Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Оценка нулевого доверия проверяет конфигурацию клиента и рекомендует способы повышения безопасности, как описано в нашем обзоре.
Предпосылки
- PowerShell 7. Чтобы установить его, см. статью "Установка PowerShell в Windows, Linux и macOS".
- Чтобы подключиться и предоставить согласие на необходимые разрешения в первый раз, необходимо быть глобальным администратором.
- Последующие запуски могут использовать роль Глобального Читателя.
- Если вы установили предыдущую версию оценки нулевого доверия, удалите ее перед продолжением.
Установка модулей PowerShell
Выполните следующие действия, чтобы установить или обновить оценку и подключиться к Microsoft Graph и вашему клиенту.
Откройте новое окно PowerShell 7.
Выполните следующую команду, чтобы установить модуль
ZeroTrustAssessment:Install-Module ZeroTrustAssessment -Scope CurrentUser
Подключение к Microsoft Graph и Microsoft Azure
Чтобы запустить модуль оценки нулевого доверия, подключитесь к Microsoft Graph и Microsoft Azure. Модуль оценки нулевого доверия сначала подключается к Microsoft Graph, а затем к Microsoft Azure.
Выполните следующую команду, чтобы подключиться к Microsoft Graph:
Connect-ZtAssessment
При подключении с помощью Microsoft Graph PowerShell он запрашивает следующие разрешения:
- AuditLog.Read.All
- CrossTenantInformation.ReadBasic.All
- DeviceManagementApps.Read.All
- DeviceManagementConfiguration.Read.All
- УправлениеУстройствамиУправляемыеУстройства.Чтение.Все
- Управление устройствами RBAC (Чтение всех данных)
- DeviceManagementServiceConfig.Read.All
- Directory.Read.All
- РекомендацииКаталога.Чтение.Все
- EntitlementManagement.Read.All
- IdentityRiskEvent.Read.All (разрешение для чтения всех событий рисков идентификации)
- IdentityRiskyUser.Read.All
- Политика.Чтение.Все
- Policy.Read.ConditionalAccess
- Политика.Чтение.ВыдачаРазрешения
- PrivilegedAccess.Read.AzureAD
- Reports.Read.All
- RoleManagement.Read.All
- UserAuthenticationMethod.Read.All
Замечание
Запрос на согласие отображается только в том случае, если приложение Microsoft Graph PowerShell еще не имеет этих разрешений. При следующем подключении вам не нужно повторно предоставлять разрешения.
Вход в Microsoft Graph
- Войдите в Microsoft Graph в качестве глобального администратора.
- Нажмите кнопку "Принять".
Вход в Microsoft Azure
Откроется второе окно для входа в Microsoft Azure. При появлении запроса войдите в Microsoft Azure в качестве глобального администратора.
Для проверки экспорта журналов аудита и входа необходима авторизация в Microsoft Azure. Если у вас нет Microsoft Azure, закройте окно без входа и пропустите предупреждение. Оценка пропускает тест, основанный на Microsoft Azure.
Если у вас несколько подписок, выберите арендатора и подписку при появлении запроса.
Запустите оценку
Оценка нулевого доверия доступна только для чтения. Он выполняет и сохраняет все данные локально на рабочем столе. Рекомендуется безопасно хранить отчет об оценке и удалять созданную папку и его содержимое с локального диска после завершения оценки.
После того, как вы дадите согласие глобального администратора на разрешения при первом запуске, последующие запуски можно выполнять в роли глобального читателя.
Чтобы выполнить оценку, используйте следующую команду:
Invoke-ZtAssessment
Оценка сохраняет результаты в текущей рабочей папке .\ZeroTrustReport\ZeroTrustAssessmentReport.html. После завершения оценки отчет автоматически открывается в браузере по умолчанию.
Caution
Отчет и папка экспорта содержат конфиденциальные сведения о клиенте, которые субъекты угроз могут использовать в своих преимуществах. Предоставление общего доступа к отчету и папке только авторизованным персоналом в организации.
Используйте параметр -Path для задания пользовательского расположения для хранения отчета об оценке. Например, следующая команда сохраняет отчет в папке C:/MyAssessment01/ZeroTrustAssessmentReport.html:
Invoke-ZtAssessment -Path C:\MyAssessment01
Подсказка
Для крупных клиентов оценка нулевого доверия может занять более 24 часов. Не останавливайте оценку во время её выполнения, даже если журналы оценки содержат предупреждения или ошибки.
Просмотр результатов оценки
После выполнения оценки отчет открывает вкладку "Обзор " в браузере по умолчанию. На вкладке "Обзор" отображается ключевая информация о модели "Нулевого доверия" в отношении арендатора.
На вкладках "Удостоверения" и "Устройства" отображается список результатов выполнения тестов для арендатора. Результаты показывают состояние риска и результата каждого теста.
Чтобы просмотреть дополнительные сведения о тесте, выберите результат. Сведения описывают, что было протестировано, и перечисляют рекомендуемые действия по устранению проблем в конфигурации арендатора. Дополнительные сведения о некоторых терминах, используемых в каждой проверке, см. в нашем глоссарии.
Удаление модуля оценки нулевого доверия
Чтобы удалить модуль оценки нулевого доверия, выполните следующие действия.
- Удалите модуль PowerShell.
- Удалите папку, созданную модулем оценки нулевого доверия.
FAQs
Удаление предыдущих версий
Выполните следующие команды, чтобы убедиться, что удаляются все версии предыдущих модулей.
Uninstall-Module ZeroTrustAssessment -Force -AllVersions
Перезапустите PowerShell и установите последнюю версию.
Не удалось загрузить файл или сборку Microsoft.Graph.Authentication
Эта ошибка возникает при наличии конфликтующих версий Microsoft Graph PowerShell.
Чтобы устранить эту ошибку, рекомендуется удалить все модули Microsoft Graph PowerShell, установленные в вашей системе. Для запуска очистки можно использовать вспомогательный модуль, например uninstall-graph.merill.net .
При удалении Microsoft Graph необходимо также удалить все версии оценки нулевого доверия, перезапустите PowerShell и установите последнюю версию.
Install-Module Uninstall-Graph
Uninstall-Module ZeroTrustAssessment -Force -AllVersions
Uninstall-Graph
Как узнать, что делает скрипт?
Код для этой оценки является открытым кодом. Просмотрите его по адресу https://github.com/microsoft/zerotrustassessment/tree/psnext/src/powershell.
Почему возникла ошибка исключения: "Инициализатор типов для "DuckDB.NET.Data.DuckDBConnectionStringBuilder" вызвал исключение."
В новой установке Windows может появиться следующая ошибка:
Инициализатор типов для DuckDB.NET.Data.DuckDBConnectionStringBuilder вызвал исключение. Внутреннее исключение: не удается загрузить библиотеку DLL duckdb или одну из его зависимостей: не удалось найти указанный модуль. (0x8007007E) Тип внутреннего исключения: DllNotFoundException
Эта ошибка возникает, потому что вы работаете на системе, которая не включает Microsoft Visual C++ 2015-2022 Redistributable (x64) - Microsoft.VCRedist.2015+.x64. VCRedist обычно устанавливается при установке продуктов Майкрософт, таких как Microsoft Office или Microsoft Entra Connect Sync. Если вы используете новое устройство, может потребоваться установить этот компонент вручную. См. последнюю версию распространяемой версии Microsoft Visual C++.
Поддержка Windows на устройствах ARM64 в настоящее время недоступна.
Как получить поддержку?
Сообщите о проблемах поддержки в репозитории GitHub Zero Trust Assessment.