零信任的安全终结点

Background

现代企业在访问数据的终结点方面拥有令人难以置信的多样性。 并非所有终结点都由组织管理甚至拥有，从而导致设备配置和软件补丁级别不尽相同。 这创造了一个巨大的攻击面，如果不加以解决，从不受信任的终结点访问工作数据很容易成为零信任安全策略中最薄弱的环节。

零信任坚持“永不信任，始终验证”的原则。就终结点而言，这意味着将始终验证所有终结点。 这不仅包括合同工、合作伙伴和来宾的设备，还包括员工用来访问工作数据的应用和设备，也就是说，无论设备归谁所有，都需要进行验证。

在零信任方法中，无论是公司拥有的设备还是个人拥有的设备（自带设备办公 (BYOD)）；无论是由 IT 部门全面管理的设备，还是仅保护应用和数据的设备，都将应用相同的安全策略。 这些策略适用于所有终结点，无论它们是 PC、Mac、智能手机、平板电脑、可穿戴设备还是 IoT 设备，也无论它们连接到安全的公司网络、家庭宽带还是公共 Internet。

最重要的是，在这些终结点上运行的应用的运行状况和可信度会影响你的安全状况。 你需要防止公司数据泄露给不受信任或未知的应用或服务，无论是意外的还是恶意的。

在零信任模型中，有几个保护设备和终结点的关键规则：

• 零信任安全策略通过云集中实施，涵盖终结点安全性、设备配置、应用保护、设备合规性和风险状况。

• 设备上运行的平台和应用经过安全预配和正确配置，并保持最新状态。

• 存在安全漏洞时，系统会自动及时地进行响应，以隔离对应用内公司数据的访问。

• 访问控制系统可确保所有策略控制在访问数据之前生效。

终结点零信任部署目标

在大多数组织开启零信任之旅前，其终结点安全性设置如下：

• 终结点已加入域，并由组策略对象或 Configuration Manager 之类的解决方案进行管理。 这些都是很好的选择，但他们没有利用新式 Windows 10 CSP，并且需要使用单独的云管理网关设备来为基于云的设备提供服务。

• 只有公司网络上的终结点才能访问数据。 这可能意味着需要将设备实际放置在现场以便访问公司网络，或者它们需要 VPN 访问权限，这会增加被入侵的设备访问敏感公司资源的风险。

在实施端到端零信任框架以保护终结点时，建议首先关注以下初始部署目标：
	I.向云标识提供程序注册终结点。为了监视任何一个人使用的多个终结点的安全和风险，需要对可能会访问资源的所有设备和访问点具有可见性。 II.仅向云管理的合规终结点和应用授予访问权限。设置符合性规则，确保设备在授予访问权限之前满足最低安全要求。 此外，还应为不合规的设备设置修正规则，以便人们知道如何解决问题。 III.为公司设备和 BYOD 实施数据丢失防护 (DLP) 策略。控制用户可以在有权访问后对数据执行的操作。 例如，限制将文件保存到不受信任的位置（如本地磁盘），或限制与使用者通信应用或聊天应用进行复制和粘贴共享以保护数据。
完成上述目标后，专注于以下附加部署目标：
	IV.终结点威胁检测用于监视设备风险。使用单一虚拟管理平台以一致的方式管理所有终结点，并使用 SIEM 路由终结点日志和事务，以便获得更少但可操作的警报。 V.根据公司设备和 BYOD 的终结点风险来限制访问控制。集成来自 Microsoft Defender for Endpoint 或其他移动威胁防御 (MTD) 供应商的数据，作为设备合规性策略和设备条件访问规则的信息源。 然后，设备风险将直接影响该设备的用户可访问的资源类型。

终结点零信任部署指南

本指南将指导你按照零信任安全框架的原则完成保护设备所需的步骤。

初始部署目标

I. 向云标识提供者注册终结点

为了帮助限制风险的危险性，你需要监视每个终结点，以确保每个终结点都具有受信任的标识，应用了安全策略，并且对恶意软件或数据外泄等活动的风险级别进行了衡量、修正或将其视为可接受。

注册设备后，用户可以使用公司用户名和密码进行登录（或使用 Windows Hello 企业版），以访问组织的受限制资源。

使用 Microsoft Entra ID 注册公司设备

执行以下步骤：

新 Windows 10 设备

1. 启动新设备并开始 OOBE（全新体验）过程。

2. 在“Microsoft 登录”屏幕上，键入工作或学校电子邮件地址。

3. 在“输入密码”屏幕上，键入密码。

4. 在移动设备上，同意设备，以便它可以访问你的帐户。

5. 完成 OOBE 过程，包括设置隐私设置和设置 Windows Hello（如有必要）。

6. 设备现已加入组织的网络。

现有 Windows 10 设备

1. 打开“设置”，然后选择“帐户”。

2. 选择“访问工作单位或学校”，然后选择“连接”。

   

3. 在“设置工作或学校帐户”屏幕中，选择“将此设备加入 Microsoft Entra ID”。

   

4. 在“开始登录”屏幕中，键入电子邮件地址（例如 alain@contoso.com）并选择“下一步”。

5. 在“输入密码”屏幕中输入密码，然后选择“登录”。

6. 在移动设备上，同意设备，以便它可以访问你的帐户。

7. 在“确保这是你的组织”屏幕中，查看信息确保其准确无误，然后选择“加入”。

8. 在“已设置完毕”屏幕中，单击“完成”。

使用 Microsoft Entra ID 注册个人 Windows 设备

执行以下步骤：

1. 打开“设置”，然后选择“帐户”。

2. 选择“访问工作单位或学校”，然后从“访问工作单位或学校”屏幕中选择“连接”。

   

3. 在“添加工作或学校帐户”屏幕上，键入工作或学校帐户的电子邮件地址，然后选择“下一步”。 例如 alain@contoso.com。

4. 登录工作或学校帐户，然后选择“登录”。

5. 完成注册过程的其余部分，包括审批你的身份验证请求（如果你使用双重验证）和设置 Windows Hello（如有必要）。

启用并配置 Windows Hello 企业版

若要允许用户使用替代登录方法（如 PIN、生物识别身份验证或指纹读取器）来取代密码，请在用户的 Windows 10 设备上启用 Windows Hello 企业版。

以下 Microsoft Intune 和 Microsoft Entra 操作在 Microsoft Endpoint Manager 管理中心完成：

首先，在 Microsoft Intune 中创建 Windows Hello 企业版注册策略。

1. 转到“设备”>“注册”>“注册设备”>“Windows 注册”>“Windows Hello 企业版”。

   

2. 从以下选项中选择“配置 Windows Hello 企业版：

   1. 已禁用”。 如果不想使用 Windows Hello 企业版，请选择此设置。 如果禁用，用户将无法预配 Windows Hello 企业版（在可能需要预配的加入 Microsoft Entra 的手机上除外）。

   2. 已启用。 如果要配置 Windows Hello 企业版设置，请选择此设置。 选择“启用”时，Windows Hello 的其他设置将变为可见。

   3. “不配置”。 如果不想使用 Intune 来控制 Windows Hello 企业版设置，请选择此设置。 Windows 10 设备上的任何现有 Windows Hello 企业版设置不会更改。 窗格中的所有其他设置都不可用。

如果选择了“启用”，请配置应用于所有已注册 Windows 10 设备和 Windows 10 移动版设备的必需设置。

1. 使用受信任的平台模块 (TPM)。 TPM 芯片提供了额外的数据安全层。 选择以下值之一：

   1. 必需。 仅具有可访问 TPM 的设备可预配 Windows Hello 企业版。

   2. 首选。 首次尝试使用 TPM 的设备。 如果此选项不可用，他们可以使用软件加密。

2. 设置最小 PIN 长度和最大 PIN 长度。 这会将设备配置为使用你指定的最小和最大 PIN 长度，以帮助确保安全登录。 默认 PIN 长度为六个字符，但可以强制实施四个字符的最小长度。 最大 PIN 长度为 127 个字符。

3. 设置 PIN 有效期（天数）。 建议指定 PIN 的有效期，超过此期限后，用户必须更改该 PIN。 默认值为 41 天。

4. 记住 PIN 历史记录。 限制重复使用以前使用的 PIN。 默认情况下，不能重复使用最近的 5 个 PIN。

5. 使用增强式防欺骗(如果可用)。 此选项将配置何时在支持 Windows Hello 防欺骗功能的设备上使用该功能。 例如，检测人脸的照片，而非真实人脸。

6. 允许手机登录。 如果此选项设置为“是”，则用户可以使用远程 passport 作为便携式配套设备进行台式计算机身份验证。 台式计算机必须加入 Microsoft Entra，并且伴侣设备必须配置 Windows Hello 企业版 PIN。

配置这些设置后，选择“保存”。

配置适用于所有已注册的 Windows 10 设备和 Windows 10 移动版设备的设置后，请设置 Windows Hello 企业版标识保护配置文件，为特定的最终用户设备自定义 Windows Hello 企业版安全设置。

1. 选择“设备”>“配置文件”>“创建配置文件”>“Windows 10 及更高版本”>“标识保护”。

   

2. 配置 Windows Hello 企业版。 选择要如何配置 Windows Hello 企业版。

   

   1. 最小 PIN 长度。

   2. 在 PIN 中使用小写字母。

   3. 在 PIN 中使用大写字母。

   4. 在 PIN 中使用特殊字符。

   5. PIN 有效期(天数)。

   6. 记住 PIN 历史记录。

   7. 启用 PIN 恢复。 允许用户使用 Windows Hello 企业版 PIN 恢复服务。

   8. 使用受信任的平台模块 (TPM)。 TPM 芯片提供了额外的数据安全层。

   9. 允许生物识别身份验证。 启用如面部识别或指纹等生物识别身份验证作为 Windows Hello 企业版的 PIN 的替代方法。 如果生物识别身份验证失败，用户仍必须配置 PIN。

   10. 使用增强式防欺骗(如果可用)。 配置何时在支持 Windows Hello 防欺骗功能的设备上使用该功能（例如，检测面部照片而非真实的面部）。

   11. 使用安全密钥登录。 此设置适用于运行 Windows 10 版本 1903 或更高版本的设备。 使用它来管理对使用 Windows Hello 安全密钥进行登录的支持。

最后，可以创建其他设备限制策略，进一步封锁公司拥有的设备。

提示

了解如何实施端到端标识零信任策略。

II. 仅向云管理的合规终结点和应用授予访问权限

如果你拥有访问公司资源的所有终结点的标识，在向其授予访问权限之前，你需要确保它们符合组织设置的最低安全要求。

在制定合规性策略以仅允许受信任的终结点、移动和桌面应用程序访问公司资源后，所有用户都可以在移动设备上访问组织数据，系统会在所有设备上安装最低或最高操作系统版本。 设备未越狱或取得 root 权限。

此外，为不合规的设备设置修正规则，例如阻止不合规的设备，或为用户提供一个宽限期，让设备变得符合要求。

使用 Microsoft Intune 创建合规性策略（所有平台）

按照以下步骤创建合规性策略：

1. 选择“设备”>“合规性策略”>“策略”>“创建策略”。

2. 为此策略选择一个平台（下面的示例使用 Windows 10）。

3. 选择所需的设备运行状况配置。

   

4. 配置最小或最大设备属性。

   

5. 配置 Configuration Manager 合规性。 此选项要求 Configuration Manager 中的所有合规性评估都合规，并且仅适用于共同管理的 Windows 10 设备。 所有仅使用 Intune 的设备都将返回 N/A。

6. 配置系统安全设置。

   

7. 配置 Microsoft Defender 反恶意软件。

   

8. 配置所需的 Microsoft Defender for Endpoint 计算机风险评分。

   

9. 在“针对非合规项的操作”选项卡上，指定一系列操作，以自动应用于不符合此合规性策略的设备。

   

为 Intune 中的非合规设备自动发送通知电子邮件并添加其他修正操作（所有平台）

当用户的终结点或应用不合规时，系统会引导用户自我修正。 系统会自动生成警报，并为某些阈值设置附加警报和自动操作。 你可以设置非合规项修正操作。

采取以下步骤：

1. 选择“设备”>“合规性策略”>“通知”>“创建通知”。

2. 创建通知邮件模板。

   

3. 选择“设备”>“合规性策略”>“策略”，选择其中一个策略，然后选择“属性”。

4. 选择“针对非合规项的操作”>“添加”。

5. 添加针对非合规项的操作：

   

   1. 设置要向使用非合规设备的用户自动发送的电子邮件。

   2. 设置操作以远程锁定非合规设备。

   3. 设置操作以在设定天数后自动停用非合规设备。

III. 为公司设备和 BYOD 实施数据丢失防护 (DLP) 策略

授予数据访问权限后，你需要控制用户可以对数据执行的操作。 例如，如果用户使用公司标识访问文档，则要防止将该文档保存到不受保护的使用者存储位置，或者防止与使用者通信或聊天应用共享该文档。

应用建议的安全设置

首先，将 Microsoft 建议的安全设置应用于 Windows 10 设备以保护公司数据（需要 Windows 10 1809 及更高版本）：

借助 Intune 安全基线来保护用户和设备。 安全基线是预配置的 Windows 设置组，可帮助应用已知设置组以及相关安全团队建议的默认值。

执行以下步骤：

1. 选择“终结点安全性”>“安全基线”以查看可用基线列表。

2. 选择要使用的基线，然后选择“创建配置文件”。

3. 在“配置设置”选项卡上，查看所选基线中可用的“设置”组。 可以展开组以查看该组中的设置，以及这些设置在基线中的默认值。 要查找特定设置：

   1. 选择一个组以展开并查看可用设置。

   2. 使用搜索栏并指定用于筛选视图的关键字，以仅显示包含搜索条件的组。

   3. 重新配置默认设置以满足业务需求。

      

4. 在“分配”选项卡上，选择要包括的组，然后将基线分配到一个或多个组。 若要对分配进行微调，请使用“选择要排除的组”。

确保将更新自动部署到终结点

配置 Windows 10 设备

配置适用于企业的 Windows 更新，以简化用户的更新管理体验，并确保自动更新设备以符合所需的合规性级别。

执行以下步骤：

1. 在 Intune 中管理 Windows 10 软件更新，方法是创建更新通道，并启用一组设置来配置 Windows 10 更新的安装时间。

   1. 选择“设备”>“Windows”>“Windows 10 更新通道”>“创建”。

   2. 在“更新通道设置”下，针对业务需求配置设置。

      

   3. 在“分配”下，选择“+ 选择要包括的组”，然后将更新通道分配到一个或多个组。 若要对分配进行微调，请使用“+ 选择要排除的组”。

2. 在 Intune 中管理 Windows 10 功能更新，以将设备更新到指定的 Windows 版本（即 1803 或 1809），并冻结这些设备上的功能集，直到你选择将其更新到更高的 Windows 版本为止。

   1. 选择“设备”>“Windows”>“Windows 10 功能更新”>“创建”。

   2. 在“基本信息”下，指定名称、描述（可选），对于“要部署的功能更新”，选择具有所需功能集的 Windows 版本，然后选择“下一步”。

   3. 在“分配”下，选择要包括的组，然后将功能更新部署分配到一个或多个组。

配置 iOS 设备

为公司注册的设备配置 iOS 更新，以简化用户的更新管理体验，并确保自动更新设备以符合所需的合规性级别。 配置 iOS 更新策略。

执行以下步骤：

1. 选择“设备”>“适用于 iOS/iPadOS 的更新策略”>“创建配置文件”。

2. 在“基本信息”选项卡上，为此策略指定名称并指定描述（可选），然后选择“下一步”。

3. 在“更新策略设置”选项卡上，配置以下设置：

   1. 选择要安装的版本。 可以选择：

      1. 最新更新：这将为 iOS/iPadOS 部署最新发布的更新。

      2. 下拉框中提供的任何先前版本。 如果选择先前版本，还必须部署设备配置策略以延迟软件更新的可见性。

   2. 计划类型：配置此策略的计划：

      1. 下次签入时更新。 将在下一次通过 Intune 签入时在设备上安装更新。 这是最简单的选项，没有其他配置。

      2. 在计划时间内更新。 配置一个或多个时间段，在此期间将在签入时安装更新。

      3. 在计划时间外更新。 配置一个或多个时间段，在此期间将不会在签入时安装更新。

   3. 每周计划：如果选择除下次签入时更新以外的计划类型，请配置以下选项：

      

4. 选择时区。

5. 定义时间段。 定义一个或多个限制更新安装时间的时间段。 选项包括开始日期、开始时间、结束日期和结束时间。 使用开始日期和结束日期，支持隔夜块。 如果未配置开始或结束时间，则配置不会产生任何限制，更新可以随时安装。

确保设备已加密

配置 Bitlocker 以加密 Windows 10 设备

1. 依次选择“设备”>“配置文件”>“创建配置文件”。

2. 设置下列选项：

   1. 平台：Windows 10 及更高版本

   2. 配置文件类型：Endpoint protection

      

3. 选择“设置”>“Windows 加密”。

   

4. 配置 BitLocker 的设置以满足业务需求，然后选择“确定”。

在 macOS 设备上配置 FileVault 加密

1. 依次选择“设备”>“配置文件”>“创建配置文件”。

2. 设置下列选项：

   1. 平台：macOS。

   2. 配置文件类型：Endpoint protection。

      

3. 选择“设置”>“FileVault”。

   

4. 对于 FileVault，选择“启用”。

5. 对于恢复密钥类型，仅支持个人密钥。

6. 配置剩余的 FileVault 设置以满足业务需求，然后选择“确定”。

在应用级别创建应用程序保护策略来保护公司数据

若要确保数据在托管应用中一直受到保护或隔离，请创建应用保护策略 (APP)。 策略可以是当用户尝试访问或移动“公司”数据时强制执行的规则，或是当用户位于应用内时被禁止或监视的一组操作。

APP 数据保护框架分为 3 个不同的配置级别，每个级别基于上一个级别进行构建：

• 企业基本数据保护（级别 1）可确保应用受 PIN 保护和经过加密处理，并执行选择性擦除操作。 对于 Android 设备，此级别验证 Android 设备证明。 这是一个入门级配置，可提供与 Exchange Online 邮箱策略中的数据保护控制类似的控制，并将 IT 和用户群引入 APP。

• 企业增强型数据保护（级别 2）引入了 APP 数据泄露预防机制和最低 OS 要求。 这种配置适用于访问工作或学校数据的大多数移动用户。

• 企业高级数据保护（级别 3）引入了高级数据保护机制、增强的PIN 配置和 APP 移动威胁防御。 此配置适用于访问高风险数据的用户。

执行以下步骤：

1. 在 Intune 门户中，选择“应用”>“应用保护策略”。 此选择将打开“应用保护策略”详细信息，在其中可创建新策略和编辑现有策略。

2. 选择“创建策略”，然后选择“iOS/iPadOS”或“Android”。 随即显示“创建策略”窗格。

3. 选择要应用应用保护策略的应用。

4. 配置数据保护设置：

   1. iOS/iPadOS 数据保护。 有关信息，请参阅 iOS/iPadOS 应用保护策略设置 - 数据保护。

   2. Android 数据保护。 有关信息，请参阅 Android 应用保护策略设置 - 数据保护。

5. 配置访问要求设置：

   1. iOS/iPadOS 访问要求。 有关信息，请参阅 iOS/iPadOS 应用保护策略设置 - 访问要求。

   2. Android 访问要求。 有关信息，请参阅 Android 应用保护策略设置 - 访问要求。

6. 配置条件启动设置：

   1. iOS/iPadOS 条件启动。 有关信息，请参阅 iOS/iPadOS 应用保护策略设置 - 条件启动。

   2. Android 条件启动。 有关信息，请参阅 Android 应用保护策略设置 - 条件启动。

7. 单击“下一步”以显示“分配”页。

8. 完成后，单击“创建”在 Intune 中创建应用保护策略。

提示

了解有关为数据实施端到端零信任策略的信息。

附加部署目标

IV. 终结点威胁检测用于监视设备风险

完成前三个目标后，下一步是配置终结点安全性，以便预配、激活和监视高级防护。 使用单个窗格统一管理所有终结点。

将终结点日志和事务路由到 SIEM 或 Power BI

使用 Intune 数据仓库将设备和应用管理数据发送到报告或 SIEM 工具，以便对警报进行智能筛选以减少干扰。

执行以下步骤：

1. 选择“报告”>“Intune 数据仓库”>“数据仓库”。

2. 复制自定义源 URL。 例如：https://fef.tenant.manage.microsoft.com/ReportingService/DataWarehouseFEService?api-version=v1.0

3. 打开 Power BI Desktop 或 SIEM 解决方案。

从 SIEM 解决方案

选择用于从 Odata 源导入或获取数据的选项。

从 PowerBI

1. 从菜单中，选择“文件”>“获取数据”>“OData 源”。

2. 在“OData 源”窗口中，将从之前步骤中复制的自定义源 URL 粘贴到 URL 框中。

3. 选择“基本”。

4. 选择“确定”。

5. 选择“组织帐户”，然后使用 Intune 凭据登录。

   

6. 选择“连接” 。 导航器将打开，并显示 Intune 数据仓库中的表列表。

7. 选择设备和 ownerTypes 表。 选择“加载”。 Power BI 将数据加载到模型。

8. 创建关系。 通过导入多个表，不仅可以分析单个表中的数据，还能跨表分析相关数据。 Power BI 有一个名为“自动检测”的功能，用于尝试查找和创建关系。 数据仓库中的表已构建为使用 Power BI 中的自动检测功能。 但是，即使 Power BI 未自动查找关系，你仍然可以管理关系。

9. 选择“管理关系”。

10. 如果 Power BI 尚未检测到关系，请选择“自动检测”。

11. 了解设置 PowerBI 可视化效果的高级方法。

V. 根据公司设备和 BYOD 的终结点风险来限制访问控制

公司设备使用云注册服务（例如 DEP、Android Enterprise 或 Windows AutoPilot）进行注册

生成和维护自定义操作系统映像是一个比较耗时的过程，期间可能需要花时间将自定义操作系统映像应用到新设备上，以准备使用新设备。

• 借助 Microsoft Intune 云注册服务，可以向用户提供全新设备，而无需生成、维护自定义操作系统映像以及将其应用到设备上。

• Windows Autopilot 是一组用于设置和预配置新设备以使其可供高效使用的技术。 你还可以使用 Windows Autopilot 来重置、恢复设备及重新调整其用途。

• 配置 Windows Autopilot 以自动加入 Microsoft Entra，并将新的公司拥有的设备注册到 Intune 中。

• 配置 Apple DEP 以自动注册 iOS 和 iPadOS 设备。

本指南中涵盖的产品

Microsoft Azure

Microsoft Entra ID

Microsoft 365

Microsoft Endpoint Manager（包括 Microsoft Intune 和 Configuration Manager）

Microsoft Defender for Endpoint

BitLocker

零信任和 OT 网络

Microsoft Defender for IoT 是一种统一的安全解决方案，专门为识别 IoT 和运营技术 (OT) 网络上的设备、漏洞和威胁而构建。 使用 Defender for IoT 对整个 IoT/OT 环境应用安全性，包括可能没有内置安全代理的现有设备。

OT 网络通常不同于传统的 IT 基础结构，需要专门的方法来实现零信任。 OT 系统使用了具有专有协议的独特技术，并且可能存在平台老化以及连接和能力受限等问题，或者特定安全要求或特有的物理攻击风险。

Defender for IoT 通过解决 OT 特定的挑战支持零信任原则，例如：

• 帮助控制与 OT 系统的远程连接
• 审查并帮助减少依赖系统之间的互连
• 查找网络中的单一故障点

部署 Defender for IoT 网络传感器以检测设备和流量，并监视 OT 特定的漏洞。 将传感器细分为整个网络的站点和区域，以监视区域之间的流量，并按照 Defender for IoT 基于风险的缓解步骤降低 OT 环境中的风险。 然后，Defender for IoT 会持续监视设备是否存在异常或未经授权的行为。

与 Microsoft 服务（例如 Microsoft Sentinel）和其他合作伙伴服务（包括 SIEM 和票证系统）进行集成，以在组织中共享 Defender for IoT 数据。

有关详细信息，请参阅：

• 零信任和 OT 网络
• 基于零信任原则监视 OT 网络
• 使用 Microsoft Sentinel 调查 Defender for IoT 事件

结束语

零信任方法可以显著增强设备和终结点的安全状况。 如需获取有关实施的详细信息或帮助，请联系客户成功团队，或通读本指南中的其他章节，其内容涵盖所有零信任要素。

零信任部署指南系列