Zabezpečení koncových bodů pomocí nulová důvěra (Zero Trust)

  • Článek

Pozadí

Moderní podnik má neuvěřitelný rozmanitost koncových bodů, které přistupují k datům. Ne všechny koncové body se spravují nebo dokonce vlastní organizace, což vede k různým konfiguracím zařízení a úrovním oprav softwaru. Tím se vytvoří prostor pro masivní útok a pokud zůstane nevyřešený, může se přístup k pracovním datům z nedůvěryhodných koncových bodů snadno stát nejslabším propojením ve vaší strategii zabezpečení nulová důvěra (Zero Trust).

nulová důvěra (Zero Trust) se řídí principem "Nikdy nedůvěřujte, vždy ověřte". Z hlediska koncových bodů to znamená vždy ověřit všechny koncové body. To zahrnuje nejen dodavatele, partnery a hostující zařízení, ale také aplikace a zařízení, které zaměstnanci používají pro přístup k pracovním datům bez ohledu na vlastnictví zařízení.

V nulová důvěra (Zero Trust) přístupu se stejné zásady zabezpečení použijí bez ohledu na to, jestli je zařízení vlastněné společností nebo osobně vlastněné prostřednictvím funkce Přineste si vlastní zařízení (BYOD), jestli je zařízení plně spravované IT, nebo jsou zabezpečené jenom aplikace a data. Zásady se vztahují na všechny koncové body, ať už pc, Mac, smartphone, tablet, wearable nebo zařízení IoT, ať už jsou připojené, ať už jde o zabezpečenou podnikovou síť, domácí širokopásmové připojení nebo veřejný internet.

Nejdůležitější je, že stav a důvěryhodnost aplikací, které běží na těchto koncových bodech, ovlivní stav zabezpečení. Potřebujete zabránit úniku podnikových dat do nedůvěryhodných nebo neznámých aplikací nebo služeb, ať už omylem nebo prostřednictvím škodlivého záměru.

V modelu nulová důvěra (Zero Trust) existuje několik klíčových pravidel pro zabezpečení zařízení a koncových bodů:

  • nulová důvěra (Zero Trust) zásady zabezpečení se centrálně vynucují prostřednictvím cloudu a pokrývají zabezpečení koncových bodů, konfiguraci zařízení, ochranu aplikací, dodržování předpisů zařízením a stav rizika.

  • Platforma i aplikace, které běží na zařízeních, jsou bezpečně zřízené, správně nakonfigurované a aktuální.

  • V případě ohrožení zabezpečení existuje automatizovaná odpověď, která bude obsahovat přístup k podnikovým datům v rámci aplikací.

  • Systém řízení přístupu zajišťuje, aby se všechny ovládací prvky zásad projevily před přístupem k datům.

Cíle nasazení nulová důvěra (Zero Trust) koncového bodu

Než většina organizací zahájí cestu nulová důvěra (Zero Trust), nastaví se zabezpečení koncových bodů následujícím způsobem:

  • Koncové body jsou připojené k doméně a spravované pomocí řešení, jako jsou objekty zásad skupiny nebo Configuration Manager. Jedná se o skvělé možnosti, ale nevyužívají moderní poskytovatele cloudových služeb pro Windows 10 ani nevyžadují samostatné zařízení brány pro správu cloudu pro službu cloudových zařízení.

  • Aby bylo možné přistupovat k datům, musí být koncové body v podnikové síti. To může znamenat, že zařízení musí být fyzicky v lokalitě pro přístup k podnikové síti nebo že vyžadují přístup k síti VPN, což zvyšuje riziko, že ohrožené zařízení může přistupovat k citlivým podnikovým prostředkům.

Při implementaci komplexní architektury nulová důvěra (Zero Trust) pro zabezpečení koncových bodů doporučujeme zaměřit se nejprve na tyto počáteční cíle nasazení:

Ikona seznamu s jedním zaškrtnutím

I.Endpoints jsou zaregistrované u zprostředkovatelů cloudových identit. Abyste mohli monitorovat zabezpečení a riziko napříč několika koncovými body používanými libovolnou osobou, potřebujete mít přehled o všech zařízeních a přístupových bodech, které můžou přistupovat k vašim prostředkům.

II.Přístup se uděluje jenom koncovým bodům a aplikacím spravovaným v cloudu a vyhovujícím předpisům. Nastavte pravidla dodržování předpisů, abyste zajistili, že zařízení před udělením přístupu splňují minimální požadavky na zabezpečení. Také nastavte pravidla nápravy pro zařízení nesplňující předpisy, aby lidé věděli, jak problém vyřešit.

III.Zásady ochrany před únikem informací se vynucují pro podniková zařízení a byOD. Určete, co může uživatel s daty dělat, až bude mít přístup. Můžete například omezit ukládání souborů na nedůvěryhodná umístění (například místní disk) nebo omezit sdílení kopírování a vkládání pomocí aplikace pro komunikaci spotřebitele nebo chatovací aplikace, aby chránila data.

Po dokončení se zaměřte na tyto další cíle nasazení:

Ikona seznamu se dvěma značkami zaškrtnutí

IV.Detekce hrozeb koncového bodu se používá k monitorování rizika zařízení. Pomocí jediného podokna skla můžete spravovat všechny koncové body konzistentně a pomocí SIEM směrovat protokoly koncových bodů a transakce tak, abyste získali méně upozornění, ale s možností akce.

Řízení přístupu V.Access je vyměněné na základě rizika koncového bodu pro podniková zařízení i zařízení BYOD. Integrujte data z programu Microsoft Defender for Endpoint nebo jiných dodavatelů ochrany před mobilními hrozbami (MTD) jako zdroj informací pro zásady dodržování předpisů zařízením a pravidla podmíněného přístupu zařízení. Riziko zařízení pak přímo ovlivní, k jakým prostředkům bude mít přístup uživatel daného zařízení.

Průvodce nasazením nulová důvěra (Zero Trust) koncového bodu

Tato příručka vás provede postupem potřebným k zabezpečení zařízení podle principů architektury zabezpečení nulová důvěra (Zero Trust).




Ikona kontrolního seznamu s jednou značkou zaškrtnutí

Počáteční cíle nasazení

I. Koncové body jsou zaregistrované u zprostředkovatelů cloudových identit.

Abyste mohli omezit riziko ohrožení, musíte monitorovat každý koncový bod, abyste měli jistotu, že má každá z nich důvěryhodnou identitu, použijí se zásady zabezpečení a úroveň rizika pro věci, jako je malware nebo exfiltrace dat, byla měřena, opravena nebo považována za přijatelnou.

Po registraci zařízení můžou uživatelé přistupovat k prostředkům organizace s omezeným přístupem pomocí podnikového uživatelského jména a hesla pro přihlášení (nebo Windows Hello pro firmy).

Diagram kroků v rámci fáze 1 počátečních cílů nasazení

Registrace podnikových zařízení pomocí Microsoft Entra ID

Postupujte následovně:

Nová zařízení s Windows 10

  1. Spusťte nové zařízení a začněte s procesem OOBE (integrovaného prostředí).

  2. Na obrazovce Přihlásit se pomocí Microsoftu zadejte svou pracovní nebo školní e-mailovou adresu.

  3. Na obrazovce Zadejte heslo zadejte své heslo.

  4. Na mobilním zařízení schvalte své zařízení, aby mělo přístup k vašemu účtu.

  5. Dokončete proces OOBE, včetně nastavení ochrany osobních údajů a nastavení Windows Hello (v případě potřeby).

  6. Vaše zařízení je teď připojené k síti vaší organizace.

Stávající zařízení s Windows 10

  1. Otevřete Nastavení a pak vyberte Účty.

  2. Vyberte Přístup do práce nebo do školy a pak vyberte Připojení.

    Přístup do práce nebo do školy v Nastavení

  3. Na obrazovce Nastavit pracovní nebo školní účet vyberte Připojit toto zařízení k Microsoft Entra ID.

    Nastavení pracovního nebo školního účtu v Nastavení

  4. Na obrazovce Pojďme se přihlásit, zadejte svoji e-mailovou adresu (napříkladalain@contoso.com) a pak vyberte Další.

  5. Na obrazovce Zadejte heslo zadejte heslo a pak vyberte Přihlásit se.

  6. Na mobilním zařízení schvalte své zařízení, aby mělo přístup k vašemu účtu.

  7. Na obrazovce Zkontrolujte, jestli je to vaše organizace, zkontrolujte informace, abyste měli jistotu, že je to správně, a pak vyberte Připojit se.

  8. Na obrazovce Všechno jste nastavili , klikněte na Hotovo.

Registrace osobních zařízení s Windows pomocí Microsoft Entra ID

Postupujte následovně:

  1. Otevřete Nastavení a pak vyberte Účty.

  2. Vyberte Access do práce nebo do školy a potom na pracovní nebo školní obrazovce Accessu vyberte Připojení.

    Přístup do práce nebo do školy v Nastavení

  3. Na obrazovce Přidat pracovní nebo školní účet zadejte e-mailovou adresu svého pracovního nebo školního účtu a pak vyberte Další. Například alain@contoso.com.

  4. Přihlaste se ke svému pracovnímu nebo školnímu účtu a pak vyberte Přihlásit se.

  5. Dokončete zbytek procesu registrace, včetně schválení žádosti o ověření identity (pokud používáte dvoustupňové ověření) a nastavení Windows Hello (v případě potřeby).

Povolení a konfigurace Windows Hello pro firmy

Pokud chcete uživatelům povolit alternativní způsob přihlašování, který nahrazuje heslo, jako je PIN kód, biometrické ověřování nebo čtečka otisků prstů, povolte Windows Hello pro firmy na zařízeních s Windows 10 uživatelů.

V Centru pro správu Microsoft Endpoint Manageru jsou dokončeny následující akce Microsoft Intune a Microsoft Entra:

Začněte vytvořením zásad registrace Windows Hello pro firmy v Microsoft Intune.

  1. Přejděte do části Registrace zařízení>– Registrace > zařízení > s Windows > Windows Hello pro firmy.

    Windows Hello pro firmy v Microsoft Intune.

  2. Vyberte z následujících možností konfigurace Windows Hello pro firmy:

    1. Deaktivováno. Pokud nechcete používat Windows Hello pro firmy, vyberte toto nastavení. Pokud je tato možnost zakázaná, uživatelé nemůžou zřizovat Windows Hello pro firmy s výjimkou mobilních telefonů připojených k Microsoft Entra, kde se může vyžadovat zřizování.

    2. Povolený Toto nastavení vyberte, pokud chcete nakonfigurovat nastavení Windows Hello pro firmy. Když vyberete Povoleno, zobrazí se další nastavení windows Hello.

    3. Nenakonfigurováno. Toto nastavení vyberte, pokud nechcete používat Intune k řízení Windows Hello pro firmy nastavení. Všechna existující nastavení Windows Hello pro firmy na zařízeních s Windows 10 se nezmění. Všechna ostatní nastavení v podokně nejsou k dispozici.

Pokud jste vybrali Možnost Povoleno, nakonfigurujte požadovaná nastavení , která se použijí pro všechna zaregistrovaná zařízení s Windows 10 a mobilní zařízení s Windows 10.

  1. Použijte čip TPM (Trusted Platform Module). Čip TPM poskytuje další vrstvu zabezpečení dat. Zvolte jednu z následujících hodnot:

    1. Povinný: Windows Hello pro firmy můžou zřídit jenom zařízení s přístupným čipem TPM.

    2. Upřednostňovaný. Zařízení se nejprve pokusí použít čip TPM. Pokud tato možnost není dostupná, můžou použít šifrování softwaru.

  2. Nastavte minimální délku PIN kódu a maximální délku PIN kódu. Tím nakonfigurujete zařízení tak, aby používala minimální a maximální délku PIN kódu, kterou zadáte, aby se zajistilo zabezpečené přihlašování. Výchozí délka PIN kódu je šest znaků, ale můžete vynutit minimální délku čtyř znaků. Maximální délka PIN kódu je 127 znaků.

  3. Nastavte vypršení platnosti PIN kódu (dny). Je vhodné zadat období vypršení platnosti pin kódu, po kterém ho uživatelé musí změnit. Výchozí hodnota je 41 dní.

  4. Zapamatujte si historii KÓDU PIN. Omezuje opakované použití dříve použitých PIN kódů. Ve výchozím nastavení se posledních 5 PIN kódů nedá znovu použít.

  5. Pokud je k dispozici, použijte rozšířené falšování identity. Tato konfigurace se konfiguruje, když se na zařízeních, která ho podporují, používají funkce ochrany proti falšování identity windows Hello. Například rozpoznání fotografie tváře místo skutečné tváře.

  6. Povolit přihlášení přes telefon. Pokud je tato možnost nastavená na Ano, můžou uživatelé použít vzdálený pas, který slouží jako přenosné doprovodné zařízení pro ověřování stolního počítače. Stolní počítač musí být připojený k Microsoft Entra a doprovodné zařízení musí být nakonfigurované s Windows Hello pro firmy PIN kódem.

Po nakonfigurování těchto nastavení vyberte Uložit.

Po nakonfigurování nastavení, která platí pro všechna zaregistrovaná zařízení s Windows 10 a mobilní zařízení s Windows 10, nastavte profily Windows Hello pro firmy Identity Protection tak, aby přizpůsobily nastavení zabezpečení Windows Hello pro firmy pro konkrétní zařízení koncových uživatelů.

  1. Vyberte Profily konfigurace zařízení > Vytvořit profil >> Windows 10 a novější > identity Protection.

    Snímek obrazovky s možností Vytvořit profil s platformou nastavenou na Windows 10 a profilem nastaveným na Ochranu identit

  2. Nakonfigurujte Windows Hello pro firmy. Zvolte způsob konfigurace Windows Hello pro firmy.

    Snímek obrazovky s nastavením konfigurace v části Ochrana identit v konfiguračních profilech

    1. Minimální délka PIN kódu.

    2. Malá písmena v PIN kódu

    3. Velká písmena v PIN kódu.

    4. Speciální znaky v PIN kódu

    5. Vypršení platnosti PIN kódu (dny)

    6. Zapamatujte si historii KÓDU PIN.

    7. Povolte obnovení KÓDU PIN. Umožňuje uživateli používat službu obnovení kódu PIN Windows Hello pro firmy.

    8. Použijte čip TPM (Trusted Platform Module). Čip TPM poskytuje další vrstvu zabezpečení dat.

    9. Povolit biometrické ověřování. Umožňuje biometrické ověřování, jako je rozpoznávání obličeje nebo otisk prstu, jako alternativu k PIN kódu pro Windows Hello pro firmy. V případě selhání biometrického ověřování musí uživatelé stále konfigurovat PIN kód.

    10. Pokud je k dispozici, použijte rozšířené falšování identity. Konfiguruje, když se na zařízeních, která ho podporují, používají antipoofingové funkce Windows Hello (například detekce fotografie tváře místo skutečné tváře).

    11. Pro přihlášení používejte klíče zabezpečení. Toto nastavení je dostupné pro zařízení s Windows 10 verze 1903 nebo novější. Slouží ke správě podpory používání bezpečnostních klíčů Windows Hello pro přihlášení.

Nakonec můžete vytvořit další zásady omezení zařízení pro další uzamčení zařízení vlastněných společností.

Tip

Přečtěte si o implementaci ucelené strategie nulové identity.

II. Přístup se uděluje jenom koncovým bodům a aplikacím spravovaným v cloudu a vyhovujícím předpisům.

Jakmile budete mít identity pro všechny koncové body, které přistupují k podnikovým prostředkům, a před udělením přístupu chcete zajistit, aby splňovaly minimální požadavky na zabezpečení nastavené vaší organizací.

Po vytvoření zásad dodržování předpisů pro bránu přístupu k podnikovým prostředkům k důvěryhodným koncovým bodům a mobilním a desktopovým aplikacím mají všichni uživatelé přístup k datům organizace na mobilních zařízeních a na všech zařízeních se nainstaluje minimálně nebo maximální verze operačního systému. Zařízení nejsou ve jailbreaku ani rootu.

Nastavte také pravidla nápravy pro zařízení nedodržující předpisy, jako je například blokování zařízení nedodržující předpisy nebo nabízení uživatele na období odkladu, aby bylo možné zajistit dodržování předpisů.

Diagram kroků v rámci fáze 2 počátečních cílů nasazení

Vytvoření zásad dodržování předpisů v Microsoft Intune (všechny platformy)

Při vytváření zásad dodržování předpisů postupujte takto:

  1. Vyberte Zásady >> dodržování předpisů pro zařízení>– Vytvořit zásadu.

  2. Vyberte platformu pro tuto zásadu (například Windows 10).

  3. Vyberte požadovanou konfiguraci stavu zařízení.

    Snímek obrazovky se stavem zařízení v nastavení zásad dodržování předpisů ve Windows 10

  4. Nakonfigurujte minimální nebo maximální vlastnosti zařízení.

    Snímek obrazovky s vlastnostmi zařízení v nastavení zásad dodržování předpisů ve Windows 10

  5. Konfigurace dodržování předpisů configuration manageru To vyžaduje, aby všechna vyhodnocení dodržování předpisů v Nástroji Configuration Manager dodržovala předpisy a je použitelná jenom pro zařízení s Windows 10, která jsou v souladu s předpisy. Všechna zařízení, která jsou jenom v Intune, vrátí není k dispozici.

  6. Nakonfigurujte Nastavení zabezpečení systému.

    Snímek obrazovky se zabezpečením systému v nastavení zásad dodržování předpisů ve Windows 10

  7. Nakonfigurujte Antimalware v programu Microsoft Defender.

    Snímek obrazovky s programem Microsoft Defender for Cloud v nastavení zásad dodržování předpisů ve Windows 10

  8. Nakonfigurujte požadované skóre rizika počítače v programu Microsoft Defender for Endpoint.

    Snímek obrazovky s programem Defender for Endpoint v nastavení zásad dodržování předpisů ve Windows 10

  9. Na kartě Akce při nedodržení předpisů určete posloupnost akcí, které se mají automaticky použít na zařízení, která nesplňují tuto zásadu dodržování předpisů.

    Snímek obrazovky akcí pro nedodržení předpisů v nastavení zásad dodržování předpisů

Automatizace e-mailu s oznámením a přidání dalších akcí nápravy pro zařízení nedodržující předpisy v Intune (všechny platformy)

Když se jejich koncové body nebo aplikace stanou nekompatibilními, uživatelé se řídí samoobslužnou nápravou. Výstrahy se automaticky generují s dalšími alarmy a automatizovanými akcemi nastavenými pro určité prahové hodnoty. Můžete nastavit nápravné akce, které nedodržují předpisy .

Postupujte následovně:

  1. Vyberte Oznámení o zásadách >> dodržování předpisů pro zařízení>– Vytvořit oznámení.

  2. Vytvořte šablonu zprávy s oznámením.

    Snímek obrazovky s oznámením Vytvořit v nastavení zásad dodržování předpisů

  3. Vyberte Zásady >dodržování předpisů zařízením>, vyberte jednu z vašich zásad a pak vyberte Vlastnosti.

  4. Vyberte Akce pro nedodržování předpisů > Přidat.

  5. Přidání akcí při nedodržení předpisů:

    Snímek obrazovky akcí pro nedodržení předpisů v nastavení zásad dodržování předpisů

    1. Nastavte automatizovaný e-mail pro uživatele s nevyhovujícími zařízeními.

    2. Nastavte akci pro vzdálené uzamčení zařízení nedodržující předpisy.

    3. Nastavte akci tak, aby po nastaveném počtu dnů automaticky vyřadila zařízení nedodržující předpisy.

III. Zásady ochrany před únikem informací se vynucují pro podniková zařízení a byOD.

Po udělení přístupu k datům chcete řídit, co může uživatel s daty dělat. Pokud například uživatel přistupuje k dokumentu s podnikovou identitou, chcete zabránit tomu, aby byl dokument uložen v nechráněném umístění úložiště příjemce nebo aby ho sdílel s komunikační nebo chatovací aplikací.

Diagram kroků v rámci fáze 3 počátečních cílů nasazení

Nejprve použijte nastavení zabezpečení doporučené Microsoftem na zařízeních s Windows 10 pro ochranu podnikových dat (vyžaduje Windows 10 1809 a novější):

Standardní hodnoty zabezpečení Intune vám pomůžou zabezpečit a chránit uživatele a zařízení. Standardní hodnoty zabezpečení jsou předkonfigurované skupiny nastavení Systému Windows, které vám pomůžou použít známou skupinu nastavení a výchozí hodnoty, které doporučují příslušné bezpečnostní týmy.

Postupujte následovně:

  1. Výběrem standardních hodnot zabezpečení > koncového bodu zobrazíte seznam dostupných směrných plánů.

  2. Vyberte směrný plán, který chcete použít, a pak vyberte Vytvořit profil.

  3. Na kartě Nastavení konfigurace zobrazte skupiny Nastavení, které jsou k dispozici ve vybraném směrném plánu. Skupinu můžete rozbalit a zobrazit nastavení v této skupině a výchozí hodnoty pro tato nastavení v účaří. Vyhledání konkrétních nastavení:

    1. Výběrem skupiny rozbalte a zkontrolujte dostupná nastavení.

    2. Použijte panel hledání a zadejte klíčová slova, která filtrují zobrazení, aby se zobrazily pouze skupiny, které obsahují kritéria hledání.

    3. Překonfigurujte výchozí nastavení tak, aby vyhovovala potřebám vaší firmy.

      Snímek obrazovky s nastavením správy aplikací v části Vytvořit profil

  4. Na kartě Zadání vyberte skupiny, které chcete zahrnout, a pak přiřaďte směrný plán k jedné nebo více skupinám. Pokud chcete přiřazení vyladit, použijte k vyloučení skupiny Vybrat.

Ujistěte se, že se aktualizace nasazují automaticky do koncových bodů.

Konfigurace zařízení s Windows 10

Nakonfigurujte služba Windows Update pro firmy, aby zjednodušily správu aktualizací pro uživatele a zajistily, že se zařízení automaticky aktualizují tak, aby splňovala požadovanou úroveň dodržování předpisů.

Postupujte následovně:

  1. Spravujte aktualizace softwaru Windows 10 v Intune vytvořením aktualizačních kanálů a povolením kolekce nastavení, která se konfigurují při instalaci aktualizací Windows 10.

    1. Vyberte zařízení > s Windows > 10 Update Ring > Create.

    2. V části Nastavení aktualizačního okruhu nakonfigurujte nastavení pro vaše obchodní potřeby.

      Snímek obrazovky s nastavením aktualizace a uživatelským prostředím

    3. V části Přiřazení zvolte + Vybrat skupiny, které chcete zahrnout, a pak přiřaďte aktualizační okruh k jedné nebo více skupinám. Pokud chcete přiřazení doladit, vyloučíte ho pomocí klávesy + Vybrat skupiny.

  2. Spravujte aktualizace funkcí Windows 10 v Intune, abyste zařízení přenesli do vámi zadané verze Windows (tj. 1803 nebo 1809) a ukotvit sadu funkcí na těchto zařízeních, dokud se nerozhodnete je aktualizovat na novější verzi Windows.

    1. Vyberte Zařízení s > Windows > 10 – Aktualizace > funkcí Vytvořit.

    2. V části Základy zadejte název, popis (volitelné) a pro nasazení aktualizace funkcí vyberte verzi Systému Windows s požadovanou sadou funkcí a pak vyberte Další.

    3. V části Přiřazení zvolte a vyberte skupiny, které chcete zahrnout, a pak přiřaďte nasazení aktualizace funkcí k jedné nebo více skupinám.

Konfigurace zařízení s iOSem

U zařízení zaregistrovaných společností nakonfigurujte aktualizace iOSu tak, aby zjednodušily správu aktualizací pro uživatele a aby se zařízení automaticky aktualizovala tak, aby splňovala požadovanou úroveň dodržování předpisů. Nakonfigurujte zásady aktualizace pro iOS.

Postupujte následovně:

  1. Vyberte zásady aktualizace zařízení > pro vytvoření profilu pro iOS/iPadOS > .

  2. Na kartě Základy zadejte název této zásady, zadejte popis (volitelné) a pak vyberte Další.

  3. Na kartě Aktualizovat nastavení zásad nakonfigurujte následující:

    1. Vyberte verzi, která se má nainstalovat. Lze vybrat následující možnosti:

      1. Nejnovější aktualizace: Tím se nasadí nejnovější vydaná aktualizace pro iOS/iPadOS.

      2. Všechny předchozí verze, které jsou k dispozici v rozevíracím seznamu Pokud vyberete předchozí verzi, musíte také nasadit zásadu konfigurace zařízení, která zpozdí viditelnost aktualizací softwaru.

    2. Typ plánu: Nakonfigurujte plán pro tuto zásadu:

      1. Aktualizujte při příštím vrácení se změnami. Aktualizace se nainstaluje na zařízení při příštím přihlášení v Intune. Toto je nejjednodušší možnost a nemá žádné další konfigurace.

      2. Aktualizace během naplánovaného času Nakonfigurujete jedno nebo více časových intervalů, během kterých se aktualizace nainstaluje při vrácení se změnami.

      3. Aktualizace mimo naplánovaný čas Nakonfigurujete jedno nebo více časových intervalů, během kterých se aktualizace nebudou instalovat po vrácení se změnami.

    3. Týdenní plán: Pokud zvolíte jiný typ plánu než aktualizace při příštím vrácení se změnami, nakonfigurujte následující možnosti:

      Snímek obrazovky s nastavením zásad aktualizace v části Vytvořit profil

  4. Zvolte časové pásmo.

  5. Definujte časové okno. Definujte jeden nebo více časových bloků, které omezují při instalaci aktualizací. Mezi možnosti patří počáteční den, počáteční čas, koncový den a koncový čas. Pomocí počátečního a koncového dne se podporují bloky přes noc. Pokud nenakonfigurujete časy spuštění nebo ukončení, konfigurace bude mít za následek žádné omezení a aktualizace se můžou kdykoli nainstalovat.

Ujistěte se, že jsou zařízení šifrovaná.

Konfigurace bitlockeru pro šifrování zařízení s Windows 10

  1. Vyberte Profily konfigurace zařízení > – Vytvořit> profil.

  2. Nastavte následující možnosti:

    1. Platforma: Windows 10 a novější

    2. Typ profilu: Ochrana koncových bodů

      Snímek obrazovky s vytvořením profilu v profilech konfigurace zařízení pro Windows 10

  3. Vyberte Nastavení > šifrování systému Windows.

    Snímek obrazovky se službou Endpoint Protection v části Vytvořit profil

  4. Nakonfigurujte nastavení nástroje BitLocker tak, aby splňovalo vaše obchodní potřeby, a pak vyberte OK.

Konfigurace šifrování FileVault na zařízeních s macOS

  1. Vyberte Profily konfigurace zařízení > – Vytvořit> profil.

  2. Nastavte následující možnosti:

    1. Platforma: macOS.

    2. Typ profilu: Ochrana koncového bodu

      Snímek obrazovky s možností Vytvořit profil v profilech konfigurace zařízení pro mac OS

  3. Vyberte Nastavení > FileVault.

    Snímek obrazovky trezoru souborů v části Endpoint Protection v části Vytvořit profil

  4. Jako FileVault vyberte Povolit.

  5. Pro typ obnovovacího klíče se podporuje jenom osobní klíč.

  6. Nakonfigurujte zbývající nastavení služby FileVault tak, aby vyhovovala vašim obchodním potřebám, a pak vyberte OK.

Vytvoření zásad ochrany aplikací pro ochranu podnikových dat na úrovni aplikace

Abyste měli jistotu, že vaše data zůstanou v bezpečí nebo jsou obsažená ve spravované aplikaci, vytvořte zásady ochrany aplikací (APP). Zásadou může být pravidlo, které je vynuceno, když se uživatel pokusí o přístup nebo přesunutí „podnikových“ dat, nebo sada akcí, které jsou zakázány nebo sledovány, když je uživatel uvnitř aplikace.

Architektura ochrany dat APP je uspořádaná do tří různých úrovní konfigurace, přičemž každá úroveň vychází z předchozí úrovně:

  • Základní ochrana podnikových dat (úroveň 1) zajišťuje, že aplikace jsou chráněné kódem PIN a šifrovaným a provádějí selektivní operace vymazání. Na zařízeních s Androidem tato úroveň ověřuje atestaci zařízení Android. Jedná se o konfiguraci na úrovni položek, která poskytuje podobné řízení ochrany dat v zásadách poštovních schránek Exchange Online a zavádí IT a populaci uživatelů do APP.

  • Podniková rozšířená ochrana dat (úroveň 2) zavádí mechanismy ochrany před únikem dat APP a minimální požadavky na operační systém. Tato konfigurace se hodí pro většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům.

  • Podniková vysoká ochrana dat (úroveň 3) zavádí pokročilé mechanismy ochrany dat, vylepšenou konfiguraci PIN kódu a ochranu před mobilními hrozbami APP. Tato konfigurace je žádoucí pro uživatele, kteří přistupují k vysoce rizikovým datům.

Postupujte následovně:

  1. Na portálu Intune zvolte Zásady pro aplikace> Ochrana aplikací. Tento výběr otevře podrobnosti o Ochrana aplikací zásadách, kde vytvoříte nové zásady a upravíte existující zásady.

  2. Vyberte Vytvořit zásadu a vyberte iOS/iPadOS nebo Android. Zobrazí se podokno Vytvořit zásadu .

  3. Zvolte aplikace, na které chcete použít zásady ochrany aplikací.

  4. Konfigurace Nastavení ochrany dat:

    1. Ochrana dat pro iOS/iPadOS Informace najdete v tématu nastavení zásad ochrany aplikací pro iOS/iPadOS – Ochrana dat.

    2. Ochrana dat androidu Informace najdete v tématu Nastavení zásad ochrany aplikací pro Android – Ochrana dat.

  5. Konfigurace požadavku na přístup Nastavení:

    1. Požadavky na přístup pro iOS/iPadOS Informace najdete v tématu Nastavení zásad ochrany aplikací pro iOS/iPadOS – Požadavky na přístup.

    2. Požadavky na přístup k Androidu Informace najdete v tématu Nastavení zásad ochrany aplikací pro Android – Požadavky na přístup.

  6. Konfigurace Nastavení podmíněného spuštění:

    1. Podmíněné spuštění iOS/iPadOS Informace najdete v tématu Nastavení zásad ochrany aplikací pro iOS/iPadOS – Podmíněné spuštění.

    2. Podmíněné spuštění Androidu Informace najdete v tématu Nastavení zásad ochrany aplikací pro Android – Podmíněné spuštění.

  7. Kliknutím na Tlačítko Další zobrazíte stránku Přiřazení .

  8. Až budete hotovi, klikněte na Vytvořit a vytvořte zásady ochrany aplikací v Intune.

Tip

Přečtěte si o implementaci komplexní strategie nulová důvěra (Zero Trust) pro data.




Ikona kontrolního seznamu se dvěma značkami zaškrtnutí

Další cíle nasazení

IV. Detekce hrozeb koncového bodu se používá k monitorování rizika zařízení.

Jakmile dosáhnete prvních tří cílů, dalším krokem je konfigurace zabezpečení koncových bodů tak, aby se zřídila, aktivovala a monitorovala rozšířená ochrana. Jedno podokno skla slouží ke konzistentní správě všech koncových bodů společně.

Směrování protokolů koncových bodů a transakcí do SIEM nebo Power BI

Pomocí datového skladu Intune odesílejte data správy zařízení a aplikací do nástrojů pro generování sestav nebo nástroje SIEM pro inteligentní filtrování výstrah, které snižují šum.

Postupujte následovně:

  1. Vyberte Sestavy > datového skladu Datového skladu >Intune.

  2. Zkopírujte adresu URL vlastního informačního kanálu. Příklad: https://fef.tenant.manage.microsoft.com/ReportingService/DataWarehouseFEService?api-version=v1.0

  3. Otevřete Power BI Desktop nebo řešení SIEM.

Z řešení SIEM

Zvolte možnost importu nebo získání dat z datového kanálu Odata.

Z PowerBI

  1. V nabídce vyberte Datový kanál OData načíst > soubor>.

  2. Vložte adresu URL vlastního kanálu, kterou jste zkopírovali z předchozího kroku, do pole ADRESY URL v okně datového kanálu OData.

  3. Vyberte Basic.

  4. Vyberte OK.

  5. Vyberte účet organizace a přihlaste se pomocí přihlašovacích údajů Intune.

    Snímek obrazovky s nastavením datového kanálu OData v účtu organizace

  6. Vyberte Připojit. Navigátor se otevře a zobrazí seznam tabulek v datovém skladu Intune.

  7. Vyberte zařízení a tabulky ownerTypes. Vyberte Načíst. Power BI načte data do modelu.

  8. Vytvoření relace. Můžete importovat více tabulek a analyzovat nejen data v jedné tabulce, ale související data napříč tabulkami. Power BI má funkci označovanou jako automatické rozpoznávání, která se snaží najít a vytvořit relace za vás. Tabulky v datovém skladu jsou vytvořené tak, aby fungovaly s funkcí automatického rozpoznávání v Power BI. I když Ale Power BI relace automaticky nenajde, můžete tyto relace i nadále spravovat.

  9. Vyberte Správa relací.

  10. Vyberte možnost Automatické rozpoznávání , pokud Power BI relace ještě nerozpoznal.

  11. Naučte se pokročilé způsoby nastavení vizualizací Power BI.

V. Řízení přístupu se hradí v riziku koncového bodu pro podniková zařízení i zařízení BYOD.

Podniková zařízení jsou zaregistrovaná ve službě cloudové registrace, jako je DEP, Android Enterprise nebo Windows AutoPilot.

Vytváření a údržba přizpůsobených imagí operačního systému je časově náročný proces a může zahrnovat čas strávený používáním vlastních imagí operačního systému na nová zařízení, která je připraví na použití.

  • Díky službám cloudové registrace v Microsoft Intune můžete uživatelům poskytnout nová zařízení bez nutnosti vytvářet, udržovat a používat vlastní image operačního systému na zařízení.

  • Windows Autopilot je kolekce technologií používaných k nastavení a předkonfigurování nových zařízení a jejich příprava na produktivní použití. Windows Autopilot můžete použít také k obnovení továrního nastavení, změně účelu a obnovení zařízení.

  • Nakonfigurujte Windows Autopilot pro automatizaci připojení k Microsoft Entra a registraci nových zařízení vlastněných společností do Intune.

  • Nakonfigurujte Apple DEP tak, aby automaticky zaregistroval zařízení s iOSem a iPadOS.

Produkty popsané v této příručce

Microsoft Azure

Microsoft Entra ID

Microsoft 365

Microsoft Endpoint Manager (zahrnuje Microsoft Intune a Configuration Manager)

Microsoft Defender for Endpoint

Bitlocker

nulová důvěra (Zero Trust) a sítě OT

Microsoft Defender for IoT je jednotné řešení zabezpečení vytvořené speciálně pro identifikaci zařízení, ohrožení zabezpečení a hrozeb napříč sítěmi IoT a operační technologie (OT). Pomocí defenderu pro IoT můžete použít zabezpečení v celém prostředí IoT/OT, včetně existujících zařízení, která nemusí mít integrované agenty zabezpečení.

Sítě OT se často liší od tradiční infrastruktury IT a potřebují specializovaný přístup k nulové důvěryhodnosti. Systémy OT používají jedinečnou technologii s proprietárními protokoly a mohou mít stárnoucí platformy s omezeným připojením a napájením, nebo specifické bezpečnostní požadavky a jedinečné expozice fyzickým útokům.

Defender pro IoT podporuje principy nulové důvěryhodnosti tím, že řeší problémy specifické pro OT, například:

  • Pomoc při řízení vzdálených připojení k systémům OT
  • Kontrola a pomoc při snižování propojení mezi závislými systémy
  • Vyhledání kritických bodů selhání ve vaší síti

Nasaďte senzory sítě Defender for IoT, abyste mohli zjišťovat zařízení a provoz a sledovat ohrožení zabezpečení specifická pro OT. Segmentujte senzory do lokalit a zón ve vaší síti, abyste mohli monitorovat provoz mezi zónami, a postupujte podle kroků pro zmírnění rizik založených na programu Defender for IoT, abyste snížili riziko napříč prostředím OT. Defender pro IoT pak nepřetržitě monitoruje vaše zařízení za neobvyklé nebo neoprávněné chování.

Diagram defenderu pro IoT nasazeného v síti OT

Integrace s služby Microsoft, jako je Microsoft Sentinel a další partnerské služby, včetně systémů SIEM a lístků, pro sdílení dat Defenderu pro IoT ve vaší organizaci.

Další informace naleznete v tématu:

Závěr

Přístup nulová důvěra (Zero Trust) může výrazně posílit stav zabezpečení vašich zařízení a koncových bodů. Pokud potřebujete další informace nebo pomoc s implementací, obraťte se na tým úspěchu zákazníka nebo si přečtěte další kapitoly této příručky, které zahrnují všechny pilíře nulová důvěra (Zero Trust).



Série průvodce nasazením nulová důvěra (Zero Trust)

Ikona úvodu

Ikona pro identitu

Ikona pro koncové body

Ikona pro aplikace

Ikona pro data

Ikona infrastruktury

Ikona sítí

Ikona pro viditelnost, automatizaci, orchestraci