零信任 和 Windows 裝置健康情況

  • 發行項

組織需要安全性模型,以更有效地適應新式工作環境的複雜性。 IT 系統管理員必須採用混合式工作場所,同時保護人員、裝置、應用程式和數據,無論他們位於何處。 實作安全性 零信任 模型有助於解決現今複雜的環境。

零信任 原則如下:

  • 明確驗證。 一律根據所有可用的數據點進行驗證和授權,包括使用者身分識別、位置、裝置健康情況、服務或工作負載、數據分類,以及監視異常狀況
  • 使用最低許可權的存取權。 使用 Just-In-Time 和 Just-enough-access、風險型調適型原則和數據保護來限制使用者存取,以協助保護數據並維持生產力
  • 假設缺口。 防止攻擊者取得存取權,以將數據和系統的潛在損害降到最低。 保護特殊許可權角色、驗證端對端加密、使用分析來取得可見度,以及推動威脅偵測以改善防禦

驗證的 零信任 概念明確適用於裝置和使用者所帶來的風險。 Windows 可啟用 裝置健康情況證明條件式存取 功能,這些功能可用來授與公司資源的存取權。

條件式存取 會評估身分識別訊號,以確認使用者在獲授與公司資源存取權之前,就是他們所表示的身分。

Windows 11 支援裝置健康情況證明,協助確認裝置處於良好狀態且尚未遭到竄改。 這項功能可協助使用者存取公司資源,不論是在辦公室、在家,或是在旅行時。

證明可協助驗證基本元件的身分識別和狀態,以及裝置、韌體和開機程式是否尚未改變。 韌體、開機程式和軟體的相關信息可用來驗證裝置的安全性狀態。 這項資訊會以密碼編譯方式儲存在安全性共同處理器信賴平臺模組 (TPM) 中。 一旦證明裝置之後,就可以將資源的存取權授與裝置。

Windows 上的裝置健康情況證明

在開機程式期間可能會出現許多安全性風險,因為此程式可以是整個系統中最具特殊許可權的元件。 驗證程式會使用遠程證明作為安全通道來判斷並呈現裝置的健康情況。 遠程證明決定:

  • 如果可以信任裝置
  • 如果操作系統已正確開機
  • 如果作業系統已啟用一組正確的安全性功能

這些決定是使用信賴平臺模組 (TPM) ,在安全根信任的協助下進行。 裝置可以證明 TPM 已啟用,且裝置尚未遭到竄改。

Windows 包含許多安全性功能,可協助保護使用者免於遭受惡意代碼和攻擊。 不過,只有在平臺如預期般開機且未遭到竄改時,才能信任 Windows 安全性元件。 Windows 依賴整合可擴展固件介面 (UEFI) 安全開機、早期啟動的反惡意代碼 (ELAM) 、適用於度量的動態信任根目錄 (DRTM) 、信任開機,以及其他低階硬體和韌體安全性功能。 當您在計算機上開啟電源直到反惡意代碼啟動時,Windows 會受到適當的硬體設定支援,以協助保護您的安全。 由開機載入器和 BIOS 實作的測量和信任開機,會以鏈結方式驗證並以密碼編譯方式記錄開機的每個步驟。 這些事件會系結至作為信任根目錄 (TPM) 的安全性共同處理器。 遠程證明是服務讀取和驗證這些事件的機制,可提供可驗證、不偏不倚和竄改的復原報告。 遠程證明是系統開機的信任稽核員,可讓特定實體信任裝置。

裝置端的證明和 零信任 相關步驟摘要如下:

  1. 在開機程式的每個步驟中,例如檔案載入、特殊變數的更新等等,檔案哈希和簽章等信息都會以 TPM PCR 來測量。 度量是由信 賴運算群組規格 (TCG) 所系結,其指定可以記錄哪些事件以及每個事件的格式

  2. Windows 開機之後,證明器/驗證器會要求 TPM 擷取其平臺設定緩存器中儲存的度量, (PCR) 以及 TCG 記錄檔。 這兩個元件中的度量會一起形成證明辨識項,然後傳送至證明服務

  3. 使用晶元組上可用的金鑰/密碼編譯數據搭配 Azure 憑證服務來驗證 TPM

  4. 此資訊接著會傳送至雲端中的證明服務,以確認裝置是否安全。 Microsoft 端點管理員與 Microsoft Azure 證明 整合,以全面檢閱裝置健康情況,並將此資訊與 Microsoft Entra 條件式存取連線。 此整合是 零信任 解決方案的關鍵,這些解決方案可協助將信任系結至不受信任的裝置

  5. 證明服務會執行下列工作:

    • 確認辨識項的完整性。 這項驗證是藉由驗證符合重新執行 TCG 記錄所重新計算之值的 PCR 來完成
    • 確認 TPM 具有已驗證 TPM 發出的有效證明身分識別密鑰
    • 確認安全性功能處於預期狀態

  6. 證明服務會傳回證明報告,其中包含以證明服務中設定的原則為基礎的安全性功能相關信息

  7. 裝置接著會將報告傳送至 Microsoft Intune 雲端,以根據系統管理員設定的裝置合規性規則來評估平臺的可信度

  8. 條件式存取,以及裝置合規性狀態,然後決定允許或拒絕存取

其他資源

在 零信任 指引中心深入瞭解 Microsoft 零信任 解決方案。