Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
A Zero Trust Assessment ellenőrzi a bérlő konfigurációját, és javasolja a biztonság javítását az áttekintésben leírtak szerint.
Előfeltételek
- PowerShell 7. A telepítésről a PowerShell telepítése Windows, Linux és macOS rendszeren című témakörben olvashat.
- Ahhoz, hogy első alkalommal csatlakozzon és hozzájáruljon a szükséges engedélyekhez, globális rendszergazdának kell lennie.
- A későbbi futtatások a Globális olvasó szerepkört használhatják.
- Ha telepítette a Zero Trust Assessment korábbi verzióját, a folytatás előtt távolítsa el .
A PowerShell-modulok telepítése
Az alábbi lépéseket követve telepítheti vagy frissítheti az értékelést, és csatlakozhat a Microsoft Graphhoz és a bérlőhöz.
Nyisson meg egy új PowerShell 7-ablakot.
Futtassa a következő parancsot a
ZeroTrustAssessmentmodul telepítéséhez:Install-Module ZeroTrustAssessment -Scope CurrentUser
Csatlakozás a Microsoft Graphhoz és a Microsoft Azure-hoz
A Zero Trust Assessment modul futtatásához csatlakozik a Microsoft Graphhoz és a Microsoft Azure-hoz. A Zero Trust Assessment modul először a Microsoft Graphhoz, majd a Microsoft Azure-hoz csatlakozik.
Futtassa ezt a parancsot a Microsoft Graphhoz való csatlakozáshoz:
Connect-ZtAssessment
Amikor a Microsoft Graph PowerShell használatával csatlakozik, az alábbi engedélyeket kéri:
- AuditLog.Read.All
- CrossTenantInformation.ReadBasic.All
- DeviceManagementApps.Read.All
- DeviceManagementConfiguration.Read.All (eszközkezelés-konfiguráció olvasási jogosultság minden elemre)
- DeviceManagementManagedDevices.Read.All
- DeviceManagementRBAC.Read.All
- DeviceManagementServiceConfig.Read.All
- Directory.Read.All
- KönyvtárAjánlások.Read.All
- EntitlementManagement.Read.All
- IdentityRiskEvent.Read.All
- IdentityRiskyUser.Read.All
- Szabályzat.Olvasás.Mind
- Policy.Read.ConditionalAccess
- Policy.OlvassaEngedélyAdás
- PrivilegedAccess.Read.AzureAD
- Jelentések.Olvass.Mind
- RoleManagement.Read.All
- UserAuthenticationMethod.Read.All
Megjegyzés:
A hozzájárulási kérés csak akkor jelenik meg, ha a Microsoft Graph PowerShell-alkalmazás még nem rendelkezik ezekkel az engedélyekkel. Amikor legközelebb csatlakozik, nem kell újból hozzájárulnia az engedélyekhez.
Bejelentkezés a Microsoft Graph szolgáltatásba
- Jelentkezzen be a Microsoft Graphba globális rendszergazdaként.
- Válassza az Elfogadás lehetőséget.
Bejelentkezés a Microsoft Azure-ba
Megnyílik egy második ablak a Microsoft Azure-bejelentkezéshez. Amikor a rendszer kéri, jelentkezzen be a Microsoft Azure-ba globális rendszergazdaként.
Az audit- és bejelentkezési naplók exportálásának ellenőrzéséhez a Microsoft Azure-bejelentkezés szükséges. Ha nem rendelkezik Microsoft Azure-beli fiókkal, bejelentkezés nélkül zárja be az ablakot, és hagyja figyelmen kívül a figyelmeztetést. Az értékelés kihagyja a Microsoft Azure-ra támaszkodó tesztet.
Ha több előfizetéssel rendelkezik, a felszólításra válasszon egy bérlőt és egy előfizetést.
Hajtsa végre az értékelést
A Zero Trust felmérés csak olvasható. Az összes adatot helyileg futtatja és tárolja az asztalon. Az értékelés befejezése után célszerű biztonságosan tárolni az értékelési jelentést, és törölni a létrehozott mappát és annak tartalmát a helyi meghajtóról.
Miután az első futtatás során globális rendszergazdai hozzájárulást adott az engedélyekhez, a későbbi futtatások globális olvasóként is végrehajthatók.
Az értékelés futtatásához használja a következő parancsot:
Invoke-ZtAssessment
Az értékelés az aktuális munkamappába .\ZeroTrustReport\ZeroTrustAssessmentReport.htmlmenti az eredményeket. Az értékelés befejezése után a jelentés automatikusan megnyílik az alapértelmezett böngészőben.
Caution
A jelentés és az exportálási mappa bizalmas bérlői adatokat tartalmaz, amelyeket a fenyegetést okozó szereplők felhasználhatnak az előnyükre. A jelentést és a mappát csak a szervezet hivatalos munkatársaival oszthatja meg.
-Path A paraméterrel megadhat egy egyéni helyet az értékelési jelentés tárolásához. A következő parancs például menti a jelentést a mappába C:/MyAssessment01/ZeroTrustAssessmentReport.html:
Invoke-ZtAssessment -Path C:\MyAssessment01
Jótanács
Nagy bérlők esetén a zéró megbízhatósági felmérés futtatása több mint 24 órát vehet igénybe. Ne állítsa le az értékelést futás közben, még akkor sem, ha az értékelés figyelmeztetéseket vagy hibákat naplóz.
Értékelés eredményeinek áttekintése
Az értékelés futtatása után a jelentés megnyitja az Áttekintés lapot az alapértelmezett böngészőben. Az Áttekintés lapon a bérlőre vonatkozó alapvető megbízhatósági adatok láthatók.
Az Identitás és eszközök lap a bérlőn futtatott tesztek eredményeinek listáját jeleníti meg. Az eredmények az egyes tesztek kockázat - és eredményállapotát mutatják.
Ha további részleteket szeretne látni egy tesztről, válasszon ki egy eredményt. A részletek ismertetik a tesztelt műveleteket, és felsorolják a bérlőkonfiguráció kezeléséhez javasolt szervizelési műveleteket. Az egyes ellenőrzések során használt kifejezések részleteiért tekintse meg szószedetünket.
A Zéró megbízhatósági felmérés modul eltávolítása
A Zéró megbízhatósági felmérés modul eltávolítása:
- Távolítsa el a PowerShell-modult.
- Törölje azt a mappát, amelyet a Zero Trust Assessment modul hozott létre.
FAQs
Korábbi verziók eltávolítása
Futtassa az alábbi parancsokat a korábbi modulok összes verziójának eltávolításához
Uninstall-Module ZeroTrustAssessment -Force -AllVersions
Indítsa újra a PowerShellt, és telepítse a legújabb verziót.
Nem sikerült betölteni a fájlt vagy a szerelvényt Microsoft.Graph.Authentication
Ez a hiba akkor fordul elő, ha a Microsoft Graph PowerShell ütköző verziói vannak telepítve.
A hiba elhárításához javasoljuk, hogy távolítsa el a rendszerre telepített összes Microsoft Graph PowerShell-modult. A törlés futtatásához használhat olyan segédmodult, mint a uninstall-graph.merill.net .
A Microsoft Graph eltávolításakor a Zero Trust Assessment összes verzióját is el kell távolítania, újra kell indítania a PowerShellt, majd telepítenie kell a legújabb verziót.
Install-Module Uninstall-Graph
Uninstall-Module ZeroTrustAssessment -Force -AllVersions
Uninstall-Graph
Honnan tudhatom, hogy mit csinál a szkript?
Az értékelés kódja nyílt forráskódú. Tekintse át itt: https://github.com/microsoft/zerotrustassessment/tree/psnext/src/powershell.
Miért kaptam a következő kivételhibát: "A 'DuckDB.NET.Data.DuckDBConnectionStringBuilder' típus inicializálója kivételt dobott."?
A Windows új telepítésekor a következő hibaüzenet jelenhet meg:
A "DuckDB.NET.Data.DuckDBConnectionStringBuilder" típus inicializálója kivételt jelzett. Belső kivétel: Nem tölthető be a "duckdb" DLL vagy annak egyik függősége: A megadott modul nem található. (0x8007007E) Belső kivétel típusa: DllNotFoundException
Ez a hiba azért fordul elő, mert olyan rendszeren fut, amely nem tartalmazza Microsoft Visual C++ 2015-2022 Redistributable (x64) - Microsoft.VCRedist.2015+.x64. A VCRedist általában olyan Microsoft-termékek telepítésekor települ, mint a Microsoft Office vagy a Microsoft Entra Connect Sync. Ha új eszközt használ, előfordulhat, hogy manuálisan kell telepítenie ezt az összetevőt. Lásd a Microsoft Visual C++ terjeszthető legújabb verzióját.
A Windows arm64-eszközökön jelenleg nem támogatott.
Hogyan kaphatok támogatást?
Támogatási problémák merülnek fel a Zero Trust Assessment GitHub-adattárban.