Table of contents
TOC
Fechar a tabela de conteúdos
Expandir a tabela de conteúdos

Estações de trabalho com privilégios de acesso

Corey Plett|Última Atualização: 05/12/2016
|
1 Contribuinte

Aplica-se a: Windows Server de 2016, Windows Server 2012 R2, Windows Server 2012

Privilegiadas estações de trabalho de acesso (patas) fornecer um sistema operativo dedicado para tarefas confidenciais protegido contra ataques à Internet e vetores de ameaças. Separando estas tarefas confidenciais e contas da diária utilizar estações de trabalho e dispositivos fornece muito forte proteção contra ataques de phishing, aplicações e as vulnerabilidades SO, vários ataques representação e das credenciais roubo ataques, tais como registos de batimentos de teclas, Pass-a-Hash, e Pass-a-bilhete.

Descrição geral de arquitetura

O diagrama abaixo retratar um "canal" separado para a administração (uma tarefa altamente confidencial) que é criado por manter separadas contas administrativas dedicadas e estações de trabalho.

Diagrama que mostra um "canal" separado para a administração (uma tarefa altamente confidencial) que é criada por manter separadas contas administrativas dedicadas e estações de trabalho

Esta abordagem de arquitetura compilações nas proteções encontradas no Windows 10 das credenciais guarda e dispositivo guarda os recursos e muito mais essas proteções para contas confidenciais e tarefas.

Esta metodologia é adequada para contas com acesso a ativos de valor alto:

  • Privilégios administrativos as patas fornecem maior segurança para o impacto alto funções administrativas de TI e tarefas. Esta arquitetura pode ser aplicada a administração de muitos tipos de sistemas, incluindo domínios do Active Directory e florestas, Inquilinos do Microsoft Azure Active Directory, Inquilinos do Office 365, redes de controlo do processo (PCN), sistemas de controlo Supervisory e aquisição de dados (SCADA), máquinas de atendimento automatizado (ATMs) e dispositivos de ponto de venda (PoS).

  • Os operadores de informações de sensibilidade alto a abordagem usada uma PATA também pode proporcionar uma proteção para tarefas de trabalho informações altamente confidenciais e pessoal, como os que envolvem atividade de fusão e aquisição de pré-lançamento, relatórios financeiros pré-lançamento, presença organizacional redes sociais, executivas comunicações, segredos não patenteados, investigação confidenciais ou outros dados confidenciais ou propriedade. Estas orientações não discutir a configuração dos cenários de trabalho informações ao detalhe ou inclua este cenário nas instruções técnicas.

    Nota

    Microsoft IT utiliza patas (internamente denominadas como "admin seguro estações de trabalho", ou serras) para gerir acesso seguro para sistemas de elevado valor internos na Microsoft. Este guia tem detalhes adicionais abaixo sobre a utilização de PATA na Microsoft na secção "Como a Microsoft usa estações de trabalho do administrador". Para obter informações sobre esta abordagem de ambiente de recurso de elevado valor mais detalhadas, consulte o artigo, proteger ativos de elevado valor com estações de trabalho do administrador seguro.

Este documento será descrevem como implementar rapidamente uma solução PATA para a administração dos serviços de domínio e na nuvem, o que estas soluções PATA parecer para proteger privilégios administrativos e por que é que esta prática é recomendada para proteger as contas de alto impacto privilegiada.

Este documento fornece orientação detalhada para a implementação de várias configurações PATA e inclui instruções detalhadas de implementação para ajudá-lo a adequado para proteger as contas de grande impacto comuns:

  • Fase 1 - implementação imediata para os administradores do Active Directory Isto proporciona uma PATA rapidamente que pode proteger no local de domínio e floresta funções de administração

  • Fase 2 - PATA é aplicável a todos os administradores deste modo, proteção para os administradores de serviços em nuvem como Office 365 e Azure, servidores enterprise, as aplicações empresariais e estações de trabalho

  • A fase 3 - segurança avançada PATA este tópico aborda proteções adicionais e considerações sobre segurança PATA

Por isso que uma estação de trabalho dedicada?

O ambiente de ameaças atual para organizações é apresenta com phishing sofisticada e outros ataques de internet que criar contínuo risco de segurança comprometida para contas exposta à internet e estações de trabalho.

Neste ambiente ameaça requer uma organizações de adotar uma postura de segurança "assumir violação" durante a criação de proteção para ativos de elevado valor como contas administrativas e os ativos comerciais confidenciais. Destes elementos de elevado valor necessário estar protegido contra tanto direta ameaças da internet, bem como ataques montada a partir de outros dispositivos no ambiente de, servidores e estações de trabalho.

Figura mostra o risco para ativos geridos se um atacante assumir o controlo de uma estação de trabalho do utilizador em que são utilizadas credenciais confidenciais

Figura retratar risco para os ativos geridos se um atacante assumir o controlo de uma estação de trabalho do utilizador em que são utilizadas credenciais confidenciais.

Um atacante no controlo de um sistema operativo tem diversas formas para obter acesso a todas as atividades a estação de trabalho e representar a conta legítima ilicitamente. Uma variedade de técnicas de ataque conhecidos e desconhecidos pode ser utilizada para obter este nível de acesso. Aumentar volume e sofisticação contemporânea de cyberattacks tem feito necessários para ser visualizado nesse conceito de separação para separar os sistemas operativos de clientes para contas confidenciais completamente. Para obter mais informações sobre estes tipos de ataques, visite o Web site de passar a Hash informativos branco documentos, vídeos e muito mais.

A abordagem PATA é uma extensão da prática recomendada bem estabelecida utilizar admin separado e contas de utilizador para administrativo pessoal. Esta prática utiliza uma conta administrativa individualmente atribuída completamente independente da conta de utilizador padrão do utilizador. PATA compilações em prática de separação essa conta, fornecendo uma estação de trabalho confiável para essas contas confidenciais.

Nota

Microsoft IT utiliza patas (internamente denominadas como "admin seguro estações de trabalho", ou serras) para gerir acesso seguro para sistemas de elevado valor internos na Microsoft. Este guia tem detalhes adicionais sobre a utilização de PATA na Microsoft na secção "Como a Microsoft usa estações de trabalho do administrador"

Para obter informações sobre esta abordagem de ambiente de recurso de elevado valor mais detalhadas, consulte o artigo proteger ativos de elevado valor com estações de trabalho do administrador seguro.

Este guia PATA destina-se para o ajudar a implementar esta capacidade para proteger as contas de elevado valor como os administradores de TI alta privilégios e contas de empresa de alta sensibilidade. A documentação de orientação de ajuda-o a:

  • Restringir exposição de credenciais para apenas hosts fidedignos

  • Fornece uma estação de trabalho de alto nível de segurança para os administradores para que podem realizar facilmente tarefas administrativas.

A restrição de contas confidenciais para utilizar apenas temperadas patas é uma proteção bastante simples para essas contas altamente utilizável para os administradores e muito difícil que um adversário destruir.

Abordagens alternativas - limitações, considerações e integração

Esta secção contém informações sobre como a segurança das abordagens alternativas compara a PATA e como integrar a essas abordagens dentro de uma arquitetura PATA corretamente. Todos estes abordagens transportar riscos significativos quando implementados em isolamento, mas podem adicionar o valor a uma implementação de PATA em alguns cenários.

Guarda das credenciais e Microsoft Passport

Introduzidos no Windows 10, das credenciais guarda usa o hardware e com base em virtualização de segurança para atenuar ataques de roubo das credenciais comuns, tais como Pass-a-Hash, protegendo as credenciais derivadas. A chave privada para as credenciais utilizadas pelo Microsoft Passport pode ser também estar protegidos por hardware Trusted Platform Module (TPM).

Estes são atenuações potentes, mas estações de trabalho podem continuar a ser vulneráveis a ataques de determinados mesmo que as credenciais estão protegidas das credenciais guarda ou passaporte. Ataques podem incluir fazer uso indevido das privilégios e a utilização de credenciais diretamente a partir de um dispositivo comprometida, reutilizando anteriormente roubadas credenciais antes da ativação das credenciais guarda e utilização abusiva de configurações de aplicação fraco e ferramentas de gestão da estação de trabalho.

As orientações PATA nesta secção incluem a utilização de muitas destas tecnologias para contas de alta sensibilidade e tarefas.

VM administrativa

Uma máquina virtual de administrativa (VM) é um sistema operativo dedicado para tarefas administrativas alojadas no ambiente de trabalho do utilizador padrão. Embora esta abordagem é semelhante a PATA em fornecer uma sistema operativo dedicada para tarefas administrativas, tem uma falha fatal em que uma VEZ administrativa depende do ambiente de trabalho de utilizador padrão para sua segurança.

O diagrama abaixo retratar a capacidade dos atacantes a seguir a cadeia de Controlo para o objeto de destino do seu interesse com um administrador VM uma estação de trabalho do utilizador e que é difícil de criar um caminho na fase de configuração inversa.

A arquitetura PATA nem permite que para hospedagem administrador VM uma estação de trabalho do utilizador, mas um utilizador VM com uma imagem corporativa padrão pode ser alojado em um anfitrião PATA para fornecer pessoal com um PC único para todas as responsabilidades.

Diagrama da arquitetura PATA

Servidor de atalhos

Administrativas arquiteturas "Saltar Server" configurar um pequeno número servidores de consola administrativas e restringem pessoal para utilizá-los para tarefas administrativas. Isto é normalmente com base nos serviços de ambiente de trabalho remoto, uma solução de virtualização de apresentação de 3ª independente ou uma tecnologia de infraestrutura de ambiente de trabalho Virtual (VDI).

Esta abordagem é frequentemente proposta para minimizar o risco de administração e fornecer alguns garantias de segurança, mas a abordagem de servidor atalhos por si só é vulnerável a ataques de determinados porque viola partição a "limpa origem" princípio. O princípio origem limpa necessita de todas as dependências de segurança para ser tão confiável como o objeto que está a ser protegido.

Figura mostra uma relação de controlo simples

Figura retratar uma relação de controlo simples. Qualquer assunto no controlo de um objeto é uma dependência de segurança do objeto. Se um adversário pode controlar uma dependência de segurança de um objeto do alvo (assunto), que eles podem controlar essa objeto.

A sessão administrativa no servidor de atalhos baseia-se na integridade do acesso a este computador local. Se este computador é uma estação de trabalho do utilizador sujeitos a ataques de phishing e outros vetores de ataque baseados na internet, em seguida, a sessão administrativa também está sujeita a esses riscos.

Figura mostra como os atacantes podem seguir uma cadeia de controlo estabelecida para o objeto do alvo de interesse

Figura acima retratar como os atacantes podem seguir uma cadeia de controlo estabelecida ao objeto de destino do seu interesse.

Enquanto alguns controlos de segurança avançadas como autenticação multifator pode aumentar a dificuldade de um atacante assumir esta sessão administrativa da estação de trabalho da utilizador, nenhuma funcionalidade de segurança totalmente podem proteger contra ataques técnicas quando um atacante tiver acesso administrativo do computador de origem (por exemplo, injetar comandos ilícitas em uma sessão legítima, sequestro legítimos processos e assim sucessivamente.)

A configuração predefinida neste guia PATA instala ferramentas administrativas na PATA, mas uma arquitetura de servidor de atalhos também pode ser adicionada se necessário.

Figura mostra como a inversão da relação de controlo e acesso a aplicações de utilizador de uma estação de trabalho do administrador proporciona o atacante sem o caminho para o objeto de destino

Esta figura mostra como a inversão da relação de controlo e acesso utilizador aplicações a partir de uma estação de trabalho do administrador proporciona o atacante sem o caminho para o objeto de destino. O servidor de atalhos do utilizador ainda está exposto à risco para que controlos protetoras adequados, controlos detecção e processos de resposta ainda devem ser aplicados para o computador para a internet.

Esta configuração exige que os administradores de seguir práticas operacionais estreitamente para garantir que estes acidentalmente não introduzir as credenciais de administrador para a sessão de utilizador no seu ambiente de trabalho.

Figura mostra como aceder a um servidor de atalhos administrativas de uma PATA adiciona sem o caminho para o atacante para os ativos administrativos

Esta figura mostra como aceder a um servidor de atalhos administrativas de uma PATA adiciona sem o caminho para o atacante para os ativos administrativos. Um servidor salte com um PATA permite neste caso consolidar o número de localizações para monitorização de atividade administrativa e distribuição de ferramentas e as aplicações administrativas. Isto adiciona alguns complexidade do design, mas pode simplificar a atualizações de monitorização e software de segurança se um grande número de contas e estações de trabalho é usado na sua implementação PATA. O servidor de atalhos seria necessário ser construído e configurado para os padrões de segurança semelhantes, como a PATA.

Soluções de gestão de privilégios

Soluções de gestão privilegiadas são aplicações que fornecem acesso temporário privilégios discretos ou contas privilegiadas a pedido. Soluções de gestão de privilégios são um componente extremamente valioso de uma estratégia completa para proteger o acesso com privilégios e fornecer visibilidade criticamente importante e responsabilidade da atividade administrativa.

Normalmente, estas soluções usam um fluxo de trabalho flexível para conceder acesso e muitos tem funcionalidades de segurança adicionais e capacidades, como gestão de palavra-passe de conta de serviço e integração com os servidores de atalhos administrativas. Existem várias soluções o mercado que fornecem privilégios capacidades de gestão, uma delas é a gestão de acesso do Gestor de identidade da Microsoft (MIM) privilegiadas (PAM).

A Microsoft recomenda a utilizar uma PATA para soluções de gestão de privilégios de acesso. Acesso a estas soluções deve ser concedido apenas a patas. A Microsoft não recomenda utilizar estas soluções como um substituto para uma PATA porque o acesso a privilégios com estas soluções de um ambiente de trabalho do utilizador potencialmente comprometidos viola o origem limpa princípio conforme descrito no diagrama abaixo:

Diagrama que mostra como a Microsoft recomenda não utilizar estas soluções como um substituto para uma PATA porque o acesso a privilégios com estas soluções de um ambiente de trabalho do utilizador potencialmente comprometida viola o princípio origem limpa

Fornecer uma PATA para aceder a estas soluções permite-lhe obter as vantagens de segurança de PATA e a solução de gestão de privilégios, conforme descrito neste diagrama:

Diagrama que mostra como fornecer uma PATA para aceder a estas soluções permite que obter as vantagens de segurança de PATA e as soluções de gestão de privilégios

Nota

Estes sistemas deverão ser classificados no nível mais elevado do privilégio de que gerem e estar protegidos em ou acima que nível de segurança. Estas são normalmente configuradas para gerir as soluções de nível 0 e recursos de nível 0 e devem ser classificadas no nível 0. Para obter mais informações sobre o modelo de nível, consulte http://aka.ms/tiermodel para obter mais informações sobre os grupos de nível 0, consulte equivalency 0 de nível na protegendo o Material de referência acesso privilegiadas.

Para obter mais informações sobre implementação da gestão de acesso do Gestor de identidade da Microsoft (MIM) privilegiadas (PAM), consulte http://aka.ms/mimpamdeploy

Como a Microsoft está a utilizar estações de trabalho do administrador

A Microsoft utiliza a abordagem da arquitetura PATA tanto internamente nos nossos sistemas, bem como com os nossos clientes. A Microsoft utiliza as estações de trabalho administrativas internamente em um número de capacidades incluindo administração de infraestrutura Microsoft IT, desenvolvimento da Microsoft na nuvem estrutura infraestrutura e operações e outros recursos de elevado valor.

Este guia baseia-se diretamente na arquitetura privilegiadas acesso à estação de trabalho (PATA) referência implementada pela nossa equipa de serviços professional cybersecurity para proteger os clientes contra ataques cybersecurity. As estações de trabalho administrativas também são um elemento crucial da proteção mais potente para tarefas de administração do domínio, a arquitetura de referência de floresta administrativas avançado segurança administrativas ambiente (ESAE).

Para obter mais detalhes sobre a floresta administrativa ESAE, consulte abordagem de Design de floresta administrativas ESAE seção protegendo o Material de referência acesso privilegiadas.

Para obter mais informações sobre envolvendo serviços Microsoft para implementar uma PATA ou ESAE para o seu ambiente, contacte o seu representante da Microsoft ou visite nesta página.

O que é uma estação de trabalho com privilégios de acesso (PATA)?

Em termos mais simples, uma PATA é uma estação de trabalho temperada e bloqueada concebida para proporcionar garantias de segurança alto para contas confidenciais e tarefas. Patas são recomendadas para a administração de sistemas de identidade, serviços em nuvem e estrutura de nuvem privada, bem como funções comerciais confidenciais.

Nota

A arquitetura PATA não exige um mapeamento 1:1 de contas para as estações de trabalho, embora esta é uma configuração comuns. PATA cria um ambiente de estação de trabalho fidedigno que pode ser utilizado por uma ou mais contas.

Para proporcionar a melhor segurança, patas devem executar sempre o máximo atualizado e seguro sistema operativo disponível: a Microsoft recomenda vivamente o Windows 10 Enterprise, que inclui um número de funcionalidades de segurança adicionais não está disponíveis em outras edições (em particular, das credenciais guarda e dispositivo guarda).

Nota

As organizações sem acesso para o Windows 10 Enterprise podem utilizar o Windows 10 Pro, que inclui muitas das tecnologias básicas críticas para patas, incluindo o arranque fidedigno, o BitLocker e o ambiente de trabalho remoto. Podem utilizar o Windows 10 Education clientes do segmento educação. Windows 10 Home não deve ser utilizado para uma PATA.

Para obter uma matriz de comparação das diferentes edições do Windows 10, leia este artigo.

Os controlos de segurança no PATA são voltados para reduzir os riscos maior probabilidades de compromisso e maior impacto. Estão incluídos mitigação ataques no ambiente e reduzir os riscos que podem prejudicar os controlos de PATA ao longo do tempo:

  • Ataques de Internet -a maioria dos ataques originar diretamente ou indiretamente de fontes de internet e utilizar a internet para exfiltration e comandos e controlar (C2). Isolar PATA a partir da internet aberta é um elemento crucial para garantir a PATA não for comprometido.

  • Risco de usabilidade -se um PATA é muito difícil de usar para tarefas diárias, os administradores será motivados para criar soluções para facilitar a trabalhar. Frequentemente, estas soluções alternativas abrir a estação de trabalho administrativa e contas para significativas riscos de segurança, para que seja crítico envolver e capacitar pelos utilizadores PATA para atenuar estes problemas de usabilidade com segurança. Frequentemente, isso é feito por ouvir os seus comentários, instalar as ferramentas e scripts necessários para executar de trabalhar e garantir pessoal tudo administrativo tem conhecimento de qualquer por que é que estes tenham de usar uma PATA, que um PATA é e como utilizá-lo com êxito e corretamente.

  • Riscos do ambiente -uma vez que muitos outros computadores e contas no ambiente do são expostas ao diretório de risco de internet ou indiretamente, uma PATA deve ser protegida contra ataques de elementos comprometidos no ambiente de produção. É preciso limitar as contas que têm acesso para os patas no mínimo necessário para proteger e monitorizar estes especializada estações de trabalho e ferramentas de gestão.

  • Violação de cadeia de fornecimento - enquanto é impossível remover todos os riscos possíveis de adulteração na cadeia de fornecimento de hardware e software, a execução de algumas ações chaves podem minimizar o vetores críticos prontamente disponíveis para os atacantes. Isto inclui a validar a integridade de todos os dados de instalação (limpa princípio de origem) e a utilizar um fornecedor fidedigno e conceituado para o hardware e software.

  • Ataques físicos -patas de uma vez que podem ser utilizadas fora da instalações fisicamente seguras e fisicamente móvel, que devem ser protegidas contra ataques que utilizam o acesso não autorizado físico ao computador.

Nota

Uma PATA não irá proteger um ambiente de um adversário que já tem acesso administrativo através de uma floresta do Active Directory. Uma vez que implementações existentes muitos dos serviços de domínio do Active Directory tiverem sido operacional anos em risco de roubo de credenciais, organizações devem assumir violação e considere a possibilidade de que eles podem ter um compromisso não detectado do domínio ou enterprise credenciais de administrador. Uma organização que suspeitar compromisso domínio deve considerar a utilização dos serviços de resposta a incidente profissional.

Para obter mais informações sobre orientações de resposta e de recuperação, consulte o "responder a uma atividade suspeita" e "Recuperar a partir de uma violação" secções de Mitigating Pass-a-Hash e outros roubo de credenciais, versão 2.

Visite incidente resposta da Microsoft e os serviços de recuperação página para obter mais informações.

Perfis de Hardware PATA

Pessoal administrativo também é os utilizadores padrão também - que necessitam não só uma PATA, mas também uma estação de trabalho de utilizador padrão para verifica o e-mail, navegar na web e aceder a empresa aplicações de linha de negócio. Garantir que os administradores podem permanecer produtivo e segura é essencial para o sucesso de qualquer implementação PATA. Uma solução segura que drasticamente limita a produtividade será abandonada pelos utilizadores em benefício de uma que melhora a produtividade (mesmo que terminar de forma insegura).

Para obter um equilíbrio entre a necessidade de segurança com a necessidade de produtividade, a Microsoft recomenda através de um dos perfis de hardware PATA:

  • Hardware dedicado -separar os dispositivos dedicados para tarefas de utilizador VS tarefas administrativas.

  • Utilização em simultâneo -dispositivo único que pode executar tarefas de utilizador e as tarefas administrativas em simultâneo tirando partido da virtualização de SO ou apresentação.

As empresas podem utilizar apenas um perfil ou ambos. Existem sem preocupações com interoperabilidade entre os perfis de hardware e organizações tem flexibilidade para corresponder o perfil de hardware para a necessidade específica e situação de um determinado administrador.

Nota

É fundamental que, em todos estes cenários, pessoal administrativo é emitido uma conta de utilizador padrão que é separada do designado contas administrativas. As contas administrativas só devem ser utilizadas no sistema operativo PATA administrativo.

Esta tabela resume as vantagens relativas e desvantagens de cada perfil de hardware do ponto de vista de segurança e produtividade e operacional facilidade de utilização. Ambos os métodos de hardware fornecem segurança forte para contas administrativas contra furto das credenciais e reutilizar.

CenárioSuas vantagensDesvantagens
Hardware dedicado-Sinal forte para sensibilidade de tarefas
-Separação de segurança mais potente
-Espaço desk adicionais
-Peso adicional (de trabalho remoto)
-Custo hardware
Utilização em simultâneo-Reduzir o custo de hardware
-Experiência de dispositivo única
-Partilha único teclado/rato cria o risco de erros inadvertidos/riscos

Este guia contém as instruções detalhadas para a configuração PATA para a abordagem de hardware dedicado. Se tiver requisitos para os perfis de hardware de utilização em simultâneo, pode adaptar as instruções com base nesta documentação de orientação de si próprio ou contratar uma organização profissional serviços como a Microsoft para ajudá-lo com o mesmo.

Hardware dedicado

Neste cenário, uma PATA é usada para a administração de completamente separado do PC que é usado para atividades diárias, como e-mail, edição de documentos e trabalho de desenvolvimento. Todas as ferramentas administrativas e aplicações instaladas na PATA e todas as aplicações de produtividade são instaladas em estação de trabalho de utilizador padrão. As instruções passo a passo neste guia são baseadas neste perfil de hardware.

Utilizar em simultâneo - adicionar um utilizador local VM

Neste cenário de utilização em simultâneo, um único PC é utilizado para tarefas de administração e atividades diárias, como e-mail, edição de documentos e trabalho de desenvolvimento. Esta configuração, o sistema operativo de utilizador estará disponível enquanto estiver desligado (para editar documentos e a trabalhar localmente em cache e-mail), mas é necessário processos de hardware e suporte que podem acomodar neste estado desligado.

Diagrama que mostra a única PC num cenário de utilização em simultâneo utilizado para tarefas de administração e as atividades diárias, como e-mail, edição de documentos e trabalho de desenvolvimento

O hardware físico é executado localmente dois sistemas operativos:

  • Sistema operativo Admin -anfitrião físico executa o Windows 10 no anfitrião PATA para tarefas administrativas

  • O utilizador SO -convidado de máquina virtual de Hyper-V cliente uma Windows 10 é executada a uma imagem corporativa

Com o Windows 10Hyper-V, máquina virtual convidado (também com o Windows 10) pode ter uma experiência de utilizador avançado incluindo som, vídeo e aplicações de comunicações de Internet como o Skype para empresas.

Nesta configuração, é feito trabalho diário que não necessitam de privilégios administrativos na máquina virtual SO de utilizador que tenha uma imagem do Windows 10 empresarial normal e não está sujeita a restrições aplicadas a anfitrião PATA. Todo o trabalho administrativo é feito no sistema operativo de administrador.

Para configurar isto, siga as instruções neste guia para anfitrião PATA, adicionar funcionalidades de Hyper-V cliente, crie um VM de utilizador e, em seguida, instale uma imagem corporativa do Windows 10 no utilizador uma VEZ.

Ler Hyper-V cliente artigo para obter mais informações sobre esta capacidade. Tenha em atenção que o sistema operativo em máquinas virtuais de convidado terá de ser uma licença por licenciamento do produto Microsoft, também descrito aqui.

Utilizar em simultâneo - adição de programas RemoteApp, RDP ou uma VDI

Neste cenário de utilização em simultâneo, um único PC é utilizado para ambas as tarefas de administração e trabalham atividades diárias, como e-mail, edição de documentos e desenvolvimento. Nesta configuração, os sistemas operativos de utilizador são implementados e gerenciados central (em nuvem ou na sua datacenter), mas não estão disponíveis enquanto estiver desligado.

Figura mostra um único PC num cenário de utilização em simultâneo utilizado para ambas as tarefas de administração e atividades diárias, como e-mail, edição de documentos e desenvolvimento de funcionar

O hardware físico é executado um único sistema operativo PATA localmente para tarefas administrativas e contactos de um serviço Microsoft ou 3ª parte remoto de ambiente de trabalho para aplicações de utilizador, como e-mail, de edição de documentos e aplicações linha de negócio.

Nesta configuração, é feito trabalho diário que não necessitam de privilégios administrativos na OS(es) remoto e as aplicações que não são sujeita a restrições aplicadas a anfitrião PATA. Todo o trabalho administrativo é feito no sistema operativo de administrador.

Para configurar isto, siga as instruções neste guia para anfitrião PATA, permitir que a conectividade de rede para os serviços de ambiente de trabalho remoto e, em seguida, adicionar atalhos ao ambiente de trabalho do utilizador PATA para aceder as aplicações. Os serviços de ambiente de trabalho remotos podem ser alojados diversas formas, incluindo:

  • Um serviço de ambiente de trabalho remoto ou da VDI existente (no local ou na nuvem)

  • Um novo serviço de instalar no local ou na nuvem

  • A Azure RemoteApp com modelos pré-configurados do Office 365 ou suas próprias imagens de instalação

Para obter mais informações sobre a Azure RemoteApp, visite nesta página.

Cenários de PATA

Esta secção contém orientações sobre os cenários destas diretrizes PATA devem ser aplicada a. Em todos os cenários, os administradores devem ser formados para utilizar apenas patas para a execução de suporte dos sistemas remotos. Para incentivar a utilização segura e bem-sucedida, todos os utilizadores PATA deve ser também ser encorajados a fornecer comentários para melhorar a experiência de PATA e estes comentários devem ser revistos com cuidado para a integração com o programa PATA.

Em todos os cenários, protegendo adicional em fases posteriores e perfis de hardware diferente neste guia podem ser usados para cumprir os requisitos de segurança ou usabilidade as funções.

Nota

Tenha em atenção que este guia explicitamente diferencia necessitar de acesso a serviços específicos no internet (por exemplo, Azure e o Office 365 portais administrativas) e a "Internet aberta" de todos os serviços e hosts.

Consulte o página de modelo de nível para obter mais informações sobre as designações de nível.

CenáriosUtilizar PATA?Âmbito e considerações de segurança
Administradores do Active Directory - nível 0SimUma PATA integrada com orientações fase 1 é suficiente para esta função.

-Uma floresta administrativa pode ser adicionada a fornecer a proteção mais potente para essa situação. Para obter mais informações sobre a floresta administrativa ESAE, consulte ESAE administrativas abordagem de Design de floresta
-Uma PATA pode ser utilizada para gerida múltiplos domínios ou florestas vários.
-Se os controladores de domínio são alojadas em uma infraestrutura como um serviço (IaaS) ou uma solução de virtualização no local, deve atribuir prioridades implementando patas para os administradores dessas soluções
Serviços de administrador do Azure IaaS e serviços PaaS - nível 0 ou nível 1 (consulte âmbito e considerações sobre Design)SimUma PATA criada com as orientações fornecidas na fase 2 é suficiente para esta função.

-Patas devem ser utilizadas para, pelo menos, o Administrador Global e o administrador de subscrição de Faturação. Também deve utilizar patas para os administradores dos servidores críticos ou confidenciais delegados.
-Patas devem ser utilizadas para gerir o sistema operativo e aplicações que fornecem a sincronização do diretório e identificar federação para serviços em nuvem, como Azure AD ligar e serviços de Federação do Active Directory (ADFS).
-As restrições de saída de rede devem permitir que a conectividade apenas para os serviços em nuvem autorizado a utilizar a documentação de orientação na fase 2. Acesso à internet sem abrir deve ser permitido de patas.
-EMET deve estar configurado para todos os browsers utilizados a estação de trabalho nota: uma subscrição é considerada como sendo nível 0 para uma floresta se controladores de domínio ou outros hosts de nível 0 tiverem a subscrição. Uma subscrição é de nível 1 se sem servidores de nível 0 estão alojados no Azure
O Office 365 do administrador inquilino
-Nível 1
SimUma PATA criada com as orientações fornecidas na fase 2 é suficiente para esta função.

-Patas devem ser utilizadas para, pelo menos, o administrador de subscrição de Faturação, Administrador Global, administrador do Exchange, SharePoint administrador e funções de administrador de gestão do utilizador. Considere também vivamente a utilização de patas para os administradores delegados dos dados altamente confidenciais ou críticos.
-EMET deve estar configurado para todos os browsers utilizados a estação de trabalho
-As restrições de saída de rede devem permitir que a conectividade apenas aos serviços da Microsoft utilizando as orientações na fase 2. Acesso à internet sem abrir deve ser permitido de patas.
Outros IaaS ou serviços PaaS administrador do serviço em nuvem
-Nível 0 ou nível 1 (consulte âmbito e considerações sobre Design)
Uma PATA criada com as orientações fornecidas na fase 2 é suficiente para esta função.

-Patas devem ser utilizadas para qualquer função que tenha direitos administrativos até VM na nuvem alojada, incluindo a capacidade para instalar agentes, exportar ficheiros de disco rígido ou acesso ao armazenamento onde está armazenado unidades de disco rígido com sistemas operativos, os dados confidenciais ou dados de negócio essenciais.
-As restrições de saída de rede devem permitir que a conectividade apenas aos serviços da Microsoft utilizando as orientações na fase 2. Acesso à internet sem abrir deve ser permitido de patas.
-EMET deve estar configurado para todos os browsers utilizados a estação de trabalho. Nota: uma subscrição é nível 0 para uma floresta se controladores de domínio ou outros hosts de nível 0 tiverem a subscrição. Uma subscrição é de nível 1 se sem servidores de nível 0 estão alojados no Azure.
Administradores de virtualização
-Nível 0 ou nível 1 (consulte âmbito e considerações sobre Design)
SimUma PATA criada com as orientações fornecidas na fase 2 é suficiente para esta função.

-Patas devem ser utilizadas para qualquer função que tenha direitos administrativos até VM incluindo a capacidade para instalar agentes, exportar ficheiros de disco rígido virtual ou acesso ao armazenamento onde está armazenado unidades de disco rígido com informações do sistema operativo convidado, os dados confidenciais ou dados de negócio essenciais. Nota: um sistema de virtualização (e o administradores) são considerados de nível 0 para uma floresta se controladores de domínio ou outros hosts de nível 0 tiverem a subscrição. Uma subscrição é de nível 1 se sem servidores de nível 0 estão alojados no sistema virtualização.
Administradores de manutenção do servidor
-Nível 1
SimUma PATA criada com as orientações fornecidas na fase 2 é suficiente para esta função.

-Uma PATA deve ser utilizada para os administradores de que atualizarem, patch e resolver problemas de servidores empresariais e aplicações com o Windows server, Linux e outros sistemas operativos.
-Ferramentas de gestão dedicado poderão ter de ser adicionados para patas de lidar com a escala maior estes admins.
Administradores de estação de trabalho do utilizador
-Nível 2
SimUma PATA criada com orientações fornecidas na fase 2 é suficiente para funções de que tem direitos administrativos em dispositivos de utilizador final (como assistência técnica e em mesa suportam funções).

-Aplicações adicionais poderão ter de ser instalados em patas para permitir a gestão de bilhete e outras funções de suporte.
-EMET deve estar configurado para todos os browsers utilizados a estação de trabalho.
Ferramentas de gestão dedicado poderão ter de ser adicionados para patas de lidar com a escala maior estes admins.
SQL, SharePoint, ou de linha de negócio (LOB) Admin
-Nível 1
Uma PATA integrada com orientações fase 2 é suficiente para esta função.

-Ferramentas de gestão adicional poderão ter de ser instalados em patas para permitir que os administradores gerir as aplicações sem ter de ligar aos servidores usando o ambiente de trabalho remoto.
Utilizadores a gerir a presença de redes sociaisParcialmenteUma PATA criada com as orientações fornecidas na fase 2 pode ser usada como um ponto de partida para fornecer segurança para estas funções.

-Proteger e gerir contas de redes sociais utilizando o Azure Active Directory (AAD) para partilhar, proteger e acesso de registo de alterações a contas de redes sociais.
Para obter mais informações sobre esta capacidade ler nesta publicação do blogue.
-As restrições de saída de rede devem permitir que a conectividade a estes serviços. Isto pode ser efectuado ao permitir que abrir ligações à internet (muito superior risco de segurança que elimina muitos garantias PATA) ou ao permitir que os endereços DNS apenas necessários para o serviço (poderá ser difícil obter).
Utilizadores padrãoNenhumEmbora muitos etapas para proteger podem ser utilizadas para os utilizadores padrão, PATA foi concebida para isolar contas a partir do acesso à internet abertas que necessitam de maior parte dos utilizadores para tarefas.
Convidado da VDI/quiosqueNenhumEmbora muitos etapas para proteger podem ser utilizadas para um sistema de quiosque para convidados, a arquitetura PATA foi concebida para fornecer maior segurança para contas de alta sensibilidade, segurança não superior para contas de sensibilidade mais baixa.
Utilizador VIP (executivo, pesquisador, etc.)ParcialmenteUma PATA criada com orientações fornecidas na fase 2 pode ser usada como um ponto de partida para fornecer segurança para estas funções de

-Este cenário é semelhante a um ambiente de trabalho de utilizador padrão, mas geralmente tem um perfil de aplicação mais pequenos, mais simples e mais conhecidos. Este cenário normalmente necessita de descobrir e proteger dados confidenciais, serviços e aplicações (que podem ou não poderão ser instaladas nos ambientes de trabalho).
-Estas funções normalmente exigem um elevado nível de segurança e muito elevado nível de usabilidade, que necessitam de alterações de design para atender às preferências do utilizador.
Sistemas de controlo industrial (por exemplo, SCADA, PCN e controladores de Domínio)ParcialmenteUma PATA criada com orientações fornecidas na fase 2 pode ser utilizada como um ponto de partida para fornecer segurança para estas funções de como a maioria das ICS Consolas (incluindo tais padrões comuns como SCADA e PCN) não necessitam de navegar na Internet aberta e verifica o e-mail.

-Aplicações utilizadas para controlar a máquina física terá de ser integrada e testado quanto à compatibilidade e protegido adequadamente
Sistema operativo EmbeddedNenhumEmbora muitos passos de proteção de PATA podem ser utilizados para os sistemas operativos incorporados, uma solução personalizada terão de ser desenvolvidos para proteção neste cenário.
Nota

Cenários de combinação algumas pessoas podem ter responsabilidades administrativas que se estendem por vários cenários. Nestes casos, as regras de tecla a levar em consideração são que as regras de modelo de nível devem ser seguidas em todos os momentos. Consulte a página de modelo de nível para obter mais informações.

Nota

O programa PAW o dimensionamento à medida que o seu programa PATA pode ser expandida para abranger mais admins e funções, tem de continuar a Certifique-se de que tem de manter conformidade com as normas de segurança e a usabilidade. Isto poderão requerer a atualizar o seu ESTA estruturas de suporte ou cria novos para resolver PATA desafios específicos, tais como PATA colocação na loja processo, gestão de incidentes, gestão de configuração, e desafios de recolha de comentários a usabilidade de endereço. Um exemplo poderá que cabe à organização decidir ativar os cenários de trabalho de casa para os administradores, que podem necessitar de uma mudança de patas de ambiente de trabalho para o portátil patas - um shift que podem necessitar de considerações de segurança adicionais. Noutro exemplo comum consiste em criar ou atualizar formação para os administradores de novo - formação que agora tem de incluir conteúdo na utilização adequada de uma PATA (incluindo o motivo pelo qual o importantes e o que um PATA é e não é). Para mais considerações que devem ser contempladas à medida que dimensiona o programa PATA, consulte fase 2 das instruções de.

Este guia contém as instruções detalhadas para a configuração PATA para os cenários de tal como referido anteriormente. Se tiver requisitos para outros cenários, pode adaptar as instruções com base nesta documentação de orientação de si próprio ou contratar uma organização profissional serviços como a Microsoft para ajudá-lo com o mesmo.

Para mais informações sobre envolvendo serviços Microsoft para uma PATA personalizada para o ambiente de design, contacte o seu representante da Microsoft ou visite nesta página.

Instruções de instalação PATA

Como a PATA tem de fornecer uma origem fidedigna e segura para a administração, é essencial que o processo de compilação é seguro e fidedigno. Esta secção fornece instruções detalhadas que permitirão a criação de suas próprias PATA utilizando gerais princípios e conceitos muito semelhantes ao utilizadas por IT da Microsoft e Microsoft em nuvem de engenharia e organizações de gestão do serviço.

As instruções estão divididas em três fases a focagem ativa colocar rapidamente as atenuações mais críticas num local e, em seguida, progressivamente aumentando e expandir a utilização da PATA empresariais.

  • Fase 1 - implementação imediata para os administradores do Active Directory

  • Fase 2 - PATA é aplicável a todos os administradores

  • Fase 3 - segurança PATA avançadas

É importante ter em atenção que as fases de sempre devem ser efetuadas por ordem mesmo que são implementados como parte do mesmo projeto geral e planejadas.

Fase 1 - implementação imediata para os administradores do Active Directory

Finalidade: Fornece uma PATA rapidamente que pode proteger funções de administração de domínio e floresta no local.

Âmbito: Os administradores de nível 0 incluindo Admins de empresa, Admins do domínio (em todos os domínios) e os administradores dos outros sistemas de identidade autorizada.

Fase 1 concentra-se sobre os administradores de que gerir o seu domínio do Active Directory no local, isto é muito importantes funções direcionadas com frequência, os atacantes. Estes sistemas de identidade irão funcionar com eficácia para proteger estes admins se o Active Directory controladores de domínio () são alojados no centros de dados no local, no Azure infraestrutura como serviço (IaaS) ou outro fornecedor de IaaS.

Durante esta fase, você irá criar a estrutura segura de unidade organizacional (OU) do Active Directory administrativa para alojar sua estação de trabalho com privilégios de acesso (PATA), bem como implementar as patas propriamente ditas. Esta estrutura também inclui as políticas de grupo e grupos necessários para suportar a PATA. Crie a maioria da estrutura utilizando scripts do PowerShell disponíveis em TechNet galeria.

Os scripts irão criar grupos de segurança e unidades organizacionais o seguinte:

  • Unidades organizacionais (OU)

    • Seis novas unidades de nível superior: Admin; Grupos; Servidores de nível 1; Estações de trabalho; Contas de utilizador; e quarentena do computador. Cada nível superior OU contém um número de unidades organizacionais filho.
  • Grupos

    • Seis novas compatíveis com segurança globais grupos: manutenção de replicação de nível 0; Manutenção de servidor de nível 1; Serviço Desk operadores; Manutenção de estação de trabalho; Utilizadores PATA; Manutenção de PATA.

Também irá criar um número de objetos de política de grupo: PAW manutenção; Necessita de PATA MSTSC RestrictedAdmin; Restrições de saída PATA; Restrições de início de sessão PATA; Restringir o início de sessão da estação de trabalho.

Fase 1 inclui os seguintes passos:

  1. Conclua os pré-requisitos

    1. Certifique-se de que todos os administradores de utilizem as contas individuais, separadas para atividades de administração e de utilizador final (incluindo e-mail, navegar na Internet, aplicações de linha de negócio e outras atividades não-administrativas). Atribuir uma conta administrativa para cada separado autorizado pessoal da sua conta de utilizador padrão é uma parte essencial do modelo PATA, conforme apenas de determinadas contas irão ser permitidas para iniciar sessão na PATA propriamente dito.

      Nota

      Cada administrador deve utilizar à sua própria conta para a administração de. Uma conta administrativa não deve ser partilhada.

    2. Minimizar o número de administradores de nível 0 privilegiada. Uma vez que cada administrador tem de utilizar uma PATA, reduzir o número de administradores reduz o número de patas necessárias para suportá-los e os custos associados. A contagem de administradores mais baixa também resulta em mais baixa exposição destes privilégios e riscos associados. Apesar de ser possível que os administradores de um local partilhar uma PATA, os administradores em localizações físicas separados exige patas separadas.

    3. Adquirir hardware de um fornecedor fidedigno que cumpra todos os requisitos técnicos. A Microsoft recomenda a aquisição de hardware que cumpra os requisitos técnicos no artigo proteger as credenciais de domínio com credenciais guarda.

      Nota

      PATA instalada em hardware sem, estas funções pode fornecer proteções significativas, mas funcionalidades de segurança avançadas, como o protetor das credenciais e guarda dispositivo não estarão disponíveis. Guarda das credenciais e guarda dispositivo não são necessários para a implementação da fase 1, mas são vivamente como parte da fase 3 (proteção avançada).

      Certifique-se de que o hardware utilizado para a PATA originado de um fabricante e o fornecedor cujas práticas de segurança são confiáveis pela organização. Esta é uma aplicação do princípio origem limpa a segurança de cadeia de fornecimento.

      Nota

      Para obter mais informações sobre a importância da segurança de cadeia de fornecimento, visite neste site.

    4. Adquirir e validar a necessários Windows 10 Enterprise Edition e software da aplicação. Obter o software necessário para PATA e validar utilizando as orientações fonte de dados de instalação limpa.

    5. Certifique-se de que tem servidor WSUS disponível na intranet da. Tem um servidor WSUS na intranet para fazer o download e instalar as atualizações para PATA. Este servidor WSUS deve estar configurado para aprovar automaticamente todas as atualizações de segurança para o Windows 10 ou uma pessoal administrativas deverá ter responsabilidade e responsabilidade para aprovar rapidamente as atualizações de software.

      Nota

      Para mais informações, consulte a secção "Automaticamente aprovar para instalação de atualizações" na documentação de orientação de atualizações da aprovação.

  2. Implementar a estrutura de OU administrador para alojar as patas

    1. Transfira a biblioteca de script PATA de Galeria TechNet

      Nota

      Transferir todos os ficheiros e guardá-los no mesmo diretório e execute-as pela ordem especificada abaixo. Create-PAWGroups depende da estrutura da OU criada por Create-PAWOUs e Set-PAWOUDelegation depende os grupos criados por Create-PAWGroups. Não modifique qualquer os scripts ou o ficheiro de valores separados por vírgulas (CSV).

    2. Execute o script de. ps1 Create-PAWOUs. Este script irá criar a nova estrutura de unidade organizacional (OU) no Active Directory e bloquear herança GPO nas unidades organizacionais novo conforme apropriado.

    3. Execute o script de. ps1 Create-PAWGroups. Este script irá criar grupos de segurança global do novo nas unidades organizacionais adequadas.

      Nota

      Enquanto este script irá criar grupos de segurança do novo,-lo irá não podem ser vistas-os automaticamente.

    4. Execute o script de. ps1 Set-PAWOUDelegation. Este script será atribuir permissões para as unidades organizacionais novas para os grupos adequadas.

  3. Mover contas de nível 0 à Admin\Tier 0\Accounts OU. Mova cada conta que é um membro do administrador de domínio, o administrador Enterprise, ou 0 grupos de equivalentes (incluindo associação aninhada) para esta OU de nível. Se a organização tem os seus próprios grupos que são adicionados a estes grupos, deverá mover esses à Admin\Tier 0\Groups OU.

    Nota

    Para mais informações em que os grupos são nível 0, consulte "Nível 0 Equivalency" no protegendo o Material de referência acesso privilegiadas.

  4. Adicionar os membros adequados para os grupos relevantes

    1. Os utilizadores PATA - adicionar os administradores de nível 0 com domínio ou Enterprise Admin grupos que determinadas no passo 1 de fase 1.

    2. Manutenção de PATA - adicione, pelo menos, uma conta que será utilizada para PATA manutenção e resolução de problemas de tarefas. As contas de manutenção PAW serão utilizadas apenas raramente.

      Nota

      Não adicione a mesma conta de utilizador ou grupo de utilizadores PAW e manutenção PAW. O modelo de segurança PATA é baseado parcialmente no pressuposto de que a conta de utilizador PATA tem privilegiadas direitos em sistemas geridos ou até a PATA próprio, mas não ambos.

      • Isto é importante para a criação de boas práticas administrativas e os hábitos na fase 1.
      • Isto é muito importante para a fase 2 e muito mais para impedir a elevação de privilégios através de PATA como patas de ser ser visualizado em camadas dos.

      O ideal, não pessoal é atribuído ao obrigações em vários níveis para aplicar o princípio de diferenciação de direitos, mas a Microsoft reconhece que muitas organizações podem limitadas staff (ou outros requisitos organizacionais) que não permitir para este completa de diferenciação. Nestes casos, o mesmo pessoal pode ser atribuído a funções de ambos os, mas não deve utilizar a mesma conta para estas funções.

  5. Criar objeto de política de grupo (GPO) "PAW configuração – computador" e a ligação para o nível 0 dispositivos OU ("dispositivos" em camadas 0\Admin). Nesta secção, criará um novo "PAW configuração – computador" GPO que fornecer proteção específica para estes patas.

    Nota

    Não adicione estas definições para a política de domínio padrão. Fazê-lo irá afetar potencialmente operações em todo o seu ambiente do Active Directory. Apenas configurar estas definições em GPOs recém-criadas descritos aqui e só se aplicam-los para a OU PAW.

    1. Acesso de manutenção PATA - esta definição irá definir a associação de grupos privilegiadas específicas nas patas para um conjunto específico de utilizadores. Aceda a os utilizadores do computador Configuration\Preferences\Control painel Settings\Local e grupos e siga os passos abaixo:

      1. Clique em nova e clique em Grupo Local

      2. Selecione o atualização ação e selecionados "administradores (incorporado)" (não utilize o botão Procurar para selecionar o grupo Administradores de domínio).

      3. Selecione o eliminar todos os utilizadores membro e eliminar todos os grupos de membro caixas de verificação

      4. Adicionar manutenção PAW (pawmaint) e administrador (novamente, não utilize o botão Procurar para selecionar administrador).

        Nota

        Não adicione grupo utilizadores PAW para a lista de membros do grupo Administradores local. Para garantir que os utilizadores PAW não é possível acidentalmente ou permitido modificar as definições de segurança da PATA próprio, eles não devem ser os membros do grupo Administradores local.

        Para mais informações sobre como utilizar as preferências de política de grupo para modificar os membros do grupo, consulte o artigo da TechNet configurar um Item de Grupo Local.

    2. Restringir os membros do grupo Local -esta definição será Certifique-se de que a associação de grupos de administrador local a estação de trabalho está sempre vazia

      1. Aceda ao computador Configuration\Preferences\Control painel Settings\Local utilizadores e grupos e siga os passos abaixo:

        1. Clique em nova e clique em Grupo Local

        2. Selecione o atualização ação e selecionadas "cópia de segurança operadoras de rede (incorporado)" (não utilize o botão Procurar para selecionar o grupo Operadores de cópia de segurança do domínio).

        3. Selecione o eliminar todos os utilizadores membro e eliminar todos os grupos de membro caixas de verificação.

        4. Não adicione qualquer membros ao grupo. Basta clicar em OK. Atribuindo-se uma lista vazia, política de grupo será automaticamente remover todos os membros e certifique-se de uma lista de associação em branco atualizada é a política de grupo cada vez.

      2. Conclua os passos acima para os grupos adicionais seguintes:

        • Operadores de criptografia

        • Administradores de Hyper-V

        • Operadores de configuração de rede

        • Utilizadores avançados

        • Utilizadores do ambiente de trabalho remoto

        • Replicator

      3. As restrições de início de sessão PATA - esta definição limita as contas que podem iniciar sessão na PATA. Siga os passos abaixo indicados para configurar esta definição:

        1. Vá para início de sessão do computador configuração configurações Settings\Local diretivas direitos Assignment\Allow em localmente.

        2. Selecione configurar estas definições de política e adicionar "Utilizadores PAW"

      4. Bloquear o tráfego de rede entrada -esta definição será Certifique-se de que nenhum tráfego de rede de entrada não solicitados tem permissão para a PATA. Siga os passos abaixo indicados para configurar esta definição:

        1. Aceda a Firewall do computador configuração configurações Settings\Windows com avançadas Security\Windows Firewall com segurança avançada e siga os passos abaixo:

          1. Clique com o botão direito em Firewall do Windows com segurança avançada e selecione importar política.

          2. Clique em Sim para aceitar que isto irá substituir quaisquer políticas de firewall existente.

          3. Navegue até PAWFirewall.wfw e selecione abrir.

          4. Clique em OK.

            Nota

            Pode adicionar endereços ou sub-redes que podem aceder a PATA nesta fase tráfego não solicitada (por exemplo, digitalizar ou gestão de software de segurança. As definições no ficheiro WFW irão ativar a firewall no modo de "Bloqueio – por predefinição" para todos os perfis de firewall, desative unir regra e ativar registo dos pacotes eliminados e concluída com êxito. Estas definições bloqueia tráfego unsolicitied enquanto ainda permitir que a comunicação bidirecional em ligações iniciadas a partir da PATA, impedir que os utilizadores com acesso de administrador local de criação de regras de firewall local que pretende substituir as configurações do GPO e certifique-se de que o tráfego e a PATA sejam registado. Este firewall abrindo vai expandir a superfície de ataque para a PATA e aumentar o risco de segurança. Antes de adicionar os endereços, consulte a secção gerir e operacionais PAW neste guia.

      5. Configurar o Windows Update para WSUS -siga os passos abaixo para alterar as definições para configurar o Windows Update para as patas:

        1. Vá para as atualizações do computador configuração Administrativos\Componentes do Windows e siga os passos abaixo:

          1. Ativar o política de configurar as atualizações automáticas.

          2. Selecione a opção 4 - fazer o download automático e agendar a instalação.

          3. Alterar a opção agendadas instalar dia para 0 - todos os dias e a opção hora de instalação agendada a sua preferência organizacional.

          4. Ativar a opção especifique intranet local do serviço Microsoft update política, e especificar o URL do servidor WSUS ESAE ambas as opções.

      6. Ligar a configuração PAW - GPO do computador da seguinte forma:

        PolíticaLocalização de ligação
        Configuração PATAAdmin\Tier 0\Devices
  6. Criar objeto de política de grupo (GPO) "PAW configuração – utilizador" e a ligação para a OU de utilizadores de nível 0 ("utilizadores" em camadas 0\Admin). Nesta secção, criará um novo "PAW configuração – utilizador" GPO que fornecer proteção específica para estes patas.

    Nota

    Não adicione estas definições para a política de domínio por predefinição

    1. Bloquear a navegação na internet - a travar os inadvertida navegação na internet, isto irá definir um endereço de proxy de um endereço de autoretorno (127.0.0.1).

      1. Aceda ao utilizador Configuration\Preferences\Windows Settings\Registry: clique em New\Registry Item e configurar as seguintes definições:

        1. Ação: substituir

        2. Seção: HKEY_CURRENT_USER

        3. Caminho da chave: Definições de Software\Microsoft\Windows\CurrentVersion\Internet

        4. Nome do valor: ProxyEnable

          Nota

          Não selecione a caixa de predefinido no lado esquerdo do nome do valor.

        5. Tipo de valor: REG_DWORD

        6. Dados do valor: 1

          1. um. Clique no separador comum e selecione remover este item quando já não é aplicada.

          2. No separador comum selecione Item nível filtragem e clique em direcionamento.

          3. Clique em Novo Item e selecione grupo de segurança.

          4. Selecione o botão "…" e navegue para o grupo de utilizadores PAW.

          5. Clique em Novo Item e selecione grupo de segurança.

          6. Selecione o botão "…" e navegue para a administradores de serviços na nuvem grupo.

          7. Clique na administradores de serviços na nuvem do item e clique em Item opções.

          8. Selecione não.

          9. Clique em OK na janela de filtragem.

        7. Clique em OK para concluir a definição de política de grupo ProxyServer

      2. Ir para o utilizador Configuration\Preferences\Windows Settings\Registry, clique em novo Item de registo e configurar as seguintes definições:

        • Ação: criar

        • Seção: HKEY_CURRENT_USER

        • Caminho da chave: Definições de Software\Microsoft\Windows\CurrentVersion\Internet

        • Nome do valor: ProxyServer

          Nota

          Não selecione a caixa de predefinido no lado esquerdo do nome do valor.

        • Valor de tipo: REG_SZ

        • Dados do valor: 127.0.0.1:80

          1. Clique na comuns tecla de tabulação e selecione remover este item quando já não é aplicada.

          2. No comuns guia selecione Item nível filtragem e clique em direcionamento.

          3. Clique em Novo Item e grupo de segurança selecionados.

          4. Selecione o botão "…" e adicionar o grupo de utilizadores PAW.

          5. Clique em Novo Item e grupo de segurança selecionados.

          6. Selecione o botão "…" e navegue para a administradores de serviços na nuvem grupo.

          7. Clique na administradores de serviços na nuvem do item e clique em Item opções.

          8. Selecione não.

          9. Clique em OK na janela de filtragem.

      3. Clique em OK para concluir a definição de política de grupo ProxyServer,

    2. Aceda a configuração Administrativos\Componentes Windows\Internet Explorer\ e ativar as opções abaixo. Estas definições irão impedir que os administradores de substituição manualmente as definições de proxy.

      1. Ativar o desativar a alteração de configuração automática definições.

      2. Ativar o impedir alterar as definições de proxy.

  7. Restringir os administradores de registar hosts de nível inferiores. Nesta secção, podemos configurará políticas de grupo para impedir que contas com privilégios administrativas registar hosts de nível inferiores.

    1. Criar a nova restringir o início de sessão de estação de trabalho GPO - esta definição irá restringir nível 0 e contas de administrador de nível 1 de registar padrão estações de trabalho. Este GPO deve ter as seguintes definições:

      • (i) No computador configuração configurações Settings\Local diretivas direitos Assignment\Deny log no como um trabalho em lotes, selecione configurar estas definições de política e adicionar o nível de 0 e grupos de nível 1:

        Grupos para adicionar definições de política:

        Admins de empresa

        Admins do domínio

        Admins de esquema

        DOMAIN\Administrators

        Operadores de contas

        Operadores de cópia de segurança

        Operadores de impressão

        Operadores de servidor

        Controladores de domínio

        Read-Only Controladores de domínio

        Proprietários criadores de política de grupo

        Operadores de criptografia

      Nota

      Nota: Grupos de nível 0 incorporado, consulte equivalency de nível 0 para obter mais detalhes.

      Outros delegada grupos

      Nota

      Nota: Qualquer personalizado criado grupos com acesso de nível 0 eficaz, consulte equivalency de nível 0 para obter mais detalhes.

      Admins Teir 1

      Nota

      Nota: Este grupo foi criado anteriormente na fase 1

      • (ii) No computador configuração configurações Settings\Local diretivas direitos Assignment\Deny log no como um serviço, selecione configurar estas definições de política e adicionar o nível de 0 e grupos de nível 1:

        Grupos para adicionar definições de política:

        Admins de empresa

        Admins do domínio

        Admins de esquema

        DOMAIN\Administrators

        Operadores de contas

        Operadores de cópia de segurança

        Operadores de impressão

        Operadores de servidor

        Controladores de domínio

        Read-Only Controladores de domínio

        Proprietários criadores de política de grupo

        Operadores de criptografia

        Nota

        Nota: Grupos de nível 0 incorporado, consulte equivalency de nível 0 para obter mais detalhes.

        Outros delegada grupos

        Nota

        Nota: Qualquer personalizado criado grupos com acesso de nível 0 eficaz, consulte equivalency de nível 0 para obter mais detalhes.

        Admins Teir 1

        Nota

        Nota: Este grupo foi criado anteriormente na fase 1

    2. Criar a nova restringir o início de sessão do servidor GPO-esta definição irá restringir as contas de administrador 0 de nível de registar padrão estações de trabalho. Este GPO deve ter as seguintes definições:

      • (i) No computador configuração configurações Settings\Local diretivas direitos Assignment\Deny log no como um trabalho em lotes, selecione configurar estas definições de política e adicione os grupos de nível 0:

        Grupos para adicionar definições de política:

        Admins de empresa

        Admins do domínio

        Admins de esquema

        DOMAIN\Administrators

        Operadores de contas

        Operadores de cópia de segurança

        Operadores de impressão

        Operadores de servidor

        Controladores de domínio

        Read-Only Controladores de domínio

        Proprietários criadores de política de grupo

        Operadores de criptografia

        Nota

        Nota: Grupos de nível 0 incorporado, consulte equivalency de nível 0 para obter mais detalhes.

        Outros delegada grupos

        Nota

        Nota: Qualquer personalizado criado grupos com acesso de nível 0 eficaz, consulte equivalency de nível 0 para obter mais detalhes.

      • (ii) No computador configuração configurações Settings\Local diretivas direitos Assignment\Deny log no como um serviço, selecione configurar estas definições de política e adicione os grupos de nível 0:

        Grupos para adicionar definições de política:

        Admins de empresa

        Admins do domínio

        Admins de esquema

        DOMAIN\Administrators

        Operadores de contas

        Operadores de cópia de segurança

        Operadores de impressão

        Operadores de servidor

        Controladores de domínio

        Read-Only Controladores de domínio

        Proprietários criadores de política de grupo

        Operadores de criptografia

        Nota

        Nota: Grupos de nível 0 incorporado, consulte equivalency de nível 0 para obter mais detalhes.

        Outros delegada grupos

        Nota

        Nota: Qualquer personalizado criado grupos com acesso de nível 0 eficaz, consulte equivalency de nível 0 para obter mais detalhes.

      • (iii) No início de sessão do computador configuração configurações Settings\Local diretivas direitos Assignment\Deny em localmente, selecione configurar estas definições de política e adicione os grupos de nível 0:

        Grupos para adicionar definições de política:

        Admins de empresa

        Admins do domínio

        Admins de esquema

        DOMAIN\Administrators

        Operadores de contas

        Operadores de cópia de segurança

        Operadores de impressão

        Operadores de servidor

        Controladores de domínio

        Read-Only Controladores de domínio

        Proprietários criadores de política de grupo

        Operadores de criptografia

        Nota

        Nota: Grupos de nível 0 incorporado, consulte equivalency de nível 0 para obter mais detalhes.

        Outros delegada grupos

        Nota

        Nota: Qualquer personalizado criado grupos com acesso de nível 0 eficaz, consulte equivalency de nível 0 para obter mais detalhes.

  8. Implementar as patas

    Nota

    Certifique-se de que o PATA está desconectada da rede durante o processo de compilação do sistema operativo.

    1. Instale o Windows 10 com o suporte de dados de instalação limpa origem que obteve anteriormente.

      Nota

      Pode utilizar Microsoft Deployment Toolkit (MDT) ou outro sistema de implementação de imagem automatizada para automatizar a implementação de PATA, mas tem de assegurar que o processo de compilação é como fidedigno como a PATA. Os adversários especificamente procurar imagens corporativas e sistemas de implementação (incluindo ISOs, pacotes de implementação, etc.) como mecanismo de persistência pelo pré-existentes sistemas de implementação ou imagens não deverá ser utilizadas.

      Se automatizar a implementação da PATA, faça o seguinte:

      • O sistema com suporte de dados de instalação validado utilizando as orientações de compilação fonte de dados de instalação limpa.
      • Certifique-se de que o sistema de implementação automatizada está desligado da rede durante o processo de compilação do sistema operativo.
    2. Defina uma palavra-passe complexa exclusiva para a conta de administrador local. Não utilize uma palavra-passe que foi usada para qualquer outra conta do ambiente.

      Nota

      A Microsoft recomenda a utilização do solução de palavra-passe de Administrador Local (VOLTAS) para gerir a palavra-passe de administrador local para todas as estações de trabalho, incluindo patas. Se utilizar VOLTAS, certifique-se de que que só concede o grupo de manutenção PAW o direito de ler gerida VOLTAS palavras-passe para as patas.

    3. Instalação remota Server Administration Tools for Windows 10 utilizando o suporte de dados de instalação limpa origem.

    4. Instale o melhorado mitigação experiência Toolkit (EMET) utilizando o suporte de dados de instalação limpa origem.

      Nota

      Tenha em atenção que, no momento da última atualização esta documentação de orientação, EMET 5.5 foi ainda em testes beta. Uma vez que esta é a primeira versão suportada no Windows 10, é incluído aqui não obstante estado beta. Se instalar o software beta na PATA exceder a tolerância de risco, poderá ignorar este passo por agora.

    5. Ligar a PATA à rede. Certifique-se de que o PATA pode ligar para, pelo menos, um controlador de domínio (CC).

    6. Utilizar uma conta que é um membro do grupo de manutenção PAW, execute o seguinte comando do PowerShell da PATA recém-criadas para a associar ao domínio na OU adequada:

      Add-Computer -DomainOrWorkgroupName Fabrikam -OUPath "OU=Devices,OU=Tier 0,OU=Admin,DC=fabrikam,DC=com"

      Substituir as referências aos fabricam com o seu nome de domínio, conforme apropriado. Se o seu nome de domínio abrange a vários níveis (por exemplo, child.fabrikam.com), adicione os nomes adicionais com o "DC =" identificador pela ordem em que aparecem no nome de domínio completamente qualificado do domínio.

      Nota

      Se lhe tiver implementado uma ESAE administrativa floresta (por administradores de nível 0 na fase 1) ou um Gestor de identidade da Microsoft (MIM) privilegiadas gestão de acesso (PAM) (para de nível 1 e 2 admins na fase 2), seria aderir a PATA no domínio que ambiente aqui em vez de domínio de produção.

    7. Aplicam-se todas as atualizações críticas e importantes do Windows antes de instalar qualquer outro software (incluindo ferramentas administrativas, agentes, etc.).

    8. Força a aplicação da política de grupo.

      1. Abra uma linha de comandos elevada e introduza o seguinte comando:

        Gpupdate /force /sync

      2. Reinicie o computador

    9. **(Opcional) **Instalar ferramentas adicionais necessárias para administradores do Active Directory. Instale quaisquer outras ferramentas ou scripts necessários para executar tarefas de trabalho. Certifique-se para avaliar o risco de exposição das credenciais nos computadores de destino com qualquer ferramenta antes de adicioná-lo para uma PATA. Acesso nesta página para obter mais informações sobre como avaliar ferramentas administrativas e os métodos de ligação para o risco de exposição das credenciais. Certifique-se para obter todos os dados de instalação utilizando a orientação fonte de dados de instalação limpa.

      Nota

      Utilizando um servidor de atalhos para uma localização central para estas ferramentas pode reduzir a complexidade, mesmo que ela não funcionar como um limite de segurança.

    10. **(Opcional) **Transferir e instalar o software necessário acesso remoto. Se os administradores utilizará a PATA remotamente para a administração, instale o software de acesso remoto utilizando a documentação de orientação de segurança do seu fornecedor de soluções de acesso remoto. Certifique-se para obter todos os dados de instalação utilizando a orientação na origem limpo para dados de instalação.

      Nota

      Cuidado todos os riscos envolvidos em permitir acesso remoto através de uma PATA. Enquanto uma PATA móvel permite que vários cenários importantes, incluindo o trabalho a partir de casa, o software de acesso remoto pode ser potencialmente vulnerável ao ataque e utilizado para comprometer uma PATA.

    11. Valide a integridade do sistema PATA, rever e confirmando que todas as definições adequadas são num local seguindo os passos abaixo:

      1. Confirme que apenas as políticas de grupo PATA específicas são aplicadas à PATA

        1. Abra uma linha de comandos elevada e introduza o seguinte comando:

          Gpresult /scope computer /r

        2. Reveja a lista resultante e certifique-se de que o grupo apenas políticas que aparecem são aqueles que criou acima.

      2. Confirme que não contas de utilizador adicionais são membros da privilegiadas grupos na PATA seguindo os passos abaixo:

        1. Abrir Editar utilizadores e grupos locais (lusrmgr.msc), selecione grupose confirme que os membros do grupo Administradores local só estão a conta de administrador local e o grupo de segurança global PAW manutenção.

          Nota

          Grupo utilizadores PAW não deve ser membro do grupo Administradores local. Os membros só devem ser a conta de administrador local e o grupo de segurança global PAW manutenção (e os utilizadores PAW não deve ser membro do grupo global ou).

        2. Também utilizar Editar utilizadores e grupos locais, que os grupos de seguir sempre não membros:

          • Operadores de cópia de segurança

          • Operadores de criptografia

          • Administradores de Hyper-V

          • Operadores de configuração de rede

          • Utilizadores avançados

          • Utilizadores do ambiente de trabalho remoto

          • Replicator

    12. **(Opcional) **Se sua organização utiliza uma solução de gestão (SIEM) de evento e informações de segurança, certifique-se de que está a PATA configurados para encaminhar eventos para o sistema utilizando o reencaminhamento de eventos do Windows (WEF) ou caso contrário, é registada graças à solução para que o SIEM ativamente é receber eventos e informações da PATA. Os detalhes desta operação irão variar com base na sua solução SIEM.

      Nota

      Se o SIEM requer um agente executado como sistema ou uma conta local administrativa nas patas, certifique-se de que o SIEMs são geridas com o mesmo nível de confiança como os controladores de domínio e sistemas de identidade.

    13. **(Opcional) **Se tiver optado por implementar VOLTAS para gerir a palavra-passe para a conta de administrador local no seu PATA, verifique se que a palavra-passe é registrada com êxito.

      • Utilizando uma conta com permissões para ler gerida VOLTAS as palavras-passe, abra Active Directory utilizadores e computadores do (dsa.msc). Certifique-se de que funcionalidades avançadas está ativada e, em seguida, clique com botão direito no objeto do computador apropriado. Selecione o separador atributo Editor e confirme que o valor de msSVSadmPwd é preenchido com uma palavra-passe válida.

Fase 2 - PATA é aplicável a todos os administradores

Âmbito: Todos os utilizadores com direitos administrativos através de aplicações essenciais e dependências. Isto deve incluir, pelo menos, os administradores dos servidores da aplicação, saúde operacional e segurança monitorização de soluções, soluções de virtualização, sistemas de armazenamento e dispositivos de rede.

Nota

As instruções apresentadas nesta fase presumem que fase 1 foi concluído na íntegra. Não começa a fase 2 até que tenha concluído todos os passos na fase 1.

Depois de confirmar que todos os passos foram feitos, execute os passos abaixo para concluir a fase 2:

  1. (Recomendado) **Ativar **RestrictedAdmin modo - ativar esta funcionalidade no servidores existentes e estações de trabalho, em seguida, imponha a utilização desta funcionalidade. Esta funcionalidade exige os servidores do alvo de estar em execução no Windows Server 2008 R2 ou mais tarde e de destino estações de trabalho para ser com o Windows 7 ou posterior.

    1. Ativar RestrictedAdmin modo no servidores e estações de trabalho, siga as instruções disponíveis nesta página.

      Nota

      Antes de ativar esta funcionalidade para os servidores de internet frontal, considere o risco dos adversários com a possibilidade de se autenticar estes servidores com um hash de palavra-passe anteriormente roubado.

    2. Crie um objeto de política de grupo (GPO) "RestrictedAdmin necessários – computador". Esta secção cria um GPO que reforça a utilização da /RestrictedAdmin alternar para envio ligações de ambiente de trabalho remoto, a proteger as contas do roubo de credenciais em sistemas de destino

      • Aceda ao computador configuração Templates\System\Credentials Delegation\Restrict delegação de credenciais para servidores remotos e a configuração ativado.
    3. Ligação a RestrictedAdmin necessários - computador para o adequado de nível 1 e/ou de nível 2 dispositivos utilizando as opções de política abaixo:

      Configuração PATA - computador

      -> Ligação localização: Admin\Tier 0\Devices (existente)

      PAW configuração - utilizador

      -> Ligação localização: Admin\Tier 0\Accounts

      RestrictedAdmin necessário - computador

      -> Admin\Tier1\Devices ou -> Admin\Tier2\Devices (ambos são opcionais)

      Nota

      Não é necessário para sistemas de nível 0 como estes sistemas já estão no controlo total de todos os elementos no ambiente de.

  2. Mova objetos de 1 de nível para as unidades organizacionais adequadas.

    1. Mova para o Admin\Tier 1\Groups OU de grupos de nível 1. Localize todos os grupos que concedem os direitos administrativos seguintes e movê-los para esta OU.

      • Administrador local no mais de um servidor

      • Administrativo acesso aos serviços em nuvem

      • Administrativo acesso às aplicações empresariais

    2. Mova contas de nível 1 para OU de 1\Accounts Admin\Tier. Mova cada conta que é um membro dos grupos de nível 1 (incluindo associação aninhada) para esta OU.

  3. Adicionar os membros adequados para os grupos relevantes

    • Nível 1 Admins -este grupo contém os administradores de nível 1 que ficarão restritos registar hosts de nível 2. Adicione todos os seus grupos administrativos de nível 1 que tenha privilégios administrativos através de servidores ou serviços da internet.

      Nota

      Se pessoal administrativo tiver obrigações ativos em vários níveis de gerir, terá de criar uma conta de administrador separados por camadas.

  4. Ative o protetor das credenciais reduzir o risco de roubo de credenciais e reutilizar. Guarda das credenciais é uma nova funcionalidade do Windows 10 que restringe o acesso da aplicação de credenciais, prevenção de ataques de roubo das credenciais (incluindo Pass-a-Hash). Guarda das credenciais é totalmente transparente para o utilizador final e necessita de configuração mínimo de tempo e esforço. Para obter mais informações sobre o protetor das credenciais, incluindo os passos de implementação e requisitos de hardware, consulte o artigo, proteger as credenciais de domínio com credenciais guarda.

    Nota

    Guarda dispositivo tem de estar ativada para configurar e utilizar o protetor das credenciais. No entanto, não é necessário configurar quaisquer outras proteções guarda do dispositivo para poder utilizar o protetor das credenciais.

  5. **(Opcional) **Ativar a conectividade de serviços em nuvem. Este passo permite a gestão de serviços em nuvem como o Azure e o Office 365 com garantias de segurança adequada. Este passo é também necessário para a Microsoft Intune gerir as patas.

    Nota

    Se não conectividade da nuvem é necessária para a administração de serviços em nuvem ou gestão por Intune, ignore este passo.

    Estes passos irão restringir a comunicação através da internet para apenas os serviços em nuvem autorizados (mas não abrir internet) e adicionar proteções para os browsers e outras aplicações que processará conteúdos da internet. Estes patas para a administração de nunca devem ser usadas para tarefas de utilizador padrão como comunicações da internet e a produtividade.

    Para ativar a conectividade de PATA serviços sigam os passos abaixo:

    1. Configure PATA para permitir que apenas os destinos Internet autorizados. À medida que expande a sua implementação PATA para ativar a administração de nuvem, tem de permitir o acesso aos serviços autorizados durante a filtragem o acesso da internet aberta onde ataques mais facilmente podem ser montados contra o administradores.

      1. Criar administradores de serviços na nuvem de grupo e adicionar todas as contas ao mesmo que requerem acesso aos serviços em nuvem na internet.

      2. Transferir a PATA proxy.pac ficheiros a partir de TechNet galeria e publicá-la em um Web site interno.

        Nota

        Terá de atualizar o proxy.pac ficheiro após a transferência para garantir que é atualizado e completa.
        A Microsoft publica todos os atuais Office 365 e URLs Azure no escritório o Centro de suporte.

        Talvez seja necessário adicionar outros destinos Internet válidos para adicionar a esta lista para outro fornecedor IaaS, mas não adicionar produtividade, entretenimento, notícias ou sites para esta lista de pesquisa.

        Também poderá quer ajustar o ficheiro PAC para acomodar um endereço válido proxy a utilizar para esses endereços.

        Nota

        Também pode restringir o acesso da PATA utilizando um proxy da web, bem como para defesa em profundidade. Não recomendamos a utilização isto por si mesmo sem o arquivo PAC à medida que só irá restringir o acesso para patas enquanto ligado à rede da empresa.

        Estas instruções presumem que irá utilizar o Internet Explorer (ou o Microsoft Edge) para a administração do Office 365, Azure e outros serviços em nuvem. A Microsoft recomenda configurar restrições semelhantes para qualquer 3ª browsers fornecedores necessárias para a administração de. Browsers da Web em patas só devem ser utilizados para a administração de serviços em nuvem e nunca para uma navegação na web geral.

      3. Após a configuração do proxy.pac do ficheiro, atualizar a configuração PAW - GPO do utilizador.

        1. Aceda ao utilizador Configuration\Preferences\Windows Settings\Registry: clique em New\Registry Item e configurar as seguintes definições:

          1. Ação: substituir

          2. Ramo: HKEY _ CURRENT_USER

          3. Caminho da chave: Definições de Software\Microsoft\Windows\CurrentVersion\Internet

          4. Nome do valor: AutoConfigUrl

            Nota

            Não selecione a padrão caixa no lado esquerdo do nome do valor.

          5. Valor de tipo: REG_SZ

          6. Dados do valor: introduza o URL completo para o proxy.pac ficheiro, incluindo http:// e o nome do ficheiro - por exemplo http://proxy.fabrikam.com/proxy.pac. O URL também pode ser um URL single-etiqueta - por exemplo, http://proxy/proxy.pac

            Nota

            O ficheiro PAC também pode ser alojado numa partilha de ficheiros, com a sintaxe do file://server.fabrikan.com/share/proxy.pac mas tal exige permitindo o protocolo file://. Consulte a secção "NOTA: File://-based Proxy Scripts preterida" Isto Noções sobre configuração de Proxy de Web blogue para obter detalhes adicionais sobre a configuração do valor de registo necessários.

          7. Clique na comuns tecla de tabulação e selecione remover este item quando já não é aplicada.

          8. No comuns guia selecione Item nível filtragem e clique em direcionamento.

          9. Clique em Novo Item e selecione grupo de segurança.

          10. Selecione o botão "…" e navegue para a administradores de serviços na nuvem grupo.

          11. Clique em Novo Item e selecione grupo de segurança.

          12. Selecione o botão "…" e navegue para a PAW utilizadores grupo.

          13. Clique na PAW utilizadores do item e clique em Item opções.

          14. Selecione não.

          15. Clique em OK na janela de filtragem.

          16. Clique em OK para concluir a AutoConfigUrl definição de política de grupo.

    2. Aplicam-se as linhas de base de segurança do Windows 10 e ligação de acesso de serviço de nuvem as linhas de base de segurança para o Windows e para o serviço em nuvem de acesso (se necessário) para as unidades de organizacionais corretas seguindo os passos abaixo:

      1. Extrai o conteúdo do ficheiro ZIP de linhas de base de segurança do Windows 10.

      2. Criar esses GPOs, importar a política de definições, e ligação por esta tabela. Associe cada política para cada localização e certifique-se de que a ordem segue a tabela (inferiores entradas na tabela devem ser aplicada mais tarde e superior prioridade):

        Políticas:

        No Windows 10 - segurança do domínio CMN/a - não associar agora
        SCM Windows 10 TH2 - computadorAdmin\Tier 0\Devices
        Admin\Tier 1\Devices
        Admin\Tier 2\Devices
        Windows 10 de SCM TH2-BitLockerAdmin\Tier 0\Devices
        Admin\Tier 1\Devices
        Admin\Tier 2\Devices
        SCM Windows 10 - guarda das credenciaisAdmin\Tier 0\Devices
        Admin\Tier 1\Devices
        Admin\Tier 2\Devices
        SCM Internet Explorer - computadorAdmin\Tier 0\Devices
        Admin\Tier 1\Devices
        Admin\Tier 2\Devices
        Configuração PATA - computadorAdmin\Tier 0\Devices (existente)
        Admin\Tier 1\Devices (nova ligação)
        Admin\Tier 2\Devices (nova ligação)
        RestrictedAdmin necessário - computadorAdmin\Tier 0\Devices
        Admin\Tier 1\Devices
        Admin\Tier 2\Devices
        No Windows 10 - utilizador SCMAdmin\Tier 0\Devices
        Admin\Tier 1\Devices
        Admin\Tier 2\Devices
        SCM Internet Explorer - utilizadorAdmin\Tier 0\Devices
        Admin\Tier 1\Devices
        Admin\Tier 2\Devices
        PAW configuração - utilizadorAdmin\Tier 0\Devices (existente)
        Admin\Tier 1\Devices (nova ligação)
        Admin\Tier 2\Devices (nova ligação)
        Nota

        A "SCM Windows 10 – segurança do domínio" GPO podem ser associada à domínio de forma independente PATA, mas afetará a todo o domínio.

  6. **(Opcional) **Instalar ferramentas adicionais necessárias para de nível 1 administradores. Instale quaisquer outras ferramentas ou scripts necessários para executar tarefas de trabalho. Certifique-se para avaliar o risco de exposição das credenciais nos computadores de destino com qualquer ferramenta antes de adicioná-lo para uma PATA. Para obter mais informações sobre a avaliar ferramentas administrativas e a ligação métodos para o risco de exposição das credenciais visitar nesta página. Certifique-se para obter todos os dados de instalação utilizando a orientação na origem limpo para dados de instalação

  7. Identificar e em segurança Obtenha software e necessárias para a administração de aplicações. Isto é semelhante para o trabalho realizado na fase 1, mas, com um maior âmbito devido o maior número de aplicações, serviços e sistemas sejam protegidos.

    Nota

    Certifique-se de que lhe protege estas novas aplicações (incluindo nos browsers) ao optar por-los para as proteções fornecidas pelo EMET.

    Exemplos de software adicional e aplicações:

    • O Microsoft Azure PowerShell

    • Office 365 PowerShell (também conhecido como Microsoft Online Services Module)

    • Aplicação ou software de gestão de serviço com base na consola de gestão da Microsoft

    • Propriedade (não MMC-aplicação baseada em) ou software de gestão de serviço

      Nota

      Muitas aplicações são agora exclusivamente geridas através de browsers da web, incluindo muitos serviços em nuvem. Enquanto reduz o número de aplicações de que necessita para ser instalado em uma PATA, ele também introduz o risco de problemas de interoperabilidade do browser. Talvez seja necessário implementar um browser não pertencentes à Microsoft para instâncias PATA específicos para ativar a administração dos serviços específicos. Se implementar um browser adicionais, certifique-se que tome todos os princípios de origem limpa e o browser de acordo com as orientações de segurança do fornecedor segura.

  8. **(Opcional) **Transferir e instalar quaisquer agentes gestão necessários.

    Nota

    Se optar por instalar agentes de gestão adicionais (monitorização, segurança, gestão de configuração, etc.), é vital que se certifique de que sistemas de gestão são confiáveis ao nível como controladores de domínio e sistemas de identidade. Consulte a gerir e atualizar patas para obter orientação adicional.

  9. Avalie a sua infraestrutura para identificar os sistemas que requerem as proteções de segurança adicionais fornecidas por uma PATA. Certifique-se de que sabe exatamente quais sistemas devem estar protegidos. Faça perguntas críticas sobre os recursos individualmente, tais como:

    • Onde estão os sistemas de destino que devem ser geridos? São são recolhidos numa única localização física ou ligados a uma única sub-rede bem definida?

    • Sistemas quantos existem?

    • Estes sistemas dependem de outros sistemas (virtualização, armazenamento, etc.) e, em caso afirmativo, como são esses sistemas geridos? Como os sistemas críticos expostos a estes dependências, e quais são os riscos adicionais são associados com essas dependências?

    • Como críticas são os serviços de ser gerenciados e qual é a perda esperada se esses serviços estão comprometidos?

      Nota

      Incluir os serviços em nuvem nessa avaliação - os atacantes alvo cada vez mais implementações de nuvem inseguro e é vital que você administra esses serviços com a segurança como faria com as aplicações essenciais no local.

      Utilizar essa avaliação para identificar os sistemas específicos que necessitam de proteção adicional e, em seguida, ampliar o programa PATA para os administradores de nos sistemas em questão. Comuns dos sistemas que bastante beneficiarem da administração com base em PATA exemplos SQL Server (tanto no local e SQL Azure), aplicações de recursos humanos e software financeira.

      Nota

      Se um recurso for gerido a partir de um sistema do Windows, pode ser gerida com uma PATA, mesmo que a aplicação propriamente dita é executada num sistema operativo que não o Windows ou numa plataforma em nuvem não pertencentes à Microsoft. Por exemplo, o proprietário de uma subscrição do Amazon Web Services deve utilizar apenas uma PATA para administrar essa conta.

  10. Desenvolva um método de pedido e distribuição para a implementação patas à escala na sua organização. Consoante o número de patas optar por implementar na fase 2, talvez seja necessário automatizar o processo.

    • Considere a possibilidade de desenvolver um pedido formal e o processo de aprovação de administradores utilizar para obter uma PATA. Este processo pode ajudar a padronizar o processo de implementação, certifique-se de responsabilidade para PATA dispositivos e ajudar a identificar lacunas nos PATA implementação.

    • Como indicado anteriormente, esta solução de implementação deve ser separada dos métodos de automatização existente (que podem já ter sido comprometidos) e deve seguir os princípios descritos na fase 1.

      Nota

      Qualquer sistema que gere a recursos próprio geridas no nível de confiança igual ou superior.

  11. Rever e se for necessário implementar os perfis de hardware PATA adicionais. O perfil de hardware que escolheu para a implementação da fase 1 não pode ser adequado para todos os administradores. Reveja os perfis de hardware e se aplicável, selecione os perfis de hardware PATA adicionais para corresponder às necessidades dos administradores. Por exemplo, o perfil de Hardware dedicado (separado PATA e diariamente utilizam estações de trabalho) pode ser adequado para um administrador que se movimenta frequentemente - neste caso, poderá optar por implementar o perfil utilizar em simultâneo (PATA com o utilizador VM) para esse administrador.

  12. Considere as comunicações culturais, operacionais, e as necessidades de formação que incluir uma implementação PATA expandida. Uma alteração significativa um modelo administrativas naturalmente necessitará de gestão de alterar algumas grau e é essencial para compilar que o projeto de implementação em si. Considere no mínimo o seguinte:

    • Como é comunicará as alterações ao líderes seniores Certifique-se do suporte? Qualquer projetar sem seniores liderança fazendo é provável que não funcionarem, ou em luta muito menos de financiamento e ampla aceitação.

    • Como será documentar o processo de novo para os administradores? Estas alterações devem ser documentadas e comunicadas não só aos administradores existentes (que podem alterar os seus hábitos e gerir recursos de forma diferente), mas também para os administradores de novo (os promovidos da própria ou contratado de fora da organização). É essencial que a documentação é clara e totalmente explica a importância das ameaças, a função do PATA em proteger os administradores e como utilizar PATA corretamente.

      Nota

      Isto é especialmente importante para funções de com alto giro, incluindo, mas não se limitando a pessoal do suporte técnico.

    • Como você irá garantir a conformidade com o processo de novo? Embora o modelo de PATA inclui diversos controlos técnicos para evitar a exposição das credenciais privilegiadas, é impossível totalmente impedir que todos os exposição possível exclusivamente utilizando técnicos controlos. Por exemplo, embora seja possível impedir que um administrador de iniciar sessão com êxito para um ambiente de trabalho do utilizador com credenciais privilegiadas, do momento simple de tentativa o início de sessão pode expor as credenciais de malware instalado nesse ambiente de trabalho do utilizador. Portanto, é essencial que lhe expor não só as vantagens do modelo PATA, mas os riscos da não-conformidade. Isto deve ser complementado de auditoria e alertas para que a exposição das credenciais pode ser detetada e resolvemos rapidamente.

A fase 3: Expandir e aperfeiçoar a proteção

Âmbito: Estas proteções melhoram os sistemas incorporados na fase 1, aumentando a proteção básica com funcionalidades avançadas, incluindo autenticação multifator e regras de acesso de rede.

Nota

Esta fase pode ser executada em qualquer altura depois fase 1 tiver sido concluída. Não é depende a conclusão da fase 2 e, assim, pode ser executada antes, simultâneas com ou após a fase 2.

Siga os passos abaixo indicados para configurar esta fase:

  1. Ative a autenticação multifator para contas com privilégios. Autenticação multifator reforça a segurança da conta ao exigir o utilizador fornecer um token físico para além de credenciais. Autenticação multifator complementa políticas de autenticação extremamente bem, mas não dependem políticas de autenticação para implementação (e então, da mesma forma, as políticas de autenticação não exigir autenticação multifator). A Microsoft recomenda a utilizar uma destas formas de autenticação multifator:

    • Smart card: um smart card é um dispositivo físico portátil e resistente a prova que fornece uma segunda verificação durante o processo de início de sessão do Windows. Ao exigir um indivíduo que possua um cartão para o início de sessão, pode reduzir o risco de credenciais roubados ser reutilizado remotamente. Para obter detalhes sobre o início de sessão de smart card no Windows, consulte o artigo descrição geral de Smart Card.

    • Virtual smart card: um smart card virtual fornece os mesmos que benefícios de segurança físicos como cartões inteligentes, com a vantagem adicional de ser associada à específicas de hardware. Para obter detalhes sobre a implementação e requisitos de hardware, consulte os artigos, descrição geral de Smart Card Virtual e começar com Virtual Smart Cards: guia passo a passo.

    • O Microsoft Passport: Microsoft Passport permite que os utilizadores autenticar para uma conta Microsoft, uma conta do Active Directory, uma conta do Microsoft Azure Active Directory (AD Azure) ou serviços não Microsoft que suporte a autenticação Fast ID Online (FIDO). Após uma verificação de dois passos inicial durante a inscrição no Microsoft Passport, um Microsoft Passport é configurado no dispositivo do utilizador e o utilizador define um gesto, que pode ser o Windows Hello ou um PIN. O Microsoft Passport credenciais são um par de chaves assimétrico, que pode ser gerado em ambientes isolados módulos de plataforma confiável (os TPMs). Para obter mais informações sobre o Microsoft Passport, leia descrição geral do Microsoft Passport artigo.

    • Autenticação multifator Azure: autenticação multifator do Azure (MFA) fornece a segurança de uma segunda fator de verificação de dois passos, bem como proteção avançada através de análises de monitorização e baseado em máquina-aprendizagem. Azure MFA pode proteger não apenas os administradores do Azure, mas muitas outras soluções, incluindo aplicações web do Azure Active Directory e soluções no local como o acesso remoto e o ambiente de trabalho remoto. Para mais informações sobre a autenticação multifator do Azure, consulte o artigo autenticação multifator.

  2. Branca trusted aplicações utilizando o protetor de dispositivo e/ou AppLocker. Ao limitar a capacidade de código confiável ou não assinado para serem executadas em uma PATA, é ainda mais reduzir a probabilidade do compromisso e atividade maliciosa. O Windows inclui duas opções principais para um controlo aplicação:

    • AppLocker: AppLocker ajuda os administradores a controlar que aplicações podem ser executados num sistema fornecido. AppLocker pode ser centralizado controlado por meio de política de grupo e aplicado aos utilizadores específicos ou grupos (por aplicação direcionado para os utilizadores da patas). Para obter mais informações sobre AppLocker, consulte o artigo da TechNet descrição geral de AppLocker.

    • Dispositivo guarda: a nova funcionalidade de dispositivo guarda fornece controlo avançada aplicação baseada em hardware que, ao contrário dos AppLocker, não pode ser substituído no dispositivo afetado. Como AppLocker, guarda de dispositivo pode ser controlada através da política de grupo e direcionada para utilizadores específicos. Para obter mais informações sobre a restrição de utilização da aplicação com o protetor de dispositivo, consulte o artigo da TechNet, guia de implementação do dispositivo guarda.

  3. Utilizar os utilizadores protegidos, políticas de autenticação e Silos de autenticação para proteger ainda mais contas com privilégios. Os membros de utilizadores protegidos são sujeita às políticas de segurança adicionais que proteger as credenciais armazenados no agente de segurança local (LSA) e bastante minimizam o risco de roubo de credenciais e reutilizar. Políticas de autenticação e silos controlam privilegiados como os utilizadores podem aceder a recursos no domínio. Coletivamente, estes proteções drasticamente reforçar a segurança de conta destes privilegiadas utilizadores. Para obter detalhes adicionais sobre estas funcionalidades, consulte o artigo da web como configurar contas protegido.

    Nota

    Estas proteções destinam-se para complementar, não substitua, existentes medidas de segurança na fase 1. Os administradores ainda devem utilizar contas individuais de administração e de utilização geral.

Patas de gestão e atualização de

Patas tem de ter capacidades de antimalware e atualizações de software deverá ser aplicadas rapidamente para manter a integridade destes estações de trabalho.

Gestão de configuração adicionais, operacionais monitorização e gestão de segurança também podem ser utilizadas com patas, mas a integração destes deve ser considerada cuidadosamente uma vez que cada capacidades de gestão também apresenta o risco de compromisso PATA através da ferramenta. Se faz sentido para apresentar as capacidades de gestão avançada depende de vários fatores, incluindo:

  • O estado de segurança e práticas da capacidade de gestão (incluindo as práticas de atualização de software para a ferramenta, funções administrativas e contas nessas funções, sistemas operativos a ferramenta está alojada ou gerida a partir do e quaisquer outros dependências de hardware ou software que ferramenta)

  • A frequência e a quantidade de implementações de software e atualizações no seu patas

  • Requisitos para obter informações detalhadas inventário e configuração

  • Monitorização de requisitos de segurança

  • Padrões de organizacional e de outros fatores organizacional específicas

Por princípio da origem limpa, todas as ferramentas utilizadas para gerir ou monitorizar as patas tem de ser fidedignas em ou acima do nível das patas. Normalmente, é preciso essas ferramentas para ser geridas a partir de uma PATA para garantir que não dependência de segurança das estações de trabalho de privilégios mais baixa.

A tabela seguinte descreve as abordagens diferentes que podem ser utilizadas para gerir e monitorizar as patas:

AbordagemConsiderações
Por predefinição no PATA

-Windows Server Update Services
-O Windows Defender
-Sem custos adicionais
-Realiza as funções básicas de segurança necessário
-Instruções incluídas neste guia
Gerir com Intune
  • Fornece visibilidade baseado na nuvem e controlo

    • Implementação de software
    • Atualizações de software de gerir o
    • Gestão de políticas de Firewall do Windows
    • Proteção antimalware
    • Assistência remota
    • Gestão de licença de software.
  • Nenhuma infraestrutura de servidor necessária
  • Necessita de seguir passos "Ativar a conectividade de serviços em nuvem" na fase 2
  • Se o computador PATA não esteja associado a um domínio, é preciso aplicar as linhas de base SCM às imagens do locais utilizando as ferramentas de fornecidos na transferência de linha de base de segurança.
Novo instâncias do System Center para gerir patas-Fornece visibilidade e controlo de configuração, distribuição de software e atualizações de segurança
-Requer infraestrutura de servidor separados, protegê-lo para o nível de patas e capacidades de pessoal para esses altamente privilegiado pessoal
Gerir patas com ferramentas de gestão de existente-Cria um risco significativo para comprometer de patas, a menos que a infraestrutura de gestão existente é colocada nível de segurança de patas nota: Microsoft faria normalmente evitar que esta abordagem, a menos que a organização tenha um motivo específico para utilizá-lo. Na nossa experiência, normalmente existe um custo muito forte de disponibilização de todas estas ferramentas (e as dependências de segurança) até o nível de segurança das patas.
-A maioria destas ferramentas fornece visibilidade e controlo de configuração, distribuição de software e atualizações de segurança
A verificação de segurança ou monitorização de ferramentas que requerem acesso de administradorInclui qualquer ferramenta que instala um agente ou necessite de uma conta com acesso de administrador local.

-Requer a trazer a garantia de segurança ferramenta até ao nível de patas.
-Poderão requerer reduzindo postura de segurança de patas para suportar a funcionalidade de ferramenta (abra portas, instalar o Java ou outros middleware, etc.), criando uma decisão de troca de segurança,
Eventos e informações de gestão de segurança (SIEM)
  • Se for agentes SIEM

    • Pode aceder a eventos no patas sem acesso administrativo ao utilizar uma conta no leitores de registo de eventos grupo
    • É necessário abrindo portas de rede para permitir que o tráfego de entrada a servidores SIEM
  • Se SIEM requer um agente, consulte outros linha análise de segurança ou monitorização de ferramentas que requerem acesso de administrador.
Encaminhamento de eventos do Windows-Fornece um método de encaminhamento de eventos de segurança das patas para um recolector externo ou SIEM agente
-Pode aceder a eventos no patas sem acesso administrativo
-Não necessitam de portas de rede para permitir que o tráfego de entrada a servidores SIEM abrindo

Patas de funcionar

A solução PATA deve ser operada utilizando as normas de normas operacionais com base na raiz princípio de origem.

Tópicos relacionados

Serviços Microsoft Cybersecurity envolvente

Conheça de Premier: como minimizar o Pass-a-Hash e outras formas de roubo de credenciais

Microsoft ameaça de análise avançada

Proteger credenciais de domínio derivada com credenciais guarda

Descrição geral de proteção do dispositivo

Proteger ativos de elevado valor com estações de trabalho do administrador segura

Modo de utilizador isoladas no Windows 10 com Dave Probert (Channel 9)

Isolado processos em modo de utilizador e funcionalidades no Windows 10 com Logan Gabriel (Channel 9)

Mais em processos e funcionalidades no modo de utilizador isoladas do Windows 10 com Dave Probert (Channel 9)

Mitigação roubo de credencial com o Windows 10 isoladas modo de utilizador (Channel 9)

Ativar validação KDC objetiva no Kerberos do Windows

Quais são as novidades na autenticação Kerberos para o Windows Server 2012

Garantia do mecanismo de autenticação para AD DS no Windows Server 2008 R2 Step-by-Step guia

Trusted Platform Module

© 2017 Microsoft