Безопасные конечные точки с нулевым доверием

  • Статья

Фон

Современное предприятие располагает невероятным разнообразием конечных точек, получающих доступ к данным. Не все конечные точки управляются или даже принадлежат организации, что приводит к разным конфигурациям устройств и уровням исправлений программного обеспечения. Это создает обширную поверхность для атак, и, если ее не решить, доступ к рабочим данным с ненадежных конечных точек может легко стать самым слабым звеном в вашей стратегии безопасности нулевого доверия.

Zero Trust придерживается принципа "Никогда не доверяй, всегда проверяй". С точки зрения конечных точек это означает, что всегда проверяйте все конечные точки. Сюда входят не только устройства подрядчика, партнера и гостевые устройства, но также приложения и устройства, используемые сотрудниками для доступа к рабочим данным, независимо от того, кому принадлежит устройство.

В рамках подхода с нулевым доверием применяются одни и те же политики безопасности независимо от того, принадлежит ли устройство корпоративному или личному, через систему «принеси свое устройство (BYOD)»; является ли устройство полностью управляемым ИТ-отделом или защищены только приложения и данные. Политики применяются ко всем конечным точкам, будь то ПК, Mac, смартфон, планшет, носимые устройства или устройства Интернета вещей, где бы они ни были подключены, будь то защищенная корпоративная сеть, домашняя широкополосная связь или общедоступный Интернет.

Что наиболее важно, работоспособность и надежность приложений, которые работают на этих конечных точках, влияют на состояние вашей безопасности. Вам необходимо предотвратить утечку корпоративных данных в ненадежные или неизвестные приложения или службы, случайно или злонамеренно.

Существует несколько ключевых правил защиты устройств и конечных точек в модели нулевого доверия:

  • Политики безопасности нулевого доверия централизованно применяются через облако и охватывают безопасность конечных точек, конфигурацию устройства, защиту приложений, соответствие устройств требованиям и оценку рисков.

  • Платформа, а также приложения, которые работают на устройствах, надежно подготовлены, правильно настроены и поддерживаются в актуальном состоянии.

  • Существует автоматический и быстрый ответ для ограничения доступа к корпоративным данным в приложениях в случае нарушения безопасности.

  • Система контроля доступа гарантирует, что все средства контроля политики действуют до того, как будет осуществлен доступ к данным.

Цели развертывания с нулевым доверием конечной точки

Перед тем, как большинство организаций начнут переход к нулевому доверию, их безопасность конечных точек настраивается следующим образом:

  • Конечные точки присоединены к домену и управляются с помощью таких решений, как объекты групповой политики или Configuration Manager. Это отличные варианты, но они не используют современные CSP Windows 10 и не требуют отдельного шлюза управления облаком для обслуживания облачных устройств.

  • Конечные точки должны находиться в корпоративной сети для доступа к данным. Это может означать, что устройства должны физически находиться на месте для доступа к корпоративной сети или что им требуется доступ через VPN, что увеличивает риск того, что взломанное устройство может получить доступ к конфиденциальным корпоративным ресурсам.

При внедрении сквозной инфраструктуры Zero Trust для защиты конечных точек мы рекомендуем в первую очередь сосредоточиться на следующих целях первоначального развертывания:

Значок списка с одной галочкой.

Конечные точки I.регистрируются у поставщиков облачных удостоверений. Чтобы отслеживать безопасность и риски в нескольких конечных точках, используемых одним человеком, требуется видимость на всех устройствах и точках доступа, которые могут обращаться к вашим ресурсам.

II.Доступ предоставляется только управляемым облаком и соответствующим требованиям конечным точкам и приложениям. Настройте правила соответствия требованиям, чтобы убедиться, что устройства соответствуют минимальным требованиям безопасности перед предоставлением доступа. Помимо этого, необходимо установить правила исправления для несовместимых устройств, чтобы люди знали, как решить проблему.

III.Политики защиты от потери данных (DLP) применяются к корпоративным устройствам и BYOD. Управление тем, что пользователь может делать с данными после получения доступа. Например, вы можете ограничить сохранение файлов в ненадежных местах (например, на локальном диске) или ограничьте совместное использование копирования и вставки с помощью приложения для связи с потребителем или приложения чата для защиты данных.

После того, как они будут выполнены, сосредоточьтесь на следующих дополнительных целях развертывания:

Значок списка с двумя флажками.

IV.Обнаружение угроз конечных точек используется для мониторинга рисков устройств. Используйте единую панель для согласованного управления всеми конечными точками, а SIEM — для маршрутизации журналов конечных точек и транзакций таким образом, чтобы получать меньше оповещений, но доступных для действий.

Управлениедоступом v.Access зависит от риска конечных точек как для корпоративных устройств, так и для BYOD. Интегрируйте данные от Microsoft Defender для конечной точки или других поставщиков защиты от угроз на мобильных устройствах (MTD) в качестве источника информации для политик соответствия устройств и правил условного доступа устройств. Тогда риск устройства будет напрямую влиять на то, какие ресурсы будут доступны пользователю этого устройства.

Руководство по развертыванию с нулевым доверием конечной точки

В контексте данного руководства представлены шаги, необходимые для защиты ваших устройств в соответствии с принципами системы безопасности нулевого уровня.




Значок контрольного списка с одним флажком.

Основные цели развертывания

И. Конечные точки зарегистрированы у провайдеров облачной идентификации

Чтобы ограничить степень подверженности риску, вам необходимо контролировать каждую конечную точку, чтобы убедиться, что каждая из них имеет надежную личность, применяются политики безопасности и уровень риска для таких вещей, как вредоносное ПО или кража данных, был измерен, исправлен или признан приемлемым.

После регистрации устройства пользователи могут получить доступ к ограниченным ресурсам вашей организации, используя свое корпоративное имя пользователя и пароль для входа (или Windows Hello для бизнеса).

Схема шагов в рамках этапа 1 первоначальных целей развертывания.

Зарегистрируйте корпоративные устройства в службе Azure Active Directory (AD)

Выполните следующие действия.

Новые устройства Windows 10

  1. Запустите новое устройство и начните процесс OOBE (запуск при первом включении компьютера).

  2. На странице Войдите с помощью учетной записи Майкрософт введите свой адрес электронной почты рабочей или учебной учетной записи.

  3. В окне Введите пароль введите свой пароль.

  4. На мобильном устройстве подтвердите устройство, чтобы оно могло получить доступ к вашей учетной записи.

  5. Завершите процесс OOBE, включая настройку параметров конфиденциальности и Windows Hello (при необходимости).

  6. Теперь ваше устройство присоединено к сети вашей организации.

Существующие устройства с Windows 10

  1. Откройте Параметры и выберите Учетные записи.

  2. Выберите Доступ к работе или учебе, после чего выберите Подключиться.

    Доступ к работе или учебе в настройках.

  3. На экране Настройка рабочей или учебной учетной записи выберите Присоединить устройство к службе Azure AD.

    Создайте рабочий или учебный аккаунт в настройках.

  4. На странице Let's get you signed in (Выполнение входа в систему) введите адрес электронной почты (например, alain@contoso.com), а затем выберите Далее.

  5. В окне Ввод пароля введите пароль и щелкните Вход.

  6. На мобильном устройстве подтвердите устройство, чтобы оно могло получить доступ к вашей учетной записи.

  7. На экране Убедитесь, что это ваша организация, проверьте информацию, чтобы убедиться, что она верна, затем выберите Присоединиться.

  8. В окне You're all set (Все готово) щелкните Готово.

Зарегистрируйте личные устройства Windows в Azure AD

Выполните следующие действия.

  1. Откройте Параметры и выберите Учетные записи.

  2. На экране Доступ к учетной записи места работы или учебного заведения выберите Доступ к учетной записи места работы или учебного заведения, а затем — Подключить.

    Доступ к работе или учебе в настройках.

  3. На экране Добавить рабочую или учебную учетную запись введите адрес электронной почты для вашей рабочей или учебной учетной записи, а затем выберите Далее. Например, alain@contoso.com.

  4. Войдите в рабочую или учебную учетную запись, а затем выберите Войти.

  5. Завершите оставшуюся часть процесса регистрации, включая утверждение запроса подтверждения личности (если была использована двухфакторная проверка подлинности) и настройку Windows Hello (при необходимости).

Включение и настройка Windows Hello для бизнеса

Чтобы предоставить пользователям альтернативный метод входа, который заменяет пароль, например PIN-код, биометрическую аутентификацию или сканер отпечатков пальцев, включите Windows Hello для бизнеса на устройствах пользователей с Windows 10.

Нижеприведенные действия Microsoft Intune и Azure AD выполняются в Центре администрирования Microsoft Endpoint Manager:

Начните с создания политики регистрации Windows Hello для бизнеса в Microsoft Intune.

  1. Перейдите в раздел «Устройства» >Регистрация> Регистрация устройств > Регистрация в Windows > Windows Hello для бизнеса.

    Windows Hello для бизнеса в Microsoft Intune.

  2. Выберите один из следующих вариантов для параметра Configure Windows Hello for Business (Настроить Windows Hello для бизнеса):

    1. Отключено. Если вы не хотите использовать Windows Hello для бизнеса, выберите этот параметр. Если данный параметр отключен, пользователи не могут подготовить Windows Hello для бизнеса, за исключением мобильных телефонов, подключенных к Azure AD, где может потребоваться подготовка.

    2. Включен. Выберите этот параметр, если вы хотите настроить параметры Windows Hello для бизнеса. Когда вы выбираете «Включено», становятся видимыми дополнительные настройки Windows Hello.

    3. не настроено. Выберите этот параметр, если вы не хотите использовать Intune для управления параметрами Windows Hello для бизнеса. Существующие параметры Windows Hello для бизнеса на устройствах с Windows 10 не изменятся. После этого все остальные параметры на панели будут отключены.

Если вы выбрали "Включено", настройте необходимые параметры, которые применяются ко всем зарегистрированным устройствам с Windows 10 и мобильным устройствам с Windows 10.

  1. Используйте доверенный платформенный модуль (TPM). TPM обеспечивает дополнительный уровень защиты данных. Выберите одно из следующих значений:

    1. Обязательно. Подготовку Windows Hello для бизнеса поддерживают только устройства с доступным доверенным платформенным модулем.

    2. Предпочитаемый. Устройства сначала пытаются использовать доверенный платформенный модуль. Если этот параметр недоступен, они могут использовать программное шифрование.

  2. Установите минимальную длину ПИН-кода и максимальную длину ПИН-кода. В результате устройства настраиваются на использование минимальной и максимальной длины PIN-кода, указанной вами, чтобы обеспечить безопасный вход. По умолчанию длина ПИН-кода равна шести символам, но вы можете установить минимальную длину, равную четырем символам. Максимальная длина ПИН-кода составляет 127 символов.

  3. Установите срок действия ПИН-кода (дни). Рекомендуется указать срок действия ПИН-кода, по истечении которого пользователи должны его изменить. Значение по умолчанию — 41 день.

  4. Запомните историю ПИН-кодов. Этот параметр используется для запрета повторного применения ПИН-кодов, которые уже использовались ранее. По умолчанию нельзя использовать повторно последние 5 ПИН-кодов.

  5. По возможности используйте улучшенную систему защиты от спуфинга. Это настраивает, когда функции защиты от спуфинга Windows Hello используются на устройствах, которые ее поддерживают. Например, определяет фотографию лица, а не реальное лицо.

  6. Разрешить вход по телефону. Если этому параметру присвоено значение Да, пользователи могут использовать удаленную службу Passport в качестве переносимого устройства-компаньона для проверки подлинности настольного компьютера. Настольный компьютер должен быть присоединен к Azure AD, а на сопутствующем устройстве должен быть настроен ПИН-код Windows Hello для бизнеса.

После настройки этих параметров выберите Сохранить.

После настройки параметров, которые применяются ко всем зарегистрированным устройствам с Windows 10 и мобильным устройствам с Windows 10, настройте профили защиты идентификационной информации Windows Hello для бизнеса, чтобы настроить параметры безопасности Windows Hello для бизнеса для конкретных устройств конечных пользователей.

  1. Выберите Устройства> Профили конфигурации >Создать профиль> Windows 10 и более поздние версии службы >Защиты идентификации.

    Снимок экрана: создание профиля с платформой, установленной на Windows 10, и профилем, настроенным на защиту личных данных.

  2. Настройте Windows Hello для бизнеса. Выберите, как вы хотите настроить Windows Hello для бизнеса.

    Снимок экрана настроек конфигурации в разделе

    1. Минимальная длина ПИН-кода.

    2. Строчные буквы в ПИН-коде.

    3. Заглавные буквы в ПИН-коде.

    4. Специальные символы в ПИН-коде.

    5. Срок действия ПИН-кода (дни).

    6. Запомните историю ПИН-кодов.

    7. Включите функцию восстановления ПИН-кода. Позволяет использовать службу восстановления ПИН-кода Windows Hello для бизнеса.

    8. Используйте доверенный платформенный модуль (TPM). TPM обеспечивает дополнительный уровень защиты данных.

    9. Разрешить биометрическую проверку подлинности. Включает биометрическую проверку подлинности (например, распознавание лиц или отпечатков пальцев) в качестве альтернативы использованию ПИН-кода для Windows Hello для бизнеса. Пользователи все равно должны настроить ПИН-код на случай сбоя процедуры биометрической проверки подлинности.

    10. По возможности используйте улучшенную систему защиты от спуфинга. Настраивает, когда функции защиты от спуфинга Windows Hello используются на устройствах, которые ее поддерживают (например, обнаружение фотографии лица вместо реального лица).

    11. Используйте электронные ключи для входа. Этот параметр доступен для устройств под управлением Windows 10 версии 1903 или более поздней. Используйте его для управления поддержкой использования ключей безопасности Windows Hello для входа.

Наконец, вы можете создать дополнительные политики ограничения устройств, чтобы еще больше заблокировать корпоративные устройства.

Совет

Узнайте о реализации стратегии полного отсутствия идентификационной информации.

2\. Доступ предоставляется только управляемым облаком и совместимым конечным точкам и приложениям

Если у вас есть идентификаторы для всех конечных точек, осуществляющих доступ к корпоративным ресурсам, и до предоставления доступа вы хотите убедиться, что они соответствуют минимальным требованиям безопасности, установленным вашей организацией.

После установления политик соответствия, закрывающих доступ корпоративных ресурсов к доверенным конечным точкам, а также к мобильным и настольным приложениям, все пользователи могут получать доступ к данным организации на мобильных устройствах, и на всех устройствах устанавливается минимальная или максимальная версия операционной системы. Устройства не взломаны или не рутированы.

Также необходимо установить правила исправления для несовместимых устройств, например, заблокировав несовместимое устройство или предложив пользователю льготный период для выполнения требований.

Схема шагов в рамках этапа 2 первоначальных целей развертывания.

Создайте политику соответствия с Microsoft Intune (все платформы)

Выполните следующие действия, чтобы создать политику соответствия:

  1. Выберите Устройства > Политики соответствия > Политики > Создать политику.

  2. Выберите платформу для данной политики (в качестве примера ниже используется Windows 10).

  3. Выберите желаемую конфигурацию работоспособности устройства.

    Снимок экрана состояния устройства в настройках политики соответствия Windows 10.

  4. Настройте минимальные или максимальные свойства устройства.

    Снимок экрана со свойствами устройства в настройках политики соответствия Windows 10.

  5. Настройте соответствие Configuration Manager. Для этого требуется, чтобы все оценки соответствия в Configuration Manager соответствовали требованиям, и это применимо только для управляемых устройств Windows 10. Все устройства, работающие только с Intune, вернут значение «Н/П».

  6. Настройте параметры безопасности системы.

    Снимок экрана безопасности системы в настройках политики соответствия Windows 10.

  7. Настройте защиту от вредоносных программ в службе Microsoft Defender.

    Снимок экрана: Microsoft Defender для облака в параметрах политики соответствия требованиям Windows 10.

  8. Настройте требуемый показатель риска компьютера в Microsoft Defender для конечной точки.

    Снимок экрана: Defender для конечной точки в параметрах политики соответствия Windows 10.

  9. На вкладке Действия в случае несоответствия укажите последовательность действий, которые будут автоматически применяться к устройствам, которые не соответствуют этой политике соответствия.

    Снимок экрана с действиями при несоблюдении настроек политики соответствия.

Автоматизация уведомлений по электронной почте и добавление дополнительных действий по исправлению для несовместимых устройств в Intune (все платформы)

Когда их конечные точки или приложения становятся несовместимыми, пользователи проходят процедуру самовосстановления. Оповещения автоматически генерируются с дополнительными оповещениями и автоматическими действиями, установленными для определенных пороговых значений. Вы можете установить действия по устранению несоответствий.

Выполните следующие шаги.

  1. Выберите Устройства > Политики соответствия > Уведомления > Создать уведомление.

  2. Создайте шаблон сообщения уведомления.

    Снимок экрана

  3. Выберите Устройства> Политики соответствия >Политики, выберите одну из своих политик, после чего выберите Свойства.

  4. Выберите Действия в случае несоответствия > Добавить.

  5. Добавьте действия в случае несоответствия:

    Снимок экрана с действиями при несоблюдении настроек политики соответствия.

    1. Настройте автоматическую рассылку электронной почты пользователям с несовместимыми устройствами.

    2. Настройте действие для удаленной блокировки несовместимых устройств.

    3. Настройте действие для автоматического отключения несовместимого устройства через заданное количество дней.

3\. Политики предотвращения потери данных (DLP) применяются для корпоративных устройств и BYOD

После предоставления доступа к данным вы хотите контролировать, что пользователь может делать с данными. К примеру, если пользователь обращается к документу с фирменным стилем, вы хотите запретить сохранение этого документа в незащищенном хранилище потребителя или его совместное использование с клиентским приложением для общения или чата.

Схема шагов в рамках этапа 3 первоначальных целей развертывания.

Сперва примените рекомендованные Microsoft настройки безопасности к устройствам с Windows 10 для защиты корпоративных данных (требуется Windows 10 1809 и более поздней версии):

Используйте базовые показатели безопасности Intune, чтобы обезопасить и защитить своих пользователей и устройства. Базовые показатели безопасности - это предварительно настроенные группы параметров Windows, которые помогают применять известную группу параметров и значений по умолчанию, рекомендованных соответствующими группами безопасности.

Выполните следующие действия.

  1. Выберите Безопасность конечной точки > Базовые показатели безопасности, чтобы просмотреть список доступных базовых показателей.

  2. Выберите базовые показатели, которые необходимо использовать, затем — Создать профиль.

  3. На вкладке параметров конфигурации отображаются группы параметров, доступных в выбранной базовой конфигурации. Вы можете развернуть группу, чтобы просмотреть параметры в этой группе и значения по умолчанию для этих параметров в рамках базового плана. Чтобы просмотреть определенные параметры, сделайте следующее:

    1. Выберите группу, чтобы развернуть ее и просмотреть доступные параметры.

    2. В строке поиска введите ключевые слова, чтобы отфильтровать отображаемые группы по условиям поиска.

    3. Вы можете изменять значения по умолчанию в соответствии со своими требованиями.

      Снимок экрана настроек управления приложениями в разделе

  4. На вкладке «Назначения» выберите группы для включения и затем назначьте базовый план одной или нескольким группам. Чтобы точно настроить назначение, используйте команду «Выбрать группы для исключения».

Обеспечьте автоматическое развертывание обновлений на конечных точках

Настроить устройства с Windows 10

Настройте обновления Windows для бизнеса, чтобы упростить управление обновлениями для пользователей и обеспечить автоматическое обновление устройств для соответствия требуемому уровню соответствия.

Выполните следующие действия.

  1. Управляйте процедурами обновления программного обеспечения Windows 10 в Intune, создавая кольца обновлений и включив набор параметров, которые настраиваются при установке обновлений Windows 10.

    1. Выберите Устройства > Windows > Кольца обновлений Windows 10 > Создать.

    2. На вкладке Параметры круга обновления настройте параметры в соответствии со своими бизнес-потребностями.

      Снимок экрана с настройками обновления и настройками взаимодействия с пользователем.

    3. В разделе Назначения выберите + Выбрать группы для включения, затем назначьте кольцо обновления одной или нескольким группам. Чтобы точно настроить назначение, используйте + Выбрать группы для исключения.

  2. Управляйте обновлениями компонентов Windows 10 в Intune, чтобы довести устройства до указанной вами версии Windows (т. е. 1803 или 1809) и заморозить набор функций на этих устройствах, пока вы не решите обновить их до более поздней версии Windows.

    1. Выберите Устройства > Windows > Обновления компонентов Windows 10 > Создать.

    2. В разделе Основные сведения укажите имя и описание (необязательно), а для параметра Обновление компонентов для развертывания выберите версию Windows с нужным набором функций, после чего выберите Далее.

    3. В разделе Назначения выберите и выберите группы для включения, а затем назначьте развертывание обновления функций одной или нескольким группам.

Настройка устройств iOS

Для зарегистрированных в компании устройств настройте обновления iOS, чтобы упростить управление обновлениями для пользователей и обеспечить автоматическое обновление устройств в соответствии с требуемым уровнем соответствия. Настройте политику обновления iOS.

Выполните следующие действия.

  1. Выберите Устройства > Обновить политики для iOS/iPadOS > Создать профиль.

  2. На вкладке Основные укажите имя политики, укажите описание (необязательно), а затем выберите Далее.

  3. На вкладке Параметры политики обновления настройте следующие параметры:

    1. Выберите версию для установки. Можно выбрать одно из следующих значений.

      1. Последнее обновление. Будет развернуто последнее выпущенное обновление для iOS/iPadOS.

      2. Любая предыдущая версия, доступная в раскрывающемся списке. Если вы выбрали предыдущую версию, необходимо также развернуть политику конфигурации устройства, чтобы отложить отображение обновлений программного обеспечения.

    2. Тип расписания. Настройка расписания для этой политики:

      1. Обновить при следующей регистрации. Обновление устанавливается на устройство при следующей проверке посредством Intune. Это самый простой вариант, который не имеет дополнительных настроек.

      2. Выполните обновление в запланированное время. Вы настраиваете одно или несколько окон времени, в течение которых обновление будет устанавливаться при регистрации.

      3. Обновление вне запланированного времени. Вы настраиваете одно или несколько окон времени, в течение которых обновления не будут устанавливаться при регистрации.

    3. Еженедельное расписание. Если выбран тип расписания, отличный от Обновить при следующей синхронизации, настройте следующие параметры.

      Снимок экрана с настройками политики обновления в разделе «Создать профиль».

  4. выберите часовой пояс.

  5. Определите временное окно. Определите один или несколько периодов времени, ограничивающих установку обновлений. Возможные варианты: день начала, время начала, день окончания и время окончания. При указании даты начала и даты окончания можно выбрать период ночью. Если не настроить время запуска или завершения, конфигурация не сможет установить ограничения, и обновления будут устанавливаться в любое время.

Убедитесь, что устройства зашифрованы

Настройте Bitlocker для шифрования устройств с Windows 10

  1. Выберите Устройства> Профили конфигурации > Создать профиль.

  2. Настройте следующие параметры:

    1. Платформа. Windows 10 и более поздней версии

    2. Тип профиля. Защита конечных точек

      Снимок экрана создания профиля в профилях конфигурации устройств для Windows 10.

  3. Выберите Настройки > Шифрование Windows.

    Снимок экрана защиты конечных точек в разделе «Создать профиль».

  4. Настройте параметры BitLocker в соответствии с потребностями бизнеса, а затем нажмите кнопку ОК.

Настроить шифрование FileVault на устройствах macOS

  1. Выберите Устройства> Профили конфигурации > Создать профиль.

  2. Настройте следующие параметры:

    1. Платформа: macOS.

    2. Тип профиля: Защита конечных точек.

      Снимок экрана создания профиля в профилях конфигурации устройств для Mac OS.

  3. Выберите Настройки > FileVault.

    Снимок экрана хранилища файлов в разделе «Защита конечных точек» в разделе «Создать профиль».

  4. Для FileVault выберите Включить.

  5. В качестве типа ключа восстановления поддерживается только личный ключ.

  6. Настройте остальные параметры FileVault в соответствии с бизнес-потребностями, а затем нажмите кнопку ОК.

Создавайте политики защиты приложений для защиты корпоративных данных на уровне приложений

Чтобы ваши данные оставались в безопасности или содержались в управляемом приложении, создайте политики защиты приложений (APP). Политика может быть либо правилом, которое применяется, когда пользователь пытается получить доступ или переместить корпоративные данные, либо набором действий, которые запрещено выполнять или которые отслеживаются, когда пользователь работает с приложением.

Платформа защиты данных c APP разделена на три разных уровня конфигурации, где каждый следующий уровень строится на предыдущем.

  • Базовая корпоративная защита данных (уровень 1) обеспечивает защиту приложений с помощью PIN-кода и шифрование, а также выполняет операции выборочной очистки. На устройствах Android этот уровень используется для проверки аттестации устройств. Данная конфигурация начального уровня, которая обеспечивает аналогичный контроль защиты данных в политиках почтовых ящиков Exchange Online и знакомит ИТ-специалистов и пользователей с APP.

  • Расширенная защита корпоративных данных (уровень 2) предоставляет механизмы APP для защиты от утечки данных и поддерживает минимальные требования к ОС. Эта конфигурация подходит большинству пользователей мобильных устройств, обращающихся к рабочим или учебным данным.

  • Высокий уровень защиты корпоративных данных (уровень 3) предоставляет механизмы для расширенной защиты данных, улучшенную конфигурацию ПИН-кодов и политики защиты от угроз на мобильных устройствах. Указанная конфигурация желательна для пользователей, которые обращаются к данным с высоким риском.

Выполните следующие действия.

  1. На портале Intune выберите Приложения>Политики защиты приложений. Откроется страница сведений Политики защиты приложений, в которой можно создавать и изменять политики.

  2. Выберите Создать политику и систему iOS/iPadOS или Android. Отобразится панель Создание политики.

  3. Выберите приложения, к которым вы хотите применить политику защиты приложений.

  4. Настройте параметры защиты данных:

    1. Защита данных iOS/iPadOS. Дополнительную информацию см. в разделе Настройки политики защиты приложений iOS/iPadOS - Защита данных.

    2. Защита данных Android. Дополнительные сведения см. в разделе Параметры политики защиты приложений Android - Защита данных.

  5. Настройте параметры требований к доступу:

    1. Требования к доступу к iOS/iPadOS. Для получения информации см. Настройки политики защиты приложений iOS/iPadOS - Требования к доступу.

    2. Требования к доступу к Android. Дополнительные сведения см. в разделе Параметры политики защиты приложений Android - Требования к доступу.

  6. Настройте параметры условного запуска:

    1. Условный запуск iOS/iPadOS. Дополнительные сведения см. в разделе Параметры политики защиты приложений iOS/iPadOS - условный запуск.

    2. Условный запуск Android. Дополнительные сведения см. в разделе Параметры политики защиты приложений Android - условный запуск.

  7. Нажмите кнопку Далее, чтобы перейти на страницу Назначения.

  8. По завершении нажмите кнопку Создать, чтобы создать политику защиты приложений в Intune.

Совет

Дополнительные сведения о реализации стратегии сквозной модели "Никому не доверяй" для данных.




Значок контрольного списка с двумя флажками.

Дополнительные цели развертывания

4\. Обнаружение угроз конечной точки используется для отслеживания рисков устройства

После того, как вы выполнили свои первые три задачи, следующим шагом будет настройка безопасности конечных точек, чтобы расширенная защита была предоставлена, активирована и отслеживалась. Для последовательного управления всеми конечными точками используется единая область.

Маршрутизация журналов и транзакций конечных точек в SIEM или Power BI

Используя хранилище данных Intune, отправляйте данные управления устройствами и приложениями в отчеты или инструменты SIEM для интеллектуальной фильтрации предупреждений и уменьшения шума.

Выполните следующие действия.

  1. Выберите Отчеты > Хранилище данных Intune > Хранилище данных.

  2. Скопируйте настраиваемый URL-адрес веб-канала. Пример: https://fef.tenant.manage.microsoft.com/ReportingService/DataWarehouseFEService?api-version=v1.0

  3. Откройте Power BI Desktop или свое решение SIEM.

Из вашего SIEM-решения

Выберите вариант импорта или получения данных из фида Odata.

Из PowerBI

  1. В меню выберите Файл> Получить данные > Канал OData.

  2. Вставьте URL-адрес настраиваемого канала, который вы скопировали из предыдущего шага, в поле URL-адреса в окне канала OData.

  3. Выберите Основные.

  4. Нажмите кнопку OK.

  5. Выберите пункт Учетная запись организации, а затем выполните вход, используя учетные данные Intune.

    Снимок экрана настройки фида OData в корпоративном аккаунте.

  6. Выберите Подключиться. Откроется окно "Навигатор" со списком таблиц, имеющихся в хранилище данных Intune.

  7. Выберите таблицы devices и ownerTypes. Выберите Загрузить. Power BI загрузит данные в модель.

  8. Создайте отношения. Вы можете импортировать несколько таблиц для анализа не только данных в одной таблице, но и связанных данных в таблицах. В Power BI есть функция автообнаружения, которая пытается автоматически выявить и создать связи. Таблицы в Data Warehouse были созданы так, чтобы поддерживать функцию автообнаружения в Power BI. Но даже если Power BI не удается автоматически найти связи, вы можете настроить их вручную.

  9. Выберите Управление связями.

  10. Выберите Автоопределение, если Power BI еще не обнаружил взаимосвязи.

  11. Узнайте о дополнительных способах настройки визуализаций Power BI.

V. Контроль доступа ограничен риском конечных точек как для корпоративных устройств, так и для BYOD

Корпоративные устройства регистрируются в облачной службе регистрации, такой как DEP, Android Enterprise или Windows AutoPilot

Создание и поддержка настроенных образов операционной системы - это трудоемкий процесс, который может включать в себя затраты времени на установку пользовательских образов операционной системы на новые устройства для их подготовки к использованию.

  • С помощью служб регистрации в облаке Microsoft Intune вы можете предоставлять новые устройства своим пользователям без необходимости создавать, поддерживать и применять к устройствам пользовательские образы операционной системы.

  • Windows Autopilot представляет собой набор технологий, используемых для настройки и предварительной настройки новых устройств, чтобы подготовить их к продуктивному использованию. Кроме того, можно использовать Windows Autopilot для сброса, переназначения и восстановления устройств.

  • Настройте Windows Autopilot для автоматизации присоединения к Azure AD и регистрации новых корпоративных устройств в Intune.

  • Настройте Apple DEP для автоматической регистрации устройств iOS и iPadOS.

Продукты, описанные в данном руководстве

Microsoft Azure

Azure Active Directory

Microsoft 365

Microsoft Endpoint Manager (включает Microsoft Intune и Configuration Manager)

Защитник Майкрософт для конечных точек

BitLocker

"Никому не доверяй" и сети OT

Microsoft Defender для Интернета вещей — это единое решение для обеспечения безопасности, созданное специально для выявления устройств, уязвимостей и угроз в сетях Интернета вещей и операционных технологий (OT). Используйте Defender для Интернета вещей для применения безопасности во всей среде Интернета вещей и OT, включая существующие устройства, которые могут не иметь встроенных агентов безопасности.

Сети OT часто отличаются от традиционной ИТ-инфраструктуры и нуждаются в специализированном подходе к модели "Никому не доверяй". Системы OT используют уникальные технологии с проприетарными протоколами и могут иметь устаревшие платформы с ограниченным подключением и мощностью, а также конкретными требованиями к безопасности и уникальным воздействием физических атак.

Defender для Интернета вещей поддерживает принципы "никому не доверяй", устраняя проблемы, связанные с OT, например:

  • Помощь в управлении удаленными подключениями к системам OT
  • Проверка и помощь в сокращении взаимосвязей между зависимыми системами
  • Поиск отдельных точек отказа в сети

Разверните сетевые датчики Defender для Интернета вещей для обнаружения устройств и трафика, а также watch уязвимостей, характерных для OT. Сегментируйте датчики по сайтам и зонам в сети, чтобы отслеживать трафик между зонами и следовать шагам По устранению рисков в Defender для Интернета вещей, чтобы снизить риски в среде OT. Затем Defender для Интернета вещей постоянно отслеживает устройства на наличие аномального или несанкционированного поведения.

Схема: Defender для Интернета вещей, развернутый в сети OT.

Интеграция со службами Майкрософт, такими как Microsoft Sentinel и другими партнерскими службами, включая SIEM и системы билетов, для совместного использования данных Defender для Интернета вещей в организации.

Дополнительные сведения см. в разделе:

Заключение

Подход с нулевым доверием может значительно повысить уровень безопасности ваших устройств и конечных точек. Для получения дополнительной информации или помощи в реализации, пожалуйста, свяжитесь с вашей командой по работе с клиентами или продолжайте читать другие главы этого руководства, которое охватывает все компоненты с нулевым доверием.



Серия руководств по развертыванию с использованием модели "Никому не доверяй"

Значок: введение

Значок: удостоверение

Значок: конечные точки

Значок: приложения

Значок: данные

Значок: инфраструктура

Значок: сети

Значок: видимость, автоматизация, оркестрация