使用零信任保护终结点

  • 项目

背景

现代企业具有访问数据的终结点的惊人多样性。 并非所有终结点都由组织管理,甚至由组织拥有,从而导致不同的设备配置和软件修补程序级别。 这将创建一个巨大的攻击面,如果未解决,从不受信任的终结点访问工作数据很容易成为零信任安全策略中最薄弱的链接。

零信任坚持“永不信任,始终验证”的原则。就终结点而言,这意味着始终验证所有终结点。 这不仅包括承包商、合作伙伴和来宾设备,还包括员工用于访问工作数据的 应用 和设备,而不考虑设备所有权。

在零信任方法中,无论设备是公司拥有的还是个人拥有的,都通过将自己的设备 (BYOD) 来应用相同的安全策略;无论设备是完全由 IT 管理的,还是仅保护应用和数据。 这些策略适用于所有终结点,无论是电脑、Mac、智能手机、平板电脑、可穿戴设备,还是 IoT 设备,无论它们连接到何处,无论是安全的企业 网络、家庭宽带还是公共 Internet。

最重要的是,在这些终结点上运行的应用的运行状况和可信度会影响安全状况。 需要防止公司数据意外或恶意泄露到不受信任或未知的应用或服务。

在零信任模型中保护设备和终结点有一些关键规则:

  • 零信任安全策略通过云集中实施,涵盖终结点安全性、设备配置、应用保护、设备符合性和风险状况。

  • 平台以及在设备上运行的应用都经过安全预配、正确配置和保持最新状态。

  • 在发生安全入侵时,有自动和提示的响应来包含对应用中公司数据的访问权限。

  • 访问控制系统可确保所有策略控件在访问数据之前生效。

终结点零信任部署目标

大多数组织开始零信任旅程之前,其终结点安全设置如下:

  • 终结点已加入域并使用组策略对象或Configuration Manager等解决方案进行管理。 这些都是不错的选择,但它们不利用新式Windows 10 CSP 或需要单独的云管理网关设备来为基于云的设备提供服务。

  • 需要在公司网络上使用终结点才能访问数据。 这可能意味着设备需要在物理上进行现场访问才能访问公司网络,或者它们需要 VPN 访问权限,这增加了被入侵的设备可能访问敏感公司资源的风险。

实现端到端零信任框架来保护终结点时,建议首先关注以下初始部署目标

List icon with one checkmark.

I.Endpoints 已注册到云标识提供程序。若要监视任何一个人使用的多个终结点的安全性和风险,需要查看可能访问资源的所有设备和访问点。

第二。仅向云托管且合规的终结点和应用授予访问权限。 设置符合性规则,以确保设备在授予访问权限之前满足最低安全要求。 此外,为不符合的设备设置修正规则,以便人们知道如何解决问题。

第三。对公司设备和 BYOD 实施数据丢失防护 (DLP) 策略。 控制用户在具有访问权限后可以对数据执行的操作。 例如,将文件保存限制为不受信任的位置 ((例如本地磁盘) )或限制与使用者通信应用或聊天应用共享以保护数据。

完成这些操作后,请重点关注以下 附加部署目标

List icon with two checkmarks.

四。终结点威胁检测用于监视设备风险。 使用单个玻璃窗格以一致的方式管理所有终结点,并使用 SIEM 路由终结点日志和事务,以便获得更少但可操作的警报。

V.Access控制在企业设备和 BYOD 的终结点风险上受到限制。将来自 Microsoft Defender for Endpoint 或其他移动威胁防御 (MTD) 供应商的数据集成为设备符合性策略和设备条件访问规则的信息源。 然后,设备风险将直接影响该设备的用户可访问的资源。

终结点零信任部署指南

本指南将指导你完成按照零信任安全框架的原则保护设备所需的步骤。




Checklist icon with one checkmark.

初始部署目标

我。 终结点已注册到云标识提供者

若要帮助限制风险暴露,需要监视每个终结点,以确保每个终结点都有受信任的标识、应用安全策略以及恶意软件或数据外泄等行为的风险级别已测量、修正或被视为可接受。

注册设备后,用户可以使用其公司用户名和密码访问组织的受限资源,以登录 (或Windows Hello 企业版) 。

Diagram of the steps within phase 1 of the initial deployment objectives.

将企业设备注册到 Azure Active Directory (AD)

请执行以下步骤:

新Windows 10设备

  1. 启动新设备并开始 OOBE (全新体验) 过程。

  2. “使用 Microsoft 登录 ”屏幕上,键入工作或学校电子邮件地址。

  3. “输入密码 ”屏幕上,键入密码。

  4. 在移动设备上,批准你的设备,以便它可以访问你的帐户。

  5. 完成 OOBE 过程,包括设置隐私设置和设置Windows Hello ((如有必要)) 。

  6. 现在,你的设备已加入组织的网络。

现有Windows 10设备

  1. 打开 “设置”,然后选择 “帐户”。

  2. 选择 Access 工作或学校, 然后选择 “连接”。

    Access work or school in Settings.

  3. “设置工作或学校帐户 ”屏幕上,选择 “将此设备加入 Azure AD”。

    Set up a work or school account in Settings.

  4. 在“ 让我们让你登录 ”屏幕上,键入电子邮件地址 (例如, alain@contoso.com) ,然后选择 “下一步”。

  5. “输入密码 ”屏幕上键入密码,然后选择 “登录”。

  6. 在移动设备上,批准你的设备,以便它可以访问你的帐户。

  7. “确保这是你的组织 ”屏幕上,查看信息以确保正确,然后选择“ 加入”。

  8. 在“ 全部设置” 屏幕上,单击 “完成”。

将个人 Windows 设备注册到 Azure AD

请执行以下步骤:

  1. 打开 “设置”,然后选择 “帐户”。

  2. 选择 Access 工作或学校,然后从 Access 工作或学校屏幕中选择“连接”。

    Access work or school in Settings.

  3. “添加工作或学校帐户 ”屏幕上,键入工作或学校帐户的电子邮件地址,然后选择 “下一步”。 例如, alain@contoso.com.

  4. 登录到工作或学校帐户,然后选择 “登录”。

  5. 完成注册过程的其余部分,包括 (使用双重验证) 批准标识验证请求,并在必要时设置Windows Hello () 。

启用和配置Windows Hello 企业版

若要允许用户使用替代登录方法来替换密码(如 PIN、生物识别身份验证或指纹读取器),请在用户的Windows 10设备上启用Windows Hello 企业版

以下Microsoft Intune和 Azure AD 操作已在Microsoft Endpoint Manager管理中心完成:

首先在Microsoft Intune中创建Windows Hello 企业版注册策略。

  1. 转到设备>注册>注册设备 > Windows 注册>Windows Hello 企业版。

    Windows Hello for Business in Microsoft Intune.

  2. 从以下选项中选择“配置Windows Hello 企业版:

    1. 禁用。 如果不想使用Windows Hello 企业版,请选择此设置。 如果禁用,则用户无法预配Windows Hello 企业版,除非在已加入 Azure AD 的移动电话上需要预配。

    2. 启用。 如果要配置Windows Hello 企业版设置,请选择此设置。 选择“已启用”时,Windows Hello的其他设置将变得可见。

    3. 未配置。 如果不想使用Intune来控制Windows Hello 企业版设置,请选择此设置。 Windows 10设备上的任何现有Windows Hello 企业版设置不会更改。 窗格上的所有其他设置不可用。

如果选择了“已启用”,请配置应用于所有已注册Windows 10设备和Windows 10移动设备所需的设置

  1. 使用受信任的平台模块 (TPM) 。 TPM 芯片提供额外的数据安全层。 选择以下值之一:

    1. 必需。 只有具有可访问 TPM 的设备才能预配Windows Hello 企业版。

    2. 首选。 设备首先尝试使用 TPM。 如果此选项不可用,则可以使用软件加密。

  2. 设置最小 PIN 长度和最大 PIN 长度。 这会将设备配置为使用你指定的最小和最大 PIN 长度,以帮助确保安全登录。 默认 PIN 长度为 6 个字符,但可以强制执行最小长度为 4 个字符。 最大 PIN 长度为 127 个字符。

  3. 设置 PIN 过期 (天) 。 最好为 PIN 指定过期期,之后用户必须对其进行更改。 默认值为 41 天。

  4. 请记住 PIN 历史记录。 限制重复使用以前使用的 PIN。 默认情况下,不能重复使用最后 5 个 PIN。

  5. 使用增强的防欺骗功能(如果有)。 这会在支持它的设备上使用Windows Hello的反欺骗功能时进行配置。 例如,检测人脸而不是真实人脸的照片。

  6. 允许电话登录。 如果此选项设置为“是”,则用户可以使用远程护照作为桌面计算机身份验证的便携式配套设备。 桌面计算机必须已加入 Azure AD,并且必须使用 Windows Hello 企业版 PIN 配置配套设备。

配置这些设置后,选择 “保存”。

配置适用于所有已注册Windows 10设备和Windows 10移动设备的设置后,请设置Windows Hello 企业版标识保护配置文件,以自定义特定最终用户设备的Windows Hello 企业版安全设置。

  1. 选择设备>配置文件>创建配置文件>Windows 10和更高版本>标识保护

    Screenshot of Create a profile with platform set to Windows 10 and profile set to Identity protection.

  2. 配置Windows Hello 企业版。 选择要如何配置Windows Hello 企业版。

    Screenshot of Configuration settings under Identity protection in Configuration profiles.

    1. 最小 PIN 长度。

    2. PIN 中的小写字母。

    3. PIN 中的大写字母。

    4. PIN 中的特殊字符。

    5. PIN 过期 (天) 天。

    6. 请记住 PIN 历史记录。

    7. 启用 PIN 恢复。 允许用户使用Windows Hello 企业版 PIN 恢复服务。

    8. 使用受信任的平台模块 (TPM) 。 TPM 芯片提供额外的数据安全层。

    9. 允许生物识别身份验证。 启用生物识别身份验证(如面部识别或指纹)作为 PIN 的替代方法,用于Windows Hello 企业版。 如果生物识别身份验证失败,用户仍必须配置 PIN。

    10. 使用增强的防欺骗功能(如果有)。 配置Windows Hello的反欺骗功能在支持它的设备上使用时 (例如,检测人脸的照片而不是真实人脸) 。

    11. 使用安全密钥进行登录。 此设置适用于运行 Windows 10 版本 1903 或更高版本的设备。 使用它来管理对使用Windows Hello安全密钥进行登录的支持。

最后,可以创建其他设备限制策略,以进一步锁定公司拥有的设备。

提示

了解如何实现端到端标识零策略

第二。 仅向云托管且合规的终结点和应用授予访问权限

获得访问公司资源的所有终结点的标识后,在授予访问权限之前,需要确保这些终结点符合组织设置的 最低安全要求

建立合规性策略后,所有用户都可以访问移动设备上的组织数据,并在所有设备上安装最低或最大操作系统版本。 设备不会越狱或扎根。

此外,为不符合的设备 设置修正规则 ,例如阻止不符合设备或为用户提供宽限期以使其符合。

Diagram of the steps within phase 2 of the initial deployment objectives.

使用Microsoft Intune (所有平台创建符合性策略)

按照以下步骤 创建合规性策略

  1. 选择“设备>符合性策略>>”创建策略。

  2. 为此策略选择一个平台 (Windows 10用于以下) 。

  3. 选择所需的设备运行状况配置。

    Screenshot of Device Health in Windows 10 compliance policy settings.

  4. 配置最小或最大设备属性。

    Screenshot of Device Properties in Windows 10 compliance policy settings.

  5. 配置Configuration Manager合规性。 这需要符合Configuration Manager中的所有符合性评估,并且仅适用于组合Windows 10设备。 所有仅Intune设备都将返回 N/A。

  6. 配置系统安全设置。

    Screenshot of System Security in Windows 10 compliance policy settings.

  7. 配置 Microsoft Defender 反恶意软件。

    Screenshot of Microsoft Defender for Cloud in Windows 10 compliance policy settings.

  8. 配置所需的Microsoft Defender for Endpoint计算机风险分数。

    Screenshot of Defender for Endpoint in Windows 10 compliance policy settings.

  9. 在“不合规操作”选项卡上,指定一系列操作,以便自动应用于不符合此符合性策略的设备。

    Screenshot of Actions for noncompliance in compliance policy settings.

在所有平台Intune (自动发送通知电子邮件,并为不符合要求的设备添加其他修正操作)

当用户的终结点或应用变得不合规时,系统会引导用户进行自我修正。 警报会自动生成,并针对特定阈值设置额外的警报和自动操作。 可以设置 不符合性 修正操作。

执行以下步骤:

  1. 选择 “设备 > 符合性策略 > 通知 > 创建通知”。

  2. 创建通知消息模板。

    Screenshot of Create notification in compliance policy settings.

  3. 选择“设备>符合性策略>”,选择其中一个策略,然后选择“属性”。

  4. 选择“操作以添加不符合性>”。

  5. 添加不合规的操作:

    Screenshot of Actions for noncompliance in compliance policy settings.

    1. 为具有不合规设备的用户设置自动电子邮件。

    2. 设置操作以远程锁定不符合的设备。

    3. 设置操作以在设置的天数后自动停用不符合的设备。

第三。 对公司设备和 BYOD 实施数据丢失防护 (DLP) 策略

授予数据访问权限后,需要控制用户可对数据执行的操作。 例如,如果用户使用公司标识访问文档,则你希望防止该文档保存在不受保护的使用者存储位置,或与使用者通信或聊天应用共享。

Diagram of the steps within phase 3 of the initial deployment objectives.

首先,将 Microsoft 建议的安全设置应用到Windows 10设备,以保护企业数据 (需要Windows 10 1809 及更高版本) :

使用Intune安全基线来帮助保护用户和设备。 安全基线是预配置的 Windows 设置组,可帮助你应用相关安全团队建议的已知设置和默认值组。

请执行以下步骤:

  1. 选择“终结点安全性 > ”基线以查看可用基线列表。

  2. 选择要使用的基线,然后选择 “创建配置文件”。

  3. 在“配置设置”选项卡上,查看所选基线中可用的设置组。 可以展开一个组来查看该组中的设置以及基线中这些设置的默认值。 若要查找特定设置,请执行以下操作:

    1. 选择要展开和查看可用设置的组。

    2. 使用搜索栏并指定用于筛选视图的关键字,以仅显示包含搜索条件的组。

    3. 重新配置默认设置以满足业务需求。

      Screenshot of Application Management settings in Create Profile.

  4. 在“分配”选项卡上,选择要包含的组,然后将基线分配给一个或多个组。 若要微调分配,请使用“选择”组进行排除。

确保将更新自动部署到终结点

配置Windows 10设备

配置适用于企业的 Windows 更新,以简化用户的更新管理体验,并确保自动更新设备以满足所需的符合性级别。

请执行以下步骤:

  1. 通过创建更新环并启用在安装Windows 10更新时配置的设置集合,在Intune中管理Windows 10软件更新。

    1. 选择“设备 > Windows > Windows 10更新通道>创建”。

    2. “更新环”设置下,根据业务需求配置设置。

      Screenshot of Update settings and User experience settings.

    3. “分配”下,选择“+ 选择要包含的组”,然后将更新圈分配给一个或多个组。 若要微调分配,请使用 + 选择要排除的组。

  2. 管理Intune中的Windows 10功能更新,将设备引入你指定 (的 Windows 版本,即 1803 或 1809) ,并冻结这些设备上的功能集,直到你选择将其更新到更高版本的 Windows 版本。

    1. 选择“设备 > Windows > Windows 10功能更新>创建”。

    2. “基本信息”下,指定名称、说明 (可选) ,对于 要部署的功能更新,请选择具有所需功能集的 Windows 版本,然后选择 “下一步”。

    3. “分配”下,选择要包含的组,然后将功能更新部署分配给一个或多个组。

配置 iOS 设备

对于公司注册的设备,配置 iOS 更新以简化用户的更新管理体验,并确保自动更新设备以满足所需的符合性级别。 配置 iOS 更新策略。

请执行以下步骤:

  1. 为 iOS/iPadOS > 创建配置文件选择设备>更新策略。

  2. 在“基本信息”选项卡上,指定此策略的名称, (可选) 指定说明,然后选择 “下一步”。

  3. 在“更新策略设置”选项卡上,配置以下内容:

    1. 选择要安装的版本。 你可以从以下选项中进行选择:

      1. 最新更新:这将部署 iOS/iPadOS 的最新发布更新。

      2. 下拉框中可用的任何以前版本。 如果选择以前的版本,还必须部署设备配置策略来延迟软件更新的可见性。

    2. 计划类型:配置此策略的计划:

      1. 在下次签入时更新。 更新在下次使用Intune签入时安装在设备上。 这是最简单的选项,没有其他配置。

      2. 在计划期间更新。 配置一个或多个在签入时安装更新的时间窗口。

      3. 在计划时间之外更新。 配置一个或多个签入时更新不会安装的时间窗口。

    3. 每周计划:如果在下次签入时选择计划类型而不是更新,请配置以下选项:

      Screenshot of Update policy settings in Create profile.

  4. 选择时区。

  5. 定义时间窗口。 定义一个或多个限制更新安装时间的时间块。 选项包括开始日、开始时间、结束日和结束时间。 通过使用开始日和结束日,支持隔夜块。 如果未配置开始或结束的时间,则配置不会产生任何限制,并且随时都可以安装更新。

确保设备已加密

配置 Bitlocker 以加密Windows 10设备

  1. 选择 “设备 > 配置文件 > 创建配置文件”。

  2. 设置以下选项:

    1. 平台:Windows 10及更高版本

    2. 配置文件类型:终结点保护

      Screenshot of Create a profile in Devices Configuration profiles for Windows 10.

  3. 选择 “设置 > Windows 加密”。

    Screenshot of Endpoint protection in Create profile.

  4. 为 BitLocker 配置设置以满足业务需求,然后选择 “确定”。

在 macOS 设备上配置 FileVault 加密

  1. 选择 “设备 > 配置文件 > 创建配置文件”。

  2. 设置以下选项:

    1. 平台:macOS。

    2. 配置文件类型:终结点保护。

      Screenshot of Create a profile in Devices Configuration profiles for mac OS.

  3. 选择 设置 > FileVault

    Screenshot of File Vault under Endpoint protection in Create profile.

  4. 对于 FileVault,请选择 “启用”。

  5. 对于恢复密钥类型,仅支持个人密钥。

  6. 配置剩余的 FileVault 设置以满足业务需求,然后选择 “确定”。

创建应用程序保护策略以保护应用级别的企业数据

若要确保数据保持安全或包含在托管应用中, 请 (应用) 创建应用保护策略 。 策略可以是用户尝试访问或移动“公司”数据时强制执行的规则,也可以是在用户在应用内时禁止或监视的一组操作。

APP 数据保护框架分为三个不同的配置级别,每个级别都基于上一级别进行构建:

  • 企业基本数据保护 (级别 1) 确保应用受到 PIN 和加密的保护,并执行选择性擦除操作。 对于 Android 设备,此级别验证 Android 设备证明。 这是一个入门级配置,在 Exchange Online 邮箱策略中提供类似的数据保护控制,并将 IT 和用户群引入 APP。

  • 企业增强的数据保护 (级别 2) 引入了应用数据泄漏防护机制和最低 OS 要求。 此配置适用于访问工作或学校数据的大多数移动用户。

  • 企业高数据保护 (级别 3) 引入了高级数据保护机制、增强的 PIN 配置和 APP 移动威胁防御。 此配置适用于访问高风险数据的用户。

请执行以下步骤:

  1. 在Intune门户中,选择“应用>应用保护策略。 此选择将打开应用保护策略详细信息,在其中创建新策略并编辑现有策略。

  2. 选择 “创建策略 ”,然后选择 iOS/iPadOSAndroid。 将显示 “创建策略 ”窗格。

  3. 选择要将应用保护策略应用到的应用。

  4. 配置数据保护设置:

    1. iOS/iPadOS 数据保护。 有关信息,请参阅 iOS/iPadOS 应用保护策略设置 - 数据保护

    2. Android 数据保护。 有关信息,请参阅 Android 应用保护策略设置 - 数据保护

  5. 配置访问要求设置:

    1. iOS/iPadOS 访问要求。 有关信息,请参阅 iOS/iPadOS 应用保护策略设置 - 访问要求

    2. Android 访问要求。 有关信息,请参阅 Android 应用保护策略设置 - 访问要求

  6. 配置条件启动设置:

    1. iOS/iPadOS 条件启动。 有关信息,请参阅 iOS/iPadOS 应用保护策略设置 - 条件启动

    2. Android 条件启动。 有关信息,请参阅 Android 应用保护策略设置 - 条件启动

  7. 单击 “下一步 ”以显示 “分配” 页。

  8. 完成后,单击“创建”以在Intune中创建应用保护策略。

提示

了解如何为数据实现端到端零信任策略




Checklist icon with two checkmarks.

其他部署目标

四。 终结点威胁检测用于监视设备风险

完成前三个目标后,下一步是配置终结点安全性,以便预配、激活和监视高级保护。 单个玻璃窗格用于一致地管理所有终结点。

将终结点日志和事务路由到 SIEM 或Power BI

使用Intune数据仓库,将设备和应用管理数据发送到报告或 SIEM 工具,以便智能筛选警报以降低噪音。

请执行以下步骤:

  1. 选择数据仓库数据仓库>Intune报>表。

  2. 复制自定义源 URL。 例如: https://fef.tenant.manage.microsoft.com/ReportingService/DataWarehouseFEService?api-version=v1.0

  3. 打开Power BI桌面或 SIEM 解决方案。

从 SIEM 解决方案

选择从 Odata 源导入或获取数据的选项。

从 PowerBI

  1. 在菜单中,选择 “文件 > 获取数据 > OData”源

  2. 将前面步骤中复制的自定义源 URL 粘贴到 OData 源窗口中的 URL 框中。

  3. 选择 “基本”。

  4. 选择 “确定”。

  5. 选择组织帐户,然后使用Intune凭据登录。

    Screenshot of OData feed setting in Organizational account.

  6. 选择 “连接”。 导航器将打开并显示Intune Data Warehouse中的表列表。

  7. 选择设备和 ownerTypes 表。 选择 “加载”。 Power BI将数据加载到模型。

  8. 创建关系。 可以导入多个表,不仅可以分析单个表中的数据,还可以跨表分析相关数据。 Power BI有一个名为 autodetect 的功能,它尝试查找和创建关系。 Data Warehouse中的表已生成,用于在Power BI中使用 autodetect 功能。 但是,即使Power BI不会自动找到关系,你仍然可以管理关系。

  9. 选择管理关系

  10. 如果Power BI尚未检测到关系,请选择 Autodetect

  11. 了解 设置 PowerBI 可视化效果的高级方法

V。 对公司设备和 BYOD 的终结点风险进行访问控制

企业设备已注册到云注册服务,如 DEP、Android Enterprise 或 Windows AutoPilot

生成和维护自定义操作系统映像是一个耗时的过程,可能包括花时间将自定义操作系统映像应用到新设备以准备它们供使用。

  • 使用Microsoft Intune云注册服务,无需生成、维护和应用自定义操作系统映像即可为用户提供新设备。

  • Windows Autopilot 是一系列技术集合,用于设置和预配置新设备,使其可供高效使用。 还可以使用 Windows Autopilot 重置、重置和恢复设备。

  • 配置 Windows Autopilot 以自动执行 Azure AD 加入,并将新的公司拥有的设备注册到Intune。

  • 配置 Apple DEP 以自动注册 iOS 和 iPadOS 设备。

本指南中介绍的产品

Microsoft Azure

Azure Active Directory

Microsoft 365

Microsoft Endpoint Manager (包括Microsoft Intune和Configuration Manager)

Microsoft Defender for Endpoint

BitLocker

结论

零信任方法可以显著增强设备和终结点的安全状况。 有关实施的详细信息或帮助,请联系客户成功团队,或继续阅读本指南中涵盖所有零信任支柱的其他章节。



零信任部署指南系列

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration