Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Стратегия и стратегия нулевого доверия DoD описывает путь для партнеров Министерства обороны и промышленной базы обороны (DIB) для внедрения новой платформы кибербезопасности на основе принципов нулевого доверия. Нулевое доверие устраняет традиционные предположения периметра и доверия, обеспечивая более эффективную архитектуру, которая повышает безопасность, взаимодействие с пользователями и производительность миссий.
В этом руководстве приведены рекомендации по 152 действиям по нулю доверия в схеме выполнения возможностей doD Zero Trusty. Разделы соответствуют семи основным элементам модели DoD Zero Trust.
Чтобы перейти к разделам руководства, воспользуйтесь приведенными ниже ссылками.
- Введение
- Пользователь
- Устройство
- Приложения и рабочие нагрузки
- Данные
- Сеть
- Автоматизация и оркестрация
- Видимость и аналитика
2 устройства
В этом разделе содержатся рекомендации и рекомендации Майкрософт по действиям DoD Zero Trust в разделе "Основные сведения об устройстве". Дополнительные сведения см. в статье "Защита конечных точек с нулевой доверием".
2.1 Инвентаризация устройств
Microsoft Intune и Microsoft Defender для конечной точки настраивать, оценивать работоспособность и обнаруживать уязвимости программного обеспечения для устройств. Используйте идентификатор Microsoft Entra и интеграцию Microsoft Intune, чтобы применить соответствующие политики устройств для доступа к ресурсам.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
TargetАнализ пробелов в средстве работоспособностиустройств 2.1.1DoD Organizations разрабатывает ручную инвентаризацию устройств в среде. Атрибуты устройства, отслеживаемые в инвентаризации, обеспечивают функциональные возможности, описанные на целевом уровне ZTA. Результат. Создание инвентаризации устройств вручную для каждой организации с владельцами |
Microsoft Entra ID Register end user devices with Microsoft Entra ID ID and manage device ides from the Microsoft Entra Admin Center. Страница "Обзор устройств" отслеживает ресурсы устройств, состояние управления, операционную систему, тип соединения и владельца. - Зарегистрированные устройства, присоединенные к гибридным устройствам - - , перечисляют - устройства управления удостоверениями устройств Microsoft Entra Connect Sync Use Connect, чтобы синхронизировать управляемые устройства Active Directory с идентификатором Microsoft Entra. - Гибридные присоединенные устройства Microsoft Intune View об управляемых устройствах из Центра администрирования Microsoft Intune. Получение диагностика с устройств Windows с помощью удаленного действия сбора диагностика. - Сведения об- устройстве Windows диагностика Microsoft Endpoint Configuration Manager используйте совместное управление для подключения развертывания Configuration Manager к облаку Microsoft 365. - Совместное управление устройствами Microsoft Defender для конечной точки View, защищенными Defender для конечной точки на портале Microsoft Defender. - Инвентаризация устройств |
Target2.1.2 NPE/PKI, устройство под управлениемОрганизации DoD используют решение или службу DoD Enterprise PKI для развертывания сертификатов x509 на всех поддерживаемых и управляемых устройствах. В системах PKI и (или) в системах поставщика удостоверений назначаются дополнительные неперссонные сущности (NP), поддерживающие сертификаты x509. Результат: - Сущности, не являющиеся лицами, управляются с помощью PKI организации и поставщика удостоверений организации |
Microsoft Intune Add Intune Certificate Connector for certificate provisioning on endpoints. - Сертификаты соединителя- сертификатов для проверки подлинности используют сетевые профили Intune для проверки подлинности управляемых устройств в сети. Добавьте сертификат простого протокола регистрации сертификатов (SCEP). - Параметры - Wi-Fi устройства Windows, подключенные к сети , интегрируют Intune с партнерами по управлению доступом к сети (NAC) для защиты данных при доступе устройств к локальным ресурсам. - Политика управления приложениями интеграции NAC настраивает политику управления приложениями клиента, чтобы ограничить учетные данные приложения сертификатами, выданными корпоративным PKI. См. руководство Майкрософт 1.9.1 в user. Центр Интернета вещей Azure Configure Центр Интернета вещей Azure для использования и применения проверки подлинности X.509. - Проверка подлинности удостоверений с помощью сертификатов x509 Microsoft Defender для удостоверений If your organization hosts its PKI with Active Directory Certificate Services (AD CS), deploy Defender for Identity sensor, and configure auditing for AD CS. - Датчик AD CS Configure audits for AD CS - |
Target2.1.3 Enterprise IDP Pt1Поставщик удостоверений DoD eterprise (IdP) либо с помощью централизованной технологии, либо федеративных организационных технологий интегрирует сущности, не являющиеся лицами (NPEs), такими как устройства и учетные записи служб. Интеграция отслеживается в решении Enterprise Управление устройствами, если применимо к его интеграции или нет. Не удается интегрировать NP с idP либо помечаются для выхода на пенсию, либо за исключением использования метода на основе рисков. Результат: - NPEs, включая устройства, интегрированы с корпоративным idP |
Регистрация присоединенных к Microsoft Entra устройств использует устройства, присоединенные к Microsoft Entra, для новых и повторно образированных клиентских устройств Windows. Устройства, присоединенные к Microsoft Entra, имеют улучшенный пользовательский интерфейс для входа в облачные приложения, такие как Microsoft 365. Пользователи получают доступ к локальным ресурсам с помощью устройств, присоединенных к Microsoft Entra. - Присоединенные устройства- единого входа к локальным ресурсам на присоединенных устройствах Microsoft Intune настраивают автоматическую регистрацию для устройств Windows 10 или 11, присоединенных к клиенту Microsoft Entra. - Автоматическая регистрация Microsoft Entra Connect Sync , если ваша организация синхронизирует Active Directory с идентификатором Microsoft Entra с помощью Connect Sync. Чтобы автоматически зарегистрировать устройства с идентификатором Microsoft Entra, настройте гибридные присоединенные устройства. - Гибридные устройства, присоединенные к приложениям Microsoft Entra, регистрируют приложения с помощью Microsoft Entra и используют субъекты-службы для программного доступа к Microsoft Entra и защищенным API, таким как Microsoft Graph. Настройте политики управления приложениями, чтобы ограничить типы учетных данных приложения. См. руководство майкрософт 2.1.2. Идентификация рабочей нагрузки Microsoft Entra Использовать федерацию удостоверений рабочей нагрузки для доступа к защищенным ресурсам Microsoft Entra в действиях GitHub и других поддерживаемых сценариях. - Управляемые удостоверения федерации рабочих нагрузок используют управляемые удостоверения для поддерживаемых ресурсов Azure и виртуальных машин с поддержкой Azure Arc. - Управляемые удостоверения для серверов - с поддержкой Azure Arc Центр Интернета вещей Azure Использовать идентификатор Microsoft Entra для проверки подлинности запросов на Центр Интернета вещей Azure API службы. - Управление доступом к Центр Интернета вещей |
Advanced2.1.4 Enterprise IDP Pt2Поставщик удостоверений doD enterprise Identity Provider (IdP) либо с помощью централизованной технологии, либо федеративных организационных технологий добавляет дополнительные динамические атрибуты для NP, таких как расположение, шаблоны использования и т. д. Результат: - Атрибуты условного устройства являются частью профиля поставщика удостоверений |
Microsoft Defender для конечной точки Deploy Defender для конечной точки для конечных пользователей настольных устройств, управляемых мобильных устройств и серверов. - Подключение защитника устройств - для конечной точки на устройствах с помощью Intune - Onboard Windows server Microsoft Intune Manage конечных пользователей с помощью Intune. Настройте политики соответствия Intune для управляемых устройств. Включите Microsoft Defender для конечной точки оценку рисков компьютера в политиках соответствия Intune. - Планирование политики соответствия требованиям политики соответствия требованиям для политик соответствия требованиям на уровне пользовательских политик- - соответствия устройств на уровне устройств, настроенных на уровне - безопасности устройств Windows в Intune- Enterprise - , iOS и iPadOS в Intune, если в вашей организации используется стороннее решение Mobile Threat Defense (MTD), настройте соединитель Intune.- Управление мобильными приложениями MTD использует Intune MAM для незарегистрированных устройств для настройки и защиты приложений для собственных устройств (BYOD). - Управление приложениями |
2.2 Обнаружение устройств и соответствие требованиям
Политики соответствия Microsoft Intune обеспечивают соответствие устройств стандартам организации. Политики соответствия требованиям могут оценивать конфигурацию устройства в соответствии с базовыми показателями безопасности. Политики используют состояние защиты Microsoft Defender для конечной точки и оценку риска компьютера для определения соответствия требованиям. Условный доступ использует состояние соответствия устройств для принятия решений о динамическом доступе для пользователей и устройств, включая собственные устройства (BYOD).
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target2.2.1 Реализация Pt1сетевой авторизации на основе C2C/ComplianceКомпания DoD, работающая с организациями, разрабатывает политику, стандарт и требования для обеспечения соответствия требованиям для подключения. После достижения соглашения начинается приобретение решений, выбирается поставщик, а реализация начинается с функциональных возможностей базового уровня в средах ZT Target (низкий риск). Проверки базового уровня реализованы в новом решении "Соответствие подключению", что позволяет удовлетворить целевые функции ZTA. Результаты: - C2C применяется на корпоративном уровне для сред с низким риском и тестирования. Проверки базовых устройств реализуются с помощью C2C |
Microsoft Intune Manage devices with Intune and configure device compliance policies. Используйте управление мобильными приложениями Intune (MAM) для защиты приложений при отмене регистрации BYOD. См. рекомендации Майкрософт в версии 2.1.4. Условный доступ использует сигналы, совместимые с Intune устройства, расположение и сигналы риска входа в политиках условного доступа. Используйте фильтры устройств для политик условного доступа на основе атрибутов устройства. - Требовать фильтрацию условий- соответствия - требованиям для условного доступа устройств - с помощью Intune Идентификация рабочей нагрузки Microsoft Entra Создание политик условного доступа для удостоверений рабочих нагрузок с помощью элементов управления рисками и расположениями. - Условный доступ для удостоверений рабочей нагрузки- Secure |
Advanced2.2.2 Реализация pt2-авторизациина основе сети C2C/complianceОрганизации DoD расширяют развертывание и использование соответствия требованиям для подключения ко всем поддерживаемым средам, необходимым для удовлетворения расширенных функциональных возможностей ZT. Соблюдайте соответствие командам Connect свои решения с корпоративными шлюзами удостоверений и авторизации, чтобы лучше управлять доступом и авторизацией к ресурсам. Результаты: - C2C применяется во всех поддерживаемых средах . Проверки расширенных устройств выполняются и интегрируются с динамическим доступом, корпоративным idP и ZTNA. |
Приложения Microsoft Entra интегрируют приложения и управляют доступом пользователей с идентификатором Microsoft Entra. См. руководство Майкрософт 1.2.4 в user. Устройства Microsoft Intune и Microsoft Defender для конечной точки Manage с Intune, развертывание Defender для конечной точки и настройка политики соответствия устройств с помощью оценки риска компьютера Defender для конечной точки. См. руководство Майкрософт 2.1.4 в этом разделе. Создание политик условного доступа, требующих соответствующего устройства для доступа к приложениям. См. рекомендации Майкрософт в версии 2.2.1. Microsoft Entra application proxyDeploy application Proxy or a secure hybrid access (SHA) partner solution to enable Условный доступ для локальных и устаревших приложений с помощью ZTNA Network Access (ZTNA). - SHA с интеграцией Microsoft Entra Microsoft Tunnel — это решение шлюза виртуальной частной сети (VPN) для управляемых Intune устройств и незарегистрированных устройств с приложениями, управляемыми Intune. Туннель использует идентификатор Microsoft Entra для проверки подлинности и политик условного доступа для доступа мобильных устройств к локальным приложениям. - Туннель для Intune |
2.3 Авторизация устройства с проверкой в режиме реального времени
Условный доступ — это подсистема политики нулевого доверия для облачных продуктов и служб Майкрософт. Оценка политик нулевого доверия в поставщике удостоверений перемещает модель соответствия для подключения (C2C), применяя адаптивные элементы управления перед доступом к ресурсам. Политики условного доступа используют сигналы безопасности от идентификатора Microsoft Entra, XDR в Microsoft Defender и Microsoft Intune.
Компоненты XDR в Microsoft Defender оценивают уровни риска устройств и удостоверений с помощью обнаружения машинного обучения (ML) и позволяя динамическим, рискованным решениям разрешать, блокировать или контролировать доступ к данным, приложениям, ресурсам и службам (DAAS).
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Advanced2.3.1 Мониторинг активности сущностей Pt1Используя разработанные базовые показатели пользователей и устройств, Организации DoD используют реализованное решение "Поведение пользователей и сущностей" (UEBA) для интеграции базовых показателей. Атрибуты и базовые показатели устройств UEBA доступны для обнаружения авторизации устройства. Результаты: - Атрибуты UEBA интегрированы для базовых показателей устройств. Атрибуты UEBA доступны для использования с доступом к устройству |
Устройства Microsoft Intune и Microsoft Defender для конечной точки Manage с Intune, развертывание Defender для конечной точки и настройка политики соответствия устройств с помощью оценки риска компьютера Defender для конечной точки. См. рекомендации Майкрософт в версии 2.1.4. Условный доступ создает политики условного доступа, требующие соответствующего устройства для доступа к приложениям. См. рекомендации Майкрософт в версии 2.2.1. политики условного доступа Защита идентификации Microsoft Entra Configure для уровней риска идентификации в Защита идентификации Microsoft Entra. См. руководство Майкрософт 1.6.1 в user. |
Advanced2.3.2 Мониторинг активности сущностей Pt2Организации DoD используют решение "Поведение пользователей и сущностей" (UEBA) с решениями сетевого доступа для мандатов атрибутов UEBA (например, работоспособности устройств, шаблонов входа и т. д.) для доступа к средам и ресурсам. Результат. - Атрибуты UEBA являются обязательными для доступа к устройству |
Условный доступ использует состояние устройства, расположение и сигналы риска удостоверений в политиках условного доступа. Используйте фильтры устройств для назначения политик условного доступа на основе атрибутов устройства. См. рекомендации Майкрософт в версии 2.2.1 и 2.3.1. |
Target2.3.3 Реализация средствмониторинга целостности файлов и управления приложениями (FIM)Организации DoD приобретают и реализуют решения для мониторинга целостности файлов (FIM) и управления приложениями. FIM продолжает разработку и расширение мониторинга в компоненте Data Pillar. Управление приложениями развертывается в средах с низким риском в режиме мониторинга только в режиме установки базовых пособий. Команды управления приложениями интегрируются с средами PKI предприятия и организации, используют сертификаты для пособий приложений. NextGen AV охватывает все возможные службы и приложения Результаты: - Средства AppControl и FIM реализуются во всех критически важных службах и приложениях. Средства EDR охватывают максимальное количество служб и приложений — AppControl и FIM-данные отправляются в C2C по мере необходимости. |
Microsoft Defender для конечной точки Defender для конечной точки объединяет сигналы от мониторинга целостности файлов (FIM), управления приложениями, антивирусной программы следующего поколения (NGAV) и многое другое для оценки риска компьютера. - Антивирусная программа защиты- следующего поколения для управляемых устройств- , контролируемых папкой, обращается к политикам безопасности microsoft Intune Configure App Control в Microsoft Intune. - Утвержденные приложения с политикой AppControl в Защитнике Windows для бизнеса- и правилами условного доступа для обеспечения соответствия модели подключения (C2C), интегрируют приложения с идентификатором Microsoft Entra ID и требуют соответствующего контроля предоставления устройств в условном доступе. См. руководство майкрософт в версии 2.2.2. |
Advanced2.3.4 Интеграция средств NextGen AV C2CОрганизации DoD приобрели и реализовали решения для защиты от вредоносных программ нового поколения и следующего поколения. Эти решения интегрированы с первоначальным развертыванием соответствия требованиям для базовых проверки состояния подписей, обновлений и т. д. Результаты: - Критически важные данные NextGen AV отправляются в C2C для проверок . Средства NextGen AV реализованы во всех критически важных службах и приложениях. |
Microsoft Intune Create device-compliance policies for antivirus and Microsoft Defender для конечной точки machine risk score. - Антивирусная политика для безопасности конечных точек см. в руководстве Майкрософт по версии 2.2.2. |
Advanced2.3.5 Полностью интегрирует стек безопасности устройств с C2C соответствующим образомDoD Organizations продолжает развертывание управления приложениями во всех средах и в режиме предотвращения. Мониторинг целостности файлов (FIM) и аналитика элементов управления приложениями интегрированы в Соответствие требованиям для подключения к расширенным точкам принятия решений о доступе. Соответствие аналитике Connect оценивается для дальнейших точек данных стека данных стека безопасности устройств и конечных точек, таких как UEDM, и интегрируются по мере необходимости. Результаты: - Развертывание AppControl и FIM расширяется для всех необходимых служб и приложений . Остальные данные из средств безопасности устройств реализованы с помощью C2C |
Завершение действия 2.3.4. приложения Microsoft Defender для облакаОпределение и контроль рискованных облачных приложений с помощью политик Defender для облака Apps. - Управление облачными приложениями с помощью политик |
Advanced2.3.6 Корпоративная PKI Pt1Инфраструктура открытых ключей DoD Enterprise (PKI) расширяется, чтобы включить добавление сертификатов NPE и устройств. NPEs и устройства, которые не поддерживают PKI-сертификаты, помечены для выхода на пенсию и вывода из эксплуатации. Результаты. - Устройства, которые не могут иметь сертификаты, поэтапно удаляются и /или перемещаются в минимальные среды доступа. Все устройства и NPEs имеют сертификаты, установленные для проверки подлинности в корпоративном PKI |
Microsoft Intune использует Microsoft Intune для развертывания сертификатов PKI DoD на устройствах. См. руководство майкрософт по версии 2.1.2. Политика управления приложениями настраивает политику управления приложениями клиента, чтобы ограничить учетные данные приложения сертификатами, выданными корпоративным PKI. См. руководство Майкрософт 1.5.3 в user. приложения Microsoft Defender для облакаНастройте политики доступа, чтобы требовать сертификатов клиента для доступа к приложению и блокировать несанкционированный доступ к устройству. - Политики доступа |
Advanced2.3.7 Корпоративная PKI Pt2Организации DoD используют сертификаты для проверки подлинности устройства и компьютера для связи с компьютером. Неподдерживаемые устройства завершают выход на пенсию и исключения утверждаются с помощью метода на основе рисков. Результат. Устройства необходимы для проверки подлинности для взаимодействия с другими службами и устройствами. |
Microsoft Intune и условный доступ интегрируют приложения с идентификатором Microsoft Entra ID, управляют устройствами с Intune, защищают устройства с помощью Microsoft Defender для конечной точки и настраивают политики соответствия. Включите политику соответствия для оценки рисков компьютера Defender для конечной точки. Требовать соответствующее управление предоставлением в политиках условного доступа. См. руководство майкрософт в версии 2.2.2. |
Удаленный доступ 2.4
Идентификатор Microsoft Entra — это поставщик удостоверений по умолчанию (IdP). Если вы используете Microsoft Entra для входа в приложение, пользователи проходят проверку политики условного доступа, прежде чем Microsoft Entra авторизует доступ. Идентификатор Microsoft Entra можно использовать для защиты приложений, размещенных в облаке или локальной среде.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target2.4.1 Запретить устройство по умолчаниюDoD Organizations блокируют доступ всех неуправляемых удаленных и локальных устройств к ресурсам. Совместимые управляемые устройства предоставляют методичный доступ на основе рисков после концепций целевого уровня ZTA. Результаты. - Компоненты могут блокировать доступ к ресурсам (приложениям и данным) по умолчанию и явно разрешать соответствующие устройства для каждой политики . Удаленный доступ включен после подхода "запретить устройство по умолчанию" |
Доступ к приложениям и ресурсам, защищенным идентификатором Microsoft Entra, по умолчанию запрещен. Доступ к ресурсам требует проверки подлинности, активного права и авторизации политиками условного доступа. - Интеграция приложений интеграции приложений- Microsoft Intune Manage с Intune с Intune. Настройте политики соответствия устройств. Требовать соответствующее устройство в политиках условного доступа для всех пользователей и приложений. См. рекомендации Майкрософт в версии 2.2.1. |
TargetПоддержка 2.4.2 Managed and Limited BYOD и IOTОрганизации DoD используют единую конечную точку и Управление устройствами (UEDM) и аналогичные решения, чтобы обеспечить поддержку авторизации пользователей и устройств на основе устройств на основе устройств с управляемым устройством (BYOD) и Интернета вещей (IoT) полностью интегрированы с корпоративным поставщиком удостоверений. Для доступа к устройствам для всех приложений требуются политики динамического доступа. Результаты. Для всех приложений требуется динамический доступ к разрешениям для устройств — BYOD и IOT для устройств базовые и интегрированные с корпоративным idP |
Завершение действия 2.4.1. Microsoft Intune использует управление устройствами Intune и управление мобильными приложениями для привлечения собственного устройства (BYOD). - Управление мобильными приложениями для незарегистрированных устройств - защита приложений политики условного доступа требуют соответствующего устройства и /или политики защиты приложений в условном доступе для всех пользователей и приложений. - Утвержденная политика клиентского приложения или политики - защиты приложений защита приложений политики на устройствах Windows Внешняя идентификация Microsoft Entra Configure между клиентами для управления устройствами, соответствующими требованиям, от доверенных партнеров. - Параметры доступа между клиентами для устройств Microsoft Defender для совместной работы B2B для IoT Deploy Defender для Интернета вещей для видимости, а также для мониторинга и защиты устройств Интернета вещей и операционных технологий (OT). Убедитесь, что программное обеспечение устройства обновлено и измените локальные пароли. Не используйте пароли по умолчанию. - Defender для Интернета - вещей и безопасности OT с нулевой доверием - национальной стратегии кибербезопасности США для защиты Интернета вещей |
Advanced2.4.3 Managed and Full BYOD и IOT Support Pt1Организации DoD используют единую конечную точку и Управление устройствами (UEDM) и аналогичные решения для обеспечения доступа к управляемым и утвержденным устройствам в службах и операционных критически важных службах или приложениях с помощью политик динамического доступа. Устройства BYOD и Internet ofThings (IoT) должны соответствовать стандартным базовым проверкам перед авторизацией. Результаты. — Только устройства BYOD и IOT, которые соответствуют заданным стандартам конфигурации, разрешенным для доступа к ресурсам . Критически важные службы требуют динамического доступа для устройств. |
Завершение действия 2.4.2. приложения Microsoft Defender для облакаНастройте политики доступа, чтобы требовать сертификаты клиента для доступа к приложениям. Блокировать доступ с несанкционированных устройств. См. руководство майкрософт в версии 2.3.6. |
Advanced2.4.4 Managed and Full BYOD и IOT Support Pt2Организации DoD используют единую конечную точку и Управление устройствами (UEDM) и аналогичные решения для обеспечения доступа к неуправляемых устройствам проверок устройств и стандартных базовых показателей. Все возможные службы и приложения интегрированы для предоставления доступа к управляемым устройствам. Неуправляемые устройства интегрируются со службами и приложениями на основе метода авторизации на основе рисков. Результат. - Все возможные службы требуют динамического доступа для устройств |
Виртуальный рабочий стол Azure развертывает виртуальный рабочий стол Azure (AVD) для поддержки удаленного доступа с неуправляемых устройств. Присоединение виртуальных машин узла сеанса AVD к Microsoft Entra и управление соответствием требованиям Microsoft Intune. Разрешить вход в AVD с помощью без пароля или без фишингового средства проверки подлинности с неуправляемых устройств. - Microsoft Entra присоединился к виртуальным машинам в силе проверки подлинности AVD- Microsoft Defender для облака Приложения используют управление сеансами Defender для облака Apps для мониторинга и ограничения веб-сеансов с неуправляемых устройств. - Политики сеансов |
2.5 Частично и полностью автоматизированное управление ресурсами, уязвимостями и исправлениями
Microsoft Endpoint Manager поддерживает облачные и гибридные решения для управления устройствами. Политики конфигурации и соответствия гарантируют, что устройства соответствуют требованиям к уровню исправлений и конфигурации безопасности для вашей организации.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target2.5.1 Реализация ресурсов, уязвимостей и средствуправления исправлениямиОрганизации DoD реализуют решения для управления конфигурациями ресурсов и устройств, уязвимостями и исправлениями. С помощью минимальных стандартов соответствия (например, STIG и т. д.) команды могут подтвердить или запретить соответствие управляемым устройствам. В рамках процесса закупок и реализации решений, API или других программных интерфейсов будет применяться для будущих уровней автоматизации и интеграции. Результаты: - Компоненты могут подтвердить соответствие устройств минимальным стандартам соответствия или нет . Компоненты имеют управление ресурсами, уязвимость и системы исправлений с помощью API, которые позволят интегрироваться в системы в системах. |
Управление устройствами Microsoft Intune в Intune. См. рекомендации Майкрософт в версии 2.1.4. Совместное управление Microsoft Endpoint Manager для устаревших устройств конечных точек. - Совместное управление - конечными точками настройте и обновите политики для платформ устройств, управляемых с помощью Intune. - Политики обновления программного обеспечения для iOS и iPadOS macOS: политики- - обновления программного обеспечения Android FOTA обновляет - Windows 10 и 11 Microsoft Defender для конечной точки Integrate Microsoft Defender для конечной точки с Microsoft Intune. Исправьте уязвимости конечных точек с помощью политик конфигурации Microsoft Intune. - - Управление уязвимостями Microsoft Defender Использовать Microsoft Intune и уязвимости, выявленные Microsoft Defender для конечной точки |
2.6 Унифицированное управление конечными точками и управление мобильными устройствами
Политики конфигурации и соответствия Требованиям Microsoft Intune обеспечивают соответствие устройств требованиям к конфигурации организации. Intune оценивает политики соответствия и помечает устройства как соответствующие или несоответствующие. Политики условного доступа могут использовать состояние соответствия устройств для блокировки пользователей с несоответствующими устройствами от доступа к ресурсам, защищенным идентификатором Microsoft Entra.
Внешняя идентификация Microsoft Entra параметры доступа между клиентами включают параметры доверия для гостевой совместной работы. Эти параметры можно настроить для каждого клиента партнера. Если вы доверяете устройствам, совместимым с другим клиентом, гости, использующие соответствующие устройства в своем домашнем клиенте, удовлетворяют политикам condtional Access, требующим совместимых устройств в клиенте. Не нужно создавать исключения для политик условного доступа, чтобы избежать блокировки внешних гостей.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target2.6.1 Реализация UEDM или эквивалентных средствОрганизации DoD тесно сотрудничают с действием "Реализация средств управления ресурсами, уязвимостями и исправлениями" для приобретения и реализации решения единой конечной точки и Управление устройствами (UEDM), гарантирующего, что требования интегрированы с процессом закупок. После приобретения решения команды UEDM убедитесь, что важные целевые функции ZT, такие как минимальное соответствие, управление ресурсами и поддержка API. Результаты: - Компоненты могут подтвердить, соответствуют ли устройства минимальным стандартам соответствия требованиям или не имеют систем управления активами для устройств пользователей (телефонов, настольных компьютеров, ноутбуков), которые поддерживают соответствие ИТ- требованиям, которое сообщается до системы управления активами корпоративных компонентов DoD , могут программно, т. е. API, обеспечить состояние соответствия устройств и, если он соответствует минимальным стандартам |
Завершите действие 2.3.2. Состояние соответствия устройств Microsoft Intune интегрировано с поставщиком удостоверений (IdP), идентификатором Microsoft Entra ID, сигналами соответствия Intune в условном доступе. Просмотр состояния соответствия устройств в Центре администрирования Microsoft Entra или с помощью API Microsoft Graph. - Отчеты о политиках - соответствия требованиям Intune Внешняя идентификация Microsoft Entra To расширяйте политики соответствия устройств пользователям за пределами организации, настройте параметры доступа между клиентами, находящимися в сети, для доверия MFA и соответствующим утверждениям устройств от доверенных клиентов DoD. - Межтенантный доступ к API Microsoft Graph API Microsoft Graph запрашивает состояние соответствия устройств. - API соответствия требованиям и конфиденциальности |
Target2.6.2 Корпоративная Управление устройствами Pt1DoD Organizations переносит инвентаризацию вручную устройств в автоматизированный подход с помощью единой конечной точки и решения Управление устройствами. Утвержденные устройства могут управляться независимо от расположения. Устройства, часть критически важных служб, должны управляться единой конечной точкой и решением Управление устройствами поддержкой автоматизации. Результаты. - Инвентаризация вручную интегрирована с решением автоматического управления для критически важных служб . Включение ZT Управление устройствами (из любого расположения с удаленным доступом или без нее) |
Управление устройствами Microsoft Intune и условным доступом с помощью Microsoft Intune. Настройте политики соответствия устройств. Требовать соответствующие политики условного доступа устройства. См. рекомендации Майкрософт в версии 2.1.4. |
Target2.6.3 Корпоративная Управление устройствами Pt2DoD Organizations переносит оставшиеся устройства в решение Enterprise Управление устройствами. Решение EDM интегрировано с решениями по рискам и соответствию требованиям. Результат. Инвентаризация вручную интегрирована с автоматизированным решением по управлению для всех служб. |
Управление устройствами Microsoft Intune и условным доступом с помощью Intune. Настройте политики соответствия устройств. Требовать соответствующее устройство в политиках условного доступа. См. рекомендации Майкрософт в версии 2.1.4. |
2.7 Конечная точка и расширенный обнаружение и ответ (EDR и XDR)
Унифицированный набор защиты Microsoft Defender XDR координирует обнаружение, предотвращение, исследование и ответ между конечными точками, удостоверениями, электронной почтой и приложениями. Компоненты XDR в Microsoft Defender обнаруживают и защищаются от сложных атак.
Интеграция компонентов XDR в Microsoft Defender расширяет защиту за пределами устройств. См. примеры событий обнаружения, которые способствуют уровню риска пользователей в Защита идентификации Microsoft Entra:
- Подозрительные шаблоны отправки электронной почты, обнаруженные Microsoft Defender для Office
- Обнаружение невозможных путешествий в приложениях Microsoft Defender для облака
- Пытается получить доступ к основному маркеру обновления, обнаруженного Microsoft Defender для конечной точки
Политики условного доступа на основе рисков могут защитить, ограничить или заблокировать доступ к облачным службам для пользователя, рискованного пользователя, даже если они используют соответствующее устройство в доверенной сети.
Дополнительные сведения см. в статье о включении компонентов XDR в Microsoft Defender и о каких рисках?
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target2.7.1 Реализация средств обнаружения конечных точек и реагирования (EDR) и интеграция с C2CОрганизации DoD приобретают и реализуют решения обнаружения конечных точек и реагирования (EDR) в средах. EDR защищает, отслеживает и реагирует на вредоносные и аномальные действия, обеспечивающие функциональные возможности ZT Target и отправляет данные в решение "Соответствие подключению" для развернутых проверок устройств и пользователей. Результаты: - Средства обнаружения конечных точек и реагирования реализованы . Критически важные данные EDR отправляются в C2C для проверок . Средство NextGen AV охватывает максимальное количество служб и приложений |
Microsoft Defender для конечной точки Deploy Defender для конечных точек для устройств конечных пользователей. См. руководство Майкрософт 2.3.1 в этом разделе. Microsoft Intune configure Intune Configure Intune device compliance policies. Включите оценку риска компьютера Defender для конечной точки для соответствия политике. См. руководство майкрософт 2.1.4. и в версии 2.3.2. Microsoft Defender для облака Enable Microsoft Defender для серверов для подписок с виртуальными машинами в Azure. Планы Defender для серверов включают Defender для облака для серверов. - Defender для серверов использует серверы с поддержкой Azure Arc для управления физическими серверами и виртуальными машинами Windows и Linux за пределами Azure. Разверните агент Azure Arc для серверов, размещенных за пределами Azure. Подключение серверов с поддержкой Arc к подписке, защищенной Microsoft Defender для сервера. - Серверы - с поддержкой Azure Arc |
Target 2.7.2 Реализуйте средства расширенного обнаружения и реагирования (XDR) и интегрируйте с организациями DoD C2C Pt1и реализуйте решения расширенного обнаружения и реагирования (XDR). Точки интеграции с возможностями перекрестной основы определяются и определяются приоритетами на основе риска. Наиболее рискованным из этих точек интеграции являются действия и интеграция запущена. EDR продолжает охват конечных точек, чтобы включить максимальное количество служб и приложений в рамках реализации XDR. Базовая аналитика отправляется из стека решений XDR в SIEM. Результаты: - Точки интеграции были определены на основе возможностей— наиболее рискованных точек интеграции были интегрированы с оповещениями W/XDR - Basic с SIEM и (или) другими механизмами. |
Пилотная программа XDR в Microsoft Defender и развертывание компонентов и служб XDR в Microsoft Defender. - Настройка интеграции XDR Sentinel и Defender XDR - для нулевого доверия для развернутых компонентов XDR в Microsoft Defender. - Defender для конечной точки с Defender для облака Apps - Defender для удостоверений и Defender для облака Apps - Purview Information Protection и Defender для облака Apps Microsoft Sentinel Настройте соединители данных Sentinel для XDR в Microsoft Defender. Включите правила аналитики. - Установка данных XDR - Connect Defender В Sentinel |
Advanced2.7.3 реализуйте средства расширенного обнаружения и реагирования (XDR) и интегрируйте с C2C Pt2Стек решений XDR завершает идентификацию точек интеграции, расширяющих охват до максимально возможного объема. Исключения отслеживаются и управляются с помощью метода на основе рисков для непрерывной работы. Расширенная аналитика, обеспечивая расширенные функциональные возможности ZT, интегрируются в SIEM и другие соответствующие решения. Результаты: - Остальные точки интеграции были интегрированы в соответствии с соответствующими требованиям. Расширенные оповещения и ответы включены с другими средствами аналитики по крайней мере с помощью SIEM |
XDR в Microsoft Defender использует XDR Microsoft Defender в стратегии операций безопасности. - Интеграция XDR Defender в операции безопасности |
Следующие шаги
Настройте облачные службы Майкрософт для стратегии нулевого доверия DoD: