Konfigurace Microsoft Intune pro nulová důvěra (nulová důvěra (Zero Trust)): Zabezpečená zařízení (Preview)

Zabezpečení koncových bodů je důležitou součástí strategie nulová důvěra (nulová důvěra (Zero Trust)). Tato doporučení Intune pomáhají chránit hraniční síť a zařízení prostřednictvím řízení založených na zásadách, které vynucují šifrování, omezují neoprávněný přístup a omezují ohrožení zabezpečení. Použitím zásad konfigurace a zabezpečení napříč platformami jsou tyto kontroly v souladu s iniciativou Microsoftu Secure Future Initiative a posílit celkový stav zabezpečení vaší organizace.

nulová důvěra (nulová důvěra (Zero Trust)) doporučení k zabezpečení

Přihlašovací údaje místního správce ve Windows jsou chráněné systémem Windows LAPS.

Bez vynucení zásad řešení HESEL místního správce (LAPS) můžou aktéři hrozeb, kteří získají přístup ke koncovým bodům, zneužít statická nebo slabá hesla místního správce k eskalaci oprávnění, laterálně se přesouvat a navazovat trvalost. Řetězec útoků obvykle začíná ohrožením zabezpečení zařízení – prostřednictvím útoků phishing, malwaru nebo fyzického přístupu – a následnými pokusy o získání přihlašovacích údajů místního správce. Bez nástroje LAPS můžou útočníci opakovaně používat napadené přihlašovací údaje na více zařízeních, což zvyšuje riziko eskalace oprávnění a ohrožení zabezpečení v rámci celé domény.

Vynucování funkce Windows LAPS na všech podnikových zařízeních s Windows zajišťuje jedinečná, pravidelně obměňovaná hesla místních správců. To naruší řetězec útoku ve fázích přístupu k přihlašovacím údajům a laterálním přesunu, což výrazně snižuje riziko rozsáhlého ohrožení zabezpečení.

Nápravná akce

Pomocí Intune vynucujte zásady Windows LAPS, které obměňují silná a jedinečná hesla místních správců a bezpečně je zálohují:

• Nasazení zásad Windows LAPS s Microsoft Intune

Další informace najdete tady:

• Referenční informace k nastavení zásad WINDOWS LAPS
• Informace o podpoře Intune pro Windows LAPS

Přihlašovací údaje místního správce v systému macOS jsou během registrace chráněny systémem MACOS LAPS

Bez vynucení zásad LAPS pro macOS během automatizované registrace zařízení (ADE) můžou aktéři hrozeb zneužít statická nebo opakovaně použitá hesla místního správce k eskalaci oprávnění, laterálně se přesunout a zajistit trvalost. Zařízení zřízená bez náhodných přihlašovacích údajů jsou ohrožená shromažďováním a opětovným použitím přihlašovacích údajů napříč několika koncovými body, což zvyšuje riziko ohrožení zabezpečení v rámci celé domény.

Vynucování systému macOS LAPS zajišťuje, že každé zařízení bude zřízené s jedinečným šifrovaným heslem místního správce, které spravuje Intune. To naruší řetězec útoku ve fázích přístupu k přihlašovacím údajům a laterálním přesunu, což výrazně snižuje riziko rozsáhlého ohrožení zabezpečení a je v souladu s nulová důvěra (nulová důvěra (Zero Trust)) principy nejnižších oprávnění a hygieny přihlašovacích údajů.

Nápravná akce

Pomocí Intune nakonfigurujte profily ADE macOS, které zřídí účet místního správce s náhodným a šifrovaným heslem a umožňují bezpečnou obměnu:

• Konfigurace sady LAPS pro macOS v Microsoft Intune
• Obměna hesla místního správce (macOS)

Další informace najdete tady:

• Průvodce nastavením ADE pro macOS

Použití místního účtu ve Windows je omezené, aby se omezil neoprávněný přístup.

Bez správně nakonfigurovaných a přiřazených zásad místních uživatelů a skupin v Intune můžou aktéři hrozeb zneužít nespravované nebo chybně nakonfigurované místní účty na zařízeních s Windows. To může vést k neoprávněné eskalaci oprávnění, trvalosti a laterálnímu přesunu v rámci prostředí. Pokud účty místních správců nejsou pod kontrolou, útočníci můžou vytvořit skryté účty nebo zvýšit oprávnění a obejít tak kontrolu dodržování předpisů a zabezpečení. Tato mezera zvyšuje riziko exfiltrace dat, nasazení ransomwaru a nedodržování předpisů.

Zajištění vynucení zásad místních uživatelů a skupin na spravovaných zařízeních s Windows pomocí profilů ochrany účtů je důležité pro udržování zabezpečeného a vyhovujícího parku zařízení.

Nápravná akce

Nakonfigurujte a nasaďte profil členství v místní skupině uživatelů z Intune zásad ochrany účtu, abyste omezili a spravovali používání místních účtů na zařízeních s Windows:

• Vytvoření zásad ochrany účtů pro zabezpečení koncových bodů v Intune
• Přiřazení zásad v Intune

Data ve Windows jsou chráněná šifrováním nástrojem BitLocker

Bez správně nakonfigurovaných a přiřazených zásad nástroje BitLocker v Intune můžou aktéři hrozeb zneužít nešifrovaná zařízení s Windows k získání neoprávněného přístupu k citlivým podnikovým datům. Zařízení, která nemají vynucené šifrování, jsou zranitelná fyzickými útoky, jako je odebrání disku nebo spouštění z externího média, což útočníkům umožňuje obejít ovládací prvky zabezpečení operačního systému. Tyto útoky můžou vést k exfiltraci dat, krádeži přihlašovacích údajů a dalšímu laterálnímu pohybu v rámci prostředí.

Vynucování nástroje BitLocker na spravovaných zařízeních s Windows je důležité pro dodržování předpisů o ochraně dat a pro snížení rizika porušení zabezpečení dat.

Nápravná akce

Pomocí Intune vynucujte šifrování nástrojem BitLocker a monitorujte dodržování předpisů na všech spravovaných zařízeních s Windows:

• Vytvoření zásady nástroje BitLocker pro zařízení s Windows v Intune
• Přiřazení zásad v Intune
• Monitorování šifrování zařízení pomocí Intune

Šifrování FileVault chrání data na zařízeních s macOS

Bez správně nakonfigurovaných a přiřazených zásad šifrování FileVault v Intune můžou aktéři hrozeb zneužít fyzický přístup k nespravovaným nebo chybně nakonfigurovaným zařízením s macOS k extrahování citlivých firemních dat. Nešifrovaná zařízení umožňují útočníkům obejít zabezpečení na úrovni operačního systému spuštěním z externího média nebo odebráním úložné jednotky. Tyto útoky můžou vystavit přihlašovací údaje, certifikáty a ověřovací tokeny uložené v mezipaměti a umožnit tak eskalaci oprávnění a laterální přesun. Nešifrovaná zařízení navíc podkopávají dodržování předpisů na ochranu dat a zvyšují riziko poškození pověsti a finančních sankcí v případě porušení předpisů.

Vynucování šifrování FileVault chrání neaktivní uložená data na zařízeních s macOS, a to i v případě ztráty nebo odcizení. Narušuje shromažďování přihlašovacích údajů a laterální pohyb, podporuje dodržování právních předpisů a je v souladu s nulová důvěra (nulová důvěra (Zero Trust)) principy důvěryhodnosti zařízení.

Nápravná akce

Pomocí Intune vynucujte šifrování FileVault a monitorujte dodržování předpisů na všech spravovaných zařízeních s macOS:

• Vytvoření zásady šifrování disku FileVault pro macOS v Intune
• Přiřazení zásad v Intune
• Monitorování šifrování zařízení pomocí Intune

Ověřování ve Windows používá Windows Hello pro firmy

Pokud zásady pro Windows Hello pro firmy (WHfB) nejsou nakonfigurované a přiřazené všem uživatelům a zařízením, můžou aktéři hrozeb zneužít slabé mechanismy ověřování – například hesla – k získání neoprávněného přístupu. To může vést ke krádeži přihlašovacích údajů, eskalaci oprávnění a laterálnímu pohybu v rámci prostředí. Bez silného ověřování založeného na zásadách, jako je WHfB, můžou útočníci ohrozit zařízení a účty a zvýšit tak riziko rozsáhlého dopadu.

Vynucení WHfB naruší tento řetězec útoků tím, že vyžaduje silné vícefaktorové ověřování, které pomáhá snížit riziko útoků založených na přihlašovacích údajích a neoprávněného přístupu.

Nápravná akce

Nasazením Windows Hello pro firmy v Intune vynucujte silné vícefaktorové ověřování:

• Nakonfigurujte zásady Windows Hello pro firmy pro celého tenanta, které platí v době, kdy se zařízení zaregistruje pomocí Intune.
• Po registraci nakonfigurujte profily ochrany účtů a přiřaďte různé konfigurace pro Windows Hello pro firmy různým skupinám uživatelů a zařízení.

Pravidla omezení potenciální oblasti útoku se používají na zařízení s Windows, aby se zabránilo zneužití ohrožených systémových komponent.

Pokud Intune profily pro pravidla omezení potenciální oblasti útoku (ASR) nejsou správně nakonfigurované a přiřazené k zařízením s Windows, můžou aktéři hrozeb zneužít nechráněné koncové body ke spouštění obfuskovaných skriptů a volání rozhraní API Win32 z maker Office. Tyto techniky se běžně používají při phishingových kampaních a doručování malwaru, což útočníkům umožňuje obejít tradiční antivirovou ochranu a získat počáteční přístup. Jakmile jsou útočníci uvnitř, eskalují oprávnění, zřídí trvalost a přesunují se laterálně po síti. Bez vynucení ASR zůstanou zařízení zranitelná vůči útokům založeným na skriptech a zneužití maker, což podkopává účinnost Microsoft Defender a vystavuje citlivá data exfiltraci. Tato mezera v ochraně koncových bodů zvyšuje pravděpodobnost úspěšného ohrožení zabezpečení a snižuje schopnost organizace omezit hrozby a reagovat na ně.

Vynucování pravidel ASR pomáhá blokovat běžné techniky útoku, jako je spouštění na základě skriptů a zneužití maker, a snižuje riziko počátečního ohrožení zabezpečení a podporuje nulová důvěra (nulová důvěra (Zero Trust)) posílením ochrany koncových bodů.

Nápravná akce

Pomocí Intune nasaďte profily pravidel omezení potenciální oblasti útoku pro zařízení s Windows, abyste blokovali vysoce rizikové chování a posílili ochranu koncových bodů:

• Konfigurace profilů Intune pro pravidla omezení potenciální oblasti útoku
• Přiřazení zásad v Intune

Další informace najdete tady:

• Referenční informace k pravidlu omezení potenciální oblasti útoku v dokumentaci k Microsoft Defender

zásady Antivirová ochrana v programu Defender chrání zařízení s Windows před malwarem

Pokud nejsou zásady pro Microsoft Defender Antivirus správně nakonfigurované a přiřazené v Intune, můžou aktéři hrozeb zneužít nechráněné koncové body ke spuštění malwaru, zakázání antivirové ochrany a zachování v rámci prostředí. Bez vynucených antivirových zásad fungují zařízení se zastaralými definicemi, zakázanou ochranou v reálném čase nebo chybně nakonfigurovanými plány kontrol. Tyto mezery umožňují útočníkům obejít detekci, eskalovat oprávnění a pohybovat se laterálně po síti. Absence vynucování antivirového softwaru podkopává dodržování předpisů zařízením, zvyšuje riziko ohrožení nultého dne a může vést k nedodržování právních předpisů. Útočníci využívají tyto slabiny k zachování trvalosti a vyhýbání se detekci, zejména v prostředích s chybějícím centralizovaným vynucováním zásad.

Vynucování zásad Antivirová ochrana v programu Defender zajišťuje konzistentní ochranu před malwarem, podporuje detekci hrozeb v reálném čase a je v souladu s nulová důvěra (nulová důvěra (Zero Trust)) udržováním zabezpečeného a vyhovujícího stavu koncového bodu.

Nápravná akce

Nakonfigurujte a přiřaďte zásady Intune pro Microsoft Defender Antivirus, abyste mohli vynutit ochranu v reálném čase, udržovat aktuální definice a omezit riziko malwaru:

• Konfigurace zásad Intune pro správu Microsoft Defender Antivirové ochrany
• Přiřazení zásad v Intune

zásady Antivirová ochrana v programu Defender chrání zařízení s macOS před malwarem

Pokud nejsou zásady Microsoft Defender Antivirové ochrany správně nakonfigurované a přiřazené zařízením s macOS v Intune, útočníci můžou zneužít nechráněné koncové body ke spuštění malwaru, zakázání antivirové ochrany a zachování v prostředí. Bez vynucených zásad zařízení používají zastaralé definice, chybí ochrana v reálném čase nebo mají chybně nakonfigurované plány kontrol, což zvyšuje riziko nezjištěných hrozeb a eskalace oprávnění. To umožňuje laterální pohyb v síti, získávání přihlašovacích údajů a exfiltraci dat. Absence vynucování antivirového softwaru podkopává dodržování předpisů zařízením, zvyšuje vystavení koncových bodů hrozbám nultého dne a může vést k nedodržování předpisů. Útočníci používají tyto mezery k zachování trvalosti a obcházení detekce, zejména v prostředích bez centralizovaného vynucování zásad.

Vynucování zásad Antivirová ochrana v programu Defender zajišťuje, že zařízení s macOS budou konzistentně chráněná před malwarem, podporují detekci hrozeb v reálném čase a jsou v souladu s nulová důvěra (nulová důvěra (Zero Trust)) udržováním zabezpečeného a vyhovujícího stavu koncového bodu.

Nápravná akce

Pomocí Intune nakonfigurujte a přiřaďte zásady Microsoft Defender Antivirové ochrany pro zařízení s macOS a vynucujte ochranu v reálném čase, udržujte aktuální definice a omezte riziko malwaru:

• Konfigurace zásad Intune pro správu Microsoft Defender Antivirové ochrany
• Přiřazení zásad v Intune

Zásady brány Windows Firewall chrání před neoprávněným přístupem k síti

Pokud nejsou nakonfigurované a přiřazené zásady pro bránu Windows Firewall, můžou aktéři hrozeb zneužít nechráněné koncové body k získání neoprávněného přístupu, laterálně se přesouvat a eskalovat oprávnění v rámci prostředí. Bez vynucených pravidel brány firewall můžou útočníci obejít segmentaci sítě, exfiltrovat data nebo nasadit malware, což zvyšuje riziko rozsáhlého ohrožení zabezpečení.

Vynucování zásad brány Windows Firewall zajišťuje konzistentní použití řízení příchozího a odchozího provozu, což snižuje riziko neoprávněného přístupu a podporuje nulová důvěra (nulová důvěra (Zero Trust)) prostřednictvím segmentace sítě a ochrany na úrovni zařízení.

Nápravná akce

Nakonfigurujte a přiřaďte zásady brány firewall pro Windows v Intune, které budou blokovat neoprávněný provoz a vynucovat konzistentní ochranu sítě na všech spravovaných zařízeních:

• Nakonfigurujte zásady brány firewall pro zařízení s Windows. Intune používá ke správě nastavení brány firewall dva doplňkové profily:
  • Brána Windows Firewall – tento profil slouží ke konfiguraci celkového chování brány firewall na základě typu sítě.
  • Pravidla brány Windows Firewall – Tento profil slouží k definování pravidel provozu pro aplikace, porty nebo IP adresy přizpůsobené konkrétním skupinám nebo úlohám. Tento Intune profil také podporuje použití opakovaně použitelných skupin nastavení, které pomáhají zjednodušit správu běžných nastavení, která používáte pro různé instance profilu.
• Přiřazení zásad v Intune

Další informace najdete tady:

• Dostupná nastavení brány Windows Firewall

Zásady brány firewall pro macOS chrání před neoprávněným přístupem k síti

Bez centrálně spravovaných zásad brány firewall můžou zařízení s macOS spoléhat na výchozí nebo uživatelem upravená nastavení, která často nesplňují standardy zabezpečení společnosti. Zařízení se tak zpřístupňují nevyžádaným příchozím připojením, což umožňuje aktérům hrozeb zneužít ohrožení zabezpečení, navazovat odchozí provoz C2 (Command and Control) pro exfiltraci dat a přesouvat se laterálně v rámci sítě , což výrazně eskaluje rozsah a dopad porušení zabezpečení.

Vynucování zásad brány firewall pro macOS zajišťuje konzistentní kontrolu nad příchozím a odchozím provozem, snižuje riziko neoprávněného přístupu a podporuje nulová důvěra (nulová důvěra (Zero Trust)) prostřednictvím ochrany na úrovni zařízení a segmentace sítě.

Nápravná akce

Nakonfigurujte a přiřaďte profily brány firewall pro macOS v Intune, abyste blokovali neoprávněný provoz a vynucovali konzistentní ochranu sítě na všech spravovaných zařízeních s macOS:

• Konfigurace integrované brány firewall na zařízeních s macOS
• Přiřazení zásad v Intune

Další informace najdete tady:

• Dostupná nastavení brány firewall pro macOS

služba služba Windows Update zásady se vynucují, aby se snížilo riziko neopravených ohrožení zabezpečení.

Pokud se zásady služba služba Windows Update nevynucují na všech podnikových zařízeních s Windows, můžou aktéři hrozeb zneužít neopravené chyby zabezpečení k získání neoprávněného přístupu, eskalaci oprávnění a laterálně se pohybovat v rámci prostředí. Řetěz útoků často začíná ohrožením zařízení prostřednictvím útoků phishing, malwaru nebo zneužití známých ohrožení zabezpečení a po něm následují pokusy o obejití kontrolních mechanismů zabezpečení. Bez vynucených zásad aktualizací útočníci využívají zastaralý software k zachování v prostředí, což zvyšuje riziko eskalace oprávnění a ohrožení zabezpečení v rámci celé domény.

Vynucení zásad služba služba Windows Update zajišťuje včasné opravy chyb zabezpečení, narušení trvalosti útočníků a snížení rizika rozsáhlého ohrožení zabezpečení.

Nápravná akce

Začněte se správou aktualizací softwaru pro Windows v Intune, abyste porozuměli dostupným typům zásad služba služba Windows Update a jejich konfiguraci.

Intune zahrnuje následující typ zásad aktualizace systému Windows:

• Zásady - aktualizací pro zvýšení kvality Windowsa nainstalujte pravidelné měsíční aktualizace pro Windows.
• Zásady - urychlení aktualizacík rychlé instalaci důležitých oprav zabezpečení.
• Zásady aktualizací funkcí
• Zásady - aktualizačních okruhůa umožňuje spravovat, jak a kdy zařízení instalují aktualizace funkcí a aktualizace pro zvýšení kvality.
• Aktualizace - ovladačů pro Windowsa aktualizujte hardwarové součásti.

Standardní hodnoty zabezpečení se použijí na zařízení s Windows, aby se posílil stav zabezpečení.

Bez správně nakonfigurovaných a přiřazených Intune standardních hodnot zabezpečení pro Windows zůstávají zařízení zranitelná širokou škálou vektorů útoku, které aktéři hrozeb využívají k získání trvalosti a eskalaci oprávnění. Nežádoucí osoby využívají výchozí konfigurace Windows, které nemají posílené nastavení zabezpečení, k provádění laterálního pohybu pomocí technik, jako je výpis přihlašovacích údajů, eskalace oprávnění prostřednictvím neopravených ohrožení zabezpečení a zneužití slabých ověřovacích mechanismů. Při absenci vynucovaných standardních hodnot zabezpečení můžou aktéři hrozeb obcházet důležité kontrolní mechanismy zabezpečení, udržovat trvalost prostřednictvím úprav registru a exfiltrovat citlivá data prostřednictvím nemonitorovaných kanálů. Když se nepodaří implementovat strategii hloubkové ochrany, bude možné zařízení snadněji zneužít, protože útočníci postupují v řetězu útoků – od počátečního přístupu až po exfiltraci dat – což nakonec ohrožuje stav zabezpečení organizace a zvyšuje riziko porušení dodržování předpisů.

Použití standardních hodnot zabezpečení zajišťuje, že zařízení s Windows mají nakonfigurovaná posílená nastavení, zmenšuje prostor pro útoky, vynucuje hloubkovou ochranu a podporuje nulová důvěra (nulová důvěra (Zero Trust)) tím, že standardizuje bezpečnostní prvky v celém prostředí.

Nápravná akce

Nakonfigurujte a přiřaďte Intune standardní hodnoty zabezpečení k zařízením s Windows, abyste mohli vynutit standardizovaná nastavení zabezpečení a monitorovat dodržování předpisů:

• Nasazení standardních hodnot zabezpečení pro lepší zabezpečení zařízení s Windows
• Monitorování dodržování standardních hodnot zabezpečení

Zásady aktualizací pro macOS se vynucují, aby se snížilo riziko neopravených ohrožení zabezpečení.

Pokud zásady aktualizace macOS nejsou správně nakonfigurované a přiřazené, můžou aktéři hrozeb zneužít neopravené chyby zabezpečení na zařízeních s macOS v organizaci. Bez vynucených zásad aktualizací zůstávají zařízení na zastaralých verzích softwaru, což zvyšuje prostor pro útoky na eskalaci oprávnění, vzdálené spuštění kódu nebo techniky trvalosti. Aktéři hrozeb můžou tyto slabiny využít k získání počátečního přístupu, zvýšení oprávnění a laterálně k přesunu v rámci prostředí. Pokud zásady existují, ale nejsou přiřazené ke skupinám zařízení, koncové body zůstanou nechráněné a mezery v dodržování předpisů zůstanou nezjištěné. To může vést k rozsáhlému ohrožení zabezpečení, exfiltraci dat a přerušení provozu.

Vynucování zásad aktualizací macOS zajišťuje, že zařízení dostanou včasné opravy, což snižuje riziko zneužití a podporuje nulová důvěra (nulová důvěra (Zero Trust)) udržováním zabezpečeného a vyhovujícího parku zařízení.

Nápravná akce

Nakonfigurujte a přiřaďte zásady aktualizací macOS v Intune, abyste vynutili včasné opravy a snížili riziko neopravených ohrožení zabezpečení:

• Správa aktualizací softwaru pro macOS v Intune

Zásady aktualizací pro iOS/iPadOS se vynucují, aby se snížilo riziko neopravených ohrožení zabezpečení.

Pokud nejsou nakonfigurované a přiřazené zásady aktualizací pro iOS, můžou aktéři hrozeb zneužít neopravené chyby zabezpečení v zastaralých operačních systémech na spravovaných zařízeních. Absence vynucených zásad aktualizací umožňuje útočníkům používat známé zneužití k získání počátečního přístupu, eskalaci oprávnění a laterálně k přesunu v rámci prostředí. Bez včasných aktualizací jsou zařízení nadále náchylná k zneužití, které už apple vyřešil, což umožňuje aktérům hrozeb obcházet kontrolní mechanismy zabezpečení, nasazovat malware nebo exfiltrovat citlivá data. Tento řetězec útoků začíná ohrožením zabezpečení zařízení prostřednictvím neopravené chyby zabezpečení následované trvalostí a potenciálním únikem dat, které má vliv na zabezpečení organizace i stav dodržování předpisů.

Vynucování zásad aktualizací naruší tento řetězec tím, že zajistí, aby zařízení byla konzistentně chráněná před známými hrozbami.

Nápravná akce

Nakonfigurujte a přiřaďte zásady aktualizace pro iOS/iPadOS v Intune, abyste vynutili včasné opravy a snížili riziko neopravených ohrožení zabezpečení:

• Správa aktualizací softwaru pro iOS/iPadOS v Intune
• Přiřazení zásad v Intune

Související obsah

• Průvodce nasazením pro Microsoft Intune
• Ochrana dat a zařízení pomocí Microsoft Intune
• Konfigurace Microsoft Entra pro zvýšení zabezpečení (Preview)
• Konfigurace Microsoft Intune pro vyšší zabezpečení (Preview)