Začínáme s posouzením nulové důvěryhodnosti

Posouzení nulové důvěryhodnosti kontroluje konfiguraci vašeho tenanta a doporučuje způsoby, jak zlepšit zabezpečení, jak je popsáno v našem přehledu.

Požadavky

• PowerShell 7. Pokud ho chcete nainstalovat, přečtěte si téma Instalace PowerShellu ve Windows, Linuxu a macOS.
• Pokud se chcete poprvé připojit a udělit souhlas s požadovanými oprávněními, musíte být globálním správcem.
  • Následná spuštění můžou používat roli Globální čtenář .
• Pokud jste nainstalovali předchozí verzi posouzení nulové důvěryhodnosti, odinstalujte ji před pokračováním.

Instalace modulů PowerShellu

Podle těchto kroků nainstalujte nebo aktualizujte posouzení a připojte se k Microsoft Graph a k tenantu.

1. Otevřete nové okno PowerShellu 7.

2. Spuštěním následujícího příkazu nainstalujte ZeroTrustAssessment modul:

   Install-Module ZeroTrustAssessment -Scope CurrentUser
   

Připojení k Microsoft Graphu a Microsoft Azure

Pokud chcete spustit modul Hodnocení nulové důvěryhodnosti, připojíte se k Microsoft Graphu a Microsoft Azure. Modul Hodnocení nulové důvěryhodnosti se nejprve připojí k Microsoft Graphu a pak k Microsoft Azure.

Spuštěním tohoto příkazu se připojte k Microsoft Graphu:

Connect-ZtAssessment

Když se připojíte pomocí Prostředí Microsoft Graph PowerShell, požádá o tato oprávnění:

• AuditLog.Read.All (Čtení všech záznamů auditu)
• CrossTenantInformation.ReadBasic.All
• DeviceManagementApps.Read.All
• DeviceManagementConfiguration.Read.All
• DeviceManagementManagedDevices.Read.All
• DeviceManagementRBAC.Read.All
• DeviceManagementServiceConfig.Read.All
• Directory.Read.All
• DirectoryRecommendations.Read.All (čtení všech doporučení adresáře)
• EntitlementManagement.Read.All
• IdentityRiskEvent.Read.All
• IdentityRiskyUser.Read.All
• Politika.Číst.Vše
• Policy.Read.ConditionalAccess
• Policy.Read.PermissionGrant
• PrivilegedAccess.Read.AzureAD
• Reports.Read.All
• RoleManagement.Read.All
• UserAuthenticationMethod.Read.All

Poznámka:

Výzva k vyjádření souhlasu se zobrazí jenom v případě, že aplikace Microsoft Graph PowerShell tato oprávnění ještě nemá. Při příštím připojení už nemusíte souhlasit s oprávněními.

Přihlášení k Microsoft Graphu

1. Přihlaste se k Microsoft Graphu jako globální správce.
2. Vyberte Přijmout.

Přihlášení k Microsoft Azure

Otevře se druhé okno pro přihlášení k Microsoft Azure. Po zobrazení výzvy se přihlaste k Microsoft Azure jako globální správce.

Aby bylo možné zkontrolovat export protokolů auditu a přihlašování, vyžaduje se přihlášení k Microsoft Azure. Pokud nemáte Microsoft Azure, zavřete okno bez přihlášení a upozornění ignorujte. Posouzení přeskočí test, který závisí na Microsoft Azure.

Pokud máte více předplatných, vyberte po zobrazení výzvy tenanta a předplatné.

Proveďte posouzení

Hodnocení Zero Trust je pouze pro čtení. Spouští a ukládá všechna data místně na ploše. Po dokončení posouzení je vhodné uložit sestavu posouzení bezpečně a odstranit vygenerovanou složku a její obsah z místního disku.

Po poskytnutí souhlasu globálního správce s oprávněními v prvním spuštění je možné následná spuštění provést jako globální čtenář.

Ke spuštění posouzení použijte tento příkaz:

Invoke-ZtAssessment

Posouzení uloží výsledky do aktuální pracovní složky .\ZeroTrustReport\ZeroTrustAssessmentReport.html. Po dokončení posouzení se sestava automaticky otevře ve výchozím prohlížeči.

Upozornění

Sestava a složka exportu obsahují citlivé informace o tenantovi, které mohou aktéři hrozeb zneužít ve svůj prospěch. Sestavu a složku můžete sdílet jenom s autorizovanými pracovníky ve vaší organizaci.

Pomocí parametru -Path zadejte vlastní umístění pro uložení zprávy o posouzení. Například následující příkaz uloží sestavu do složky C:/MyAssessment01/ZeroTrustAssessmentReport.html:

Invoke-ZtAssessment -Path C:\MyAssessment01

Návod

U velkých tenantů může vyhodnocení nulové důvěryhodnosti trvat déle než 24 hodin. Během běhu posouzení nezastavujte, a to ani v případě, že posouzení zaznamená upozornění nebo chyby.

Kontrola výsledků posouzení

Po spuštění posouzení sestava otevře ve výchozím prohlížeči kartu Přehled . Na kartě Přehled se zobrazí informace o nulové důvěryhodnosti tenanta.

Na kartách Identita a Zařízení se zobrazuje seznam výsledků testů spuštěných proti tenantovi. Výsledky zobrazují stavrizika a výsledku každého testu.

Pokud chcete zobrazit další podrobnosti o testu, vyberte výsledek. Podrobnosti popisují, co se otestovalo, a uvádějí doporučená nápravná opatření, která se vztahují na konfiguraci tenanta. Další podrobnosti o některých termínech použitých v každé kontrole najdete v našem glosáři.

Odebrání modulu hodnocení nulové důvěryhodnosti

Odebrání modulu hodnocení nulové důvěryhodnosti:

1. Odeberte modul PowerShell.
2. Odstraňte složku, kterou vytvořil modul Hodnocení nulové důvěryhodnosti.

FAQs

Odinstalace předchozích verzí

Spuštěním následujících příkazů se ujistěte, že se odinstalují všechny předchozí verze modulů.

Uninstall-Module ZeroTrustAssessment -Force -AllVersions

Restartujte PowerShell a nainstalujte nejnovější verzi.

Nelze načíst soubor nebo sestavení Microsoft.Graph.Authentication

K této chybě dochází v případě, že máte nainstalované konfliktní verze Prostředí Microsoft Graph PowerShell.

Pokud chcete tuto chybu opravit, doporučujeme odinstalovat všechny moduly Microsoft Graph PowerShellu nainstalované ve vašem systému. K vyčištění můžete použít pomocný modul jako uninstall-graph.merill.net.

Při odinstalaci Microsoft Graphu byste také měli odinstalovat všechny verze posouzení nulové důvěryhodnosti, restartujte PowerShell a pak nainstalujte nejnovější verzi.

Install-Module Uninstall-Graph
Uninstall-Module ZeroTrustAssessment -Force -AllVersions
Uninstall-Graph

Jak poznám, co skript dělá?

Kód pro toto posouzení je open source. Zkontrolujte ji na adrese https://github.com/microsoft/zerotrustassessment/tree/psnext/src/powershell.

Proč se mi zobrazila chyba výjimky " Inicializátor typu pro DuckDB.NET.Data.DuckDBConnectionStringBuilder vyvolal výjimku"?

V nové instalaci Systému Windows se může zobrazit následující chyba:

Inicializátor typu pro DuckDB.NET.Data.DuckDBConnectionStringBuilder vyvolal výjimku. Vnitřní výjimka: Nelze načíst knihovnu DLL duckdb nebo jednu z jejích závislostí: Zadaný modul nebyl nalezen. (0x8007007E) Vnitřní typ výjimky: DllNotFoundException

K této chybě dochází, protože používáte systém, který nezahrnuje Microsoft Visual C++ 2015-2022 Redistributable (x64) - Microsoft.VCRedist.2015+.x64. VCRedist se obvykle instaluje při instalaci produktů Společnosti Microsoft, jako je Microsoft Office nebo Microsoft Entra Connect Sync. Pokud používáte nové zařízení, možná budete muset tuto komponentu nainstalovat ručně. Podívejte se na nejnovější verzi Redistribuovatelného balíčku Microsoft Visual C++.

Podpora Windows na zařízeních ARM64 není v tuto chvíli dostupná.

Jak získám podporu?

Nahlašte problémy s podporou v repozitáři GitHub Zero Trust Assessment.

Související obsah

• Terminologie posouzení nulové důvěryhodnosti
• Konfigurace Microsoft Entra pro zvýšení zabezpečení
• Konfigurace Microsoft Intune pro zvýšení zabezpečení