Konfigurowanie Microsoft Intune dla Zero Trust: Zabezpieczanie urządzeń (wersja zapoznawcza)

Zabezpieczanie punktów końcowych jest kluczowym elementem strategii Zero Trust. Te zalecenia Intune pomagają chronić obwód sieci i urządzenia za pomocą mechanizmów kontroli opartych na zasadach, które wymuszają szyfrowanie, ograniczają nieautoryzowany dostęp i zmniejszają narażenie na luki w zabezpieczeniach. Dzięki zastosowaniu zasad konfiguracji i zabezpieczeń na różnych platformach te kontrole są zgodne z inicjatywą Bezpieczna przyszłość firmy Microsoft i wzmacniają ogólną postawę bezpieczeństwa organizacji.

zalecenia dotyczące zabezpieczeń Zero Trust

Poświadczenia administratora lokalnego w systemie Windows są chronione przez usługę LAPS systemu Windows

Bez wymuszania zasad rozwiązania LAPS (Local Administrator Password Solution) podmioty zagrożeń uzyskujące dostęp do punktów końcowych mogą wykorzystać statyczne lub słabe hasła administratora lokalnego do eskalowania uprawnień, przenoszenia się później i ustanawiania trwałości. Łańcuch ataków zwykle zaczyna się od naruszenia zabezpieczeń urządzenia — poprzez wyłudzanie informacji, złośliwe oprogramowanie lub dostęp fizyczny — po którym następuje próba zebrania poświadczeń administratora lokalnego. Bez usługi LAPS osoby atakujące mogą ponownie używać naruszeń poświadczeń na wielu urządzeniach, zwiększając ryzyko eskalacji uprawnień i naruszenia zabezpieczeń w całej domenie.

Wymuszanie systemu Windows LAPS na wszystkich firmowych urządzeniach z systemem Windows zapewnia unikatowe, regularnie obracane hasła administratora lokalnego. Zakłóca to łańcuch ataków na etapach dostępu do poświadczeń i przenoszenia bocznego, co znacznie zmniejsza ryzyko powszechnego naruszenia zabezpieczeń.

Akcja korygowania

Użyj Intune, aby wymusić zasady laps systemu Windows, które obracają silne i unikatowe hasła administratora lokalnego i które tworzą ich kopię zapasową bezpiecznie:

• Wdrażanie zasad laps systemu Windows za pomocą Microsoft Intune

Więcej informacji można znaleźć w następujących artykułach:

• Dokumentacja ustawień zasad laps systemu Windows
• Dowiedz się więcej o obsłudze Intune dla systemu Windows LAPS

Poświadczenia administratora lokalnego w systemie macOS są chronione podczas rejestracji przez laps systemu macOS

Bez wymuszania zasad LAPS systemu macOS podczas automatycznej rejestracji urządzeń (ADE) podmioty zagrożeń mogą wykorzystać statyczne lub ponownie użyte hasła administratora lokalnego, aby eskalować uprawnienia, przenosić się później i ustanawiać trwałość. Urządzenia aprowizowane bez losowych poświadczeń są narażone na zbieranie i ponowne używanie poświadczeń w wielu punktach końcowych, co zwiększa ryzyko naruszenia zabezpieczeń w całej domenie.

Wymuszanie systemu LAPS systemu macOS gwarantuje, że każde urządzenie jest aprowizowane przy użyciu unikatowego, zaszyfrowanego hasła administratora lokalnego zarządzanego przez Intune. Zakłóca to łańcuch ataków na etapie dostępu do poświadczeń i ruchu poprzecznego, znacznie zmniejszając ryzyko powszechnego naruszenia zabezpieczeń i dostosowując się do zasad Zero Trust najmniej uprzywilejowanych i higieny poświadczeń.

Akcja korygowania

Użyj Intune, aby skonfigurować profile ADE systemu macOS, które aprowizują konto administratora lokalnego z losowym i zaszyfrowanym hasłem, co umożliwia bezpieczną rotację:

• Konfigurowanie usługi LAPS systemu macOS w Microsoft Intune
• Obracanie hasła administratora lokalnego (macOS)

Więcej informacji można znaleźć w następujących artykułach:

• Przewodnik konfiguracji systemu macOS ADE

Użycie konta lokalnego w systemie Windows jest ograniczone w celu zmniejszenia nieautoryzowanego dostępu

Bez prawidłowo skonfigurowanych i przypisanych lokalnych użytkowników i grup w Intune aktorzy zagrożeń mogą wykorzystywać niezarządzane lub błędnie skonfigurowane konta lokalne na urządzeniach z systemem Windows. Może to prowadzić do nieautoryzowanej eskalacji uprawnień, trwałości i przenoszenia bocznego w środowisku. Jeśli konta administratora lokalnego nie są kontrolowane, osoby atakujące mogą tworzyć ukryte konta lub podnosić poziom uprawnień, pomijając mechanizmy kontroli zgodności i zabezpieczeń. Ta luka zwiększa ryzyko eksfiltracji danych, wdrożenia oprogramowania wymuszającego okup i niezgodności z przepisami.

Zapewnienie wymuszania zasad lokalnych użytkowników i grup na zarządzanych urządzeniach z systemem Windows przy użyciu profilów ochrony konta ma kluczowe znaczenie dla utrzymania bezpiecznej i zgodnej floty urządzeń.

Akcja korygowania

Skonfiguruj i wdróż profil członkostwa lokalnej grupy użytkowników z poziomu zasad ochrony konta Intune, aby ograniczyć użycie konta lokalnego i zarządzać nimi na urządzeniach z systemem Windows:

• Tworzenie zasad ochrony konta dla zabezpieczeń punktu końcowego w Intune
• Przypisywanie zasad w Intune

Dane w systemie Windows są chronione przez szyfrowanie funkcją BitLocker

Bez prawidłowo skonfigurowanych i przypisanych zasad funkcji BitLocker w Intune podmioty zagrożeń mogą wykorzystać niezaszyfrowane urządzenia z systemem Windows w celu uzyskania nieautoryzowanego dostępu do poufnych danych firmowych. Urządzenia, które nie mają wymuszonego szyfrowania, są narażone na ataki fizyczne, takie jak usuwanie dysku lub rozruch z nośników zewnętrznych, co pozwala osobom atakującym ominąć mechanizmy kontroli zabezpieczeń systemu operacyjnego. Te ataki mogą spowodować eksfiltrację danych, kradzież poświadczeń i dalsze przenoszenie boczne w środowisku.

Wymuszanie funkcji BitLocker na zarządzanych urządzeniach z systemem Windows ma kluczowe znaczenie dla zgodności z przepisami dotyczącymi ochrony danych i zmniejszenia ryzyka naruszeń danych.

Akcja korygowania

Użyj Intune, aby wymusić szyfrowanie funkcji BitLocker i monitorować zgodność na wszystkich zarządzanych urządzeniach z systemem Windows:

• Tworzenie zasad funkcji BitLocker dla urządzeń z systemem Windows w Intune
• Przypisywanie zasad w Intune
• Monitorowanie szyfrowania urządzeń przy użyciu Intune

Szyfrowanie programu FileVault chroni dane na urządzeniach z systemem macOS

Bez poprawnie skonfigurowanych i przypisanych zasad szyfrowania programu FileVault w Intune podmioty zagrożeń mogą wykorzystać fizyczny dostęp do niezarządzanych lub błędnie skonfigurowanych urządzeń z systemem macOS w celu wyodrębnienia poufnych danych firmowych. Niezaszyfrowane urządzenia umożliwiają osobom atakującym obejście zabezpieczeń na poziomie systemu operacyjnego przez uruchomienie z nośnika zewnętrznego lub usunięcie dysku magazynu. Te ataki mogą uwidocznić poświadczenia, certyfikaty i tokeny uwierzytelniania w pamięci podręcznej, umożliwiając eskalację uprawnień i przenoszenie boczne. Ponadto niezaszyfrowane urządzenia podważają zgodność z przepisami dotyczącymi ochrony danych i zwiększają ryzyko utraty reputacji i kar finansowych w przypadku naruszenia.

Wymuszanie szyfrowania programu FileVault chroni dane magazynowane na urządzeniach z systemem macOS, nawet w przypadku utraty lub kradzieży. Zakłóca zbieranie poświadczeń i przenoszenie boczne, obsługuje zgodność z przepisami i jest zgodny z zasadami Zero Trust zaufania urządzeń.

Akcja korygowania

Użyj Intune, aby wymusić szyfrowanie programu FileVault i monitorować zgodność na wszystkich zarządzanych urządzeniach z systemem macOS:

• Tworzenie zasad szyfrowania dysków programu FileVault dla systemu macOS w Intune
• Przypisywanie zasad w Intune
• Monitorowanie szyfrowania urządzeń przy użyciu Intune

Uwierzytelnianie w systemie Windows używa Windows Hello dla firm

Jeśli zasady dotyczące Windows Hello dla firm (WHfB) nie są konfigurowane i przypisywane do wszystkich użytkowników i urządzeń, aktorzy zagrożeń mogą wykorzystać słabe mechanizmy uwierzytelniania , takie jak hasła, w celu uzyskania nieautoryzowanego dostępu. Może to prowadzić do kradzieży poświadczeń, eskalacji uprawnień i przenoszenia bocznego w środowisku. Bez silnego uwierzytelniania opartego na zasadach, takiego jak WHfB, osoby atakujące mogą naruszyć bezpieczeństwo urządzeń i kont, zwiększając ryzyko powszechnego wpływu.

Wymuszanie WHfB zakłóca ten łańcuch ataków, wymagając silnego uwierzytelniania wieloskładnikowego, co pomaga zmniejszyć ryzyko ataków opartych na poświadczeniach i nieautoryzowanego dostępu.

Akcja korygowania

Wdróż Windows Hello dla firm w Intune, aby wymusić silne uwierzytelnianie wieloskładnikowe:

• Skonfiguruj zasady Windows Hello dla firm dla całej dzierżawy, które mają zastosowanie w momencie zarejestrowania urządzenia w Intune.
• Po rejestracji skonfiguruj profile ochrony konta i przypisz różne konfiguracje dla Windows Hello dla firm do różnych grup użytkowników i urządzeń.

Reguły zmniejszania obszaru podatnego na ataki są stosowane do urządzeń z systemem Windows, aby zapobiec eksploatacjam wrażliwych składników systemu

Jeśli Intune profile dla reguł asr (Attack Surface Reduction) nie są prawidłowo skonfigurowane i przypisane do urządzeń z systemem Windows, aktorzy zagrożeń mogą wykorzystać niechronione punkty końcowe do wykonywania zaciemnionych skryptów i wywoływania wywołań interfejsu API Win32 z makr pakietu Office. Techniki te są często używane w kampaniach wyłudzających informacje i dostarczaniu złośliwego oprogramowania, co umożliwia osobom atakującym obejście tradycyjnych zabezpieczeń antywirusowych i uzyskanie początkowego dostępu. Po w wewnątrz osoby atakujące eskalują uprawnienia, ustanawiają trwałość i poruszają się później po sieci. Bez wymuszania usługi ASR urządzenia pozostają narażone na ataki oparte na skryptach i nadużycia makr, podważając skuteczność Microsoft Defender i narażając dane poufne na eksfiltrację. Ta luka w ochronie punktów końcowych zwiększa prawdopodobieństwo pomyślnego naruszenia zabezpieczeń i zmniejsza zdolność organizacji do ograniczania zagrożeń i reagowania na nie.

Wymuszanie reguł asr pomaga blokować typowe techniki ataków, takie jak wykonywanie oparte na skryptach i nadużywanie makr, zmniejszając ryzyko początkowego naruszenia zabezpieczeń i obsługując Zero Trust przez wzmocnienie ochrony punktów końcowych.

Akcja korygowania

Użyj Intune, aby wdrożyć profile reguł zmniejszania obszaru ataków dla urządzeń z systemem Windows, aby blokować zachowania wysokiego ryzyka i wzmacniać ochronę punktów końcowych:

• Konfigurowanie profilów Intune dla reguł zmniejszania obszaru podatnego na ataki
• Przypisywanie zasad w Intune

Więcej informacji można znaleźć w następujących artykułach:

• Informacje o regułach zmniejszania obszaru ataków w dokumentacji Microsoft Defender.

zasady Program antywirusowy Defender chronią urządzenia z systemem Windows przed złośliwym oprogramowaniem

Jeśli zasady programu antywirusowego Microsoft Defender nie są prawidłowo skonfigurowane i przypisane w Intune, aktorzy zagrożeń mogą wykorzystać niechronione punkty końcowe do wykonywania złośliwego oprogramowania, wyłączania ochrony antywirusowej i utrwalania w środowisku. Bez wymuszanych zasad ochrony antywirusowej urządzenia działają z nieaktualnymi definicjami, wyłączoną ochroną w czasie rzeczywistym lub nieprawidłowo skonfigurowanymi harmonogramami skanowania. Te luki umożliwiają osobom atakującym pomijanie wykrywania, eskalowanie uprawnień i przenoszenie ich później przez sieć. Brak wymuszania ochrony antywirusowej osłabia zgodność urządzeń, zwiększa narażenie na zagrożenia zero-day i może spowodować niezgodność z przepisami. Osoby atakujące wykorzystują te słabości, aby zachować trwałość i uniknąć wykrywania, zwłaszcza w środowiskach, w których brakuje scentralizowanego wymuszania zasad.

Wymuszanie zasad Program antywirusowy Defender zapewnia spójną ochronę przed złośliwym oprogramowaniem, obsługuje wykrywanie zagrożeń w czasie rzeczywistym i jest zgodne z Zero Trust, utrzymując bezpieczną i zgodną postawę punktu końcowego.

Akcja korygowania

Skonfiguruj i przypisz zasady Intune dla programu antywirusowego Microsoft Defender, aby wymusić ochronę w czasie rzeczywistym, zachować aktualne definicje i zmniejszyć narażenie na złośliwe oprogramowanie:

• Konfigurowanie zasad Intune do zarządzania programem antywirusowym Microsoft Defender
• Przypisywanie zasad w Intune

zasady Program antywirusowy Defender chronią urządzenia z systemem macOS przed złośliwym oprogramowaniem

Jeśli Microsoft Defender zasady ochrony antywirusowej nie są prawidłowo skonfigurowane i przypisane do urządzeń z systemem macOS w Intune, osoby atakujące mogą wykorzystać niechronione punkty końcowe do wykonywania złośliwego oprogramowania, wyłączania ochrony antywirusowej i utrwalania w środowisku. Bez wymuszanych zasad urządzenia uruchamiają nieaktualne definicje, nie mają ochrony w czasie rzeczywistym lub mają nieprawidłowo skonfigurowane harmonogramy skanowania, co zwiększa ryzyko niewykrytych zagrożeń i eskalacji uprawnień. Umożliwia to przenoszenie boczne między siecią, zbieranie poświadczeń i eksfiltrację danych. Brak wymuszania ochrony antywirusowej osłabia zgodność urządzeń, zwiększa narażenie punktów końcowych na zagrożenia zerowym dniem i może spowodować niezgodność z przepisami. Osoby atakujące używają tych luk w celu zachowania trwałości i unikania wykrywania, zwłaszcza w środowiskach bez scentralizowanego wymuszania zasad.

Wymuszanie zasad Program antywirusowy Defender zapewnia, że urządzenia z systemem macOS są stale chronione przed złośliwym oprogramowaniem, obsługują wykrywanie zagrożeń w czasie rzeczywistym i dostosowują się do Zero Trust, utrzymując bezpieczną i zgodną postawę punktu końcowego.

Akcja korygowania

Użyj Intune do konfigurowania i przypisywania zasad ochrony antywirusowej Microsoft Defender dla urządzeń z systemem macOS w celu wymuszania ochrony w czasie rzeczywistym, utrzymywania aktualnych definicji i zmniejszania narażenia na złośliwe oprogramowanie:

• Konfigurowanie zasad Intune do zarządzania programem antywirusowym Microsoft Defender
• Przypisywanie zasad w Intune

Zasady zapory systemu Windows chronią przed nieautoryzowanym dostępem do sieci

Jeśli zasady zapory systemu Windows nie są skonfigurowane i przypisane, aktorzy zagrożeń mogą wykorzystać niechronione punkty końcowe, aby uzyskać nieautoryzowany dostęp, przenieść się później i eskalować uprawnienia w środowisku. Bez wymuszania reguł zapory osoby atakujące mogą pominąć segmentację sieci, eksfiltrować dane lub wdrożyć złośliwe oprogramowanie, zwiększając ryzyko powszechnego naruszenia zabezpieczeń.

Wymuszanie zasad zapory systemu Windows zapewnia spójne stosowanie kontroli ruchu przychodzącego i wychodzącego, zmniejszając narażenie na nieautoryzowany dostęp i obsługując Zero Trust poprzez segmentację sieci i ochronę na poziomie urządzenia.

Akcja korygowania

Skonfiguruj i przypisz zasady zapory dla systemu Windows w Intune, aby zablokować nieautoryzowany ruch i wymusić spójną ochronę sieci na wszystkich zarządzanych urządzeniach:

• Konfigurowanie zasad zapory dla urządzeń z systemem Windows. Intune używa dwóch uzupełniających się profilów do zarządzania ustawieniami zapory:
  • Zapora systemu Windows — użyj tego profilu, aby skonfigurować ogólne zachowanie zapory na podstawie typu sieci.
  • Reguły zapory systemu Windows — ten profil służy do definiowania reguł ruchu dla aplikacji, portów lub adresów IP dostosowanych do określonych grup lub obciążeń. Ten profil Intune obsługuje również korzystanie z grup ustawień wielokrotnego użytku, aby uprościć zarządzanie typowymi ustawieniami używanymi w różnych wystąpieniach profilów.
• Przypisywanie zasad w Intune

Więcej informacji można znaleźć w następujących artykułach:

• Dostępne ustawienia zapory systemu Windows

Zasady zapory systemu macOS chronią przed nieautoryzowanym dostępem do sieci

Bez centralnie zarządzanych zasad zapory urządzenia z systemem macOS mogą polegać na ustawieniach domyślnych lub zmodyfikowanych przez użytkownika, które często nie spełniają firmowych standardów zabezpieczeń. Naraża to urządzenia na niechciane połączenia przychodzące, umożliwiając podmiotom zagrożeń wykorzystanie luk w zabezpieczeniach, ustanowienie ruchu wychodzącego polecenia i kontroli (C2) na potrzeby eksfiltracji danych i późniejsze przenoszenie w obrębie sieci — znacznie eskalując zakres i wpływ naruszenia.

Wymuszanie zasad zapory systemu macOS zapewnia spójną kontrolę nad ruchem przychodzącym i wychodzącym, zmniejszając narażenie na nieautoryzowany dostęp i obsługując Zero Trust dzięki ochronie na poziomie urządzenia i segmentacji sieci.

Akcja korygowania

Skonfiguruj i przypisz profile zapory systemu macOS w Intune, aby blokować nieautoryzowany ruch i wymuszać spójne zabezpieczenia sieci na wszystkich zarządzanych urządzeniach z systemem macOS:

• Konfigurowanie wbudowanej zapory na urządzeniach z systemem macOS
• Przypisywanie zasad w Intune

Więcej informacji można znaleźć w następujących artykułach:

• Dostępne ustawienia zapory systemu macOS

Windows Update zasady są wymuszane w celu zmniejszenia ryzyka związanego z nienadzorowanymi lukami w zabezpieczeniach

Jeśli zasady Windows Update nie są wymuszane na wszystkich firmowych urządzeniach z systemem Windows, aktorzy zagrożeń mogą wykorzystać nieprzypisane luki w zabezpieczeniach, aby uzyskać nieautoryzowany dostęp, eskalować uprawnienia i przenieść się później w środowisku. Łańcuch ataków często zaczyna się od naruszenia zabezpieczeń urządzenia poprzez wyłudzanie informacji, złośliwe oprogramowanie lub wykorzystywanie znanych luk w zabezpieczeniach, po czym następuje próba obejścia mechanizmów kontroli zabezpieczeń. Bez wymuszania zasad aktualizacji osoby atakujące wykorzystują nieaktualne oprogramowanie, aby utrzymać się w środowisku, zwiększając ryzyko eskalacji uprawnień i naruszenia zabezpieczeń w całej domenie.

Wymuszanie zasad Windows Update zapewnia terminowe stosowanie poprawek luk w zabezpieczeniach, zakłócanie trwałości osoby atakującej i zmniejszanie ryzyka powszechnego naruszenia zabezpieczeń.

Akcja korygowania

Zacznij od zarządzania aktualizacjami oprogramowania systemu Windows w Intune, aby poznać dostępne typy zasad Windows Update i sposób ich konfigurowania.

Intune obejmuje następujący typ zasad aktualizacji systemu Windows:

• Zasady - aktualizacji jakości systemu Windowsaby zainstalować regularne miesięczne aktualizacje systemu Windows.
• Przyspieszanie zasad - aktualizacjiaby szybko zainstalować krytyczne poprawki zabezpieczeń.
• Zasady aktualizacji funkcji
• Aktualizowanie zasad - pierścienido zarządzania sposobem i kiedy urządzenia instalują aktualizacje funkcji i jakości.
• Aktualizacje sterowników - systemu Windowsw celu zaktualizowania składników sprzętowych.

Punkty odniesienia zabezpieczeń są stosowane do urządzeń z systemem Windows w celu wzmocnienia stanu zabezpieczeń

Bez prawidłowo skonfigurowanych i przypisanych Intune punktów odniesienia zabezpieczeń dla systemu Windows urządzenia pozostają narażone na szeroką gamę wektorów ataków, które aktorzy zagrożeń wykorzystują do uzyskania trwałości i eskalowania uprawnień. Przeciwnicy korzystają z domyślnych konfiguracji systemu Windows, które nie mają wzmocnionych ustawień zabezpieczeń, do wykonywania ruchu bocznego przy użyciu technik takich jak dumping poświadczeń, eskalacja uprawnień za pośrednictwem nieprzypisanych luk w zabezpieczeniach i wykorzystanie słabych mechanizmów uwierzytelniania. W przypadku braku wymuszonych punktów odniesienia zabezpieczeń podmioty zagrożeń mogą pomijać krytyczne mechanizmy kontroli zabezpieczeń, utrzymywać trwałość poprzez modyfikacje rejestru i eksfiltrować dane poufne za pośrednictwem niemonitorowanych kanałów. Niezaimplementowanie strategii ochrony w głębi systemu ułatwia wykorzystanie urządzeń w miarę postępów osób atakujących w łańcuchu ataków — od początkowego dostępu do eksfiltracji danych — co ostatecznie zagraża stanowi bezpieczeństwa organizacji i zwiększa ryzyko naruszeń zgodności.

Zastosowanie punktów odniesienia zabezpieczeń gwarantuje, że urządzenia z systemem Windows są skonfigurowane z ustawieniami wzmocnionymi, zmniejszając obszar ataków, wymuszając ochronę w głębi systemu i obsługując Zero Trust przez standaryzację mechanizmów kontroli zabezpieczeń w całym środowisku.

Akcja korygowania

Konfigurowanie i przypisywanie Intune punktów odniesienia zabezpieczeń do urządzeń z systemem Windows w celu wymuszania standardowych ustawień zabezpieczeń i monitorowania zgodności:

• Wdrażanie punktów odniesienia zabezpieczeń w celu zabezpieczenia urządzeń z systemem Windows
• Monitorowanie zgodności punktu odniesienia zabezpieczeń

Zasady aktualizacji dla systemu macOS są wymuszane w celu zmniejszenia ryzyka związanego z nienadzorowanymi lukami w zabezpieczeniach

Jeśli zasady aktualizacji systemu macOS nie są prawidłowo skonfigurowane i przypisane, aktorzy zagrożeń mogą wykorzystać nieprzypisane luki w zabezpieczeniach na urządzeniach z systemem macOS w organizacji. Bez wymuszanych zasad aktualizacji urządzenia pozostają w nieaktualnych wersjach oprogramowania, zwiększając obszar ataków w przypadku eskalacji uprawnień, zdalnego wykonywania kodu lub technik trwałości. Aktorzy zagrożeń mogą wykorzystać te słabości, aby uzyskać początkowy dostęp, eskalować uprawnienia i poruszać się później w środowisku. Jeśli zasady istnieją, ale nie są przypisane do grup urządzeń, punkty końcowe pozostają niezabezpieczone, a luki w zgodności pozostają niewykryte. Może to prowadzić do powszechnego naruszenia zabezpieczeń, eksfiltracji danych i zakłóceń operacyjnych.

Wymuszanie zasad aktualizacji systemu macOS zapewnia, że urządzenia otrzymują aktualne poprawki, zmniejszając ryzyko eksploatacji i obsługując Zero Trust, utrzymując bezpieczną, zgodną flotę urządzeń.

Akcja korygowania

Skonfiguruj i przypisz zasady aktualizacji systemu macOS w Intune, aby wymusić terminowe stosowanie poprawek i zmniejszyć ryzyko związane z nienadzorowanymi lukami w zabezpieczeniach:

• Zarządzanie aktualizacjami oprogramowania systemu macOS w Intune

Zasady aktualizacji dla systemu iOS/iPadOS są wymuszane w celu zmniejszenia ryzyka związanego z nieprzypisaną luką w zabezpieczeniach

Jeśli zasady aktualizacji systemu iOS nie są skonfigurowane i przypisane, aktorzy zagrożeń mogą wykorzystać nieprzypisane luki w zabezpieczeniach w nieaktualnych systemach operacyjnych na urządzeniach zarządzanych. Brak wymuszonych zasad aktualizacji umożliwia osobom atakującym korzystanie ze znanych exploitów w celu uzyskania początkowego dostępu, eskalowania uprawnień i późniejszego przenoszenia w środowisku. Bez terminowych aktualizacji urządzenia pozostają podatne na luki w zabezpieczeniach, które zostały już rozwiązane przez firmę Apple, umożliwiając podmiotom narażonym na zagrożenia obejście mechanizmów kontroli zabezpieczeń, wdrażanie złośliwego oprogramowania lub eksfiltrowanie dane poufne. Ten łańcuch ataków rozpoczyna się od naruszenia zabezpieczeń urządzenia przez nieprzypisaną lukę w zabezpieczeniach, a następnie trwałość i potencjalne naruszenie danych, które mają wpływ zarówno na bezpieczeństwo organizacji, jak i stan zgodności.

Wymuszanie zasad aktualizacji zakłóca ten łańcuch, zapewniając stałą ochronę urządzeń przed znanymi zagrożeniami.

Akcja korygowania

Skonfiguruj i przypisz zasady aktualizacji systemu iOS/iPadOS w Intune, aby wymusić terminowe stosowanie poprawek i zmniejszyć ryzyko związane z nieprzypisaną luką w zabezpieczeniach:

• Zarządzanie aktualizacjami oprogramowania systemu iOS/iPadOS w Intune
• Przypisywanie zasad w Intune

Zawartość pokrewna

• Przewodnik wdrażania dla Microsoft Intune
• Ochrona danych i urządzeń za pomocą usługi Microsoft Intune
• Konfigurowanie Microsoft Entra pod kątem zwiększonych zabezpieczeń (wersja zapoznawcza)
• Konfigurowanie Microsoft Intune pod kątem zwiększonych zabezpieczeń (wersja zapoznawcza)