保護端點是零信任策略中至關重要的一環。 這些 Intune 建議透過政策驅動的控制措施,協助保護您的網路邊界與裝置,強制加密、限制未經授權存取並降低漏洞暴露風險。 透過跨平台套用配置與安全政策,這些檢查與 Microsoft 的安全未來倡議 相符,強化貴組織的整體安全態勢。
零信任安全建議
Windows 的本地管理員憑證由 Windows LAPS 保護
若未強制執行本地管理員密碼解決方案 (LAPS) 政策,威脅行為者若取得端點存取權,就能利用靜態或弱的本地管理員密碼來提升權限、橫向移動並建立持久化。 攻擊鏈通常從裝置遭到入侵開始——透過網路釣魚、惡意軟體或實體存取——接著嘗試蒐集本地管理員憑證。 若無 LAPS,攻擊者可在多台裝置重複使用被入侵的憑證,增加權限升級及網域範圍被入侵的風險。
在所有企業 Windows 裝置上強制執行 Windows LAPS,確保本地管理員密碼獨一且定期輪替。 這能在憑證存取與橫向移動階段中斷攻擊鏈,大幅降低大規模入侵的風險。
補救動作
使用 Intune 強制執行 Windows LAPS 政策,輪換強且獨特的本地管理員密碼,並安全備份:
如需詳細資訊,請參閱:
macOS 的本地管理員憑證在註冊時會受到 macOS LAPS 的保護
在 ADE) 自動化裝置註冊 (執行 macOS LAPS 政策的情況下,威脅行為者可利用靜態或重複使用的本地管理員密碼來提升權限、橫向移動並建立持久性。 未設置隨機憑證的裝置容易遭受憑證收集並在多個端點間重複使用,增加整個網域被入侵的風險。
強制執行 macOS LAPS 確保每台裝置都配備由 Intune 管理的獨特加密本地管理員密碼。 這在憑證存取與橫向移動階段中斷攻擊鏈,大幅降低廣泛被入侵的風險,並符合零信任原則中的最小權限與憑證衛生原則。
補救動作
使用 Intune 配置 macOS ADE 設定檔,為本地管理員帳號提供隨機且加密的密碼,並實現安全輪替:
如需詳細資訊,請參閱:
Windows 的本地帳號使用受到限制,以減少未經授權的存取
若 Intune 沒有適當配置與指派的本地使用者與群組政策,威脅行為者可能會利用 Windows 裝置上未受管理或錯誤設定的本地帳號。 這可能導致未經授權的特權升級、持續存在,以及在環境中的橫向移動。 若本地管理員帳號未受控,攻擊者可建立隱藏帳號或提升權限,繞過合規與安全控管。 此落差增加了資料外洩、勒索軟體部署及法規不合規的風險。
透過帳號保護設定檔,確保本地使用者與群組政策在受管理的 Windows 裝置上得到執行,對於維護安全且合規的裝置群至關重要。
補救動作
根據 Intune 帳號保護政策,配置並部署本地使用者群組成員設定檔,以限制並管理 Windows 裝置上的本地帳號使用:
Windows 上的資料由 BitLocker 加密保護
若 Intune 沒有正確設定與指派的 BitLocker 政策,威脅行為者可能會利用未加密的 Windows 裝置,未經授權存取敏感企業資料。 缺乏強制加密的裝置容易受到實體攻擊,例如磁碟移除或從外部媒體開機,使攻擊者能繞過作業系統的安全控管。 這些攻擊可能導致資料外洩、憑證竊取,以及環境中進一步的橫向移動。
在受管理的 Windows 裝置上強制執行 BitLocker 對於遵守資料保護法規及降低資料外洩風險至關重要。
補救動作
使用 Intune 強制執行 BitLocker 加密,並監控所有受管理 Windows 裝置的合規性:
FileVault 加密保護 macOS 裝置上的資料
若 Intune 中未妥善配置與指派 FileVault 加密政策,威脅行為者便能利用對未管理或錯誤配置的 macOS 裝置的實體存取,竊取敏感企業資料。 未加密裝置允許攻擊者透過從外部媒體開機或移除儲存磁碟,繞過作業系統層級的安全防護。 這些攻擊可能暴露憑證、憑證及快取的認證令牌,促進權限提升與橫向移動。 此外,未加密裝置會削弱資料保護法規的遵守,並在發生資料外洩時增加聲譽損害及財務罰款的風險。
強制執行 FileVault 加密能保護 macOS 裝置上的靜態資料,即使資料遺失或被竊。 它能干擾憑證收集與橫向流動,支持法規遵循,並符合零信任裝置信任原則。
補救動作
使用 Intune 強制執行 FileVault 加密,並監控所有受管理 macOS 裝置的合規性:
Windows 上的認證使用 Windows Hello 企業版
如果Windows Hello 企業版 (WHfB) 的政策未被設定並指派給所有使用者和裝置,威脅行為者就能利用弱的認證機制——如密碼——取得未經授權的存取權限。 這可能導致憑證盜用、權限升級及環境內的橫向移動。 若缺乏像 WHfB 這樣強而有力、以政策為驅動的認證,攻擊者可能會入侵裝置與帳號,增加廣泛影響的風險。
強制執行 WHfB 可透過要求強而有力的多重驗證來中斷此攻擊鏈,有助於降低基於憑證的攻擊與未經授權存取的風險。
補救動作
在 Intune 中部署 Windows Hello 企業版以強制執行強力且多重的驗證:
- 設定一個租戶範圍的 Windows Hello 企業版政策,該政策在裝置註冊 Intune 時生效。
- 註冊後,設定帳號保護設定檔,並為不同群組的使用者與裝置指派不同的 Windows Hello 企業版設定。
攻擊面減少規則套用於 Windows 裝置,以防止對易受攻擊的系統元件遭到利用
如果攻擊面減少 (ASR) 規則的Intune設定檔未正確配置並指派給 Windows 裝置,威脅行為者便可利用未受保護的端點執行混淆腳本,並從 Office 巨集呼叫 Win32 API。 這些技術常用於網路釣魚攻擊和惡意軟體傳遞,讓攻擊者能繞過傳統防毒防禦,取得初步存取權限。 一旦進入,攻擊者會提升權限、建立持久化,並橫向移動。 若無 ASR 強制執行,裝置仍易遭受腳本攻擊與巨集濫用,削弱 Microsoft Defender 的效能,並暴露敏感性資料於外洩風險。 端點防護的缺口增加了成功入侵的可能性,並降低組織控制與回應威脅的能力。
強制執行 ASR 規則有助於阻擋常見攻擊技術,如基於腳本執行與巨集濫用,降低初期被入侵的風險,並透過強化端點防禦來支持零信任。
補救動作
使用 Intune 部署 Windows 裝置的攻擊面減少規則設定檔,以阻擋高風險行為並強化端點防護:
如需詳細資訊,請參閱:
- 攻擊面減少規則的參考見 Microsoft Defender 文件。
Defender 防毒軟體政策保護 Windows 裝置免受惡意軟體侵害
如果 Microsoft Defender 防毒的政策未在 Intune 中妥善配置與指派,威脅者可能會利用未受保護的端點執行惡意軟體、停用防毒保護,並在環境中持續存在。 若沒有強制執行的防毒政策,裝置將使用過時的定義、即時保護被停用或掃描排程設定錯誤。 這些漏洞讓攻擊者能繞過偵測、提升權限,並在網路中橫向移動。 缺乏防毒執法會削弱裝置合規性,增加零日威脅的暴露,並可能導致法規不合規。 攻擊者利用這些弱點維持持續性並規避偵測,尤其是在缺乏集中政策執行的環境中。
執行 Defender 防毒軟體政策確保持續的惡意軟體防護,支援即時威脅偵測,並透過維持安全且合規的端點態,符合零信任原則。
補救動作
為 Microsoft Defender 防毒軟體設定並指派 Intune 政策,以強制即時防護、維持最新定義,並降低惡意軟體暴露:
Defender 防毒軟體政策保護 macOS 裝置免受惡意軟體侵害
如果 Microsoft Defender 防毒政策未正確設定並指派給 Intune 的 macOS 裝置,攻擊者可能會利用未受保護的端點執行惡意軟體、停用防毒保護,並在環境中持續存在。 若無強制政策,裝置會運行過時的定義、缺乏即時保護,或掃描排程設定錯誤,增加未被偵測威脅及權限升級的風險。 這使網路間的橫向移動、憑證收集及資料外洩成為可能。 缺乏防毒執法會削弱裝置合規性,增加終端點暴露於零日威脅,並可能導致法規不合規。 攻擊者利用這些漏洞來維持持續性並規避偵測,尤其是在缺乏集中政策執行的環境中。
執行 Defender 防毒軟體政策,確保 macOS 裝置持續受到惡意軟體保護,支援即時威脅偵測,並透過維持安全且合規的端點態勢,符合零信任原則。
補救動作
使用 Intune 為 macOS 裝置設定並指派 Microsoft Defender 防毒政策,以強制即時防護、維持最新定義並降低惡意軟體暴露:
Windows 防火牆政策防止未經授權的網路存取
如果沒有設定並指派 Windows 防火牆的政策,威脅行為者可能會利用未受保護的端點取得未經授權的存取權、橫向移動,並在環境中提升權限。 若無強制防火牆規則,攻擊者可繞過網路分割、資料外洩或部署惡意軟體,增加大規模入侵的風險。
執行 Windows 防火牆政策確保進出流量控制的一致性,降低未授權存取的風險,並透過網路分段與裝置層級保護支持零信任。
補救動作
在 Intune 中為 Windows 設定並指派防火牆政策,以阻擋未經授權的流量,並在所有受管理裝置間強制執行一致的網路保護:
-
為 Windows 裝置設定防火牆政策。 Intune 使用兩個互補的設定檔來管理防火牆設定:
- Windows 防火牆 - 使用此設定檔根據網路類型配置整體防火牆行為。
- Windows 防火牆規則 - 使用此設定檔為應用程式、埠口或 IP 定義流量規則,針對特定群組或工作負載量身打造。 這個 Intune 設定檔也支援使用可重複使用的設定群組,以簡化你在不同設定檔實例中使用的常見設定管理。
- 在 Intune 中指派政策
如需詳細資訊,請參閱:
macOS 防火牆政策防止未經授權的網路存取
若沒有集中管理的防火牆政策,macOS 裝置可能依賴預設或使用者修改的設定,而這些設定往往無法符合企業安全標準。 這會讓裝置暴露於未經請求的入站連線,使威脅行為者能夠利用漏洞,建立 (C2) 流量的出站指揮控制以進行資料外洩,並在網路內橫向移動,顯著擴大了入侵的範圍與影響。
執行 macOS 防火牆政策可確保對進出流量的穩定控制,降低未經授權存取的風險,並透過裝置層級保護與網路分段支持零信任。
補救動作
在 Intune 中設定並指派 macOS 防火牆設定檔,以阻擋未經授權的流量,並在所有受管理的 macOS 裝置間強制執行一致的網路保護:
如需詳細資訊,請參閱:
Windows Update 政策的強制執行是為了降低未修補漏洞帶來的風險
如果 Windows Update 政策未在所有企業 Windows 裝置上強制執行,威脅行為者就能利用未修補的漏洞取得未經授權的存取權、升級權限,並在環境中橫向移動。 攻擊鏈通常始於透過釣魚攻擊、惡意軟體或利用已知漏洞導致裝置遭到入侵,接著是繞過安全控管的嘗試。 若沒有強制更新政策,攻擊者會利用過時軟體在環境中持續存在,增加權限升級與網域範圍被入侵的風險。
執行 Windows Update 政策可確保及時修補安全漏洞,破壞攻擊者的持續性,並降低大規模入侵的風險。
補救動作
從「管理 Intune 中的 Windows 軟體更新」開始,了解可用的 Windows Update 政策類型及如何設定。
Intune 包含以下 Windows 更新政策類型:
- Windows 品質更新政策 - 安裝 Windows 的每月定期更新。
- 加速更新政策 - 快速安裝關鍵的安全修補程式。
- 功能更新原則
- 更新環政策 - 管理裝置安裝功能與品質更新的方式與時間。
- Windows 驅動程式更新 - 更新硬體元件。
安全基線會套用到 Windows 裝置以強化安全態勢
若沒有妥善設定與指派 Windows 的 Intune 安全基線,裝置仍易受到各種攻擊途徑的攻擊,威脅者會利用這些途徑來獲取持久性並提升權限。 攻擊者利用缺乏強化安全設定的預設 Windows 配置,進行橫向移動,手段包括憑證傾倒、透過未修補漏洞提升權限,以及利用弱認證機制。 在缺乏強制安全基線的情況下,威脅行為者可能繞過關鍵的安全控管,透過登錄檔修改維持持續性,並透過未受監控的管道外洩敏感性資料。 若未實施深度防禦策略,攻擊者在攻擊鏈中從初始存取到資料外洩,裝置更容易被利用,最終危及組織的安全態勢,增加合規違規風險。
套用安全基準確保 Windows 裝置配置強化設定,減少攻擊面,強化深度防禦,並透過標準化環境安全控管來支持零信任。
補救動作
為 Windows 裝置設定並指派 Intune 安全基準線,以強制執行標準化的安全設定並監控合規性:
macOS 的更新政策被強制執行,以降低未修補漏洞帶來的風險
如果 macOS 更新政策未正確配置與指派,威脅行為者可能會利用組織內 macOS 裝置中未修補的漏洞。 若無強制更新政策,裝置仍停留在過時的軟體版本,增加了權限提升、遠端程式碼執行或持久化技術的攻擊面。 威脅行為者可利用這些弱點取得初步存取權限、升級權限,並在環境中橫向移動。 如果政策存在但未指派給裝置群組,端點就無法受到保護,合規缺口也無法被偵測。 這可能導致大規模的入侵、資料外洩及營運中斷。
執行 macOS 更新政策確保裝置能及時獲得修補程式,降低被利用的風險,並透過維護安全且合規的裝置群來支持零信任。
補救動作
在 Intune 中設定並指派 macOS 更新政策,以強制及時修補並降低未修補漏洞帶來的風險:
iOS/iPadOS 的更新政策被強制執行,以降低未修補漏洞帶來的風險
如果 iOS 更新政策未被設定與指派,威脅者可能會利用受管理裝置過時作業系統中未修補的漏洞。 缺乏強制更新政策,使攻擊者能利用已知漏洞取得初始存取權限、提升權限,並在環境中橫向移動。 若不及時更新,裝置仍易受到蘋果已處理的漏洞利用,使威脅行為者得以繞過安全控管、部署惡意軟體或外洩敏感性資料。 這條攻擊鏈始於裝置因未修補的漏洞而遭入侵,接著是持續存在及潛在的資料外洩,影響組織安全與合規態勢。
執行更新政策能打破這條鏈條,確保裝置持續受到已知威脅的保護。
補救動作
在 Intune 中設定並指派 iOS/iPadOS 更新政策,以強制及時修補並降低未修補漏洞的風險: