Настройка Microsoft Intune для "Никому не доверяй: безопасные устройства" (предварительная версия)

Защита конечных точек является важной частью стратегии "Никому не доверяй". Эти Intune рекомендации помогут защитить периметр сети и устройства с помощью управляемых политикой элементов управления, которые обеспечивают шифрование, ограничение несанкционированного доступа и снижение уязвимостей. Применяя политики конфигурации и безопасности на разных платформах, эти проверки согласуются с инициативой Майкрософт по обеспечению безопасности в будущем и укрепляют общее состояние безопасности вашей организации.

Рекомендации по безопасности "Никому не доверяй"

Учетные данные локального администратора в Windows защищены с помощью Windows LAPS

Без применения политик решения для паролей локального администратора (LAPS) субъекты угроз, получающие доступ к конечным точкам, могут использовать статические или слабые пароли локального администратора для повышения привилегий, бокового перемещения и установления сохраняемости. Цепочка атак обычно начинается с компрометации устройства (с помощью фишинга, вредоносных программ или физического доступа), за которой следует попытка получить учетные данные локального администратора. Без LAPS злоумышленники могут повторно использовать скомпрометированные учетные данные на нескольких устройствах, что повышает риск повышения привилегий и компрометации на уровне домена.

Применение Windows LAPS на всех корпоративных устройствах Windows обеспечивает уникальные, регулярно сменяемые пароли локального администратора. Это нарушает цепочку атак на этапах доступа к учетным данным и бокового перемещения, что значительно снижает риск широко распространенного компрометации.

Действие по исправлению

Используйте Intune для применения политик Windows LAPS, которые сменяют надежные и уникальные пароли локального администратора и безопасно резервную копию.

• Развертывание политики Windows LAPS с помощью Microsoft Intune

Дополнительные сведения см. в разделе:

• Справочник по параметрам политики Windows LAPS
• Сведения о поддержке Intune windows LAPS

Учетные данные локального администратора в macOS защищены во время регистрации с помощью macOS LAPS

Без применения политик MACOS LAPS во время автоматической регистрации устройств (ADE) субъекты угроз могут использовать статические или повторно используемые пароли локального администратора для повышения привилегий, бокового перемещения и установления сохраняемости. Устройства, подготовленные без случайных учетных данных, уязвимы к сбору и повторному использованию учетных данных в нескольких конечных точках, что повышает риск компрометации на уровне домена.

Применение macOS LAPS гарантирует, что каждое устройство будет подготовлено с уникальным зашифрованным паролем локального администратора, управляемым Intune. Это нарушает цепочку атак на этапах доступа к учетным данным и бокового перемещения, что значительно снижает риск широко распространенного компрометации и соответствует принципам "Никому не доверяй" с минимальными привилегиями и гигиеной учетных данных.

Действие по исправлению

Используйте Intune, чтобы настроить профили macOS ADE, которые подготавливают учетную запись локального администратора со случайным и зашифрованным паролем и обеспечивают безопасную смену:

• Настройка macOS LAPS в Microsoft Intune
• Смена пароля локального администратора (macOS)

Дополнительные сведения см. в разделе:

• Руководство по настройке ADE для macOS

Использование локальной учетной записи в Windows ограничено для сокращения несанкционированного доступа

Без правильно настроенной и назначенной политики локальных пользователей и групп в Intune субъекты угроз могут использовать неуправляемые или неправильно настроенные локальные учетные записи на устройствах Windows. Это может привести к несанкционированной эскалации привилегий, сохраняемости и боковому перемещению в среде. Если учетные записи локального администратора не контролируются, злоумышленники могут создавать скрытые учетные записи или повышать привилегии, минуя элементы управления соответствием требованиям и безопасностью. Этот разрыв повышает риск кражи данных, развертывания программ-шантажистов и несоответствия нормативным требованиям.

Обеспечение применения политик локальных пользователей и групп на управляемых устройствах Windows с помощью профилей защиты учетных записей имеет решающее значение для поддержания безопасного и соответствующего требованиям парка устройств.

Действие по исправлению

Настройте и разверните профиль членства в локальной группе пользователей из Intune политики защиты учетных записей, чтобы ограничить использование локальных учетных записей на устройствах Windows и управлять ими:

• Создание политики защиты учетных записей для безопасности конечных точек в Intune
• Назначение политик в Intune

Данные в Windows защищены с помощью шифрования BitLocker

Без правильно настроенной и назначенной политики BitLocker в Intune субъекты угроз могут использовать незашифрованные устройства Windows для получения несанкционированного доступа к конфиденциальным корпоративным данным. Устройства, на которых отсутствует принудительное шифрование, уязвимы к физическим атакам, таким как удаление диска или загрузка с внешнего носителя, что позволяет злоумышленникам обходить элементы управления безопасностью операционной системы. Эти атаки могут привести к краже данных, краже учетных данных и дальнейшему боковому перемещению в среде.

Применение BitLocker на управляемых устройствах Windows имеет решающее значение для соответствия нормативным требованиям по защите данных и снижения риска утечки данных.

Действие по исправлению

Используйте Intune для принудительного шифрования BitLocker и мониторинга соответствия на всех управляемых устройствах Windows:

• Создание политики BitLocker для устройств Windows в Intune
• Назначение политик в Intune
• Отслеживание шифрования устройств в Intune

Шифрование FileVault защищает данные на устройствах macOS

Без правильно настроенных и назначенных политик шифрования FileVault в Intune субъекты угроз могут использовать физический доступ к неуправляемыми или неправильно настроенным устройствам macOS для извлечения конфиденциальных корпоративных данных. Незашифрованные устройства позволяют злоумышленникам обойти безопасность на уровне операционной системы путем загрузки с внешнего носителя или удаления диска хранилища. Эти атаки могут предоставлять учетные данные, сертификаты и кэшированные маркеры проверки подлинности, что позволяет повысить привилегии и боковое перемещение. Кроме того, незашифрованные устройства подрывают соблюдение правил защиты данных и повышают риск репутационного ущерба и финансовых штрафов в случае нарушения.

Применение шифрования FileVault защищает неактивные данные на устройствах macOS даже в случае потери или кражи. Он нарушает сбор и боковое перемещение учетных данных, поддерживает соответствие нормативным требованиям и соответствует принципам "Никому не доверяй" доверия устройств.

Действие по исправлению

Используйте Intune для принудительного шифрования FileVault и мониторинга соответствия на всех управляемых устройствах macOS:

• Создание политики шифрования дисков FileVault для macOS в Intune
• Назначение политик в Intune
• Отслеживание шифрования устройств в Intune

Проверка подлинности в Windows использует Windows Hello для бизнеса

Если политики для Windows Hello для бизнеса (WHfB) не настроены и назначены всем пользователям и устройствам, субъекты угроз могут использовать слабые механизмы проверки подлинности, такие как пароли, для получения несанкционированного доступа. Это может привести к краже учетных данных, увеличению привилегий и боковому перемещению в среде. Без надежной проверки подлинности на основе политик, такой как WHfB, злоумышленники могут компрометации устройств и учетных записей, что повышает риск широкомасштабного воздействия.

Применение WHfB нарушает эту цепочку атак, требуя надежной многофакторной проверки подлинности, что помогает снизить риск атак на основе учетных данных и несанкционированного доступа.

Действие по исправлению

Разверните Windows Hello для бизнеса в Intune для принудительной многофакторной проверки подлинности:

• Настройте политику Windows Hello для бизнеса на уровне клиента, которая применяется во время регистрации устройства в Intune.
• После регистрации настройте профили защиты учетных записей и назначьте различные конфигурации для Windows Hello для бизнеса разным группам пользователей и устройств.

Правила сокращения направлений атаки применяются к устройствам Windows, чтобы предотвратить эксплуатацию уязвимых системных компонентов

Если Intune профили для правил сокращения направлений атаки (ASR) неправильно настроены и назначены устройствам Windows, субъекты угроз могут использовать незащищенные конечные точки для выполнения скрытых сценариев и вызова API Win32 из макросов Office. Эти методы обычно используются в фишинговых кампаниях и доставке вредоносных программ, что позволяет злоумышленникам обойти традиционные антивирусные средства защиты и получить первоначальный доступ. Попав внутрь, злоумышленники активит привилегии, устанавливают сохраняемость и перемещаются по сети в боковом окне. Без применения ASR устройства по-прежнему уязвимы к атакам на основе сценариев и злоупотреблению макросами, подрывая эффективность Microsoft Defender и подвергая конфиденциальные данные краже. Этот разрыв в защите конечных точек повышает вероятность успешного компрометации и снижает способность организации сдерживать угрозы и реагировать на них.

Применение правил ASR помогает блокировать распространенные методы атаки, такие как выполнение на основе скриптов и злоупотребление макросами, уменьшая риск первоначального компрометации и поддерживая "Никому не доверяй" за счет усиления защиты конечных точек.

Действие по исправлению

Используйте Intune для развертывания профилей правил сокращения направлений атак для устройств Windows, чтобы блокировать поведение с высоким риском и усилить защиту конечных точек:

• Настройка профилей Intune для правил сокращения направлений атак
• Назначение политик в Intune

Дополнительные сведения см. в разделе:

• Сведения о правилах сокращения направлений атаки см. в документации по Microsoft Defender.

политики антивирусная программа Defender защищают устройства Windows от вредоносных программ

Если политики для антивирусной программы Microsoft Defender неправильно настроены и назначены в Intune, субъекты угроз могут использовать незащищенные конечные точки для выполнения вредоносных программ, отключения антивирусной защиты и сохранения в среде. Без применения политик антивирусной программы устройства работают с устаревшими определениями, отключенной защитой в режиме реального времени или неправильно настроенными расписаниями сканирования. Эти пробелы позволяют злоумышленникам обходить обнаружение, эскалацию привилегий и боковое перемещение по сети. Отсутствие принудительного применения антивирусной программы подрывает соответствие устройств требованиям, повышает уязвимость к угрозам нулевого дня и может привести к несоответствию нормативным требованиям. Злоумышленники используют эти слабые места для поддержания сохраняемости и обхода обнаружения, особенно в средах, где отсутствует централизованное применение политик.

Применение политик антивирусная программа Defender обеспечивает согласованную защиту от вредоносных программ, поддерживает обнаружение угроз в режиме реального времени и обеспечивает соответствие требованиям "Никому не доверяй", поддерживая безопасную и совместимую конечную точку.

Действие по исправлению

Настройте и назначьте политики Intune для антивирусной программы Microsoft Defender для обеспечения защиты в режиме реального времени, поддержки актуальных определений и снижения уязвимости к вредоносным программам:

• Настройка политик Intune для управления антивирусной программой Microsoft Defender
• Назначение политик в Intune

политики антивирусная программа Defender защищают устройства macOS от вредоносных программ

Если политики антивирусной программы Microsoft Defender неправильно настроены и назначены устройствам macOS в Intune, злоумышленники могут использовать незащищенные конечные точки для выполнения вредоносных программ, отключения антивирусной защиты и сохранения в среде. Без применения политик устройства работают с устаревшими определениями, не имеют защиты в режиме реального времени или имеют неправильно настроенные расписания сканирования, что повышает риск необнаружаемых угроз и повышения привилегий. Это обеспечивает боковое перемещение по сети, сбор учетных данных и кражу данных. Отсутствие принудительного применения антивирусной программы подрывает соответствие устройств требованиям, повышает уязвимость конечных точек к угрозам нулевого дня и может привести к несоответствию нормативным требованиям. Злоумышленники используют эти пробелы для сохранения и обхода обнаружения, особенно в средах без централизованного применения политик.

Применение политик антивирусная программа Defender гарантирует постоянную защиту устройств macOS от вредоносных программ, поддерживает обнаружение угроз в режиме реального времени и обеспечивает соответствие требованиям "Никому не доверяй", поддерживая безопасную и совместимую конечную точку.

Действие по исправлению

Используйте Intune для настройки и назначения политик антивирусной Microsoft Defender для устройств macOS, чтобы обеспечить защиту в режиме реального времени, поддерживать актуальные определения и уменьшать уязвимость к вредоносным программам:

• Настройка политик Intune для управления антивирусной программой Microsoft Defender
• Назначение политик в Intune

Политики брандмауэра Windows защищают от несанкционированного доступа к сети

Если политики брандмауэра Windows не настроены и не назначены, субъекты угроз могут использовать незащищенные конечные точки для получения несанкционированного доступа, бокового перемещения и повышения привилегий в среде. Без применения правил брандмауэра злоумышленники могут обойти сегментацию сети, эксфильтровать данные или развернуть вредоносные программы, что повышает риск широкомасштабного компрометации.

Применение политик брандмауэра Windows обеспечивает согласованное применение элементов управления входящим и исходящим трафиком, уменьшая риск несанкционированного доступа и поддерживая "Никому не доверяй" за счет сегментации сети и защиты на уровне устройства.

Действие по исправлению

Настройте и назначьте политики брандмауэра для Windows в Intune для блокировки несанкционированного трафика и обеспечения согласованной защиты сети на всех управляемых устройствах:

• Настройка политик брандмауэра для устройств Windows. Intune использует два дополнительных профиля для управления параметрами брандмауэра:
  • Брандмауэр Windows . Используйте этот профиль для настройки общего поведения брандмауэра в зависимости от типа сети.
  • Правила брандмауэра Windows . Используйте этот профиль для определения правил трафика для приложений, портов или IP-адресов, адаптированных для определенных групп или рабочих нагрузок. Этот Intune профиль также поддерживает использование повторно используемых групп параметров, чтобы упростить управление общими параметрами, используемыми для различных экземпляров профиля.
• Назначение политик в Intune

Дополнительные сведения см. в разделе:

• Доступные параметры брандмауэра Windows

Политики брандмауэра macOS защищают от несанкционированного доступа к сети

Без централизованно управляемой политики брандмауэра устройства macOS могут использовать параметры по умолчанию или параметры, измененные пользователем, которые часто не соответствуют корпоративным стандартам безопасности. Это предоставляет устройствам незапрошенные входящие подключения, позволяя субъектам угроз использовать уязвимости, устанавливать исходящий трафик команд и управления (C2) для кражи данных и перемещаться по сети в боковом направлении, что значительно повышает область и последствия нарушения.

Применение политик брандмауэра macOS обеспечивает согласованный контроль над входящим и исходящим трафиком, уменьшая риск несанкционированного доступа и поддерживая "Никому не доверяй" за счет защиты на уровне устройства и сегментации сети.

Действие по исправлению

Настройте и назначьте профили брандмауэра macOS в Intune для блокировки несанкционированного трафика и обеспечения согласованной защиты сети на всех управляемых устройствах macOS:

• Настройка встроенного брандмауэра на устройствах macOS
• Назначение политик в Intune

Дополнительные сведения см. в разделе:

• Доступные параметры брандмауэра macOS

клиентский компонент Центра обновления Windows политики применяются для снижения риска уязвимостей без исправления

Если клиентский компонент Центра обновления Windows политики не применяются на всех корпоративных устройствах Windows, субъекты угроз могут использовать уязвимости без исправления для получения несанкционированного доступа, повышения привилегий и бокового перемещения в среде. Цепочка атак часто начинается с компрометации устройства с помощью фишинга, вредоносных программ или эксплуатации известных уязвимостей, а затем попытки обойти элементы управления безопасностью. Без применения политик обновления злоумышленники используют устаревшее программное обеспечение для сохранения в среде, что повышает риск повышения привилегий и компрометации на уровне домена.

Применение политик клиентский компонент Центра обновления Windows обеспечивает своевременное исправление ошибок системы безопасности, нарушает сохраняемость злоумышленников и снижает риск широкомасштабного компрометации.

Действие по исправлению

Начните с управления обновлениями программного обеспечения Windows в Intune, чтобы понять доступные типы политик клиентский компонент Центра обновления Windows и способы их настройки.

Intune включает следующий тип политики обновления Windows:

• Политика - обновлений качества Windowsдля установки регулярных ежемесячных обновлений для Windows.
• Политика - ускорения обновленийдля быстрой установки критически важных исправлений безопасности.
• Политика обновлений компонентов
• Политика - кругов обновлениядля управления тем, как и когда устройства устанавливают обновления компонентов и качества.
• Обновления - драйверов Windowsдля обновления компонентов оборудования.

Базовые показатели безопасности применяются к устройствам Windows для повышения уровня безопасности

Без правильной настройки и назначения Intune базовых показателей безопасности для Windows устройства остаются уязвимыми для широкого спектра векторов атак, которые субъекты угроз используют для получения сохраняемости и повышения привилегий. Злоумышленники используют конфигурации Windows по умолчанию, не имеющие защищенных параметров безопасности, для выполнения бокового перемещения с помощью таких методов, как дамп учетных данных, повышение привилегий за счет уязвимостей без исправления и использование слабых механизмов проверки подлинности. При отсутствии обязательных базовых показателей безопасности субъекты угроз могут обходить критические элементы управления безопасностью, поддерживать сохраняемость с помощью изменений реестра и эксфильтровать конфиденциальные данные через неотредактированные каналы. Не удается реализовать стратегию глубокой защиты, что упрощает использование устройств по мере продвижения злоумышленников по цепочке атак ( от первоначального доступа к краже данных) в конечном итоге компрометирует состояние безопасности организации и увеличивает риск нарушений соответствия требованиям.

Применение базовых показателей безопасности гарантирует, что устройства Windows настраиваются с защищенными параметрами, сокращая область атак, обеспечивая глубинную защиту и поддерживая "Никому не доверяй" за счет стандартизации элементов управления безопасностью в среде.

Действие по исправлению

Настройте и назначьте Intune базовые показатели безопасности устройствам Windows для применения стандартизованных параметров безопасности и мониторинга соответствия.

• Развертывание базовых показателей безопасности для защиты устройств Windows
• Мониторинг соответствия базовым показателям безопасности

Политики обновления для macOS применяются для снижения риска уязвимостей без исправления.

Если политики обновления macOS неправильно настроены и назначены, субъекты угроз могут использовать уязвимости без исправления на устройствах macOS в организации. Без принудительных политик обновления устройства остаются в устаревших версиях программного обеспечения, что увеличивает область атаки для повышения привилегий, удаленного выполнения кода или методов сохраняемости. Субъекты угроз могут использовать эти слабые места для получения первоначального доступа, повышения привилегий и бокового перемещения в среде. Если политики существуют, но не назначаются группам устройств, конечные точки остаются без защиты, а пробелы в соответствии с требованиями остаются незамеченными. Это может привести к широкомасштабной компрометации, краже данных и нарушению работы.

Применение политик обновления macOS гарантирует, что устройства получают своевременные исправления, уменьшая риск эксплуатации и поддерживая "Никому не доверяй", поддерживая безопасный и соответствующий требованиям парк устройств.

Действие по исправлению

Настройте и назначьте политики обновления macOS в Intune, чтобы обеспечить своевременное исправление и снизить риск уязвимостей без исправления.

• Управление обновлениями программного обеспечения macOS в Intune

Политики обновлений для iOS/iPadOS применяются для снижения риска не исправленных уязвимостей.

Если политики обновления iOS не настроены и не назначены, субъекты угроз могут использовать уязвимости без исправления в устаревших операционных системах на управляемых устройствах. Отсутствие принудительных политик обновления позволяет злоумышленникам использовать известные эксплойты для получения начального доступа, повышения привилегий и бокового перемещения в среде. Без своевременного обновления устройства по-прежнему подвержены эксплойтам, которые уже были устранены Apple, что позволяет субъектам угроз обходить элементы управления безопасностью, развертывать вредоносные программы или удалять конфиденциальные данные. Эта цепочка атак начинается с компрометации устройства из-за неустранимой уязвимости, за которой следует сохраняемость и потенциальная утечка данных, которая влияет как на безопасность организации, так и на состояние соответствия требованиям.

Применение политик обновления нарушает эту цепочку, обеспечивая постоянную защиту устройств от известных угроз.

Действие по исправлению

Настройте и назначьте политики обновления iOS/iPadOS в Intune, чтобы обеспечить своевременное исправление и снизить риск, связанный с уязвимостями без исправления:

• Управление обновлениями программного обеспечения iOS/iPadOS в Intune
• Назначение политик в Intune

Связанные материалы

• Руководство по развертыванию для Microsoft Intune
• Защита данных и устройств с помощью Microsoft Intune
• Настройка Microsoft Entra для повышения безопасности (предварительная версия)
• Настройка Microsoft Intune для повышения безопасности (предварительная версия)