Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De DoD Zero Trust-strategie en -roadmap schetst een pad voor Department of Defense Components and Defense Industrial Base -partners om een nieuw cyberbeveiligingsframework te implementeren op basis van Zero Trust-principes. Zero Trust elimineert traditionele perimeters en vertrouwensveronderstellingen, waardoor een efficiëntere architectuur mogelijk is die de beveiliging, gebruikerservaringen en missieprestaties verbetert.
Deze handleiding bevat aanbevelingen voor de 152 Zero Trust-activiteiten in de DoD Zero Trust Capability Execution Roadmap. De secties komen overeen met de zeven pijlers van het DoD Zero Trust-model.
Gebruik de volgende koppelingen om naar secties van de handleiding te gaan.
- Introductie
- Gebruiker
- Apparaat
- Toepassingen en workloads
- Data
- Netwerk
- Automatisering en indeling
- Zichtbaarheid en analyse
2 Apparaat
In deze sectie vindt u richtlijnen en aanbevelingen van Microsoft voor DoD Zero Trust-activiteiten in de pijler van het apparaat. Zie Eindpunten beveiligen met Zero Trust voor meer informatie.
2.1 Apparaatinventaris
Microsoft Intune en Microsoft Defender voor Eindpunt softwareproblemen voor apparaten configureren, beoordelen en detecteren. Gebruik Microsoft Entra ID en Microsoft Intune-integratie om compatibel apparaatbeleid af te dwingen voor toegang tot resources.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target2.1.1 Analyse van apparaatstatushulpprogrammaDoD-organisaties ontwikkelen een handmatige inventarisatie van apparaten binnen de omgeving. Apparaatkenmerken die worden bijgehouden in de inventaris, bieden functionaliteit die wordt beschreven in het ZTA-doelniveau. Resultaat: - Handmatige inventarisatie van apparaten wordt per organisatie gemaakt met eigenaren |
Microsoft Entra ID Registreer eindgebruikersapparaten met Microsoft Entra ID en beheer apparaat-id's vanuit het Microsoft Entra-beheercentrum. Op de pagina Overzicht van apparaten worden apparaatassets, beheerstatus, besturingssysteem, jointype en eigenaar bijgehouden. - Geregistreerde apparaten - die aan hybride apparaten zijn toegevoegd, lijst met- apparaten- Beheren apparaatidentiteiten Microsoft Entra Connect Sync Use Connect Sync gebruiken om door Active Directory beheerde apparaten te synchroniseren met Microsoft Entra ID. - Aan hybride gekoppelde apparaten in Microsoft Intune bekijkt u apparaatgegevens over beheerde apparaten vanuit het Microsoft Intune-beheercentrum. Haal diagnostische gegevens op van Windows-apparaten met behulp van de externe actie Diagnostische gegevens verzamelen. - Apparaatdetails- diagnostische gegevens voor Windows-apparaten Microsoft Endpoint Configuration Manager : gebruik co-beheer om een Configuration Manager-implementatie toe te voegen aan de Microsoft 365-cloud. - Co-beheer Microsoft Defender voor Eindpunt Weergave van apparaten die zijn beveiligd door Defender voor Eindpunt in de Microsoft Defender-portal. - Apparaatinventaris |
Target2.1.2 NPE/PKI, Apparaat onder BeheerDoD-organisaties maken gebruik van de DoD Enterprise PKI-oplossing/-service om x509-certificaten te implementeren op alle ondersteunde en beheerde apparaten. Aanvullende andere niet-persoonlijke entiteiten (NPE's) die x509-certificaten ondersteunen, worden toegewezen in de PKI- en/of IdP-systemen. Resultaat: - Niet-persoonsentiteiten worden beheerd via Org PKI en Org IDP |
Microsoft IntuneIntune Certificate Connector toevoegen voor het inrichten van certificaten op eindpunten. - Certificaten van certificaatconnector- voor verificatie : gebruik Intune-netwerkprofielen om beheerde apparaten te helpen bij het verifiëren van uw netwerk. Voeg een SCEP-certificaat (Simple Certificate Enrolment Protocol) toe. - Wi-Fi-instellingen voor Windows-apparaat bekabelde netwerkinstellingen Integreer Intune met netwerktoegangsbeheerpartners (NAC) om uw gegevens te beveiligen wanneer apparaten toegang hebben tot on-premises resources. - - NAC-integratietoepassingsbeheerbeleid Configureer het tenant-appbeheerbeleid om toepassingsreferenties te beperken tot certificaten die zijn uitgegeven door enterprise PKI. Zie Microsoft-richtlijnen 1.9.1 in Gebruiker. Azure IoT Hub Azure IoT Hubconfigureren voor het gebruik en afdwingen van X.509-verificatie. - Identiteiten verifiëren met x509-certificaten Microsoft Defender for Identity Als uw organisatie als host fungeert voor de PKI met Active Directory Certificate Services (AD CS), implementeert u Defender for Identity-sensoren en configureert u controle voor AD CS. - AD CS-sensor - Controles configureren voor AD CS |
Target2.1.3 Enterprise IDP Pt1De DoD eterprise Identity Provider (IdP) met behulp van een gecentraliseerde technologie of federatieve organisatietechnologieën integreert NPE's (Non-Person Entities), zoals apparaten en serviceaccounts. Integratie wordt bijgehouden in de Enterprise Apparaatbeheer-oplossing, indien van toepassing op of deze al dan niet is geïntegreerd. NPE's die niet kunnen worden geïntegreerd met de IdP, worden gemarkeerd voor buitengebruikstelling of met uitzondering van een methode op basis van risico's. Resultaat: - NPE's inclusief apparaten zijn geïntegreerd met Enterprise IdP |
Registratie van microsoft Entra-gekoppelde apparaten : gebruik aan Microsoft Entra gekoppelde apparaten voor nieuwe en opnieuw installatiekopieën van Windows-clientapparaten. Microsoft Entra-gekoppelde apparaten hebben een verbeterde gebruikerservaring voor aanmelding bij cloud-apps zoals Microsoft 365. Gebruikers hebben toegang tot on-premises resources met behulp van aan Microsoft Entra gekoppelde apparaten. - Gekoppelde apparaten - SSO voor on-premises resources op gekoppelde apparaten Microsoft Intune Automatische inschrijving instellen voor Windows 10- of 11-apparaten die zijn toegevoegd aan een Microsoft Entra-tenant. - Automatische inschrijving van Microsoft Entra Connect Sync Als uw organisatie Active Directory synchroniseert met Microsoft Entra-id met behulp van Connect Sync. Als u apparaten automatisch wilt registreren bij Microsoft Entra ID, configureert u hybride gekoppelde apparaten. - Hybride gekoppelde apparaten Microsoft Entra-toepassingen registreren toepassingen bij Microsoft Entra en service-principals gebruiken voor programmatische toegang tot Microsoft Entra en beveiligde API's zoals Microsoft Graph. Configureer app-beheerbeleid om toepassingsreferentietypen te beperken. Zie Microsoft-richtlijnen 2.1.2. Microsoft Entra Workload-ID Federatie van workloadidentiteit gebruiken voor toegang tot met Microsoft Entra beveiligde resources in GitHub-acties en andere ondersteunde scenario's. - Beheerde identiteiten voor workloadidentiteiten gebruiken beheerde identiteiten voor ondersteunde Azure-resources en vm's met Azure Arc. - Beheerde identiteiten voor Azure-resources - met Azure Arc-servers Azure IoT Hub gebruiken Microsoft Entra ID om aanvragen te verifiëren bij Azure IoT Hub-service-API's. - Toegang tot IoT Hub beheren |
Advanced2.1.4 Enterprise IDP Pt2De DoD Enterprise Identity Provider (IdP) met behulp van een gecentraliseerde technologie of federatieve organisatietechnologieën voegt aanvullende dynamische kenmerken toe voor NPE's, zoals locatie, gebruikspatronen, enzovoort. Resultaat: - Voorwaardelijke apparaatkenmerken maken deel uit van het IdP-profiel |
Microsoft Defender voor Eindpunt Deploy Defender for Endpoint naar desktopapparaten van eindgebruikers, beheerde mobiele apparaten en servers. - Onboard apparaten - Defender for Endpoint op apparaten met Intune- Onboard Windows-servers Microsoft Intune Manage end user devices with Intune. Intune-nalevingsbeleid configureren voor beheerde apparaten. Neem Microsoft Defender voor Eindpunt machinerisicoscore op in het Intune-nalevingsbeleid. - Nalevingsbeleid voor nalevingsbeleid- plannen voor nalevingsbeleid op apparaatrisiconiveau- Aangepast nalevingsbeleid- Configureer Windows-apparaten in Intune- Android Enterprise-beveiligingsconfiguratie- iOS- en iPadOS-apparaten in Intune Als uw organisatie een MTD-oplossing (Mobile Threat Defense) van derden gebruikt, configureert u de Intune-connector. - MTD-configuratie Mobile App Management Gebruik Intune MAM voor niet-ingeschreven apparaten om apps te configureren en te beveiligen voor BYOD (Bring Your Own Devices). - App-beheer |
2.2 Apparaatdetectie en -naleving
Nalevingsbeleid voor Microsoft Intune zorgt ervoor dat apparaten voldoen aan de organisatiestandaarden. Nalevingsbeleid kan de apparaatconfiguratie beoordelen op basis van een beveiligingsbasislijn. Beleidsregels gebruiken Microsoft Defender voor Eindpunt beveiligingsstatus en machinerisicoscore om naleving te bepalen. Voorwaardelijke toegang maakt gebruik van de nalevingsstatus van apparaten om dynamische toegangsbeslissingen te nemen voor gebruikers en apparaten, waaronder bring-your-own-devices (BYOD).
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target2.2.1 C2C/Compliance Based Network Authorization Pt1implementerenDe DoD-onderneming die met de organisaties werkt, ontwikkelt een beleid, standaard en vereisten voor Compliance to Connect. Zodra de overeenkomst is bereikt, wordt de aanschaf van oplossingen gestart, wordt een leverancier(en) geselecteerd en begint de implementatie met functionaliteit op basisniveau in ZT-doelomgevingen (laag risico). Controles op basisniveau worden geïmplementeerd in de nieuwe oplossing Voldoen aan verbinding, waardoor de mogelijkheid om te voldoen aan ZTA-doelfunctionaliteiten. Resultaten: - C2C wordt afgedwongen op ondernemingsniveau voor omgevingen met een laag risico en testomgevingen - Basisapparaten worden geïmplementeerd met C2C |
Microsoft Intune-apparaten beheren met Intune en nalevingsbeleid voor apparaten configureren. Gebruik Intune Mobile Application Management (MAM) om apps te beveiligen op niet-ingeschreven BYOD. Zie microsoft-richtlijnen in 2.1.4. Voorwaardelijke toegang : gebruik apparaatsignalen, locatie- en aanmeldingsrisicosignalen die compatibel zijn met Intune in beleid voor voorwaardelijke toegang. Gebruik apparaatfilters voor beleid voor voorwaardelijke toegang op basis van apparaatkenmerken. - Voorwaardenfilter voor nalevingsapparaten - - vereisen voor apparaten - met voorwaardelijke toegang met Intune Microsoft Entra Workload-ID Maak beleid voor voorwaardelijke toegang voor workloadidentiteiten met behulp van risico- en locatiebesturingselementen. - Voorwaardelijke toegang voor workloadidentiteiten Beveiligde workloadidentiteiten - |
Advanced2.2.2 C2C/Compliance Based Network Authorization Pt2implementerenDoD-organisaties breiden de implementatie en het gebruik van Comply to Connect uit met alle ondersteunde omgevingen die nodig zijn om te voldoen aan de geavanceerde ZT-functies. Voldoen aan Connect-teams integreren hun oplossing(en) met de Enterprise IdP- en Autorisatiegateways om de toegang en autorisaties voor resources beter te beheren. Resultaten: - C2C wordt afgedwongen in alle ondersteunde omgevingen : geavanceerde apparaten worden voltooid en geïntegreerd met dynamische toegang, Enterprise IdP en ZTNA. |
Microsoft Entra-toepassingen integreren toepassingen en beheren gebruikerstoegang met Microsoft Entra-id. Zie Microsoft-richtlijnen 1.2.4 in gebruiker. Microsoft Intune- en Microsoft Defender voor Eindpunt Apparaten beheren met Intune, Defender voor Eindpunt implementeren en een apparaatnalevingsbeleid configureren met behulp van de risicoscore van defender voor eindpuntcomputers. Zie Microsoft-richtlijnen 2.1.4 in deze sectie. Beleid voor voorwaardelijke toegang maken waarvoor een compatibel apparaat is vereist voor toegang tot toepassingen. Zie microsoft-richtlijnen in 2.2.1. Microsoft Entra-toepassingsproxy Een toepassingsproxy of een veilige sha-partneroplossing (Hybrid Access) implementeren om voorwaardelijke toegang in te schakelen voor on-premises en verouderde toepassingen via de Zero Trust Network Access (ZTNA). - SHA met Microsoft Entra-integratie Microsoft Tunnel is een VPN-gatewayoplossing (Virtual Private Network) voor door Intune beheerde apparaten en niet-ingeschreven apparaten met door Intune beheerde apps. Tunnel maakt gebruik van Microsoft Entra ID voor verificatie en beleid voor voorwaardelijke toegang voor toegang tot mobiele apparaten tot on-premises toepassingen. - Tunnel voor Intune |
2.3 Apparaatautorisatie met realtime inspectie
Voorwaardelijke toegang is de Zero Trust-beleidsengine voor Microsoft-cloudproducten en -services. Door Zero Trust-beleid te evalueren bij de IdP, wordt het C2C-model (comply-to-connect) verder uitgevoerd door adaptieve besturingselementen toe te passen vóór toegang tot resources. Beleid voor voorwaardelijke toegang gebruikt beveiligingssignalen van Microsoft Entra ID, Microsoft Defender XDR en Microsoft Intune.
Microsoft Defender XDR-onderdelen beoordelen apparaat- en identiteitsrisiconiveaus met behulp van machine learning-detecties (ML) en door dynamische beslissingen op basis van risico's in te schakelen om toegang tot gegevens, toepassingen, assets en services (DAAS) toe te staan, te blokkeren of te beheren.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Advanced2.3.1 Entiteitsactiviteit bewaken Pt1Met behulp van de ontwikkelde basislijnen voor gebruikers en apparaten maken DoD-organisaties gebruik van de geïmplementeerde UEBA-oplossing (User and Entity Behavior Activity) om basislijnen te integreren. UEBA-apparaatkenmerken en -basislijnen zijn beschikbaar om te worden gebruikt voor apparaatautorisatiedetecties. Resultaten: - UEBA-kenmerken zijn geïntegreerd voor apparaatbasislijn - UEBA-kenmerken zijn beschikbaar voor gebruik met apparaattoegang |
Microsoft Intune en Microsoft Defender voor Eindpunt Apparaten beheren met Intune, Defender voor Eindpunt implementeren en een nalevingsbeleid voor apparaten configureren met behulp van de risicoscore van defender voor eindpuntcomputers. Zie microsoft-richtlijnen in 2.1.4. Beleid voor voorwaardelijke toegang maken die compatibel apparaat vereist voor toegang tot toepassingen. Zie microsoft-richtlijnen in 2.2.1. Microsoft Entra ID Protection configureer beleid voor voorwaardelijke toegang voor identiteitsrisiconiveaus in Microsoft Entra ID Protection. Zie Microsoft-richtlijnen 1.6.1 in Gebruiker. |
Advanced2.3.2 Entiteitsactiviteitenbewaking pt2DoD-organisaties maken gebruik van de UEBA-oplossing (User and Entity Behavior Activity) met netwerktoegangsoplossingen om UEBA-kenmerken (bijvoorbeeld apparaatstatus, aanmeldingspatronen, enzovoort) te verplichten voor toegang tot omgevingen en resources. Resultaat: - UEBA-kenmerken zijn verplicht voor apparaattoegang |
Voorwaardelijke toegang : gebruik apparaatstatus, locatie- en identiteitsrisicosignalen die compatibel zijn met Intune in beleid voor voorwaardelijke toegang. Gebruik apparaatfilters om beleid voor voorwaardelijke toegang te richten op basis van apparaatkenmerken. Zie microsoft-richtlijnen in 2.2.1 en 2.3.1. |
Target2.3.3 Fim-hulpprogramma's(Application Control & File Integrity Monitoring) implementerenDoD-organisaties kopen en implementeren FIM-oplossingen (File Integrity Monitoring) en Application Control. FIM gaat verder met het ontwikkelen en uitbreiden van bewaking in de Data Pillar. Toepassingsbeheer wordt geïmplementeerd in omgevingen met een laag risico in een monitormodus die alleen basislijnvergoedingen tot stand brengen. Toepassingsbeheerteams die worden geïntegreerd met de PKI-omgevingen onderneming en organisatie maken gebruik van certificaten voor toepassingsvergoedingen. NextGen AV omvat alle mogelijke services en toepassingen Resultaten: - AppControl- en FIM-hulpprogramma's worden geïmplementeerd op alle kritieke services/toepassingen - EDR-hulpprogramma's hebben betrekking op de maximale hoeveelheid services/toepassingen - AppControl- En FIM-gegevens worden naar C2C verzonden, indien nodig |
Microsoft Defender voor Eindpunt Defender voor Eindpunt aggregert signalen van FiM (File Integrity Monitoring), Application Control, Next Generation Antivirus (NGAV) en meer voor de risicoscore van de machine. - Antivirus van de volgende generatie - voor beheerde apparaten - beheerde maptoegang tot Microsoft Intune App Control enpoint-beveiligingsbeleid configureren in Microsoft Intune. - Goedgekeurde apps met App Control for Business- Windows Defender AppControl-beleid en bestandsregels voorwaardelijke toegang om het C2C-model (compliant to connect) te bereiken, toepassingen te integreren met Microsoft Entra ID en compatibel beheer van apparaattoe kennen in voorwaardelijke toegang te vereisen. Zie microsoft-richtlijnen in 2.2.2. |
Advanced2.3.4 NextGen AV Tools C2CintegrerenDoD-organisaties kopen en implementeren de volgende generatie anti-virus - en antimalwareoplossingen indien nodig. Deze oplossingen zijn geïntegreerd met de eerste implementatie van Comply to Connect voor basislijnstatuscontroles van handtekeningen, updates, enzovoort. Resultaten: - Kritieke NextGen AV-gegevens worden verzonden naar C2C voor controles - NextGen AV-hulpprogramma's worden geïmplementeerd op alle kritieke services/toepassingen |
Microsoft Intune : apparaatnalevingsbeleid maken voor antivirus- en Microsoft Defender voor Eindpunt machinerisicoscore. - Antivirusbeleid voor eindpuntbeveiliging Zie microsoft-richtlijnen in 2.2.2. |
Advanced2.3.5 Apparaatbeveiligingsstack volledig integreren met C2C, indien van toepassingDoD-organisaties blijven de implementatie van Toepassingsbeheer voor alle omgevingen en in de preventiemodus uitvoeren. Fim (File Integrity Monitoring) en Application Controls Analytics zijn geïntegreerd in Comply to Connect voor uitgebreide toegangsbeslissingsgegevenspunten. Voldoen aan Connect-analyses worden geëvalueerd voor verdere gegevenspunten voor apparaat-/eindpuntbeveiligingsstacks, zoals UEDM, en zijn indien nodig geïntegreerd. Resultaten: - AppControl- en FIM-implementatie wordt uitgebreid naar alle benodigde services/toepassingen - Resterende gegevens van hulpprogramma's voor apparaatbeveiliging worden geïmplementeerd met C2C |
Volledige activiteit 2.3.4. Microsoft Defender voor Cloud-apps Riskante cloudtoepassingen identificeren en beheren met Defender voor Cloud Apps-beleid. - Cloud-apps beheren met beleid |
Advanced2.3.6 Enterprise PKI Pt1De DoD Enterprise Public Key Infrastructure (PKI) is uitgebreid met de toevoeging van NPE- en apparaatcertificaten. NPE's en apparaten die geen PKI-certificaten ondersteunen, worden gemarkeerd voor buitengebruikstelling en buiten gebruik stellen. Resultaten: - Apparaten die geen certificaten kunnen hebben, worden uitgefaseerd en/of verplaatst naar minimale toegangsomgevingen - Alle apparaten en NPE's hebben certificaten geïnstalleerd voor verificatie in de Enterprise PKI |
Microsoft Intune Microsoft Intune gebruiken om DoD PKI-certificaten op apparaten te implementeren. Zie microsoft-richtlijnen in 2.1.2. Toepassingsbeheerbeleid Configureer het beleid voor tenant-appbeheer om toepassingsreferenties te beperken tot certificaten die zijn uitgegeven door enterprise PKI. Zie Microsoft-richtlijnen 1.5.3 in Gebruiker. Microsoft Defender voor Cloud-apps Configureer toegangsbeleid om clientcertificaten te vereisen voor toegang tot toepassingen en om onbevoegde apparaattoegang te blokkeren. - Toegangsbeleid |
Advanced2.3.7 Enterprise PKI Pt2DoD-organisaties maken gebruik van certificaten voor apparaatverificatie en machine-naar-machinecommunicatie. Niet-ondersteunde apparaten worden volledig buiten gebruik gesteld en uitzonderingen worden goedgekeurd met behulp van een methode op basis van risico's. Resultaat: - Apparaten zijn vereist om te verifiëren om te communiceren met andere services en apparaten |
Microsoft Intune en voorwaardelijke toegang integreren toepassingen met Microsoft Entra ID, apparaten beheren met Intune, apparaten beveiligen met Microsoft Defender voor Eindpunt en nalevingsbeleid configureren. Neem een nalevingsbeleid op voor de risicoscore van Defender voor Eindpunt-machines. Nalevingsbeheer vereisen in beleid voor voorwaardelijke toegang. Zie microsoft-richtlijnen in 2.2.2. |
2.4 Externe toegang
Microsoft Entra ID is een id-provider (IdP) die standaard wordt geweigerd. Als u Microsoft Entra gebruikt voor het aanmelden van toepassingen, verifiëren en doorgeven gebruikers beleid voor voorwaardelijke toegang voordat Microsoft Entra toegang autoriseert. U kunt de Microsoft Entra-id gebruiken om toepassingen te beveiligen die worden gehost in de cloud of on-premises.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target2.4.1 Apparaatstandaard weigerenDoD-organisaties blokkeren alle onbeheerde externe en lokale apparaten toegang tot resources. Compatibele beheerde apparaten worden aangeboden op risico gebaseerde methodische toegang volgens de concepten op ZTA-doelniveau. Resultaten: - Onderdelen kunnen de toegang van apparaten standaard blokkeren tot resources (apps/gegevens) en expliciet compatibele apparaten per beleid toestaan. Externe toegang is ingeschakeld volgens de benadering 'Apparaat standaard weigeren' |
Microsoft Entra ID-toepassingen Toegang tot toepassingen en resources die worden beveiligd door Microsoft Entra-id, wordt standaard geweigerd. Resourcetoegang vereist verificatie, actief recht en autorisatie door beleid voor voorwaardelijke toegang. - Integreer apps-app-integratie - Microsoft Intune Manage devices with Intune. Nalevingsbeleid voor apparaten configureren. Vereisen dat het apparaat compatibel is in het beleid voor voorwaardelijke toegang voor alle gebruikers en toepassingen. Zie microsoft-richtlijnen in 2.2.1. |
Target2.4.2 Beheerde en beperkte BYOD & IOT-ondersteuningDoD-organisaties maken gebruik van Unified Endpoint en Apparaatbeheer (UEDM) en vergelijkbare oplossingen om ervoor te zorgen dat beheerde BYOD-apparaten (Bring Your Own Device) en IoT-apparaten (Internet of Things) volledig zijn geïntegreerd met Enterprise IdP, waardoor gebruikers- en apparaatautorisatie mogelijk worden gemaakt. Apparaattoegang voor alle toepassingen vereist dynamisch toegangsbeleid. Resultaten: - Alle toepassingen vereisen dynamische toegang tot machtigingen voor apparaten - BYOD- en IOT-apparaatmachtigingen zijn gebasislijnd en geïntegreerd met Enterprise IDP |
Volledige activiteit 2.4.1. Microsoft IntuneGebruik Intune-apparaatbeheer en Mobile Application Management om uw eigen apparaat (BYOD) te gebruiken. - Mobile app-beheer voor niet-ingeschreven apparaten- App-beveiliging beleid voor voorwaardelijke toegang Vereisen compatibel apparaat- en/of app-beveiligingsbeleid in voorwaardelijke toegang voor alle gebruikers en toepassingen. - Goedgekeurd client-app- of app-beveiligingsbeleid App-beveiliging beleid op Windows-apparaten Microsoft Entra Externe ID Configureer instellingen voor toegang tussen tenants om compatibele apparaatbesturingselementen van vertrouwde partners te vertrouwen. - - Instellingen voor toegang tot meerdere tenants voor B2B-samenwerking microsoft Defender for IoT-sensoren implementeren voor zichtbaarheid, ook om IoT- en OPERATIONELE TECHNOLOGIE-apparaten (OT) te bewaken en te beveiligen. Zorg ervoor dat apparaatsoftware up-to-date is en lokale wachtwoorden wijzigt. Gebruik geen standaardwachtwoorden. - Defender for IoT IoT- en OT-beveiliging met Zero Trust - US National Cybersecurity Strategy om IoT te beveiligen |
Advanced2.4.3 Managed and Full BYOD & IOT Support Pt1DoD-organisaties maken gebruik van Unified Endpoint en Apparaatbeheer (UEDM) en vergelijkbare oplossingen om toegang mogelijk te maken voor beheerde en goedgekeurde apparaten voor bedrijfs- en operationele kritieke services/toepassingen met behulp van dynamisch toegangsbeleid. BYOD- en IoT-apparaten (Internet of Things) zijn vereist om te voldoen aan standaardbasislijncontroles vóór autorisatie. Resultaten: - Alleen BYOD- en IOT-apparaten die voldoen aan vereiste configuratiestandaarden die toegang hebben tot resources - Kritieke services vereisen dynamische toegang voor apparaten |
Volledige activiteit 2.4.2. Microsoft Defender voor Cloud-apps Configureer toegangsbeleid om clientcertificaten te vereisen voor toegang tot toepassingen. Toegang blokkeren vanaf niet-geautoriseerde apparaten. Zie de Richtlijnen van Microsoft in 2.3.6. |
Advanced2.4.4 Managed and Full BYOD & IOT Support Pt2DoD-organisaties maken gebruik van Unified Endpoint en Apparaatbeheer (UEDM) en vergelijkbare oplossingen om toegang in te schakelen voor onbeheerde apparaten die voldoen aan apparaatcontroles en standaardbasislijnen. Alle mogelijke services/toepassingen zijn geïntegreerd om toegang tot beheerde apparaten toe te staan. Onbeheerde apparaten zijn geïntegreerd met services/toepassingen op basis van risicogestuurde methodische autorisatiebenadering. Resultaat: - Voor alle mogelijke services is dynamische toegang vereist voor apparaten |
Azure Virtual Desktop Azure Virtual Desktop (AVD) implementeren ter ondersteuning van externe toegang vanaf niet-beheerde apparaten. Koppel AVD-sessiehost-VM's aan Microsoft Entra en beheer de naleving met Microsoft Intune. Meld u aan bij AVD met een wachtwoordloze of een wachtwoordloze phishing-bestendige verificator van onbeheerde apparaten. - Aan Microsoft Entra gekoppelde VM's in AVD-verificatiesterkte - Microsoft Defender voor Cloud Apps gebruiken Defender voor Cloud Apps-sessiebeheer om websessies van niet-beheerde apparaten te bewaken en te beperken. - Sessiebeleid |
2.5 Gedeeltelijk en volledig geautomatiseerd asset-, beveiligings- en patchbeheer
Microsoft Endpoint Manager ondersteunt cloud- en hybride oplossingen (co-beheer) voor apparaatbeheer. Configuratie- en nalevingsbeleid zorgt ervoor dat apparaten voldoen aan het patchniveau en de beveiligingsconfiguratievereisten voor uw organisatie.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target2.5.1 Implementeer hulpprogramma'svoor asset- en beveiligingsproblemen en patchbeheerDoD-organisaties implementeren oplossing(en) voor het beheren van configuraties van assets/apparaten, beveiligingsproblemen en patches. Het gebruik van minimale nalevingsstandaarden (bijvoorbeeld STIG's, enzovoort) teams kunnen de naleving van beheerde apparaten bevestigen of weigeren. Als onderdeel van het inkoop- en implementatieproces voor oplossingen, API's of andere programmatische interfaces is het bereik voor toekomstige automatiserings- en integratieniveaus. Resultaten: - Onderdelen kunnen bevestigen of apparaten voldoen aan minimale nalevingsstandaarden of niet - Onderdelen hebben assetbeheer, beveiligings- en patchsystemen met API's die integratie tussen de systemen mogelijk maken |
Microsoft Intune-apparaten beheren in Intune. Zie microsoft-richtlijnen in 2.1.4. Gebruik Co-beheer van Microsoft Endpoint Manager voor verouderde eindpuntapparaten. - Co-beheer voor eindpuntbeheer - Configureer en werk beleidsregels bij voor apparaatplatforms die worden beheerd met Intune. - iOS- en iPadOS-software-updatebeleid macOS-software-updatebeleid- Android FOTA werkt - Windows 10- en 11-updates bij Microsoft Defender voor Eindpunt Integrate Microsoft Defender voor Eindpunt met - Microsoft Intune. Beveiligingsproblemen met eindpunten oplossen met microsoft Intune-configuratiebeleid. - Microsoft Defender Vulnerability Management - : Gebruik Microsoft Intune en beveiligingsproblemen die zijn geïdentificeerd door Microsoft Defender voor Eindpunt |
2.6 Unified Endpoint Management en Mobile Device Management
Microsoft Intune-configuratie- en nalevingsbeleid zorgen ervoor dat apparaten voldoen aan de beveiligingsconfiguratievereisten van de organisatie. Intune evalueert nalevingsbeleid en markeert apparaten als compatibel of niet-compatibel. Beleidsregels voor voorwaardelijke toegang kunnen de nalevingsstatus van apparaten gebruiken om te voorkomen dat gebruikers met niet-compatibele apparaten toegang krijgen tot resources die zijn beveiligd door Microsoft Entra-id.
Microsoft Entra Externe ID instellingen voor toegang tot meerdere tenants omvatten vertrouwensinstellingen voor samenwerking met gasten. Deze instellingen kunnen worden aangepast voor elke partnertenant. Wanneer u compatibele apparaten van een andere tenant vertrouwt, voldoen gasten met behulp van compatibele apparaten in hun thuistenant aan het Condtional Access-beleid waarvoor compatibele apparaten in uw tenant zijn vereist. U hoeft geen uitzonderingen te maken op beleid voor voorwaardelijke toegang om te voorkomen dat externe gasten worden geblokkeerd.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target2.6.1 UEDM of gelijkwaardige hulpprogramma'simplementerenDoD-organisaties werken nauw samen met de activiteit Asset, Vulnerability en Patch Management-hulpprogramma's implementeren voor het aanschaffen en implementeren en implementeren en implementeren en Apparaatbeheer (UEDM) om ervoor te zorgen dat vereisten zijn geïntegreerd met het inkoopproces. Zodra een oplossing is aangeschaft, zorgt het UEDM-team(en) ervoor dat kritieke ZT-doelfunctionaliteiten, zoals minimale naleving, assetbeheer en API-ondersteuning, aanwezig zijn. Resultaten: - Onderdelen kunnen bevestigen of apparaten voldoen aan minimale nalevingsstandaarden of niet - Onderdelen hebben assetbeheersystemen voor gebruikersapparaten (telefoons, desktops, laptops) die IT-naleving handhaven, die worden gerapporteerd aan DoD Enterprise - Onderdelen assetbeheersystemen kunnen programmatisch, d.w.z. API, apparaatcompatibiliteitsstatus bieden en voldoen aan de minimumstandaarden |
Volledige activiteit 2.3.2. De nalevingsstatus van Microsoft Intune-apparaten is geïntegreerd met de id-provider (IdP), Microsoft Entra ID, door Intune-nalevingssignalen in voorwaardelijke toegang. Bekijk de apparaatnalevingsstatus in het Microsoft Entra-beheercentrum of met behulp van Microsoft Graph API. - Intune-rapporten over nalevingsbeleid - Microsoft Entra Externe ID Om nalevingsbeleid voor apparaten uit te breiden naar gebruikers buiten de organisatie, configureert u instellingen voor toegang tussen tenants om MFA en compatibele apparaatclaims van vertrouwde DoD-tenants te vertrouwen. - Toegang tussen tenants tot Microsoft Graph API Microsoft Graph API's voeren een query uit op de nalevingsstatus van apparaten. - Api's voor naleving en privacy |
Target2.6.2 Enterprise Apparaatbeheer Pt1DoD Organizations migreert de handmatige apparaatinventaris naar een geautomatiseerde benadering met behulp van het Unified Endpoint en Apparaatbeheer-oplossing. Goedgekeurde apparaten kunnen worden beheerd, ongeacht de locatie. Apparaten die deel uitmaken van kritieke services, moeten worden beheerd door het Unified Endpoint en Apparaatbeheer oplossing die automatisering ondersteunt. Resultaten: - Handmatige inventarisatie is geïntegreerd met een geautomatiseerde beheeroplossing voor kritieke services - ZT-Apparaatbeheer inschakelen (vanaf elke locatie met of zonder externe toegang) |
Apparaten beheren met Microsoft Intune en voorwaardelijke toegang met Microsoft Intune. Nalevingsbeleid voor apparaten configureren. Beleid voor voorwaardelijke toegang van compatibele apparaten vereisen. Zie microsoft-richtlijnen in 2.1.4. |
Target2.6.3 Enterprise Apparaatbeheer Pt2DoD-organisaties migreren de resterende apparaten naar enterprise Apparaatbeheer-oplossing. De EDM-oplossing is geïntegreerd met risico- en nalevingsoplossingen, indien van toepassing. Resultaat: - Handmatige inventarisatie is geïntegreerd met een geautomatiseerde beheeroplossing voor alle services |
Microsoft Intune en voorwaardelijke toegang : apparaten beheren met Intune. Nalevingsbeleid voor apparaten configureren. Vereisen dat het apparaat compatibel is in het beleid voor voorwaardelijke toegang. Zie microsoft-richtlijnen in 2.1.4. |
2.7 Eindpunt en uitgebreide detectie en respons (EDR en XDR)
De geïntegreerde verdedigingssuite van Microsoft Defender XDR coördineert detectie, preventie, onderzoek en reactie op eindpunten, identiteiten, e-mail en toepassingen. Microsoft Defender XDR-onderdelen detecteren en beschermen tegen geavanceerde aanvallen.
Integratie van Microsoft Defender XDR-onderdelen breidt de beveiliging verder uit dan apparaten. Bekijk voorbeeld van detectie-gebeurtenissen die bijdragen aan het niveau van gebruikersrisico's in Microsoft Entra ID Protection:
- Suspicious email-sending patterns detected by Microsoft Defender for Office (Verdachte patronen voor het verzenden van e-mail gedetecteerd door Microsoft Defender voor
- Onmogelijke reisdetecties in Microsoft Defender voor Cloud Apps
- Pogingen om toegang te krijgen tot het primaire vernieuwingstoken dat is gedetecteerd door Microsoft Defender voor Eindpunt
Beleid voor voorwaardelijke toegang op basis van risico's kan de toegang tot cloudservices voor de riskante gebruiker beveiligen, beperken of blokkeren, zelfs als ze een compatibel apparaat in een vertrouwd netwerk gebruiken.
Zie Microsoft Defender XDR-onderdelen inschakelen en wat zijn risico's?
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target2.7.1 ImplementEer hulpprogramma's voor eindpuntdetectie en -respons (EDR) en integreer met C2CDoD-organisaties kopen en implementeren EDR-oplossingen (Endpoint Detection and Response) binnen omgevingen. EDR beveiligt, bewaakt en reageert op schadelijke en afwijkende activiteiten die ZT-doelfunctionaliteit mogelijk maken en verzendt gegevens naar de oplossing Voldoen aan verbinding voor uitgebreide apparaat- en gebruikerscontroles. Resultaten: - Hulpprogramma's voor eindpuntdetectie en -respons worden geïmplementeerd - Kritieke EDR-gegevens worden verzonden naar C2C voor controles - NextGen AV-hulpprogramma's omvatten de maximale hoeveelheid services/toepassingen |
Microsoft Defender voor Eindpunt Deploy Defender voor Eindpunt implementeren voor apparaten van eindgebruikers. Zie Microsoft-richtlijnen 2.3.1 in deze sectie. Microsoft Intune Intune-nalevingsbeleid voor apparaten configureren. Neem de risicoscore van defender voor eindpuntcomputers op voor beleidsnaleving. Zie Microsoft-richtlijnen 2.1.4. en in 2.3.2. Microsoft Defender voor Cloud Enable Microsoft Defender for Server voor abonnementen met virtuele machines (VM's) in Azure. Defender for Server-abonnementen bevatten Defender voor Cloud voor servers. - Defender for Servers Gebruiken servers met Azure Arc om fysieke Windows- en Linux-servers en VM's buiten Azure te beheren en te beveiligen. Implementeer de Azure Arc-agent voor servers die buiten Azure worden gehost. Onboarding van servers met Arc naar een abonnement dat wordt beveiligd door Microsoft Defender voor Server. - Azure Arc-servers - met Azure Connected Machine-agent |
Target 2.7.2 XDR-hulpprogramma's (Extended Detection & Response) implementeren en integreren met C2C Pt1DoD Organizations kopen en implementeren XDR-oplossingen (Extended Detection & Response). Integratiepunten met mogelijkheden voor kruislingse pijlers worden geïdentificeerd en geprioriteerd op basis van risico. Het risicovolle van deze integratiepunten wordt uitgevoerd en de integratie wordt gestart. EDR blijft de dekking van eindpunten omvatten het maximum aantal services en toepassingen als onderdeel van de XDR-implementatie. Basisanalyses worden vanuit de XDR-oplossingsstack naar de SIEM verzonden. Resultaten: - Integratiepunten zijn geïdentificeerd per mogelijkheid - Riskante integratiepunten zijn geïntegreerd met XDR - Basiswaarschuwingen zijn geïmplementeerd met SIEM en/of andere mechanismen |
Microsoft Defender XDR Pilot en implementeer Microsoft Defender XDR-onderdelen en -services. - Defender XDR - Sentinel en Defender XDR voor Zero Trust Configure-integraties van geïmplementeerde Microsoft Defender XDR-onderdelen. - Defender voor Eindpunt met Defender voor Cloud Apps- Defender for Identity en Defender voor Cloud Apps - Purview Information Protection en Defender voor Cloud Apps Microsoft Sentinel Sentinel-gegevensconnectors configureren voor Microsoft Defender XDR. Schakel analyseregels in. - Defender XDR - Connect Defender XDR-gegevens installeren in Sentinel |
Advanced2.7.3 XDR-hulpprogramma's (Extended Detection & Response) implementeren en integreren met C2C Pt2De XDR-oplossingsstack voltooit de identificatie van integratiepunten die de dekking uitbreiden tot de maximale hoeveelheid. Uitzonderingen worden bijgehouden en beheerd met behulp van een methode op basis van risico's voor continue werking. Uitgebreide analyses die ZT Advanced-functionaliteit mogelijk maken, worden geïntegreerd in de SIEM en andere geschikte oplossingen. Resultaten: - Resterende integratiepunten zijn naar behoren geïntegreerd- Uitgebreide waarschuwingen en reacties zijn ingeschakeld met andere analysehulpprogramma's ten minste met SIEM |
Microsoft Defender XDR Gebruik Microsoft Defender XDR in uw beveiligingsstrategie. - Defender XDR integreren in beveiligingsopzichten |
Volgende stappen
Configureer Microsoft-cloudservices voor de DoD Zero Trust-strategie: