Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Стратегия и Дорожная карта DoD Zero Trust описывает путь для компонентов Министерства обороны и партнеров Промышленной базы обороны (DIB), для принятия новой рамки кибербезопасности на основе принципов Zero Trust. Zero Trust устраняет традиционные предположения периметра и доверия, что обеспечивает более эффективную архитектуру, которая повышает безопасность, взаимодействие с пользователями и производительность миссий.
В этом руководстве приведены рекомендации по 152 действиям Zero Trust в дорожной карте выполнения возможностей DoD Zero Trust. Разделы соответствуют семи основным элементам модели DoD Zero Trust.
Чтобы перейти к разделам руководства, воспользуйтесь приведенными ниже ссылками.
- Введение
- User
- Устройство
- Приложения и рабочие нагрузки
- Данные
- Network
- Автоматизация и оркестрация
- Видимость и аналитика
2 устройства
В этом разделе содержатся руководящие указания и рекомендации Майкрософт по действиям DoD Zero Trust в компоненте устройства. Дополнительные сведения см. в статье Securing endpoints with Zero Trust.
2.1 Инвентаризация устройств
Microsoft Intune и Microsoft Defender for Endpoint настраивать, оценивать работоспособности и обнаруживать уязвимости программного обеспечения для устройств. Используйте Microsoft Entra ID и интеграцию Microsoft Intune для применения соответствующих политик устройств для доступа к ресурсам.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Target
2.1.1 Анализ пробелов в системе Device Health ToolОрганизации DoD разрабатывают ручную инвентаризацию устройств в среде. Атрибуты устройства, отслеживаемые в инвентаризации, обеспечивают функциональные возможности, описанные на целевом уровне ZTA. Результат. Создание инвентаризации устройств вручную для каждой организации с владельцами |
Microsoft Entra ID Регистрируйте устройства конечных пользователей в Microsoft Entra ID и управляйте удостоверениями устройств через Центр администрирования Microsoft Entra. Страница "Обзор устройств" отслеживает ресурсы устройства, состояние управления, операционную систему, тип соединения и владельца. - Регистрированные устройства - Устройства с гибридным присоединением - Список устройств - Управление идентификацией устройства Microsoft Entra Connect Sync Используйте Connect Sync для синхронизации управляемых устройств Active Directory с Microsoft Entra ID. - Устройства с гибридным присоединением Microsoft Intune Просмотр информации об управляемых устройствах из центра администрирования Microsoft Intune. Получение диагностики с устройств Windows с помощью удаленного действия сбора диагностических данных. - Device details - Диагностика устройств Windows Microsoft Endpoint Configuration Manager Использовать совместное управление для подключения развертывания Configuration Manager к облаку Microsoft 365. - Co-management Microsoft Defender for Endpoint Просмотр устройств, защищенных с помощью Defender для конечной точки в портале Microsoft Defender. - Device inventory |
Target
2.1.2 NPE/PKI, устройство под управлениемОрганизации DoD используют решение или службу DoD Enterprise PKI для развертывания сертификатов x509 на всех поддерживаемых и управляемых устройствах. В системах PKI и (или) в системах поставщика удостоверений назначаются дополнительные неперсональные сущности (NPE), поддерживающие сертификаты x509. Результат: - Неперсонализированные сущности управляются с помощью PKI организации и IDP организации |
Microsoft Intune Добавьте Intune Certificate Connector для обеспечения сертификатов на конечных точках. - Коннектор сертификатов - Сертификаты для проверки подлинности Используйте сетевые профили Intune, чтобы помочь управляемым устройствам проходить аутентификацию в вашей сети. Добавьте сертификат SCEP. - Настройки Wi-Fi устройств - Настройки проводной сети для устройств Windows Интегрируйте Intune с партнерами по контролю доступа к сети (NAC) для защиты данных при доступе устройств к локальным ресурсам. - Интеграция NAC Политика управления приложениями Настройте политику управления приложениями арендатора, чтобы ограничить учетные данные приложения сертификатами, выданными корпоративной PKI. См. руководство Microsoft 1.9.1 в разделе Пользователь. Azure IoT Hub Настройте Azure IoT Hub для использования и обеспечения аутентификации с помощью X.509. - Аутентификация с использованием x509 сертификатов Microsoft Defender для идентификаций Если ваша организация использует PKI с помощью Служб сертификации Active Directory (AD CS), разверните датчики Defender для идентификации и настройте аудит для AD CS. - Датчик AD CS - Настройка аудита для AD CS |
Target
2.1.3 Enterprise IDP Pt1Поставщик удостоверений DoD eterprise (IdP) либо с помощью централизованной технологии, либо федеративных организационных технологий интегрирует сущности, не являющиеся лицами (NPEs), такими как устройства и учетные записи служб. Интеграция отслеживается в решении Enterprise Device Management, если применимо, в отношении того, интегрирована она или нет. Не интегрируемые с IdP NPE либо выводятся из эксплуатации, либо за исключением, используя методический подход, основанный на оценке рисков. Результат: - NPEs, включая устройства, интегрированы с корпоративным IDP |
Регистрация устройств с Microsoft Entra Используйте присоединенные к Microsoft Entra устройства Windows для новых и повторно установленных клиентских устройств. Microsoft Entra присоединенные устройства имеют улучшенный пользовательский интерфейс для входа в облачные приложения, такие как Microsoft 365. Пользователи получают доступ к локальным ресурсам через устройства, подключенные к Microsoft Entra. - Подключенных устройств - Единый вход в локальные ресурсы на подключенных устройствах Microsoft Intune Настройте автоматическую регистрацию для устройств на Windows 10 или 11, подключенных к арендатору Microsoft Entra. - Автоматическая регистрация Microsoft Entra Connect Sync Если ваша организация синхронизирует Active Directory с Microsoft Entra ID, используя Connect Sync. Чтобы автоматически регистрировать устройства с помощью Microsoft Entra ID, настройте гибридные подключенные устройства. - Гибридные подключенные устройства Приложения Microsoft Entra Зарегистрируйте приложения в Microsoft Entra и используйте служебные принципы для программного доступа к Microsoft Entra и защищённым API, таким как Microsoft Graph. Настройте политики управления приложениями для ограничения типов учетных данных приложения. См. рекомендации Microsoft 2.1.2. Microsoft Entra Workload ID Используйте федерацию удостоверений рабочих нагрузок для доступа к защищенным ресурсам Microsoft Entra в GitHub Actions и других поддерживаемых сценариях. - Федерация удостоверений рабочих нагрузок Управляемые удостоверения Используйте управляемые удостоверения для поддерживаемых ресурсов Azure и виртуальных машин с поддержкой Azure Arc. - Управляемые удостоверения для ресурсов Azure - Серверы с поддержкой Azure Arc Azure IoT Hub Используйте Microsoft Entra ID для проверки подлинности запросов к API-интерфейсам службы Azure IoT Hub. - Контроль доступа к IoT Hub |
Advanced
2.1.4 Корпоративный поставщик удостоверений Министерства обороны (IdP) Pt2Корпоративный поставщик удостоверений Министерства обороны (IdP), используя либо централизованную технологию, либо федеративные организационные технологии, добавляет дополнительные динамические атрибуты для не-человеческих субъектов, например, расположение, шаблоны использования и т. д. Результат: - Атрибуты условных устройств являются частью профиля поставщика удостоверений личности |
Microsoft Defender for Endpoint Развертывание Defender для конечной точки для настольных устройств пользователей, управляемых мобильных устройств и серверов. - Подключение устройств - Defender для конечной точки на устройствах с Intune - Подключение Windows серверов Microsoft Intune Управление устройствами конечных пользователей с помощью Intune. Настройте политики соответствия Intune для управляемых устройств. Включите оценку риска Microsoft Defender для конечных точек в политиках соответствия Intune. - Планирование политик соответствия - Политика соответствия для уровня риска устройства - Пользовательские политики соответствия - Настройте устройства Windows в Intune - Конфигурация безопасности Android Enterprise - Устройства iOS и iPadOS в Intune. Если ваша организация использует стороннее решение Mobile Threat Defense (MTD), настройте соединитель Intune. - Конфигурация MTD Управление мобильными приложениями Используйте Intune MAM для незарегистрированных устройств для настройки и защиты приложений для собственных устройств (BYOD). - Управление приложениями |
2.2 Обнаружение устройств и соответствие требованиям
Microsoft Intune политики соответствия требованиям обеспечивают соответствие устройств стандартам организации. Политики соответствия требованиям могут оценивать конфигурацию устройства в соответствии с базовыми показателями безопасности. Политики используют состояние защиты Microsoft Defender for Endpoint и оценку риска компьютера для определения соответствия требованиям. Условный доступ использует состояние соответствия устройств для принятия решений о динамическом доступе для пользователей и устройств, включая собственные устройства (BYOD).
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Target
2.2.1 Реализация сетевой авторизации на основе C2C/Compliance Часть 1Предприятие Министерства обороны США в сотрудничестве с организациями разрабатывает политику, стандарт и требования для соответствия стандарту Comply to Connect. После достижения соглашения начинается приобретение решений, выбирается поставщик, а реализация начинается с функциональных возможностей базового уровня в средах ZT Target (низкий риск). Проверки базового уровня реализованы в новом решении "Соответствие подключению", что позволяет удовлетворить целевые функции ZTA. Результаты:- C2C применяется на корпоративном уровне для сред с низким риском и тестирования. Проверки устройств реализуются с помощью C2C |
Microsoft Intune Управляйте устройствами с помощью Intune и настройте политики соответствия устройств. Используйте управление мобильными приложениями Intune (MAM) для защиты приложений при отмене регистрации BYOD. См. рекомендации Майкрософт в версии 2.1.4. Условный доступ Используйте сигналы риска, совместимые с Intune, расположением и входом, в политиках условного доступа. Используйте фильтры устройств для политик условного доступа, на основе атрибутов устройства. - Требовать соответствие устройств - Условия - Фильтр для устройств - Условный доступ с Intune Удостоверение нагрузки Microsoft Entra Создайте политики условного доступа для удостоверений рабочих нагрузок с использованием управления рисками и местоположениями. - Условный доступ для удостоверений рабочей нагрузки - Защита удостоверений рабочей нагрузки |
Advanced
2.2.2 Реализация авторизации доступа на основе сети C2C/compliance, Часть 2Организации DoD расширяют развертывание и использование Comply to Connect во всех поддерживаемых средах, необходимых для обеспечения продвинутых функциональных возможностей ZT. Интеграция команд Comply to Connect со своими решениями с корпоративными шлюзами удостоверений и авторизации позволяет лучше управлять доступом и авторизацией ресурсов. Результаты:- C2C применяется во всех поддерживаемых средах . Проверки устройств выполняются и интегрируются с динамическим доступом, корпоративным idP и ZTNA. |
- Tunnel для Intune |
2.3 Авторизация устройства с проверкой в режиме реального времени
Условный доступ — это модуль политики Zero Trust для облачных продуктов и служб Майкрософт. Оценка политик Zero Trust в IdP (поставщике удостоверений) продвигает модель соответствия подключению (C2C), применяя адаптивные контрольные механизмы перед доступом к ресурсам. Политики условного доступа используют сигналы безопасности от Microsoft Entra ID, Microsoft Defender XDR и Microsoft Intune.
Microsoft Defender XDR Компоненты оценивают уровни риска устройств и идентификаций с использованием детекций, основанных на машинном обучении (МО), и принимая динамические решения, основанные на риске, для разрешения, блокировки или управления доступом к данным, приложениям, ресурсам и услугам (DAAS).
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Advanced
2.3.1 Мониторинг активности сущностей Pt1Используя разработанные базовые показатели пользователей и устройств, Организации DoD используют реализованное решение "Поведение пользователей и сущностей" (UEBA) для интеграции базовых показателей. Атрибуты и базовые показатели устройств UEBA доступны для обнаружения авторизации устройства. Результаты:- Атрибуты UEBA интегрированы для базовых показателей устройств. UEBA доступны для использования с доступом к устройству |
Microsoft Intune и Microsoft Defender for Endpoint Управляйте устройствами с помощью Intune, развертывайте Defender for Endpoint и настройте политику соответствия устройств с использованием оценки риска устройств Defender for Endpoint. Смотрите руководство Microsoft в 2.1.4. Conditional Access Создайте политики условного доступа, требующие соответствия устройства для получения доступа к приложению. Смотрите руководство Microsoft в 2.2.1. Microsoft Entra ID Protection Настройте политики условного доступа для уровней риска идентификации в Microsoft Entra ID Protection. Смотрите руководство Microsoft 1.6.1 в User. |
Advanced
2.3.2 Мониторинг активности сущностей Pt2Организации DoD используют решение "Поведение пользователей и сущностей" (UEBA) с решениями сетевого доступа для мандатов атрибутов UEBA (например, работоспособности устройств, шаблонов входа и т. д.) для доступа к средам и ресурсам. Результат. - Атрибуты UEBA являются обязательными для доступа к устройству |
Условный доступ Используйте сигналы риска, связанные с состоянием устройства, совместимого с Intune, расположением и идентификацией, в политиках условного доступа. Используйте фильтры устройств для назначения политик условного доступа на основе атрибутов устройства. См. рекомендации Майкрософт в версии 2.2.1 и 2.3.1. |
Target
2.3.3 Реализация средств мониторинга целостности файлов и управления приложениями (FIM)Организации DoD приобретают и реализуют решения для мониторинга целостности файлов (FIM) и управления приложениями. FIM продолжает разработку и расширение мониторинга в компоненте Data Pillar. Управление приложениями развертывается в средах с низким риском в режиме мониторинга, устанавливая базовые разрешения. Команды управления приложениями интегрируются со средами PKI предприятия и организации и используют сертификаты для разрешений для приложений. NextGen AV охватывает все возможные службы и приложения Результаты: - Средства AppControl и FIM реализуются во всех критически важных службах и приложениях. Средства EDR охватывают максимальное количество служб и приложений — AppControl и FIM-данные отправляются в C2C по мере необходимости. |
Microsoft Defender для Endpoint Defender для Endpoint объединяет сигналы от мониторинга целостности файлов (FIM), управления приложениями, антивируса следующего поколения (NGAV) и других для оценки риска компьютера. - Защита следующего поколения - Антивирус для управляемых устройств - Контролируемый доступ к папкам Microsoft Intune Настройка политик безопасности контроля приложений в Microsoft Intune. - Утвержденные приложения с помощью управления приложениями для бизнеса - Политика и правила контроля приложений в Microsoft Defender Условный доступ Чтобы достичь модели соответствия требованиям (C2C), интегрируйте приложения с Microsoft Entra ID и требуйте соблюдения управления доступом устройств в Условном доступе. См. руководство Microsoft в разделе 2.2.2. |
Advanced
2.3.4 Интеграция инструментов NextGen AV C2CОрганизации Министерства обороны закупают и внедряют решения нового поколения для защиты от вирусов и вредоносных программ по мере необходимости. Эти решения интегрированы с первоначальным развертыванием системы Comply to Connect для проверки исходного состояния подписей, обновлений и т. д. Результаты: - Критически важные данные NextGen AV отправляются в C2C для проверок. - Средства NextGen AV реализованы во всех критически важных службах и приложениях. |
Microsoft Intune Создать политики соответствия устройств для антивируса и оценки риска устройств в Microsoft Defender for Endpoint. - Политика антивирусной защиты конечных точек См. руководство Microsoft в 2.2.2. |
Advanced
2.3.5 Полностью интегрировать стек безопасности устройств с C2C по мере необходимостиОрганизации Министерства обороны продолжают развертывание системы «Управление приложениями» во всех средах и в режиме предотвращения. Мониторинг целостности файлов (FIM) и аналитика управления приложениями интегрированы в Comply to Connect для расширенного принятия решений о доступе. Аналитические данные Comply to Connect оцениваются для получения дополнительных данных стека безопасности устройств/конечных точек, таких как UEDM, и интегрируются по мере необходимости. Результаты:- Развертывание AppControl и FIM расширяется для всех служб и приложений . Остальные данные из средств безопасности устройств реализованы с помощью C2C |
Выполните действие 2.3.4. Microsoft Defender для облачных приложений Определите и управляйте рисковыми облачными приложениями с помощью политик Microsoft Defender для облачных приложений. - Контролируйте облачные приложения с помощью политик |
Advanced
2.3.6 Корпоративная PKI Pt1Корпоративная инфраструктура открытых ключей Министерства обороны США (PKI) расширяется, чтобы включить сертификаты без личного участия (NPE) и сертификаты устройств. NPEs и устройства, которые не поддерживают PKI-сертификаты, помечены для вывода из употребления и начала вывода из эксплуатации. Результаты. - Устройства, которые не могут иметь сертификаты, поэтапно удаляются и /или перемещаются в минимальные среды доступа. Все устройства и NPEs имеют сертификаты, установленные для проверки подлинности в корпоративном PKI |
Microsoft Intune Используйте Microsoft Intune для развертывания сертификатов PKI DoD на устройствах. См. рекомендации Майкрософт в разделе 2.1.2. Политика управления приложениями Настройте политику управления приложениями клиента, чтобы ограничить учетные данные приложения сертификатами, выданными внутренней PKI. См. руководство Майкрософт 1.5.3 в разделе User. Microsoft Defender for Cloud Apps Настройте политики доступа, чтобы требовать клиентские сертификаты для доступа к приложениям и блокировать несанкционированный доступ к устройствам. - Политики доступа |
Advanced
2.3.7 Корпоративная инфраструктура PKI Pt2Организации DoD используют сертификаты для проверки подлинности устройств и для машинного взаимодействия. Неподдерживаемые устройства снимаются с эксплуатации, а исключения утверждаются с помощью риск-ориентированного подхода. Результат. Устройства необходимы для проверки подлинности для взаимодействия с другими службами и устройствами. |
Microsoft Intune и условный доступ Интеграция приложений с Microsoft Entra ID, управление устройствами через Intune, защита устройств через Microsoft Defender for Endpoint и настройка политик соответствия требованиям. Включите политику соответствия для оценки уровня риска устройства в Microsoft Defender для конечной точки. Требовать соответствующее управление предоставлением в политиках условного доступа. См. руководство майкрософт в версии 2.2.2. |
Удаленный доступ 2.4
Microsoft Entra ID — это провайдер идентификации с отказом по умолчанию (IdP). Если вы используете Microsoft Entra для входа в приложение, пользователи сначала проходят аутентификацию и проверку политики условного доступа, прежде чем Microsoft Entra авторизует доступ. Вы можете использовать Microsoft Entra ID для защиты приложений, размещенных в облаке или локальной среде.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Target
2.4.1 Запретить устройство по умолчаниюDoD Organizations блокируют доступ всех неуправляемых удаленных и локальных устройств к ресурсам. Управляемые устройства, соответствующие требованиям, предоставляют методический доступ на основе оценки рисков в соответствии с концепциями целевого уровня ZTA. Результаты. - Компоненты могут блокировать доступ к ресурсам (приложениям и данным) по умолчанию и явно разрешать соответствующие устройства для каждой политики . Удаленный доступ включен после подхода "запретить устройство по умолчанию" |
Приложения Microsoft Entra ID Доступ к приложениям и ресурсам, защищенным Microsoft Entra ID, по умолчанию запрещен. Доступ к ресурсам требует проверки подлинности, активного права и авторизации политиками условного доступа. - Интеграция приложений - Интеграция приложений Microsoft Intune Управляйте устройствами с Intune. Настройте политики соответствия устройств. Требовать соответствующее устройство в политиках условного доступа для всех пользователей и приложений. См. рекомендации Майкрософт в версии 2.2.1. |
Target
2.4.2 Управляемая и Ограниченная Поддержка BYOD и IoTОрганизации DoD используют Унифицированное управление устройствами и конечными точками (UEDM) и аналогичные решения, чтобы обеспечить полную интеграцию управляемых устройств типа "принеси свое собственное устройство" (BYOD) и Интернета вещей (IoT) с корпоративным поставщиком удостоверений для поддержки авторизации пользователей и устройств на основе предприятия IdP. Для доступа к устройствам для всех приложений требуются политики динамического доступа. Результаты: — Для всех приложений требуется динамическое разрешение на доступ для устройств — Разрешения для устройств BYOD и IOT базируются и интегрированы с корпоративным IDP |
Complete activity 2.4.1. Microsoft Intune Используйте управление устройствами Intune и управление мобильными приложениями для использования собственных устройств (BYOD). - Управление мобильными приложениями для незарегистрированных устройств - Политики защиты приложений Условный доступ Требовать соответствие устройству и/или политике защиты приложения в условном доступе для всех пользователей и приложений. - Одобренное клиентское приложение или политика защиты приложения - Политика защиты приложений на устройствах Windows Microsoft Entra External ID Настройка параметров доступа между клиентами для доверия управления устройствами, совместимыми с доверенными партнерами. - Настройки доступа между клиентами для B2B сотрудничества Microsoft Defender for IoT Развертывание Defender для Интернета вещей для видимости, а также для мониторинга и защиты устройств Интернета вещей и операционных технологий (OT). Убедитесь, что программное обеспечение устройства обновлено и измените локальные пароли. Не используйте пароли по умолчанию. - Defender для IoT - IoT и OT безопасность с Zero Trust - Национальная стратегия кибербезопасности США для защиты IoT |
Advanced
2.4.3 Управляемая и полная поддержка BYOD и IoT Часть 1Организации Министерства обороны используют управление унифицированными конечными точками и устройствами (UEDM) и аналогичные решения для обеспечения доступа к управляемым и утвержденным устройствам в миссионно-критически важных и операционно-критически важных сервисах/приложениях с помощью политик динамического доступа. Устройства BYOD и Internet ofThings (IoT) должны соответствовать стандартным базовым проверкам перед авторизацией. Результаты. — Только устройства BYOD и IOT, которые соответствуют заданным стандартам конфигурации, разрешенным для доступа к ресурсам . Критически важные службы требуют динамического доступа для устройств. |
Выполните задание 2.4.2. Microsoft Defender for Cloud Apps Настройте политики доступа, чтобы требовать клиентские сертификаты для доступа к приложениям. Блокировать доступ с несанкционированных устройств. См. руководство майкрософт в версии 2.3.6. |
Advanced
2.4.4 Управляемая и Полная Поддержка BYOD и IoT Часть 2Организации DoD используют Управление Едиными Конечными Устройствами (UEDM) и аналогичные решения для обеспечения доступа к неуправляемым устройствам, соответствующим проверкам и стандартным базовым показателям. Все возможные службы и приложения интегрированы для предоставления доступа к управляемым устройствам. Неуправляемые устройства интегрируются со службами и приложениями на основе метода авторизации на основе рисков. Результат. - Все возможные службы требуют динамического доступа для устройств |
Azure Virtual Desktop Deploy Azure Virtual Desktop (AVD) для поддержки удаленного доступа с неуправляемых устройств. Подключите виртуальные машины узлов сеансов AVD к Microsoft Entra и управляйте их соответствием с помощью Microsoft Intune. Разрешить вход в AVD с помощью метода без пароля или стойкого к фишингу метода аутентификации с неуправляемых устройств. - Соединенные виртуальные машины Microsoft Entra в AVD - Надежность аутентификации Microsoft Defender для облачных приложений Используйте контроль сеансов Microsoft Defender для облачных приложений для отслеживания и ограничения веб-сеансов с неуправляемых устройств. - Политики сеансов |
2.5 Частично и полностью автоматизированное управление ресурсами, уязвимостями и исправлениями
Microsoft Intune поддерживает облачные и гибридные решения для управления устройствами. Политики конфигурации и соответствия гарантируют, что устройства соответствуют требованиям к уровню исправлений и конфигурации безопасности для вашей организации.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Target
2.5.1 Внедрение инструментов для управления ресурсами, уязвимостями и патчамиОрганизации DoD внедряют решения для управления конфигурациями активов и устройств, уязвимостями и патчами. С помощью минимальных стандартов соответствия (например, STIG и т. д.) команды могут подтвердить или запретить соответствие управляемым устройствам. В рамках процесса закупок и реализации решений, API и другие программные интерфейсы будут входить в сферу будущих уровней автоматизации и интеграции. Результаты: - Компоненты могут подтвердить соответствие устройств минимальным стандартам соответствия или нет . Компоненты имеют управление ресурсами, уязвимость и системы исправлений с помощью API, которые позволят интегрироваться в системы в системах. |
Microsoft Intune Управление устройствами в Intune. См. рекомендации Microsoft в 2.1.4. Совместное управление с помощью Microsoft Intune для устаревших устройств конечных точек. - Управление конечными устройствами - Совместное управление Настройте и обновите политики для платформ устройств, управляемых с помощью Intune. - Политики обновления программного обеспечения iOS и iPadOS; - Политики обновления программного обеспечения macOS; - Обновления FOTA для Android; - Обновления Windows 10 и 11. Microsoft Defender для конечных устройств.Интегрируйте Microsoft Defender для конечных устройств с Microsoft Intune. Устраняйте уязвимости конечных точек с помощью политик конфигурации Microsoft Intune. - Microsoft Defender Vulnerability Management - Используйте Microsoft Intune и уязвимости, определенные Microsoft Defender for Endpoint |
2.6 Унифицированное управление конечными точками и управление мобильными устройствами
Microsoft Intune политики конфигурации и соответствия требованиям обеспечивают соответствие устройств требованиям к конфигурации безопасности организации. Intune оценивает политики соответствия и помечает устройства как соответствующие или несоответствующие. Политики условного доступа могут использовать состояние соответствия устройств для блокировки пользователей с несоответствующими устройствами от доступа к ресурсам, защищенным Microsoft Entra ID.
Microsoft Entra External ID настройки кросс-клиентского доступа включают настройки доверия для гостевой совместной работы. Эти параметры можно настроить для каждого клиента партнера. Если вы доверяете устройствам, совместимым для другого клиента, гости, использующие совместимые устройства в своем домашнем клиенте, удовлетворяют политикам Conditional Access, требующим совместимых устройств в вашем клиенте. Не нужно создавать исключения для политик условного доступа, чтобы избежать блокировки внешних гостей.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Target
2.6.1 Реализуйте UEDM или эквивалентные средстваОрганизации Министерства обороны США будут тесно сотрудничать с действием "Реализация средств управления активами, уязвимостями и исправлениями" для приобретения и внедрения решения по единому управлению конечными точками и устройствами (UEDM), чтобы гарантировать интеграцию требований с процессом закупок. После того как решение приобретено, команды UEDM убеждаются в том, что важные целевые функции ZT, такие как минимальное соответствие, управление ресурсами и поддержка API, находятся на своих местах. Результаты: - Компоненты могут подтвердить, соответствуют ли устройства минимальным стандартам соответствия требованиям или нет - Компоненты имеют системы управления активами для устройств пользователей (телефонов, настольных компьютеров, ноутбуков), которые поддерживают соответствие требованиям ИТ, о чем сообщается в корпоративную систему DoD - Системы управления активами компонентов могут программно (т. е. API) предоставлять статус соответствия устройств и то, соответствуют ли они минимальным стандартам. |
Завершите задание 2.3.2. Microsoft Intune Статус соответствия устройства интегрирован с поставщиком удостоверений (IdP), Microsoft Entra ID с помощью сигналов соответствия Intune в условном доступе. Просмотрите состояние соответствия устройств в центре администрирования Microsoft Entra или с помощью Microsoft Graph API. - Политики соответствия - Отчеты Intune Внешний ID Microsoft Entra Чтобы расширить политики соответствия устройств на пользователей за пределами организации, настройте параметры доступа между клиентами для доверия утверждениям многофакторной аутентификации (MFA) и соответствующих устройств из доверенных арендаторов DoD. - Доступ между клиентами API Microsoft Graph API Microsoft Graph запрашивают состояние соответствия устройств. - API соответствия и конфиденциальности |
Target
2.6.2 Корпоративное управление устройствами Pt1Организации Минобороны переводят инвентаризацию устройств с ручного на автоматизированный подход с использованием решения для управления конечными точками и устройствами. Утвержденные устройства могут управляться независимо от расположения. Устройства, являющиеся частью критически важных служб, должны управляться решением управления конечными точками и устройствами, поддерживающим автоматизацию. Outcomes: - Ручная инвентаризация интегрирована с решением для автоматизированного управления критически важными службами - Позволяет управление устройствами ZT из любого местоположения, независимо от наличия удаленного доступа |
Microsoft Intune и условный доступ Управляйте устройствами с помощью Microsoft Intune. Настройте политики соответствия устройств. Требовать соответствующие политики условного доступа устройства. См. рекомендации Майкрософт в версии 2.1.4. |
Target
2.6.3 Корпоративное управление устройствами Pt2Организации DoD переносят оставшиеся устройства в решение по корпоративному управлению устройствами. Решение EDM интегрировано с решениями по рискам и соответствию требованиям. Результат. Инвентаризация вручную интегрирована с автоматизированным решением по управлению для всех служб. |
Microsoft Intune и условный доступ Управляйте устройствами с помощью Intune. Настройте политики соответствия устройств. Требовать соответствующее устройство в политиках условного доступа. См. рекомендации Майкрософт в версии 2.1.4. |
2.7 Конечная точка и расширенное обнаружение и реакция (EDR и XDR)
Единый защитный комплекс Microsoft Defender XDR координирует обнаружение, предотвращение, исследование и реагирование в конечных точках, идентификаторах, электронной почте и приложениях. Microsoft Defender XDR компоненты обнаруживают и защищаются от сложных атак.
Интеграция компонентов Microsoft Defender XDR расширяет защиту за пределами устройств. См. примеры событий обнаружения, которые способствуют уровню риска пользователей в Microsoft Entra ID Protection:
- Подозрительные шаблоны отправки электронной почты, обнаруженные Microsoft Defender для Office
- Обнаружение невозможных перемещений в Microsoft Defender for Cloud Apps
- Пытается получить доступ к основному маркеру обновления, обнаруженного Microsoft Defender for Endpoint
Политики условного доступа на основе рисков могут защитить, ограничить или заблокировать доступ к облачным службам для рискованного пользователя, даже если он использует соответствующее устройство в доверенной сети.
Дополнительные сведения см. в статье включение компонентов Microsoft Defender XDR и что такое риски?
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Target
2.7.1 Реализация средств обнаружения конечных точек и реагирования (EDR) и интеграция с C2CОрганизации DoD приобретают и реализуют решения обнаружения конечных точек и реагирования (EDR) в средах. EDR защищает, отслеживает и реагирует на вредоносные и аномальные действия, обеспечивающие функциональные возможности ZT Target и отправляет данные в решение "Соответствие подключению" для развернутых проверок устройств и пользователей. Результаты:- Средства обнаружения точек и реагирования реализованы . Критически важные данные EDR отправляются в C2C для проверок . Средство NextGen AV охватывает максимальное количество служб и приложений |
Microsoft Defender for Endpoint Развертывание Defender для конечной точки на пользовательских устройствах. См. руководящие указания Microsoft 2.3.1 в этом разделе. Microsoft Intune Настройте соответствующие политики устройств с помощью Intune. Включите оценку риска устройства Защитника для конечных точек для соответствия политике. См. руководство Майкрософт 2.1.4. и в 2.3.2. Microsoft Defender for Cloud Включите Microsoft Defender для серверов для подписок с виртуальными машинами в Azure. Планы Defender для серверов включают Defender для облачных серверов. - Defender для серверов Используйте серверы с поддержкой Azure Arc для управления и защиты физических и виртуальных серверов Windows и Linux за пределами Azure. Разверните агент Azure Arc для серверов, размещенных вне Azure. Подключение серверов с поддержкой Azure Arc к подписке, защищенной Microsoft Defender для серверов. - Сервера с поддержкой Azure Arc - агент подключенной машины Azure |
Target
2.7.2 реализуйте средства расширенного обнаружения и реагирования (XDR) и интегрируйте с C2C Pt1Организации DoD приобретают и реализуют решения расширенного обнаружения и реагирования (XDR). Точки интеграции с возможностями межосевой интеграции выявляются и приоритизируются на основе риска. На наиболее рискованных точках интеграции выполняются действия, и начинается интеграция. EDR продолжает охват конечных точек, чтобы включить максимальное количество служб и приложений в рамках реализации XDR. Базовая аналитика отправляется из стека решений XDR в SIEM. Результаты: - Точки интеграции были определены по каждой Возможности, наиболее рискованные точки интеграции были интегрированы с XDR - Базовое оповещение настроено с помощью SIEM и/или других механизмов. |
Microsoft Defender XDR Пилотируйте и развертывайте компоненты и службы Microsoft Defender XDR. - Defender XDR - Sentinel и Defender XDR для Zero Trust Настройте интеграции развернутых компонентов Microsoft Defender XDR. - Defender для конечных точек и Defender для облачных приложений - Defender для удостоверений и Defender для облачных приложений - Защита информации Purview и Defender для облачных приложений Microsoft Sentinel Настройте подключение данных Sentinel для Microsoft Defender XDR. Включите правила аналитики. - Установите Defender XDR - Подключение данных Defender XDR к Sentinel |
Advanced
2.7.3 реализуйте средства расширенного обнаружения и реагирования (XDR) и интегрируйте с C2C Pt2Стек решений XDR завершает идентификацию точек интеграции, расширяющих охват до максимально возможного объема. Исключения отслеживаются и управляются с использованием методического подхода, основанного на оценке рисков, для обеспечения непрерывной работы. Расширенная аналитика, которая обеспечивает возможности ZT, интегрируется в SIEM и другие соответствующие решения. Результаты: - Остальные точки интеграции были интегрированы в соответствии с соответствующими требованиям. Расширенные оповещения и ответы включены с другими средствами аналитики по крайней мере с помощью SIEM |
Microsoft Defender XDR Используйте Microsoft Defender XDR в стратегии обеспечения безопасности. - Интегрируйте Defender XDR в операции безопасности |
Следующие шаги
Настройте облачные службы Майкрософт для стратегии doD Zero Trust: