

4. 限制对互联网和本地资源的访问

  • 网络隔离:SAW 必须位于隔离的 VLAN 或网段上,并使用严格的防火墙规则控制入站和出站流量。
  • 浏览阻止:必须通过代理服务器或防火墙阻止 Internet 访问,或者至少限制为极小的受信任站点列表(例如“portal.azure.com”、“portal.office.com”)。
  • 可移动媒体阻止:使用设备策略阻止使用 USB 驱动器和其他可移动存储。
  • 帐户分离:SAW 用户必须是计算机上的 标准用户,而不是本地管理员。用于登录 SAW 的帐户不得与具有域或云权限的帐户相同。仅当连接到目标资源时才应进行特权提升(例如使用“runas”或在管理工具中输入凭据)。

5. SAW 管理和维护

  • 更新:SAW 必须有严格的流程来接收和应用安全补丁。
  • 监控:SAW 必须由您的 SIEM(例如 Microsoft Sentinel)和 EDR 解决方案(Microsoft Defender for Endpoint)密切监控。任何异常活动都应生成高优先级警报。

日常使用示例

  1. 管理员登录其用户工作站(第 2 层)以执行生产力任务(电子邮件、Teams)。
  2. 当需要执行管理任务(例如管理域控制器)时,它会物理移动到其 SAW(第 0 层)或通过安全方法连接到它。
  3. 在 SAW 中,他使用标准 SAW 用户帐户登录。
  4. 它会打开管理工具(例如:“Active Directory 用户和计算机”)。该工具运行,当连接到域控制器时,它会使用您的域管理员(第 0 层)凭据。
  5. 完成任务后,他关闭工具并退出 SAW。第 0 层凭证从未在 SAW 外部输入或公开。

结论

实施安全访问工作站是保护组织“王国钥匙”的重要纵深防御措施。通过在强化、严格控制的环境中隔离管理任务,SAW 打破了对手用来升级权限和横向移动的攻击链。虽然需要规划和纪律,但投资创建安全的管理环境是组织可以采取的最重要的步骤之一,以保护自己免受高级网络攻击。

参考文献

[1] 微软。 (2023)。 保护特权访问概述。 [2] 微软。 (2023)。 清洁来源原则。 [3] 微软。 (2023)。 Windows Defender 应用程序控制 (WDAC)。 [4] 微软。 (2023)。 特权访问模型