在查看Contoso顾问的安全报告时,您了解到恶意黑客将集中于具有对基础结构的高层访问权限的管理员定期使用的工作站。因此,重要的是要确保这样的工作站是安全的。

什么是特权访问工作站?
特权访问工作站(PAW)是一台计算机,可用于执行管理任务,例如身份系统,云服务和其他敏感功能的管理。这台计算机将受到保护,不受Internet的影响并被锁定,因此只有所需的管理应用程序可以运行。

注意

确保不允许将管理用户帐户用作标准用户帐户。

您永远不要将此工作站用于Web浏览,电子邮件和其他常见的最终用户应用程序,并且应具有严格的应用程序控制。您不应该允许连接到无线网络或外部USB设备。PAW应该实现安全性功能,例如多因素身份验证(MFA)。

提示

您必须将特权服务器配置为不接受来自非特权工作站的连接。

Microsoft建议为您的PAW使用Windows 10企业版。这是因为Windows 10企业版支持其他版本中没有的安全功能。下表描述了这些Windows Defender功能。

表1
特征 描述
Defender应用程序控制 从传统的应用程序信任模型(默认情况下,所有应用程序都假定为可信任的模型)转变为应用程序必须赢得信任才能运行的模型。
Defender凭据防护 保护NTLM密码哈希,授予Kerberos票证的票证以及应用程序存储为域凭据的凭据。由于它们不再存储在本地安全机构(LSA)中,因此即使在受到威胁的系统上也可以阻止凭据盗用。
Defender设备防护 将Windows应用程序控制的功能与使用Windows Hyper-V虚拟机管理程序的功能相结合,可以保护Windows内核模式进程免遭恶意代码或未经验证的代码的注入和执行。
Defender漏洞利用防护 使管理员能够定义和管理策略,以减少表面攻击和利用,网络保护以及防止可疑应用程序访问通常目标文件夹的策略。
PAW硬件配置文件
请记住,管理员也是用户,这一点很重要。这意味着他们将使用电子邮件,浏览网络并运行像Microsoft Office这样的生产力应用程序。如果管理员的计算机是PAW,则将严重影响用户在非管理任务中提高工作效率的能力。

注意

值得记住的是,用户倾向于放弃限制生产率的安全解决方案,而转而采用不安全的解决方案来提高生产率。

为了维护安全性,应为管理员用户提供两个工作站。一个工作站是PAW,而另一个则用于不需要提升的日常任务。您可以通过使用PAW硬件配置文件来实现这种分离。Microsoft建议使用以下硬件配置文件之一:

专用硬件。用于用户任务和管理任务的单独专用设备。管理工作站必须支持诸如可信平台模块(TPM)之类的硬件安全机制,并实现已讨论的Windows 10 Enterprise安全功能。
同时使用。单个设备可以通过运行两个操作系统来同时运行用户任务和管理任务,其中一个是用户系统,另一个是管理员系统。您可以通过在VM中运行日常使用的单独操作系统来实现此目的。
注意

如果您使用的是单个设备,请确保PAW在物理计算机上运行,而常规工作站作为VM运行。这样可以提供正确的安全性。

下表描述了这些方法的优缺点。

表2
情境                优点                                                      缺点
专用五金  强大的安全隔离 需要两个设备。这需要更多的空间和更多的实施成本。
同时使用  降低硬件成本                                 共享相同的键盘和鼠标可能会导致错误并带来安全风险。

原文地址:

https://docs.microsoft.com/zh-cn/learn/modules/perform--server-secure-administration/4-use-privileged-access-workstations

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注