Végpontok védelme Teljes felügyelet

  • Cikk

Háttér

A modern vállalat hihetetlen változatosságával rendelkezik az adatokhoz hozzáférő végpontok között. Nem minden végpontot felügyel a szervezet, vagy akár a tulajdonosa is, ami különböző eszközkonfigurációkhoz és szoftverjavítási szintekhez vezet. Ez hatalmas támadási felületet hoz létre, és ha nem oldja meg, a munkahelyi adatok nem megbízható végpontokról való elérése könnyen a leggyengébb hivatkozássá válhat a Teljes felügyelet biztonsági stratégiában.

Teljes felügyelet betartja a "Soha ne bízzon, mindig ellenőrizze" alapelvet. A végpontok tekintetében ez azt jelenti, hogy mindig ellenőrizze az összes végpontot. Ez nem csak a szerződéses, a partneri és a vendégeszközöket, hanem az alkalmazottak által a munkahelyi adatok elérésére használt alkalmazásokat és eszközöket is magában foglalja, függetlenül az eszköz tulajdonjogától.

A Teljes felügyelet megközelítésben ugyanazokat a biztonsági szabályzatokat alkalmazza a rendszer, függetlenül attól, hogy az eszköz vállalati vagy személyes tulajdonban van-e a saját eszköz (BYOD) használatával, függetlenül attól, hogy az eszköz teljes mértékben informatikai felügyelet alatt áll-e, vagy csak az alkalmazások és adatok vannak biztonságban. A szabályzatok az összes végpontra vonatkoznak, legyen az PC, Mac, okostelefon, táblagép, viselhető vagy IoT-eszköz, függetlenül attól, hogy csatlakoztatva vannak-e, legyen az biztonságos vállalati hálózat, otthoni szélessáv vagy nyilvános internet.

A legfontosabb, hogy az ezeken a végpontokon futó alkalmazások állapota és megbízhatósága hatással van a biztonsági helyzetre. Meg kell akadályoznia, hogy a vállalati adatok véletlenül vagy rosszindulatú szándékkal szivárogjanak ki nem megbízható vagy ismeretlen alkalmazásokba vagy szolgáltatásokba.

A Teljes felügyelet modellben az eszközök és végpontok biztonságossá tételének néhány kulcsfontosságú szabálya van:

  • Teljes felügyelet biztonsági szabályzatok központilag érvénybe lépnek a felhőben, és lefedik a végpontok biztonságát, az eszközkonfigurációt, az alkalmazásvédelmet, az eszközmegfelelést és a kockázattartást.

  • A platform és az eszközökön futó alkalmazások biztonságosan ki vannak építve, megfelelően konfigurálva és naprakészen tartva.

  • Biztonsági hiba esetén automatikus és gyors válasz jelenik meg a vállalati adatokhoz való hozzáférés alkalmazáson belüli elérésére.

  • A hozzáférés-vezérlési rendszer biztosítja, hogy az adatok elérése előtt minden szabályzatvezérlő érvényben legyen.

Végpont Teljes felügyelet üzembehelyezési célkitűzések

Mielőtt a legtöbb szervezet megkezdené a Teljes felügyelet-folyamatot, a végpontbiztonság a következőképpen van beállítva:

  • A végpontok tartományhoz csatlakoznak, és olyan megoldásokkal vannak felügyelve, mint a csoportházirend-objektumok vagy a Configuration Manager. Ezek nagyszerű lehetőségek, de nem használják ki a modern Windows 10 CSP-ket, és nem igényelnek külön felhőfelügyeleti átjáróberendezést a felhőalapú eszközök kiszolgálásához.

  • A végpontoknak vállalati hálózaton kell lenniük az adatok eléréséhez. Ez azt jelentheti, hogy az eszközöknek fizikailag a helyszínen kell lenniük a vállalati hálózathoz való hozzáféréshez, vagy VPN-hozzáférést igényelnek, ami növeli annak kockázatát, hogy egy feltört eszköz hozzáférhessen a bizalmas vállalati erőforrásokhoz.

A végpontok biztonságossá tételéhez szükséges, végpontok biztonságossá tételéhez szükséges, végpontok közötti Teljes felügyelet keretrendszer implementálásakor javasoljuk, hogy először az alábbi kezdeti üzembehelyezési célkitűzésekre összpontosítson:

Lista ikon egyetlen pipával.

Az I.Végpontok regisztrálva vannak a felhőbeli identitásszolgáltatóknál. Ahhoz, hogy egy személy több végponton is monitorozza a biztonságot és a kockázatot, láthatóságra van szüksége az erőforrásokhoz esetleg hozzáférő összes eszközön és hozzáférési ponton.

II.A hozzáférés csak felhőalapúan felügyelt és megfelelő végpontokhoz és alkalmazásokhoz érhető el. Állítsa be a megfelelőségi szabályokat, hogy az eszközök megfeleljenek a minimális biztonsági követelményeknek a hozzáférés megadása előtt. Emellett állítsa be a szervizelési szabályokat a nem megfelelő eszközökre, hogy a felhasználók tudják, hogyan oldható meg a probléma.

III.Az adatveszteség-megelőzési (DLP-) szabályzatok a vállalati eszközökre és a BYOD-ra vannak kényszerítve. Szabályozhatja, hogy a felhasználó mit tehet az adatokkal, miután hozzáféréssel rendelkezik. Korlátozhatja például a fájlmentést nem megbízható helyekre (például helyi lemezre), vagy korlátozhatja a másolási és beillesztési megosztást egy fogyasztói kommunikációs alkalmazással vagy csevegőalkalmazással az adatok védelme érdekében.

A befejezés után a következő további üzembehelyezési célokra összpontosítson:

Lista ikon két pipával.

IV.A végpont fenyegetésészlelése az eszközkockázatok monitorozására szolgál. Egyetlen üvegpanel használatával konzisztens módon kezelheti az összes végpontot, és egy SIEM használatával irányíthatja a végpontnaplókat és tranzakciókat, így kevesebb, de végrehajtható riasztást kaphat.

A V.Hozzáférés-vezérlés a vállalati eszközökön és a BYOD-on egyaránt végpontkockázatot jelent. Integrálhatja az adatokat Végponthoz készült Microsoft Defender vagy más Mobile Threat Defense (MTD) szállítóktól az eszközmegfelelési szabályzatok és az eszköz feltételes hozzáférési szabályainak információforrásaként. Az eszközkockázat ezután közvetlenül befolyásolja, hogy az eszköz felhasználója milyen erőforrásokat fog elérni.

Végponti Teljes felügyelet üzembe helyezési útmutató

Ez az útmutató végigvezeti az eszközök biztonságossá tételéhez szükséges lépéseken egy Teljes felügyelet biztonsági keretrendszer alapelveit követve.




Ellenőrzőlista ikon egy pipával.

Kezdeti üzembehelyezési célkitűzések

I. A végpontok regisztrálva vannak egy felhőbeli identitásszolgáltatónál

A kockázatexpozíció korlátozásához minden végpontot figyelnie kell annak érdekében, hogy mindegyik megbízható identitással rendelkezzen, biztonsági szabályzatokat alkalmazzanak, és hogy a kártevők vagy az adatkiszivárgás kockázati szintjét megmérjük, kijavítottuk vagy elfogadhatónak ítéljük.

Az eszköz regisztrálása után a felhasználók a vállalati felhasználónév és jelszó használatával hozzáférhetnek a szervezet korlátozott erőforrásaihoz a bejelentkezéshez (vagy Vállalati Windows Hello).

A kezdeti üzembehelyezési célkitűzések 1. fázisának lépéseinek diagramja.

Vállalati eszközök regisztrálása a Microsoft Entra-azonosítóval

Tegye a következők egyikét:

Új Windows 10-eszközök

  1. Indítsa el az új eszközt, és indítsa el az OOBE (házon kívül) folyamatot.

  2. A Bejelentkezés a Microsoft képernyőre írja be munkahelyi vagy iskolai e-mail-címét.

  3. Írja be a jelszót az Enter your password (Jelszó megadása) képernyőn.

  4. A mobileszközön hagyja jóvá az eszközt, hogy hozzáférhessen a fiókjához.

  5. Végezze el az OOBE-folyamatot, beleértve az adatvédelmi beállítások beállítását és a Windows Hello beállítását (ha szükséges).

  6. Az eszköz most csatlakozik a szervezet hálózatához.

Meglévő Windows 10-eszközök

  1. Nyissa meg a Gépház, majd válassza a Fiókok lehetőséget.

  2. Válassza az Access munkahelyi vagy iskolai, majd a Csatlakozás lehetőséget.

    Hozzáférés munkahelyi vagy iskolai Gépház.

  3. A Munkahelyi vagy iskolai fiók beállítása képernyőn válassza az Eszköz csatlakoztatása a Microsoft Entra-azonosítóhoz lehetőséget.

    Munkahelyi vagy iskolai fiók beállítása Gépház.

  4. A Let's get you signed in screen (Legyen bejelentkezve) képernyőn írja be az e-mail-címét (például alain@contoso.com), majd válassza a Tovább gombot.

  5. Az Enter password (Jelszó megadása) képernyőn írja be a jelszót, majd válassza a Bejelentkezés lehetőséget.

  6. A mobileszközön hagyja jóvá az eszközt, hogy hozzáférhessen a fiókjához.

  7. A Szervezet képernyőjén tekintse át az információkat, és győződjön meg arról, hogy megfelelő, majd válassza a Csatlakozás lehetőséget.

  8. Az Összes beállítás képernyőn kattintson a Kész gombra.

Személyes Windows-eszközök regisztrálása a Microsoft Entra-azonosítóval

Tegye a következők egyikét:

  1. Nyissa meg a Gépház, majd válassza a Fiókok lehetőséget.

  2. Válassza a Munkahelyi vagy iskolai Hozzáférés lehetőséget, majd az Access munkahelyi vagy iskolai képernyőjén válassza a Csatlakozás lehetőséget.

    Hozzáférés munkahelyi vagy iskolai Gépház.

  3. A Munkahelyi vagy iskolai fiók hozzáadása képernyőn írja be a munkahelyi vagy iskolai fiókjához tartozó e-mail-címét, majd válassza a Tovább gombot. Például: alain@contoso.com.

  4. Jelentkezzen be munkahelyi vagy iskolai fiókjába, majd válassza a Bejelentkezés lehetőséget.

  5. Fejezze be a regisztrációs folyamat többi részét, beleértve az identitás-ellenőrzési kérés jóváhagyását (ha kétlépéses ellenőrzést használ), és állítsa be a Windows Hello-t (ha szükséges).

Vállalati Windows Hello engedélyezése és konfigurálása

Ha lehetővé szeretné tenni, hogy a felhasználók olyan alternatív bejelentkezési módszert használhassanak, amely felülír egy jelszót, például PIN-kódot, biometrikus hitelesítést vagy ujjlenyomat-olvasót, engedélyezze a Vállalati Windows Hello a felhasználók Windows 10-eszközein.

A Microsoft Endpoint Manager felügyeleti központjában az alábbi Microsoft Intune- és Microsoft Entra-műveletek fejeződnek be:

Először hozzon létre egy Vállalati Windows Hello regisztrációs szabályzatot a Microsoft Intune-ban.

  1. Lépjen az Eszközök > regisztrálása eszközök regisztrálása eszközregisztráció >>> Vállalati Windows Hello elemre.

    Vállalati Windows Hello a Microsoft Intune-ban.

  2. A Vállalati Windows Hello konfigurálásához válasszon az alábbi lehetőségek közül:

    1. Letiltva. Ha nem szeretné használni a Vállalati Windows Hello, válassza ezt a beállítást. Ha le van tiltva, a felhasználók nem építhetnek ki Vállalati Windows Hello, kivéve a Microsoft Entra által csatlakoztatott mobiltelefonokat, ahol szükség lehet a kiépítésre.

    2. Engedélyezve. Válassza ezt a beállítást, ha Vállalati Windows Hello beállításokat szeretné konfigurálni. Ha az Engedélyezve lehetőséget választja, a Windows Hello további beállításai is láthatók lesznek.

    3. Nincs konfigurálva. Válassza ezt a beállítást, ha nem szeretné az Intune-t használni a Vállalati Windows Hello beállításainak szabályozásához. A Windows 10-eszközök meglévő Vállalati Windows Hello beállításai nem változnak. A panel összes többi beállítása nem érhető el.

Ha az Engedélyezve lehetőséget választotta, konfigurálja az összes regisztrált Windows 10-eszközre és Windows 10-mobileszközökre alkalmazott szükséges beállításokat .

  1. Megbízható platformmodul (TPM) használata. A TPM-chip további adatbiztonsági réteget biztosít. Válasszon az alábbi értékek közül:

    1. Kötelező. Csak akadálymentes TPM-lel rendelkező eszközök építhetnek ki Vállalati Windows Hello.

    2. Előnyben részesített. Az eszközök először megkísérlik használni a TPM-et. Ha ez a lehetőség nem érhető el, szoftveres titkosítást használhatnak.

  2. Állítsa be a PIN-kód minimális hosszát és a PIN-kód maximális hosszát. Ez úgy konfigurálja az eszközöket, hogy a megadott minimális és maximális PIN-kódhosszt használják a biztonságos bejelentkezés biztosítása érdekében. Az alapértelmezett PIN-kód hossza hat karakter, de legalább négy karakter hosszúságú lehet. A PIN-kód maximális hossza 127 karakter.

  3. PIN-kód lejáratának beállítása (nap). Érdemes megadni egy PIN-kód lejárati idejét, amely után a felhasználóknak módosítaniuk kell azt. Az alapértelmezett érték 41 nap.

  4. Jegyezze meg a PIN-kódelőzményeket. Korlátozza a korábban használt PIN-k újrafelhasználását. Alapértelmezés szerint az utolsó 5 PIN nem használható újra.

  5. Ha elérhető, használjon továbbfejlesztett hamisítás elleni hamisítást. Ez azt konfigurálja, hogy a Windows Hello hamisítás elleni funkcióit mikor használják az azt támogató eszközökön. Például egy arc fényképének észlelése valódi arc helyett.

  6. Telefonos bejelentkezés engedélyezése. Ha ez a beállítás Igen értékre van állítva, a felhasználók távoli útlevéllel hordozható társeszközként szolgálhatnak asztali számítógép-hitelesítéshez. Az asztali számítógépnek csatlakoznia kell a Microsoft Entra-hoz, a társeszközt pedig egy Vállalati Windows Hello PIN-kóddal kell konfigurálni.

Miután konfigurálta ezeket a beállításokat, válassza a Mentés lehetőséget .

Miután konfigurálta az összes regisztrált Windows 10-eszközre és Windows 10-mobileszközökre vonatkozó beállításokat, állítsa be Vállalati Windows Hello Identity Protection-profilokat az adott végfelhasználói eszközök biztonsági beállításainak testreszabásához Vállalati Windows Hello.

  1. Válassza az Eszközkonfigurációs > profilok > Létrehozása profil > Windows 10 és Újabb > Identitásvédelem lehetőséget.

    Képernyőkép: Profil létrehozása Windows 10 platformmal és identitásvédelemre beállított profillal.

  2. Konfigurálja a Vállalati Windows Hello. Adja meg, hogyan szeretné konfigurálni a Vállalati Windows Hello.

    Képernyőkép a konfigurációs beállításokról a konfigurációs profilok Identitásvédelem területén.

    1. PIN-kód minimális hossza.

    2. Kisbetűk a PIN-kódban.

    3. Nagybetűk a PIN-kódban.

    4. Speciális karakterek a PIN-kódban.

    5. PIN-kód lejárata (nap).

    6. Jegyezze meg a PIN-kódelőzményeket.

    7. PIN-kód helyreállításának engedélyezése. Lehetővé teszi a felhasználó számára a Vállalati Windows Hello PIN-kód helyreállítási szolgáltatás használatát.

    8. Megbízható platformmodul (TPM) használata. A TPM-chip további adatbiztonsági réteget biztosít.

    9. Biometrikus hitelesítés engedélyezése. Engedélyezi a biometrikus hitelesítést, például az arcfelismerést vagy az ujjlenyomatot a PIN-kód alternatívaként Vállalati Windows Hello. A felhasználóknak pin-kódot kell konfigurálniuk arra az esetre, ha a biometrikus hitelesítés meghiúsul.

    10. Ha elérhető, használjon továbbfejlesztett hamisítás elleni hamisítást. Azt konfigurálja, hogy a Windows Hello hamisításgátló funkcióit mikor használják az azt támogató eszközökön (például egy arc fényképét észleli valódi arc helyett).

    11. A bejelentkezéshez használjon biztonsági kulcsokat. Ez a beállítás a Windows 10 1903-es vagy újabb verzióját futtató eszközökön érhető el. Ezzel kezelheti a windowsos Hello biztonsági kulcsok bejelentkezéshez való használatát.

Végül további eszközkorlátozási szabályzatokat is létrehozhat a vállalati tulajdonú eszközök további zárolásához.

Tipp.

Ismerje meg, hogyan valósíthat meg teljes körű identitásmentes stratégiát.

II. Hozzáférés csak felhőalapúan felügyelt és megfelelő végpontokhoz és alkalmazásokhoz érhető el

Miután rendelkezik a vállalati erőforrásokhoz hozzáférő összes végpont identitásával, és a hozzáférés megadása előtt meg szeretné győződni arról, hogy azok megfelelnek a szervezet által meghatározott minimális biztonsági követelményeknek .

Miután megfelelőségi szabályzatokat hoz létre a vállalati erőforrások megbízható végpontokhoz, mobil- és asztali alkalmazásokhoz való hozzáférésének biztosításához, minden felhasználó hozzáférhet a vállalati adatokhoz mobileszközökön, és az operációs rendszer minimális vagy maximális verziója minden eszközön telepítve van. Az eszközök nincsenek feltörve vagy gyökerezve.

Emellett állítson be szervizelési szabályokat a nem megfelelő eszközökre, például letiltson egy nem megfelelő eszközt, vagy türelmi időszakot biztosítson a felhasználónak a megfelelőség érdekében.

A kezdeti üzembehelyezési célkitűzések 2. fázisának lépéseinek diagramja.

Megfelelőségi szabályzat létrehozása a Microsoft Intune-nal (minden platformon)

Megfelelőségi szabályzat létrehozásához kövesse az alábbi lépéseket:

  1. Válassza az Eszközmegfelelési > szabályzatok >> házirendek létrehozása házirendet.

  2. Válasszon platformot ehhez a szabályzathoz (például az alábbi Windows 10-et).

  3. Válassza ki a kívánt eszközállapot-konfigurációt.

    Képernyőkép a Device Healthről a Windows 10 megfelelőségi szabályzat beállításaiban.

  4. Az eszköztulajdonságok minimális vagy maximális értékének konfigurálása.

    Képernyőkép a Windows 10 megfelelőségi szabályzat beállításainak eszköztulajdonságáról.

  5. Konfigurálja a Configuration Manager megfelelőségét. Ehhez a Configuration Manager összes megfelelőségi kiértékelésének megfelelőnek kell lennie, és csak a csatlakoztatott Windows 10-eszközökre vonatkozik. Minden csak Intune-beli eszköz visszaadja az N/A értéket.

  6. Rendszerbiztonsági Gépház konfigurálása.

    Képernyőkép a Rendszerbiztonságról a Windows 10 megfelelőségi szabályzat beállításaiban.

  7. Konfigurálja a Microsoft Defender Kártevőirtót.

    Képernyőkép a Windows 10 megfelelőségi szabályzat beállításaiban Felhőhöz készült Microsoft Defender.

  8. Konfigurálja a szükséges Végponthoz készült Microsoft Defender gépkockázati pontszámot.

    Képernyőkép a Defender for Endpointről a Windows 10 megfelelőségi szabályzat beállításaiban.

  9. A Meg nem felelés műveletek lapján adja meg a megfelelőségi szabályzatnak nem megfelelő eszközökre automatikusan alkalmazandó műveletek sorozatát.

    Képernyőkép a megfelelőségi szabályzat beállításainak meg nem feleléséről.

Értesítési e-mailek automatizálása és további szervizelési műveletek hozzáadása nem megfelelő eszközökhöz az Intune-ban (minden platformon)

Amikor végpontjaik vagy alkalmazásaik nem megfelelőek lesznek, a felhasználók önjavításon keresztül vezetnek. A riasztások automatikusan létrejönnek további riasztásokkal és bizonyos küszöbértékekhez beállított automatizált műveletekkel. Meg nem felelés utáni szervizelési műveleteket is beállíthat.

Hajtsa végre az alábbi lépéseket:

  1. Válassza az Eszközök > megfelelőségi szabályzatai > értesítések > – Értesítés létrehozása lehetőséget.

  2. Értesítési üzenetsablon létrehozása.

    Képernyőkép: Értesítés létrehozása a megfelelőségi szabályzat beállításaiban.

  3. Válassza az Eszközmegfelelési > szabályzatok házirendek> lehetőséget, válasszon egyet a szabályzatai közül, majd válassza a Tulajdonságok lehetőséget.

  4. Válassza a Nem megfelelő >hozzáadás műveletek lehetőséget.

  5. Meg nem felelő műveletek hozzáadása:

    Képernyőkép a megfelelőségi szabályzat beállításainak meg nem feleléséről.

    1. Automatikus e-mail beállítása nem megfelelő eszközökkel rendelkező felhasználóknak.

    2. Állítson be egy műveletet a nem megfelelő eszközök távoli zárolásához.

    3. Beállíthat egy olyan műveletet, amely automatikusan kivon egy nem megfelelő eszközt egy megadott számú nap után.

III. Az adatveszteség-megelőzési (DLP-) szabályzatok a vállalati eszközökre és a BYOD-ra vannak kényszerítve

Az adathozzáférés megadása után szabályozni szeretné, hogy a felhasználó mit tehet az adatokkal. Ha például egy felhasználó egy vállalati identitással rendelkező dokumentumhoz fér hozzá, meg szeretné akadályozni, hogy a dokumentum nem védett fogyasztói tárolóhelyre legyen mentve, vagy hogy megosszon egy fogyasztói kommunikációs vagy csevegőalkalmazással.

A kezdeti üzembehelyezési célkitűzések 3. fázisán belüli lépések diagramja.

Először alkalmazza a Microsoft által javasolt biztonsági beállításokat a Windows 10-eszközökre a vállalati adatok védelme érdekében (Windows 10 1809-et vagy újabb verziót igényel):

Használja az Intune biztonsági alapkonfigurációit a felhasználók és eszközök védelmének és védelmének elősegítéséhez. A biztonsági alapkonfigurációk a Windows-beállítások előre konfigurált csoportjai, amelyek segítenek a megfelelő biztonsági csapatok által javasolt ismert beállítások és alapértelmezett értékek alkalmazásában.

Tegye a következők egyikét:

  1. Válassza az Endpoint Security > Security alapkonfigurációit az elérhető alapkonfigurációk listájának megtekintéséhez.

  2. Válassza ki a használni kívánt alaptervet, majd válassza a Profil létrehozása lehetőséget.

  3. A Konfiguráció beállításai lapon tekintse meg a kiválasztott alapkonfigurációban elérhető Gépház csoportjait. A csoport kibontásával megtekintheti az adott csoport beállításait és az alapkonfigurációban szereplő beállítások alapértelmezett értékeit. Adott beállítások megkeresése:

    1. Válasszon ki egy csoportot az elérhető beállítások kibontásához és áttekintéséhez.

    2. Használja a keresősávot, és adjon meg olyan kulcsszavakat, amelyek szűrik a nézetet, hogy csak azokat a csoportokat jelenítse meg, amelyek tartalmazzák a keresési feltételeket.

    3. Konfigurálja újra az alapértelmezett beállításokat az üzleti igényeknek megfelelően.

      Képernyőkép a Profil létrehozása alkalmazáskezelési beállításairól.

  4. A Hozzárendelések lapon jelölje ki a felvenni kívánt csoportokat, majd rendelje hozzá az alaptervet egy vagy több csoporthoz. A hozzárendelés finomhangolásához zárja ki a Csoportok kijelölése parancsot.

Győződjön meg arról, hogy a frissítések automatikusan üzembe vannak helyezve a végpontokon

Windows 10-eszközök konfigurálása

Konfigurálja a Windows Frissítések vállalati verziót, hogy egyszerűsítse a felhasználók frissítéskezelési élményét, és győződjön meg arról, hogy az eszközök automatikusan frissülnek a szükséges megfelelőségi szintnek megfelelően.

Tegye a következők egyikét:

  1. A Windows 10 szoftverfrissítéseinek kezelése az Intune-ban frissítési körök létrehozásával és a Windows 10 frissítések telepítésekor konfigurált beállítások gyűjteményének engedélyezésével.

    1. Válassza a Windows > Windows 10 Frissítési körök > létrehozása lehetőséget>.

    2. A Gyűrűk frissítése beállítás alatt konfigurálja az üzleti igényeinek megfelelő beállításokat.

      Képernyőkép a frissítési beállításokról és a felhasználói élmény beállításairól.

    3. A Hozzárendelések csoportban válassza a + Felvenni kívánt csoportok kijelölése lehetőséget, majd rendelje hozzá a frissítési gyűrűt egy vagy több csoporthoz. A hozzárendelés finomhangolásához használja a kizáráshoz a + Csoportok kijelölése parancsot.

  2. A Windows 10 szolgáltatásfrissítéseinek kezelése az Intune-ban, hogy az eszközök az Ön által megadott Windows-verzióra (például 1803 vagy 1809) legyenek frissítve, és zárolja a funkciókészletet ezeken az eszközökön, amíg el nem dönti, hogy egy későbbi Windows-verzióra frissíti őket.

    1. Válassza az Eszközök > Windows > Windows 10 Szolgáltatásfrissítések > létrehozása lehetőséget.

    2. Az Alapszintű beállítások területen adjon meg egy nevet, egy leírást (nem kötelező), és a funkciófrissítés üzembe helyezéséhez válassza ki a Windows kívánt verzióját a kívánt funkciókészlettel, majd válassza a Tovább gombot.

    3. A Hozzárendelések csoportban válassza ki és válassza ki a felvenni kívánt csoportokat, majd rendelje hozzá a funkciófrissítés üzembe helyezését egy vagy több csoporthoz.

iOS-eszközök konfigurálása

Vállalati regisztrációval rendelkező eszközök esetén konfigurálja az iOS-frissítéseket a felhasználók frissítéskezelési élményének leegyszerűsítése érdekében, és győződjön meg arról, hogy az eszközök automatikusan frissülnek a szükséges megfelelőségi szintnek megfelelően. IOS-frissítési szabályzat konfigurálása.

Tegye a következők egyikét:

  1. Válassza az iOS/iPadOS > Create profil Eszközfrissítési > szabályzatai lehetőséget.

  2. Az Alapszintű beállítások lapon adja meg a szabályzat nevét, adjon meg egy leírást (nem kötelező), majd válassza a Tovább gombot.

  3. A Szabályzat beállításainak frissítése lapon konfigurálja a következőket:

    1. Válassza ki a telepíteni kívánt verziót. A következők közül lehet választani:

      1. Legújabb frissítés: Ez telepíti az iOS/iPadOS legújabb kiadású frissítését.

      2. Bármely korábbi verzió, amely elérhető a legördülő listában. Ha egy korábbi verziót választ ki, egy eszközkonfigurációs szabályzatot is üzembe kell helyeznie a szoftverfrissítések láthatóságának késleltetéséhez.

    2. Ütemezés típusa: A szabályzat ütemezésének konfigurálása:

      1. Frissítés a következő bejelentkezéskor. A frissítés az intune-nal való legközelebbi bejelentkezéskor telepítheti az eszközre. Ez a legegyszerűbb lehetőség, és nincs további konfigurációja.

      2. Frissítés ütemezett időpontban. Egy vagy több időablakot konfigurálhat, amely alatt a frissítés a bejelentkezéskor telepedik.

      3. Frissítés az ütemezett időponton kívül. Egy vagy több időablakot konfigurálhat, amely alatt a frissítések bejelentkezéskor nem lesznek telepítve.

    3. Heti ütemezés: Ha a következő bejelentkezéskor a frissítéstől eltérő ütemezési típust választ, konfigurálja a következő beállításokat:

      Képernyőkép a Profil létrehozása házirend-beállításainak frissítéséről.

  4. Válasszon egy időzónát.

  5. Adjon meg egy időablakot. Definiáljon egy vagy több olyan időblokkot, amely korlátozza a frissítések telepítését. A lehetőségek közé tartozik a kezdő nap, a kezdési idő, a zárónap és a befejezési idő. A kezdő és a záró nap használatával az éjszakai blokkok támogatottak. Ha nem konfigurálja az időpontokat a kezdéshez vagy a befejezéshez, a konfiguráció nem eredményez korlátozást, és a frissítések bármikor telepíthetők.

Győződjön meg arról, hogy az eszközök titkosítva vannak

A Bitlocker konfigurálása Windows 10-eszközök titkosításához

  1. Válassza az Eszközök > konfigurációs profilok > Profil létrehozása lehetőséget.

  2. Adja meg a következő beállításokat:

    1. Platform: Windows 10 és újabb verziók

    2. Profil típusa: Végpontvédelem

      Képernyőkép: Profil létrehozása a Windows 10-hez készült Eszközök konfigurációs profiljaiban.

  3. Válassza Gépház > Windows-titkosítás lehetőséget.

    Képernyőkép a Profil létrehozása végpontvédelemről.

  4. Konfigurálja a BitLocker beállításait az üzleti igényeinek megfelelően, majd kattintson az OK gombra.

FileVault-titkosítás konfigurálása macOS-eszközökön

  1. Válassza az Eszközök > konfigurációs profilok > Profil létrehozása lehetőséget.

  2. Adja meg a következő beállításokat:

    1. Platform: macOS.

    2. Profil típusa: Végpontvédelem.

      Képernyőkép: Profil létrehozása a mac OS-hez készült Eszközök konfigurációs profiljaiban.

  3. Válassza Gépház > FileVault lehetőséget.

    Képernyőkép a File Vaultról a Profil létrehozása végpontvédelem alatt.

  4. A FileVault esetében válassza az Engedélyezés lehetőséget.

  5. A helyreállítási kulcs típusa esetén csak a Személyes kulcs támogatott.

  6. Konfigurálja a fennmaradó FileVault-beállításokat az üzleti igényeinek megfelelően, majd válassza az OK gombot.

Alkalmazásvédelmi szabályzatok létrehozása a vállalati adatok alkalmazásszintű védelméhez

Annak érdekében, hogy az adatok biztonságosak maradnak vagy egy felügyelt alkalmazásban legyenek tárolva, hozzon létre alkalmazásvédelmi szabályzatokat (APP). A szabályzatok lehetnek olyan szabályok, amelyek akkor lesznek kényszerítve, amikor a felhasználó megpróbál hozzáférni vagy áthelyezni a "vállalati" adatokat, vagy olyan műveletek készlete, amelyeket a felhasználó az alkalmazáson belül tilt vagy figyel.

Az APP adatvédelmi keretrendszer három különböző konfigurációs szintre van rendezve, mindegyik szint az előző szintből épül fel:

  • A vállalati alapszintű adatvédelem (1. szint) biztosítja, hogy az alkalmazások PIN-kóddal és titkosítással legyenek védve, és szelektív törlési műveleteket hajtsanak végre. Az androidos eszközök esetében ez a szint érvényesíti az androidos eszközigazolást. Ez egy bejegyzésszintű konfiguráció, amely hasonló adatvédelmi vezérlést biztosít az Exchange Online postaláda-szabályzataiban, és bevezeti az informatikai és a felhasználói populációt az APP-ban.

  • A nagyvállalati szintű fokozott adatvédelem (2. szint) alkalmazás-adatszivárgás-megelőzési mechanizmusokat és minimális operációsrendszer-követelményeket vezet be. Ez az a konfiguráció, amely alkalmazható a legtöbb olyan mobileszköz-felhasználó esetében, akik munkahelyi vagy iskolai adatokhoz férnek hozzá.

  • A nagyvállalati magas szintű adatvédelem (3. szint) fejlett adatvédelmi mechanizmusokat, továbbfejlesztett PIN-kódkonfigurációt és APP Mobile Threat Defense-t vezet be. Ez a konfiguráció olyan felhasználók számára kívánatos, amelyek magas kockázatú adatokhoz férnek hozzá.

Tegye a következők egyikét:

  1. Az Intune-portálon válassza az Alkalmazások> Alkalmazásvédelem szabályzatok lehetőséget. Ez a kijelölés megnyitja a Alkalmazásvédelem házirendek részleteit, ahol új szabályzatokat hozhat létre, és szerkesztheti a meglévő szabályzatokat.

  2. Válassza a Szabályzat létrehozása lehetőséget, és válassza az iOS/iPadOS vagy az Android lehetőséget. Megjelenik a Szabályzat létrehozása panel.

  3. Válassza ki azokat az alkalmazásokat, amelyekre alkalmazni szeretné az Alkalmazásvédelmi szabályzatot.

  4. Adatvédelmi Gépház konfigurálása:

    1. iOS/iPadOS adatvédelem. További információ: iOS/iPadOS alkalmazásvédelmi szabályzat beállításai – Adatvédelem.

    2. Android-adatvédelem. További információ: Android alkalmazásvédelmi szabályzat beállításai – Adatvédelem.

  5. Hozzáférési követelmény Gépház konfigurálása:

    1. iOS/iPadOS hozzáférési követelmények. További információ: iOS/iPadOS alkalmazásvédelmi szabályzat beállításai – Hozzáférési követelmények.

    2. Android-hozzáférési követelmények. További információ: Android alkalmazásvédelmi szabályzat beállításai – Hozzáférési követelmények.

  6. Feltételes indítási Gépház konfigurálása:

    1. iOS/iPadOS feltételes indítás. További információ: iOS/iPadOS alkalmazásvédelmi szabályzat beállításai – Feltételes indítás.

    2. Android feltételes indítás. További információ: Android alkalmazásvédelmi szabályzat beállításai – Feltételes indítás.

  7. Kattintson a Tovább gombra a Hozzárendelések lap megjelenítéséhez.

  8. Ha elkészült, a Létrehozás gombra kattintva hozza létre az alkalmazásvédelmi szabályzatot az Intune-ban.

Tipp.

Megtudhatja, hogyan implementálhat egy végpontok közötti Teljes felügyelet stratégiát az adatokhoz.




Ellenőrzőlista ikon két pipával.

További üzembehelyezési célkitűzések

IV. A végpont fenyegetésészlelése az eszközkockázat monitorozására szolgál

Miután elvégezte az első három célkitűzést, a következő lépés a végpontbiztonság konfigurálása a speciális védelem kiépítése, aktiválása és figyelése érdekében. A rendszer egyetlen üvegpanelt használ az összes végpont egységes kezelésére.

Végpontnaplók és tranzakciók átirányítása SIEM-hez vagy Power BI-hoz

Az Intune-adattárház használatával eszköz- és alkalmazásfelügyeleti adatokat küldhet jelentéskészítési vagy SIEM-eszközöknek a riasztások intelligens szűréséhez a zaj csökkentése érdekében.

Tegye a következők egyikét:

  1. Válassza a Jelentések > intune-adattárház adattárház >lehetőséget.

  2. Másolja ki az egyéni hírcsatorna URL-címét. Például: https://fef.tenant.manage.microsoft.com/ReportingService/DataWarehouseFEService?api-version=v1.0

  3. Nyissa meg a Power BI Desktopot vagy a SIEM-megoldást.

A SIEM-megoldásból

Válassza ki azt a lehetőséget, hogy adatokat importáljon vagy lekérjen egy Odata-hírcsatornából.

PowerBI-ból

  1. A menüben válassza a File > Get Data > OData hírcsatornát.

  2. Illessze be a korábbi lépésből kimásolt egyéni hírcsatorna URL-címét az OData-hírcsatorna ablakának URL-mezőjébe.

  3. Válassza az Alapszintű lehetőséget.

  4. Kattintson az OK gombra.

  5. Válassza ki a Szervezeti fiókot, majd jelentkezzen be az Intune hitelesítő adataival.

    Képernyőkép az OData-hírcsatorna beállításáról a szervezeti fiókban.

  6. Válassza a Kapcsolódás lehetőséget. A kezelő megnyitja és megjeleníti az Intune-adattárházban lévő táblák listáját.

  7. Válassza ki az eszközöket és a ownerTypes táblákat. Válassza a Betöltés lehetőséget. A Power BI betölti az adatokat a modellbe.

  8. Hozzon létre egy kapcsolatot. Több táblát is importálhat, hogy ne csak az egyetlen táblában lévő adatokat elemezze, hanem a táblákon belüli kapcsolódó adatokat is. A Power BI egy autodetect nevű funkcióval rendelkezik, amely megpróbál kapcsolatokat keresni és létrehozni Önnek. Az adattárházban lévő táblák úgy lettek létrehozva, hogy működjenek a Power BI automatikus észlelési funkciójával. Ha azonban a Power BI nem találja automatikusan a kapcsolatokat, továbbra is kezelheti a kapcsolatokat.

  9. Válassza Kapcsolatok kezelése.

  10. Válassza az Automatikus észlelés lehetőséget, ha a Power BI még nem észlelte a kapcsolatokat.

  11. Ismerje meg a PowerBI-vizualizációk beállításának speciális módjait.

V. A hozzáférés-vezérlés a vállalati eszközökre és a BYOD-ra egyaránt hatással van a végpontkockázatok tekintetében

A vállalati eszközök regisztrálva vannak egy felhőregisztrációs szolgáltatással, például a DEP-vel, az Android Enterprise-tal vagy a Windows AutoPilottal

A testreszabott operációsrendszer-rendszerképek létrehozása és karbantartása időigényes folyamat, és magában foglalhatja az egyéni operációsrendszer-lemezképek új eszközökre való alkalmazásával kapcsolatos időt is, hogy előkészítse őket a használatra.

  • A Microsoft Intune felhőregisztrációs szolgáltatásaival új eszközöket adhat a felhasználóknak anélkül, hogy egyéni operációsrendszer-rendszerképeket kellene létrehoznia, karbantartania és alkalmaznia az eszközökre.

  • A Windows Autopilot az új eszközök beállítására és előre konfigurálására használt technológiák gyűjteménye, amelyek hatékonyan használhatók. A Windows Autopilottal emellett alaphelyzetbe állíthatja, átkonfigurálhatja és helyreállíthatja az eszközöket.

  • Konfigurálja a Windows Autopilotot, hogy automatizálja a Microsoft Entra csatlakozását , és regisztráljon új vállalati tulajdonú eszközöket az Intune-ban.

  • Konfigurálja az Apple DEP-t az iOS- és iPadOS-eszközök automatikus regisztrálására.

Az útmutatóban szereplő termékek

Microsoft Azure

Microsoft Entra ID

Microsoft 365

Microsoft Endpoint Manager (beleértve a Microsoft Intune-t és a Configuration Managert)

Végponthoz készült Microsoft Defender

Bitlocker

Teljes felügyelet és az OT-hálózatok

A Microsoft Defender for IoT egy egységes biztonsági megoldás, amely kifejezetten az IoT- és üzemeltetési technológiai (OT-) hálózatok eszközeinek, biztonsági réseinek és fenyegetéseinek azonosítására szolgál. A Defender for IoT használatával a teljes IoT/OT-környezetben alkalmazhatja a biztonságot, beleértve a beépített biztonsági ügynökökkel nem rendelkező meglévő eszközöket is.

Az OT-hálózatok gyakran különböznek a hagyományos informatikai infrastruktúrától, és speciális megközelítésre van szükségük a bizalommentességhez. Az OT-rendszerek egyedi technológiát használnak védett protokollokkal, és korlátozott kapcsolattal és teljesítménnyel rendelkező elöregedő platformokkal rendelkeznek, vagy speciális biztonsági követelményekkel és a fizikai támadásokkal szembeni egyedi kitettségekkel rendelkeznek.

Az IoT Defender az OT-specifikus kihívások megoldásával támogatja a zéró megbízhatósági alapelveket, például:

  • Segítség az OT-rendszerek távoli kapcsolatainak szabályozásához
  • A függő rendszerek közötti összekapcsolások áttekintése és csökkentése
  • Egyetlen hibapont megkeresése a hálózaton

A Defender for IoT hálózati érzékelők üzembe helyezése az eszközök és a forgalom észleléséhez, valamint az OT-specifikus biztonsági rések figyeléséhez. Az érzékelőket a hálózaton belüli helyekre és zónákra szegmentelheti a zónák közötti forgalom figyeléséhez, és kövesse a Defendert az IoT kockázatalapú kockázatcsökkentési lépéseihez, hogy csökkentse a kockázatokat az OT-környezetben. Az IoT Defender ezután folyamatosan figyeli az eszközöket a rendellenes vagy jogosulatlan viselkedés érdekében.

A Defender for IoT ot-hálózaton üzembe helyezett diagramja.

Integrálható Microsoft-szolgáltatások, például a Microsoft Sentinellel és más partnerszolgáltatásokkal, beleértve a SIEM-et és a jegyrendszereket is, hogy megossza a Defender for IoT-adatokat a szervezeten belül.

További információkért lásd:

Összegzés

A Teljes felügyelet megközelítés jelentősen erősítheti az eszközök és végpontok biztonsági pozícióját. A megvalósítással kapcsolatos további információkért vagy segítségért forduljon az ügyfél-siker csapatához, vagy olvassa el az útmutató egyéb fejezeteit, amelyek az összes Teljes felügyelet pillérre kiterjednek.



A Teljes felügyelet üzembehelyezési útmutató sorozata

A bevezetés ikonja

Identitás ikonja

Végpontok ikonja

Alkalmazások ikonja

Az adatok ikonja

Infrastruktúra ikonja

Hálózatok ikonja

Láthatóság, automatizálás, vezénylés ikonja