Поделиться через


Безопасные конечные точки с нулевым доверием

Основные сведения

Современное предприятие располагает невероятным разнообразием конечных точек, получающих доступ к данным. Не все конечные точки управляются или даже принадлежат организации, что приводит к разным конфигурациям устройств и уровням исправлений программного обеспечения. Это создает обширную поверхность для атак, и, если ее не решить, доступ к рабочим данным с ненадежных конечных точек может легко стать самым слабым звеном в вашей стратегии безопасности нулевого доверия.

Zero Trust соответствует принципу "Никогда не доверяй, всегда проверяй". С точки зрения конечных точек это означает всегда проверять все конечные точки. Сюда входят не только устройства подрядчика, партнера и гостевые устройства, но также приложения и устройства, используемые сотрудниками для доступа к рабочим данным, независимо от того, кому принадлежит устройство.

В рамках подхода с нулевым доверием применяются одни и те же политики безопасности независимо от того, принадлежит ли устройство корпоративному или личному, через систему «принеси свое устройство (BYOD)»; является ли устройство полностью управляемым ИТ-отделом или защищены только приложения и данные. Политики применяются ко всем конечным точкам, будь то ПК, Mac, смартфон, планшет, носимые устройства или устройства Интернета вещей, где бы они ни были подключены, будь то защищенная корпоративная сеть, домашняя широкополосная связь или общедоступный Интернет.

Что наиболее важно, работоспособность и надежность приложений, которые работают на этих конечных точках, влияют на состояние вашей безопасности. Вам необходимо предотвратить утечку корпоративных данных в ненадежные или неизвестные приложения или службы, случайно или злонамеренно.

Существует несколько ключевых правил защиты устройств и конечных точек в модели нулевого доверия:

  • Политики безопасности нулевого доверия централизованно применяются через облако и охватывают безопасность конечных точек, конфигурацию устройства, защиту приложений, соответствие устройств требованиям и оценку рисков.

  • Платформа, а также приложения, которые работают на устройствах, надежно подготовлены, правильно настроены и поддерживаются в актуальном состоянии.

  • Существует автоматический и быстрый ответ для ограничения доступа к корпоративным данным в приложениях в случае нарушения безопасности.

  • Система контроля доступа гарантирует, что все средства контроля политики действуют до того, как будет осуществлен доступ к данным.

Цели развертывания с нулевым доверием конечной точки

Перед тем, как большинство организаций начнут переход к нулевому доверию, их безопасность конечных точек настраивается следующим образом:

  • Конечные точки присоединены к домену и управляются с помощью таких решений, как объекты групповой политики или Configuration Manager. Это отличные варианты, но они не используют современные CSP Windows 10 и не требуют отдельного шлюза управления облаком для обслуживания облачных устройств.

  • Конечные точки должны находиться в корпоративной сети для доступа к данным. Это может означать, что устройства должны физически находиться на месте для доступа к корпоративной сети или что им требуется доступ через VPN, что увеличивает риск того, что взломанное устройство может получить доступ к конфиденциальным корпоративным ресурсам.

При внедрении сквозной инфраструктуры Zero Trust для защиты конечных точек мы рекомендуем в первую очередь сосредоточиться на следующих целях первоначального развертывания:

Значок списка с одним флажком.

I. Конечные точки зарегистрированы в поставщиках облачных удостоверений. Чтобы отслеживать безопасность и риск в нескольких конечных точках, используемых любым человеком, вам нужна видимость на всех устройствах и точках доступа, которые могут получить доступ к вашим ресурсам.

II. Доступ предоставляется только облачным и соответствующим конечным точкам и приложениям. Задайте правила соответствия требованиям, чтобы устройства соответствовали минимальным требованиям безопасности перед предоставлением доступа. Помимо этого, необходимо установить правила исправления для несовместимых устройств, чтобы люди знали, как решить проблему.

III. Политики защиты от потери данных (DLP) применяются для корпоративных устройств и BYOD. Управление тем, что пользователь может сделать с данными после получения доступа. Например, вы можете ограничить сохранение файлов в ненадежных местах (например, на локальном диске) или ограничьте совместное использование копирования и вставки с помощью приложения для связи с потребителем или приложения чата для защиты данных.

После того, как они будут выполнены, сосредоточьтесь на следующих дополнительных целях развертывания:

Значок списка с двумя флажками.

IV. Обнаружение угроз конечной точки используется для мониторинга риска устройств. Используйте одну панель стекла для согласованного управления всеми конечными точками и использовать SIEM для маршрутизации журналов и транзакций конечных точек, таких как меньше, но доступных для действий оповещений.

V. Управление доступом включено на риск конечной точки как для корпоративных устройств, так и для BYOD. Интеграция данных из Microsoft Defender для конечной точки или других поставщиков Mobile Threat Defense (MTD) в качестве источника информации для политик соответствия устройств и правил условного доступа устройств. Тогда риск устройства будет напрямую влиять на то, какие ресурсы будут доступны пользователю этого устройства.

Руководство по развертыванию с нулевым доверием конечной точки

В контексте данного руководства представлены шаги, необходимые для защиты ваших устройств в соответствии с принципами системы безопасности нулевого уровня.




Значок контрольного списка с одним флажком.

Основные цели развертывания

I. Конечные точки зарегистрированы у провайдеров облачной идентификации

Чтобы ограничить степень подверженности риску, вам необходимо контролировать каждую конечную точку, чтобы убедиться, что каждая из них имеет надежную личность, применяются политики безопасности и уровень риска для таких вещей, как вредоносное ПО или кража данных, был измерен, исправлен или признан приемлемым.

После регистрации устройства пользователи могут получить доступ к ограниченным ресурсам вашей организации, используя свое корпоративное имя пользователя и пароль для входа (или Windows Hello для бизнеса).

Схема шагов в рамках этапа 1 начальных целей развертывания.

Регистрация корпоративных устройств с помощью идентификатора Microsoft Entra

Выполните следующие действия:

Новые устройства с Windows 10

  1. Запустите новое устройство и начните процесс OOBE (запуск при первом включении компьютера).

  2. На странице Войдите с помощью учетной записи Майкрософт введите свой адрес электронной почты рабочей или учебной учетной записи.

  3. В окне Введите пароль введите свой пароль.

  4. На мобильном устройстве подтвердите устройство, чтобы оно могло получить доступ к вашей учетной записи.

  5. Завершите процесс OOBE, включая настройку параметров конфиденциальности и Windows Hello (при необходимости).

  6. Теперь ваше устройство присоединено к сети вашей организации.

Существующие устройства с Windows 10

  1. Откройте Параметры и выберите Учетные записи.

  2. Выберите Доступ к работе или учебе, после чего выберите Подключиться.

    Доступ к работе или учебе в настройках.

  3. На экране "Настройка рабочей или учебной учетной записи" выберите "Присоединить это устройство к идентификатору Microsoft Entra".

    Создайте рабочий или учебный аккаунт в настройках.

  4. На странице Let's get you signed in (Выполнение входа в систему) введите адрес электронной почты (например, [email protected]), а затем выберите Далее.

  5. В окне Ввод пароля введите пароль и щелкните Вход.

  6. На мобильном устройстве подтвердите устройство, чтобы оно могло получить доступ к вашей учетной записи.

  7. На экране Убедитесь, что это ваша организация, проверьте информацию, чтобы убедиться, что она верна, затем выберите Присоединиться.

  8. В окне You're all set (Все готово) щелкните Готово.

Регистрация персональных устройств Windows с помощью идентификатора Microsoft Entra

Выполните следующие действия:

  1. Откройте Параметры и выберите Учетные записи.

  2. На экране Доступ к учетной записи места работы или учебного заведения выберите Доступ к учетной записи места работы или учебного заведения, а затем — Подключить.

    Доступ к работе или учебе в настройках.

  3. На экране Добавить рабочую или учебную учетную запись введите адрес электронной почты для вашей рабочей или учебной учетной записи, а затем выберите Далее. Например, [email protected].

  4. Войдите в рабочую или учебную учетную запись, а затем выберите Войти.

  5. Завершите оставшуюся часть процесса регистрации, включая утверждение запроса подтверждения личности (если была использована двухфакторная проверка подлинности) и настройку Windows Hello (при необходимости).

Включение и настройка Windows Hello для бизнеса

Чтобы предоставить пользователям альтернативный метод входа, который заменяет пароль, например PIN-код, биометрическую аутентификацию или сканер отпечатков пальцев, включите Windows Hello для бизнеса на устройствах пользователей с Windows 10.

Следующие действия Microsoft Intune и Microsoft Entra выполняются в Центре администрирования Microsoft Intune:

Начните с создания политики регистрации Windows Hello для бизнеса в Microsoft Intune.

  1. Перейдите в раздел «Устройства» >Регистрация> Регистрация устройств > Регистрация в Windows > Windows Hello для бизнеса.

    Windows Hello для бизнеса в Microsoft Intune.

  2. Выберите из следующих параметров настройки Windows Hello для бизнеса:

    1. Disabled. Если вы не хотите использовать Windows Hello для бизнеса, выберите этот параметр. При отключении пользователи не могут подготавливать Windows Hello для бизнеса, кроме мобильных телефонов, присоединенных к Microsoft Entra, где может потребоваться подготовка.

    2. Включен. Выберите этот параметр, если вы хотите настроить параметры Windows Hello для бизнеса. Когда вы выбираете «Включено», становятся видимыми дополнительные настройки Windows Hello.

    3. Не настроено. Выберите этот параметр, если вы не хотите использовать Intune для управления параметрами Windows Hello для бизнеса. Все существующие параметры Windows Hello для бизнеса на устройствах с Windows 10 не изменяются. Все остальные параметры на панели недоступны.

Если вы выбрали "Включено", настройте необходимые параметры, которые применяются ко всем зарегистрированным устройствам с Windows 10 и мобильным устройствам с Windows 10.

  1. Используйте доверенный платформенный модуль (TPM). Микросхема доверенного платформенного модуля обеспечивает дополнительный уровень безопасности данных. Выберите одно из следующих значений:

    1. Необходимые. Только устройства с доступным TPM могут подготавливать Windows Hello для бизнеса.

    2. Предпочтительный вариант. Устройства сначала пытаются использовать TPM. Если этот параметр недоступен, они могут использовать шифрование программного обеспечения.

  2. Установите минимальную длину ПИН-кода и максимальную длину ПИН-кода. В результате устройства настраиваются на использование минимальной и максимальной длины PIN-кода, указанной вами, чтобы обеспечить безопасный вход. Длина ПИН-кода по умолчанию составляет шесть символов, но можно применить минимальную длину четырех символов. Максимальная длина ПИН-кода составляет 127 символов.

  3. Установите срок действия ПИН-кода (дни). Рекомендуется указать срок действия ПИН-кода, по истечении которого пользователи должны его изменить. Значение по умолчанию — 41 день.

  4. Запомните историю ПИН-кодов. Ограничивает повторное использование ранее используемых ПИН-кодов. По умолчанию последние 5 ПИН-кодов нельзя использовать повторно.

  5. По возможности используйте улучшенную систему защиты от спуфинга. Это настраивает, когда функции защиты от спуфинга Windows Hello используются на устройствах, которые ее поддерживают. Например, обнаружение фотографии лица вместо реального лица.

  6. Разрешить вход по телефону. Если для этого параметра задано значение "Да", пользователи могут использовать удаленный паспорт для использования в качестве переносимого устройства-компаньона для проверки подлинности настольном компьютере. Настольном компьютере необходимо присоединиться к Microsoft Entra, а устройство-компаньон должно быть настроено с помощью ПИН-кода Windows Hello для бизнеса.

После настройки этих параметров выберите Сохранить.

После настройки параметров, которые применяются ко всем зарегистрированным устройствам с Windows 10 и мобильным устройствам с Windows 10, настройте профили защиты идентификационной информации Windows Hello для бизнеса, чтобы настроить параметры безопасности Windows Hello для бизнеса для конкретных устройств конечных пользователей.

  1. Выберите Устройства> Профили конфигурации >Создать профиль> Windows 10 и более поздние версии службы >Защиты идентификации.

    Снимок экрана: создание профиля с платформой, установленной на Windows 10, и профилем, настроенным на защиту личных данных.

  2. Настройте Windows Hello для бизнеса. Выберите способ настройки Windows Hello для бизнеса.

    Снимок экрана настроек конфигурации в разделе

    1. Минимальная длина ПИН-кода.

    2. Строчные буквы в ПИН-коде.

    3. Заглавные буквы в ПИН-коде.

    4. Специальные символы в ПИН-коде.

    5. Срок действия ПИН-кода (дни).

    6. Запомните историю ПИН-кодов.

    7. Включите функцию восстановления ПИН-кода. Позволяет пользователю использовать службу восстановления ПИН-кода Windows Hello для бизнеса.

    8. Используйте доверенный платформенный модуль (TPM). Микросхема доверенного платформенного модуля обеспечивает дополнительный уровень безопасности данных.

    9. Разрешить биометрическую проверку подлинности. Включает биометрическую проверку подлинности, например распознавание лиц или отпечатки пальцев, в качестве альтернативы ПИН-коду для Windows Hello для бизнеса. Пользователи все равно должны настроить ПИН-код на случай сбоя процедуры биометрической проверки подлинности.

    10. По возможности используйте улучшенную систему защиты от спуфинга. Настраивает, когда функции защиты от спуфинга Windows Hello используются на устройствах, которые ее поддерживают (например, обнаружение фотографии лица вместо реального лица).

    11. Используйте электронные ключи для входа. Этот параметр доступен для устройств под управлением Windows 10 версии 1903 или более поздней. Используйте его для управления поддержкой использования ключей безопасности Windows Hello для входа.

Наконец, вы можете создать дополнительные политики ограничения устройств, чтобы еще больше заблокировать корпоративные устройства.

II. Доступ предоставляется только управляемым облаком и совместимым конечным точкам и приложениям

Если у вас есть идентификаторы для всех конечных точек, осуществляющих доступ к корпоративным ресурсам, и до предоставления доступа вы хотите убедиться, что они соответствуют минимальным требованиям безопасности, установленным вашей организацией.

После установления политик соответствия, закрывающих доступ корпоративных ресурсов к доверенным конечным точкам, а также к мобильным и настольным приложениям, все пользователи могут получать доступ к данным организации на мобильных устройствах, и на всех устройствах устанавливается минимальная или максимальная версия операционной системы. Устройства не взломаны или не рутированы.

Также необходимо установить правила исправления для несовместимых устройств, например, заблокировав несовместимое устройство или предложив пользователю льготный период для выполнения требований.

Схема шагов в рамках этапа 2 первоначальных целей развертывания.

Создайте политику соответствия с Microsoft Intune (все платформы)

Выполните следующие действия, чтобы создать политику соответствия:

  1. Выберите Устройства > Политики соответствия > Политики > Создать политику.

  2. Выберите платформу для данной политики (в качестве примера ниже используется Windows 10).

  3. Выберите желаемую конфигурацию работоспособности устройства.

    Снимок экрана состояния устройства в настройках политики соответствия Windows 10.

  4. Настройте минимальные или максимальные свойства устройства.

    Снимок экрана со свойствами устройства в настройках политики соответствия Windows 10.

  5. Настройте соответствие Configuration Manager. Для этого требуется, чтобы все оценки соответствия в Configuration Manager соответствовали требованиям, и это применимо только для управляемых устройств Windows 10. Все устройства, работающие только с Intune, вернут значение «Н/П».

  6. Настройте параметры безопасности системы.

    Снимок экрана безопасности системы в настройках политики соответствия Windows 10.

  7. Настройте защиту от вредоносных программ в службе Microsoft Defender.

    Снимок экрана: Microsoft Defender для облака в параметрах политики соответствия Windows 10.

  8. Настройте требуемый показатель риска компьютера в Microsoft Defender для конечной точки.

    Снимок экрана: Defender для конечной точки в параметрах политики соответствия Windows 10.

  9. На вкладке Действия в случае несоответствия укажите последовательность действий, которые будут автоматически применяться к устройствам, которые не соответствуют этой политике соответствия.

    Снимок экрана с действиями при несоблюдении настроек политики соответствия.

Автоматизация уведомлений по электронной почте и добавление дополнительных действий по исправлению для несовместимых устройств в Intune (все платформы)

Когда их конечные точки или приложения становятся несовместимыми, пользователи проходят процедуру самовосстановления. Оповещения автоматически генерируются с дополнительными оповещениями и автоматическими действиями, установленными для определенных пороговых значений. Вы можете установить действия по устранению несоответствий.

Выполните следующие действия:

  1. Выберите Устройства > Политики соответствия > Уведомления > Создать уведомление.

  2. Создайте шаблон сообщения уведомления.

    Снимок экрана

  3. Выберите Устройства> Политики соответствия >Политики, выберите одну из своих политик, после чего выберите Свойства.

  4. Выберите Действия в случае несоответствия > Добавить.

  5. Добавьте действия в случае несоответствия:

    Снимок экрана с действиями при несоблюдении настроек политики соответствия.

    1. Настройте автоматическую рассылку электронной почты пользователям с несовместимыми устройствами.

    2. Настройте действие для удаленной блокировки несовместимых устройств.

    3. Настройте действие для автоматического отключения несовместимого устройства через заданное количество дней.

III. Политики предотвращения потери данных (DLP) применяются для корпоративных устройств и BYOD

После предоставления доступа к данным вы хотите контролировать, что пользователь может делать с данными. К примеру, если пользователь обращается к документу с фирменным стилем, вы хотите запретить сохранение этого документа в незащищенном хранилище потребителя или его совместное использование с клиентским приложением для общения или чата.

Схема шагов в рамках этапа 3 первоначальных целей развертывания.

Сперва примените рекомендованные Microsoft настройки безопасности к устройствам с Windows 10 для защиты корпоративных данных (требуется Windows 10 1809 и более поздней версии):

Используйте базовые показатели безопасности Intune, чтобы обезопасить и защитить своих пользователей и устройства. Базовые показатели безопасности - это предварительно настроенные группы параметров Windows, которые помогают применять известную группу параметров и значений по умолчанию, рекомендованных соответствующими группами безопасности.

Выполните следующие действия:

  1. Выберите Безопасность конечной точки > Базовые показатели безопасности, чтобы просмотреть список доступных базовых показателей.

  2. Выберите базовые показатели, которые вы хотите использовать, а затем нажмите кнопку "Создать профиль".

  3. На вкладке "Параметры конфигурации" просмотрите группы параметров, доступные в выбранном базовом плане. Вы можете развернуть группу, чтобы просмотреть параметры в этой группе и значения по умолчанию для этих параметров в рамках базового плана. Чтобы найти определенные параметры, выполните следующие действия.

    1. Выберите группу, чтобы развернуть и просмотреть доступные параметры.

    2. Используйте панель поиска и укажите ключевые слова, которые фильтруют представление, чтобы отобразить только те группы, которые содержат условия поиска.

    3. Перенастройка параметров по умолчанию в соответствии с потребностями бизнеса.

      Снимок экрана настроек управления приложениями в разделе

  4. На вкладке «Назначения» выберите группы для включения и затем назначьте базовый план одной или нескольким группам. Чтобы точно настроить назначение, используйте команду «Выбрать группы для исключения».

Обеспечьте автоматическое развертывание обновлений на конечных точках

Настроить устройства с Windows 10

Настройте обновления Windows для бизнеса, чтобы упростить управление обновлениями для пользователей и обеспечить автоматическое обновление устройств для соответствия требуемому уровню соответствия.

Выполните следующие действия:

  1. Управляйте процедурами обновления программного обеспечения Windows 10 в Intune, создавая кольца обновлений и включив набор параметров, которые настраиваются при установке обновлений Windows 10.

    1. Выберите Устройства > Windows > Кольца обновлений Windows 10 > Создать.

    2. В разделе "Параметры круга обновления" настройте параметры для бизнес-потребностей.

      Снимок экрана с настройками обновления и настройками взаимодействия с пользователем.

    3. В разделе Назначения выберите + Выбрать группы для включения, затем назначьте кольцо обновления одной или нескольким группам. Чтобы точно настроить назначение, используйте + Выбрать группы для исключения.

  2. Управляйте обновлениями компонентов Windows 10 в Intune, чтобы довести устройства до указанной вами версии Windows (т. е. 1803 или 1809) и заморозить набор функций на этих устройствах, пока вы не решите обновить их до более поздней версии Windows.

    1. Выберите Устройства > Windows > Обновления компонентов Windows 10 > Создать.

    2. В разделе Основные сведения укажите имя и описание (необязательно), а для параметра Обновление компонентов для развертывания выберите версию Windows с нужным набором функций, после чего выберите Далее.

    3. В разделе Назначения выберите и выберите группы для включения, а затем назначьте развертывание обновления функций одной или нескольким группам.

Настройка устройств iOS

Для зарегистрированных в компании устройств настройте обновления iOS, чтобы упростить управление обновлениями для пользователей и обеспечить автоматическое обновление устройств в соответствии с требуемым уровнем соответствия. Настройте политику обновления iOS.

Выполните следующие действия:

  1. Выберите Устройства > Обновить политики для iOS/iPadOS > Создать профиль.

  2. На вкладке "Основные сведения" укажите имя этой политики, укажите описание (необязательно), а затем нажмите кнопку "Далее".

  3. На вкладке "Параметры политики обновления" настройте следующее:

    1. Выберите версию для установки. Варианты:

      1. Последнее обновление: это развертывает последнее выпущенное обновление для iOS/iPadOS.

      2. Любая предыдущая версия, доступная в раскрывающемся списке. Если выбрана предыдущая версия, необходимо также развернуть политику конфигурации устройства, чтобы отложить видимость обновлений программного обеспечения.

    2. Тип расписания: настройте расписание для этой политики:

      1. Обновить при следующей регистрации. Обновление устанавливается на устройство при следующей проверке посредством Intune. Это самый простой вариант и не имеет дополнительных конфигураций.

      2. Выполните обновление в запланированное время. Вы настраиваете одно или несколько окон времени, в течение которых обновление будет устанавливаться при регистрации.

      3. Обновление вне запланированного времени. Вы настраиваете одно или несколько окон времени, в течение которых обновления не будут устанавливаться при регистрации.

    3. Еженедельное расписание: если выбрать тип расписания, отличный от обновления при следующем входе, настройте следующие параметры:

      Снимок экрана с настройками политики обновления в разделе «Создать профиль».

  4. Выберите часовой пояс.

  5. Определите временное окно. Определите один или несколько периодов времени, ограничивающих установку обновлений. Возможные варианты: день начала, время начала, день окончания и время окончания. С помощью начального и конечного дня поддерживаются ночные блоки. Если время начала или окончания не настроено, конфигурация не будет ограничиваться и обновления могут устанавливаться в любое время.

Убедитесь, что устройства зашифрованы

Настройте Bitlocker для шифрования устройств с Windows 10

  1. Выделить Устройства> Профили конфигурации > Создать профиль.

  2. Задайте следующие параметры:

    1. Платформа: Windows 10 и более поздних версий

    2. Тип профиля: Endpoint Protection

      Снимок экрана создания профиля в профилях конфигурации устройств для Windows 10.

  3. Выберите Настройки > Шифрование Windows.

    Снимок экрана защиты конечных точек в разделе «Создать профиль».

  4. Настройте параметры BitLocker в соответствии с потребностями бизнеса и нажмите кнопку "ОК".

Настроить шифрование FileVault на устройствах macOS

  1. Выделить Устройства> Профили конфигурации > Создать профиль.

  2. Задайте следующие параметры:

    1. Платформа: macOS.

    2. Тип профиля: Защита конечных точек.

      Снимок экрана создания профиля в профилях конфигурации устройств для Mac OS.

  3. Выберите Настройки > FileVault.

    Снимок экрана хранилища файлов в разделе «Защита конечных точек» в разделе «Создать профиль».

  4. Для FileVault выберите Включить.

  5. Для типа ключа восстановления поддерживается только личный ключ.

  6. Настройте оставшиеся параметры FileVault в соответствии с вашими бизнес-потребностями и нажмите кнопку "ОК".

Создавайте политики защиты приложений для защиты корпоративных данных на уровне приложений

Чтобы ваши данные оставались в безопасности или содержались в управляемом приложении, создайте политики защиты приложений (APP). Политикой может быть правило, которое применяется, когда пользователь пытается получить доступ или переместить «корпоративные» данные, или набор действий, которые запрещены или отслеживаются, когда пользователь находится внутри приложения.

Платформа защиты данных APP организована на три отдельных уровня конфигурации, причем каждый уровень создается на предыдущем уровне:

  • Базовая корпоративная защита данных (уровень 1) обеспечивает защиту приложений с помощью PIN-кода и шифрование, а также выполняет операции выборочной очистки. Для устройств Android этот уровень проверяет аттестацию устройств Android. Данная конфигурация начального уровня, которая обеспечивает аналогичный контроль защиты данных в политиках почтовых ящиков Exchange Online и знакомит ИТ-специалистов и пользователей с APP.

  • Расширенная защита данных предприятия (уровень 2) представляет механизмы предотвращения утечки данных APP и минимальные требования к ОС. Это конфигурация, которая применима к большинству мобильных пользователей, обращаюющихся к рабочим или учебным данным.

  • Корпоративная высокая защита данных (уровень 3) представляет расширенные механизмы защиты данных, расширенную конфигурацию ПИН-кода и app Mobile Threat Defense. Указанная конфигурация желательна для пользователей, которые обращаются к данным с высоким риском.

Выполните следующие действия:

  1. На портале Intune выберите "Приложения> защита приложений политики". Этот выбор открывает сведения о политиках защита приложений, где создаются новые политики и редактируются существующие политики.

  2. Выберите " Создать политику " и выберите iOS/iPadOS или Android. Отображается область "Создать политику".

  3. Выберите приложения, к которым вы хотите применить политику защиты приложений.

  4. Настройте параметры защиты данных:

    1. Защита данных iOS/iPadOS. Дополнительную информацию см. в разделе Настройки политики защиты приложений iOS/iPadOS - Защита данных.

    2. Защита данных Android. Дополнительные сведения см. в разделе Параметры политики защиты приложений Android - Защита данных.

  5. Настройте параметры требований к доступу:

    1. Требования к доступу к iOS/iPadOS. Для получения информации см. Настройки политики защиты приложений iOS/iPadOS - Требования к доступу.

    2. Требования к доступу к Android. Дополнительные сведения см. в разделе Параметры политики защиты приложений Android - Требования к доступу.

  6. Настройте параметры условного запуска:

    1. Условный запуск iOS/iPadOS. Дополнительные сведения см. в разделе Параметры политики защиты приложений iOS/iPadOS - условный запуск.

    2. Условный запуск Android. Дополнительные сведения см. в разделе Параметры политики защиты приложений Android - условный запуск.

  7. Нажмите кнопку "Далее ", чтобы отобразить страницу "Назначения ".

  8. По завершении нажмите кнопку "Создать ", чтобы создать политику защиты приложений в Intune.




Значок контрольного списка с двумя флажками.

Дополнительные цели развертывания

IV. Обнаружение угроз конечной точки используется для отслеживания рисков устройства

После того, как вы выполнили свои первые три задачи, следующим шагом будет настройка безопасности конечных точек, чтобы расширенная защита была предоставлена, активирована и отслеживалась. Для последовательного управления всеми конечными точками используется единая область.

Маршрутизация журналов и транзакций конечных точек в SIEM или Power BI

Используя хранилище данных Intune, отправляйте данные управления устройствами и приложениями в отчеты или инструменты SIEM для интеллектуальной фильтрации предупреждений и уменьшения шума.

Выполните следующие действия:

  1. Выберите Отчеты > Хранилище данных Intune > Хранилище данных.

  2. Скопируйте URL-адрес пользовательского веб-канала. Например: https://fef.tenant.manage.microsoft.com/ReportingService/DataWarehouseFEService?api-version=v1.0

  3. Откройте Power BI Desktop или свое решение SIEM.

Из вашего SIEM-решения

Выберите вариант импорта или получения данных из фида Odata.

Из PowerBI

  1. В меню выберите Файл> Получить данные > Канал OData.

  2. Вставьте URL-адрес настраиваемого канала, который вы скопировали из предыдущего шага, в поле URL-адреса в окне канала OData.

  3. Выберите Базовый.

  4. Нажмите ОК.

  5. Выберите учетную запись организации и войдите с помощью учетных данных Intune.

    Снимок экрана настройки фида OData в корпоративном аккаунте.

  6. Нажмите Подключиться. Навигатор откроет и отобразит список таблиц в хранилище данных Intune.

  7. Выберите устройства и таблицы ownerTypes. Выберите Загрузить. Power BI загружает данные в модель.

  8. Создание связи. Вы можете импортировать несколько таблиц для анализа не только данных в одной таблице, но и связанных данных в таблицах. В Power BI есть функция, называемая автодететом, которая пытается найти и создать связи для вас. Таблицы в хранилище данных были созданы для работы с функцией автоматического набора данных в Power BI. Однако даже если Power BI не находит связи автоматически, вы по-прежнему можете управлять связями.

  9. Выберите Управление связями.

  10. Выберите Автоопределение, если Power BI еще не обнаружил взаимосвязи.

  11. Узнайте о дополнительных способах настройки визуализаций Power BI.

V. Контроль доступа ограничен риском конечных точек как для корпоративных устройств, так и для BYOD

Корпоративные устройства регистрируются в облачной службе регистрации, такой как DEP, Android Enterprise или Windows AutoPilot

Создание и поддержка настроенных образов операционной системы - это трудоемкий процесс, который может включать в себя затраты времени на установку пользовательских образов операционной системы на новые устройства для их подготовки к использованию.

  • С помощью служб регистрации в облаке Microsoft Intune вы можете предоставлять новые устройства своим пользователям без необходимости создавать, поддерживать и применять к устройствам пользовательские образы операционной системы.

  • Windows Autopilot представляет собой набор технологий, используемых для настройки и предварительной настройки новых устройств, чтобы подготовить их к продуктивному использованию. Также можно использовать Windows Autopilot для сброса, перепрофилирования и восстановления устройств.

  • Настройте Windows Autopilot для автоматизации присоединения к Microsoft Entra и регистрации новых корпоративных устройств в Intune.

  • Настройте Apple DEP для автоматической регистрации устройств iOS и iPadOS.

Продукты, описанные в данном руководстве

Microsoft Azure

Microsoft Entra ID

Microsoft 365

Microsoft Intune (включает Microsoft Intune и Configuration Manager)

Microsoft Defender для конечной точки

BitLocker

Нулевое доверие и сети OT

Microsoft Defender для Интернета вещей — это единое решение для обеспечения безопасности, созданное специально для выявления устройств, уязвимостей и угроз в сетях Интернета вещей и операционных технологий (OT). Используйте Defender для Интернета вещей для применения безопасности во всей среде Интернета вещей и OT, включая существующие устройства, которые могут не иметь встроенных агентов безопасности.

Сети OT часто отличаются от традиционной ИТ-инфраструктуры и нуждаются в специализированном подходе к нулевому доверию. Системы OT используют уникальную технологию с собственными протоколами и могут иметь устаревшие платформы с ограниченным подключением и мощностью, а также конкретными требованиями к безопасности и уникальными воздействиями на физические атаки.

Defender для Интернета вещей поддерживает принципы нулевого доверия путем решения конкретных задач OT, таких как:

  • Помощь в управлении удаленными подключениями в системах OT
  • Проверка и помощь в сокращении взаимодействия между зависимыми системами
  • Поиск отдельных точек сбоя в сети

Разверните сетевые датчики Defender для Интернета вещей для обнаружения устройств и трафика и наблюдения за уязвимостями, зависящими от OT. Сегментируйте датчики на сайты и зоны в сети, чтобы отслеживать трафик между зонами и следовать шагам по устранению рисков на основе рисков Defender для Интернета вещей, чтобы снизить риск в среде OT. Defender для Интернета вещей затем постоянно отслеживает устройства для аномального или несанкционированного поведения.

Схема Защитника для Интернета вещей, развернутая в сети OT.

Интеграция с службы Майкрософт, например Microsoft Sentinel и другими партнерскими службами, включая SIEM и системы билетов, для совместного использования данных Defender для Интернета вещей в организации.

Дополнительные сведения см. в разделе:

Заключение

Подход с нулевым доверием может значительно повысить уровень безопасности ваших устройств и конечных точек. Для получения дополнительной информации или помощи в реализации, пожалуйста, свяжитесь с вашей командой по работе с клиентами или продолжайте читать другие главы этого руководства, которое охватывает все компоненты с нулевым доверием.



Серия руководств по развертыванию с использованием модели "Никому не доверяй"

Значок: введение

Значок: удостоверение

Значок: конечные точки

Значок: приложения

Значок: данные

Значок: инфраструктура

Значок: сети

Значок: видимость, автоматизация, оркестрация