Todas as redes informáticas devem ter pelo menos uma “Privileged Access Workstation” (ou PAW), ou seja, um computador dedicado e onde são executadas tarefas especialmente sensíveis e que são feitas com contas privilegiadas (tipicamente de administração de domínio). Estes PAW devem estar especialmente protegidos contra ataques e terem uma superfície de ataque tão reduzida quanto o possível. Será impensável (e devem ser estabelecidas formas de o evitar) aceder ao mail ou navegar na web nestes computadores PAW.

Um PAW deve assim:
1. Ser um sistema cm configuração de segurança especialmente reforçadas (hardened)
2. Usado apenas para tarefas que implicam altos níveis de segurança
3. Usar hardware seguro, medias de instalação limpos e ser muito monitorizado
4. Estar permanentemente patched: sobretudo no que concerne a security updates
5. Pode ser apenas usado com contas de Administração de Domain (DA)
6. Estar locked ao menor número possível de binários com uma OU em AD com SRP
7. Não pode ter acesso à Internet (Browsers bloqueados) nem a email (nem a Webmail)
8. A PAW deve estar num segmento segregado de rede em que só estes equipamentos podem comunicar com os servidores que administram. Idealmente, a divisão deverá ser também por função (sysadmin, DBA, network, etc) mas isso não é prático em organizações de menor dimensão.
9. Os Admins do Domain não são Admins locais na PAW
10. Não é permitida a pass-through authentication sendo que a todos os pedidos de acesso a password é requerida explicitamente
11. Idealmente deve existir MFA nestes logons na PAW
12. A PAW não tem acesso à Internet
13. Os logins na PAW são feitos com contas standards e apenas existe a conta LAPS: apenas esta pode correr as ferramentas administrativas.
14. Uso do SRP
15. O uso de Powershell é monitorizado
16. Os tempos de inactividade de sessão e disconnect são muito agressivos
17. Não há conservação local das passwords (cache)
18. Todos os logs são guardados (não há sobrescrita) e exportados regularmente
19. Scans regulares por AV e vários AVs ativos na máquina PAW
20. a PAW deve ser destruída e reconstruída cada 30 dias.

Se ainda não tem um PAW na sua organização: com estes 20 conselhos fica, pelo menos, com um guia para seguir.