Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Strategia doD Zero Trust i harmonogram działania przedstawia ścieżkę dla składników Departamentu Obrony i partnerów bazy przemysłowej obrony (DIB), aby przyjąć nową strukturę cyberbezpieczeństwa opartą na zasadach Zero Trust. Zero Trust eliminuje tradycyjne założenia dotyczące obwodów i zaufania, umożliwiając bardziej wydajną architekturę, która zwiększa bezpieczeństwo, środowiska użytkownika i wydajność misji.
Ten przewodnik zawiera zalecenia dotyczące działań 152 Zero Trust w harmonogramie wykonywania możliwości bez zaufania doD. Sekcje odpowiadają siedmiu filarom modelu DoD Zero Trust.
Skorzystaj z poniższych linków, aby przejść do sekcji przewodnika.
- Wprowadzenie
- Użytkownik
- Urządzenie
- Aplikacje i obciążenia
- Data
- Sieciowe
- Automatyzacja i aranżacja
- Widoczność i analiza
2 Urządzenie
Ta sekcja zawiera wskazówki i zalecenia dotyczące działań firmy DoD Zero Trust w filarze urządzenia. Aby dowiedzieć się więcej, zobacz Zabezpieczanie punktów końcowych przy użyciu zera zaufania.
2.1 Spis urządzeń
Usługa Microsoft Intune i Ochrona punktu końcowego w usłudze Microsoft Defender konfigurować, oceniać kondycję i wykrywać luki w zabezpieczeniach oprogramowania dla urządzeń. Użyj integracji microsoft Entra ID i Microsoft Intune, aby wymusić zgodne zasady urządzeń na potrzeby dostępu do zasobów.
| Opis i wynik działania dod | Wskazówki i zalecenia firmy Microsoft |
|---|---|
Target2.1.1 Analiza luk w narzędziu kondycjiurządzeniaOrganizacje DoD tworzą ręczny spis urządzeń w środowisku. Atrybuty urządzenia śledzone w spisie umożliwiają działanie opisane na poziomie docelowym ZTA. Wynik: - Ręczne tworzenie spisu urządzeń dla każdej organizacji z właścicielami |
Microsoft Entra ID Register end user devices with Microsoft Entra ID and manage device identities from the Microsoft Entra Admin Center (Rejestrowanie urządzeń użytkowników końcowych przy użyciu identyfikatora Entra ID firmy Microsoft i zarządzania tożsamościami urządzeń z Centrum administracyjnego firmy Microsoft Entra). Strona Przegląd urządzeń śledzi zasoby urządzeń, stan zarządzania, system operacyjny, typ sprzężenia i właściciela. - Zarejestrowane urządzenia - dołączone hybrydowa lista urządzeń- Lista urządzeń - Zarządzanie tożsamościami urządzeń Microsoft Entra Connect Sync Użyj funkcji Connect Sync , aby zsynchronizować urządzenia zarządzane w usłudze Active Directory z identyfikatorem Entra firmy Microsoft. - Urządzenia dołączone hybrydo do usługi Microsoft Intune Wyświetl informacje o urządzeniach zarządzanych z centrum administracyjnego usługi Microsoft Intune. Pobierz diagnostykę z urządzeń z systemem Windows przy użyciu akcji zdalnej Zbierz diagnostykę. - Szczegóły- urządzenia Diagnostyka urządzenia z systemem Windows Program Microsoft Endpoint Configuration Manager Użyj współzarządzania, aby dołączyć wdrożenie programu Configuration Manager do chmury platformy Microsoft 365. - Współzarządzanie Ochrona punktu końcowego w usłudze Microsoft Defender Przeglądaj urządzenia chronione przez usługę Defender for Endpoint w portalu usługi Microsoft Defender. - Spis urządzeń |
Target2.1.2 NPE/PKI, urządzenie w obszarze ZarządzanieOrganizacje DoD korzystają z rozwiązania DoD Enterprise PKI/usługi do wdrażania certyfikatów x509 na wszystkich obsługiwanych i zarządzanych urządzeniach. W systemach PKI i/lub IDP są przypisywane dodatkowe inne jednostki niebędące personifikacjami (NPE), które obsługują certyfikaty x509. Wynik: - Jednostki niebędące personifikacjami są zarządzane za pośrednictwem infrastruktury kluczy publicznych organizacji i dostawcy tożsamości organizacji |
Usługa Microsoft Intune — dodawanie łącznika certyfikatów usługi Intunena potrzeby aprowizacji certyfikatów w punktach końcowych. - Certyfikaty łącznika - certyfikatów do uwierzytelniania Użyj profilów sieciowych usługi Intune, aby ułatwić uwierzytelnianie zarządzanych urządzeń w sieci. Dodaj certyfikat protokołu rejestrowania prostego certyfikatu (SCEP). - Ustawienia sieci przewodowej urządzenia z systemem Windows Ustawienia - sieci przewodowej urządzenia z systemem Windows Integrowanie usługi Intune z partnerami kontroli dostępu do sieci (NAC) w celu zabezpieczenia danych w przypadku uzyskiwania dostępu do zasobów lokalnych przez urządzenia. - Zasady zarządzania aplikacjami integracji naC Skonfiguruj zasady zarządzania aplikacjami dzierżawy, aby ograniczyć poświadczenia aplikacji do certyfikatów wystawionych przez infrastrukturę kluczy publicznych przedsiębiorstwa. Zobacz Wskazówki firmy Microsoft 1.9.1 w temacie Użytkownik. Usługa Azure IoT Hub konfiguruje usługę Azure IoT Hubdo używania i wymuszania uwierzytelniania X.509. - Uwierzytelnianie tożsamości za pomocą certyfikatów x509 Microsoft Defender for Identity Jeśli organizacja hostuje swoją infrastrukturę kluczy publicznych za pomocą usług certyfikatów Active Directory (AD CS), wdróż czujniki usługi Defender for Identity i skonfiguruj inspekcję dla usług AD CS. - Czujnik - usług AD CS — konfigurowanie inspekcji dla usług AD CS |
Target2.1.3 Enterprise IDP Pt1DoD eterprise Identity Provider (IdP) przy użyciu scentralizowanej technologii lub federacyjnych technologii organizacyjnych integruje jednostki inne niż osoby (NPE), takie jak urządzenia i konta usług. Integracja jest śledzona w rozwiązaniu enterprise Zarządzanie urządzeniami, jeśli ma zastosowanie, czy jest zintegrowana, czy nie. NpEs nie można zintegrować z dostawcą tożsamości są oznaczone na emeryturę lub z wyjątkiem przy użyciu metodycznego podejścia opartego na ryzyku. Wynik: - NpE, w tym urządzenia są zintegrowane z dostawcą tożsamości przedsiębiorstwa |
Rejestracja urządzeń dołączonych do firmy Microsoft Entra umożliwia korzystanie z urządzeń przyłączonych do firmy Microsoft dla nowych i ponownie obrazowanych urządzeń klienckich z systemem Windows. Urządzenia dołączone do firmy Microsoft Entra mają ulepszone środowisko użytkownika na potrzeby logowania się do aplikacji w chmurze, takich jak Platforma Microsoft 365. Użytkownicy uzyskują dostęp do zasobów lokalnych przy użyciu urządzeń dołączonych do firmy Microsoft. - Urządzenia dołączone- do logowania jednokrotnego do zasobów lokalnych na urządzeniach przyłączonych do usługi Microsoft Intune Konfigurowanie automatycznej rejestracji urządzeń z systemem Windows 10 lub 11 dołączonych do dzierżawy firmy Microsoft Entra. - Automatyczna rejestracja Microsoft Entra Connect Sync Jeśli organizacja synchronizuje usługę Active Directory z identyfikatorem Microsoft Entra ID przy użyciu funkcji Connect Sync. Aby automatycznie rejestrować urządzenia przy użyciu identyfikatora Entra firmy Microsoft, skonfiguruj urządzenia dołączone hybrydo. - Urządzenia dołączone hybrydowo do firmy Microsoft Entra rejestrują aplikacje w firmie Microsoft Entra i używają jednostek usługi do programowego dostępu do aplikacji Microsoft Entra i chronionych interfejsów API, takich jak Microsoft Graph. Skonfiguruj zasady zarządzania aplikacjami, aby ograniczyć typy poświadczeń aplikacji. Zobacz Wskazówki firmy Microsoft 2.1.2. Tożsamość obciążeń Microsoft Entra Użyj federacji tożsamości obciążenia, aby uzyskać dostęp do chronionych zasobów firmy Microsoft w akcjach usługi GitHub i innych obsługiwanych scenariuszach. - Tożsamości tożsamości obciążeń Tożsamości zarządzane tożsamości zarządzanej Użyj tożsamości zarządzanych dla obsługiwanych zasobów platformy Azure i maszyn wirtualnych z obsługą usługi Azure Arc. - Tożsamości zarządzane dla zasobów- platformy Azure serwerów z obsługą usługi Azure Arc w usłudze Azure IoT Hub używają identyfikatora Entra firmy Microsoft do uwierzytelniania żądań w interfejsach API usługi Azure IoT Hub. - Kontrolowanie dostępu do usługi IoT Hub |
Advanced2.1.4 Enterprise IDP Pt2Dostawca tożsamości przedsiębiorstwa DoD (IdP) korzystający ze scentralizowanej technologii lub federacyjnych technologii organizacyjnych dodaje dodatkowe atrybuty dynamiczne dla serwerów NPE, takich jak lokalizacja, wzorce użycia itp. Wynik: - Atrybuty urządzenia warunkowego są częścią profilu dostawcy tożsamości |
Ochrona punktu końcowego w usłudze Microsoft Defender Deploy Defender for Endpoint do urządzeń stacjonarnych użytkowników końcowych, zarządzanych urządzeń przenośnych i serwerów. - Dołączanie urządzeń - usługi Defender for Endpoint na urządzeniach przy użyciu dołączania serwerów z systemem Windows w usłudze Intune - Zarządzanie urządzeniami użytkowników końcowych przy użyciu usługi Intune. Konfigurowanie zasad zgodności usługi Intune dla urządzeń zarządzanych. Uwzględnij Ochrona punktu końcowego w usłudze Microsoft Defender współczynnik ryzyka maszyny w zasadach zgodności usługi Intune. - Planowanie zasad zgodności Zasady - zgodności na poziomie - ryzyka urządzenia Niestandardowe zasady - zgodności Konfigurowanie urządzeń z systemem Windows w- konfiguracji - zabezpieczeń systemu Android Enterprise iOS i iPadOS urządzeń w usłudze Intune Jeśli organizacja korzysta z rozwiązania Mobile Threat Defense (MTD) innej firmy, skonfiguruj łącznik usługi Intune.- Konfiguracja usługi MTD Zarządzanie aplikacjami mobilnymi Korzystanie z funkcji MAM usługi Intune dla niewyrejestrowanych urządzeń do konfigurowania i zabezpieczania aplikacji na potrzeby używania własnych urządzeń (BYOD). - Zarządzanie aplikacjami |
2.2 Wykrywanie i zgodność urządzeń
Zasady zgodności usługi Microsoft Intune zapewniają zgodność urządzeń ze standardami organizacyjnymi. Zasady zgodności mogą oceniać konfigurację urządzenia względem punktu odniesienia zabezpieczeń. Zasady używają Ochrona punktu końcowego w usłudze Microsoft Defender stanu ochrony i oceny ryzyka maszyny w celu określenia zgodności. Dostęp warunkowy używa stanu zgodności urządzenia do podejmowania dynamicznych decyzji dotyczących dostępu dla użytkowników i urządzeń, w tym typu "przynieś własne urządzenia" (BYOD).
| Opis i wynik działania dod | Wskazówki i zalecenia firmy Microsoft |
|---|---|
Target2.2.1 Implementowanie autoryzacji sieci opartej na standardach C2C/Compliance Pt1Firma DoD współpracująca z organizacjami opracowuje zasady, standardy i wymagania dotyczące zgodności z programem Connect. Po osiągnięciu porozumienia jest uruchamiane zaopatrzenie w rozwiązania, wybierane są dostawcy, a implementacja rozpoczyna się od funkcjonalności na poziomie podstawowym w środowiskach docelowych ZT (niskie ryzyko). Testy na poziomie podstawowym są implementowane w nowym rozwiązaniu Zgodne z połączeniem, co umożliwia spełnienie funkcji docelowych ZTA. Wyniki: - C2C jest wymuszany na poziomie przedsiębiorstwa dla środowisk niskiego ryzyka i testowania — podstawowe testy urządzeń są implementowane przy użyciu C2C |
Usługa Microsoft Intune — zarządzanie urządzeniami przy użyciu usługi Intune i konfigurowanie zasad zgodności urządzeń. Użyj funkcji zarządzania aplikacjami mobilnymi (MAM) usługi Intune, aby zabezpieczyć aplikacje w nierejestrowanym modelu BYOD. Zobacz Wskazówki firmy Microsoft w wersji 2.1.4. Dostęp warunkowy użyj sygnałów urządzenia zgodnego z usługą Intune, lokalizacji i sygnałów ryzyka logowania w zasadach dostępu warunkowego. Użyj filtrów urządzeń dla zasad dostępu warunkowego na podstawie atrybutów urządzenia. - Wymagaj filtru warunków - urządzeń zgodności dla urządzeń- - dostęp warunkowy w usłudze Intune Tożsamość obciążeń Microsoft Entra Utwórz zasady dostępu warunkowego dla tożsamości obciążeń przy użyciu kontroli ryzyka i lokalizacji. - Dostęp warunkowy dla tożsamości obciążeń Zabezpieczanie tożsamości- obciążeń |
Advanced2.2.2 Implementowanie C2C/compliance opartej na autoryzacji sieci pt2Organizacje doD rozszerzają wdrażanie i użycie funkcji Comply to Connect ze wszystkimi obsługiwanymi środowiskami wymaganymi do spełnienia zaawansowanych funkcji ZT. Zgodność z zespołami connect integrują swoje rozwiązania z dostawcą tożsamości przedsiębiorstwa i bramami autoryzacji, aby lepiej zarządzać dostępem i autoryzacjami do zasobów. Wyniki: - C2C jest wymuszany we wszystkich obsługiwanych środowiskach — zaawansowane kontrole urządzeń są wykonywane i zintegrowane z dostępem dynamicznym, dostawcą tożsamości przedsiębiorstwa i ZTNA. |
Aplikacje Firmy Microsoft Entra integrują aplikacje i zarządzają dostępem użytkowników za pomocą identyfikatora Entra firmy Microsoft. Zobacz Wskazówki firmy Microsoft 1.2.4 w temacie Użytkownik. Usługa Microsoft Intune i Ochrona punktu końcowego w usłudze Microsoft Defender Zarządzaj urządzeniami z usługą Intune, wdróż usługę Defender dla punktu końcowego i skonfiguruj zasady zgodności urządzeń przy użyciu oceny ryzyka maszyny usługi Defender for Endpoint. Zobacz Wskazówki firmy Microsoft 2.1.4 w tej sekcji. Dostęp warunkowy Tworzenie zasad dostępu warunkowego wymagających zgodnego urządzenia w celu uzyskania dostępu do aplikacji. Zobacz Wskazówki firmy Microsoft w wersji 2.2.1. Microsoft Entra application proxy Deploy application proxy or a secure hybrid access (SHA) partner solution to enable Conditional Access for on-premises and legacy applications through the Zero Trust Network Access (ZTNA). - Sha with Microsoft Entra integration Microsoft Tunnel to rozwiązanie bramy wirtualnej sieci prywatnej (VPN) dla urządzeń zarządzanych przez usługę Intune i nierejestrowanych urządzeń z aplikacjami zarządzanymi przez usługę Intune. Aplikacja Tunnel używa identyfikatora Entra firmy Microsoft do uwierzytelniania i zasad dostępu warunkowego dla dostępu urządzeń przenośnych do aplikacji lokalnych. - Tunel dla usługi Intune |
2.3 Autoryzacja urządzenia z inspekcją w czasie rzeczywistym
Dostęp warunkowy to aparat zasad Zero Trust dla produktów i usług firmy Microsoft w chmurze. Ocenianie zasad zero trust w dostawcy tożsamości zwiększa model comply-to-connect (C2C), stosując adaptacyjne mechanizmy kontroli przed dostępem do zasobów. Zasady dostępu warunkowego używają sygnałów zabezpieczeń firmy Microsoft Entra ID, Microsoft Defender XDR i Microsoft Intune.
Składniki XDR w usłudze Microsoft Defender oceniają poziomy ryzyka urządzeń i tożsamości przy użyciu wykrywania uczenia maszynowego (ML) oraz umożliwiając dynamiczne podejmowanie decyzji opartych na ryzyku w celu zezwolenia, blokowania lub kontrolowania dostępu do danych, aplikacji, zasobów i usług (DAAS).
| Opis i wynik działania dod | Wskazówki i zalecenia firmy Microsoft |
|---|---|
Advanced2.3.1 Monitorowanie aktywności jednostek pt1Korzystając z opracowanych punktów odniesienia dla użytkowników i urządzeń, organizacje DoD wykorzystują zaimplementowane rozwiązanie User and Entity Behavioral Activity (UEBA) w celu zintegrowania punktów odniesienia. Atrybuty i punkty odniesienia urządzenia UEBA są dostępne do użycia na potrzeby wykrywania autoryzacji urządzeń. Wyniki: - Atrybuty UEBA są zintegrowane dla punktu odniesienia urządzenia — atrybuty UEBA są dostępne do użycia z dostępem do urządzeń |
Usługa Microsoft Intune i Ochrona punktu końcowego w usłudze Microsoft Defender Zarządzaj urządzeniami z usługą Intune, wdróż usługę Defender dla punktu końcowego i skonfiguruj zasady zgodności urządzeń przy użyciu oceny ryzyka maszyny usługi Defender for Endpoint. Zobacz Wskazówki firmy Microsoft w wersji 2.1.4. Dostęp warunkowy Utwórz zasady dostępu warunkowego, które wymagają zgodnego urządzenia w celu uzyskania dostępu do aplikacji. Zobacz Wskazówki firmy Microsoft w wersji 2.2.1. Ochrona tożsamości Microsoft Entra Konfiguruj zasady dostępu warunkowego dla poziomów ryzyka tożsamości w Ochrona tożsamości Microsoft Entra. Zobacz Wskazówki firmy Microsoft 1.6.1 w temacie Użytkownik. |
Advanced2.3.2 Monitorowanie aktywności jednostek pt2Organizacje doD korzystają z rozwiązania User and Entity Behavioral Activity (UEBA) z rozwiązaniami dostępu do sieci w celu mandatu atrybutów UEBA (np. kondycji urządzenia, wzorców logowania itp.) na potrzeby uzyskiwania dostępu do środowisk i zasobów. Wynik: - Atrybuty UEBA są wymagane w celu uzyskania dostępu do urządzeń |
Dostęp warunkowy Użyj zgodnego ze standardem Intune stanu urządzenia, lokalizacji i sygnałów ryzyka tożsamości w zasadach dostępu warunkowego. Użyj filtrów urządzeń do określania docelowych zasad dostępu warunkowego na podstawie atrybutów urządzenia. Zobacz Wskazówki firmy Microsoft w wersji 2.2.1 i 2.3.1. |
Target2.3.3 Implementowanie narzędzido monitorowania integralności plików i kontroli aplikacji (FIM)Organizacje DoD nabywają i implementują rozwiązania do monitorowania integralności plików (FIM) i kontroli aplikacji. Program FIM kontynuuje opracowywanie i rozszerzanie monitorowania w filarze danych. Kontrola aplikacji jest wdrażana w środowiskach o niskim ryzyku w trybie monitorowania tylko w trybie ustanawiania przydziałów bazowych. Zespoły kontroli aplikacji są zintegrowane ze środowiskami infrastruktury kluczy publicznych przedsiębiorstwa i organizacji, korzystają z certyfikatów dla przydziałów aplikacji. Aplikacja NextGen AV obejmuje wszystkie możliwe usługi i aplikacje Wyniki: - Narzędzia AppControl i FIM są implementowane we wszystkich usługach krytycznych/aplikacjach — narzędzia EDR obejmują maksymalną ilość usług/aplikacji — AppControl i dane FIM są wysyłane do C2C zgodnie z potrzebami |
Ochrona punktu końcowego w usłudze Microsoft Defender Defender dla punktu końcowego agreguje sygnały z monitorowania integralności plików (FIM), kontroli aplikacji, programu antywirusowego nowej generacji (NGAV) i nie tylko w przypadku oceny ryzyka maszyny. - Program antywirusowy ochrony - następnej generacji dla urządzeń zarządzanych- dostęp do folderów kontrolowanych w usłudze Microsoft Intune Konfiguruj zasady zabezpieczeń kontroli aplikacji w usłudze Microsoft Intune. - Zatwierdzone aplikacje z zasadami App Control dla firm- Windows Defender AppControl i regułami plików Dostęp warunkowy Aby osiągnąć model zgodności z połączeniem (C2C), integruj aplikacje z identyfikatorem Microsoft Entra ID i wymagaj zgodnej kontroli udzielania urządzeń w dostępie warunkowym. Zobacz Wskazówki firmy Microsoft w wersji 2.2.2. |
Advanced2.3.4 Integracja narzędzi NextGen AV Tools C2COrganizacje DoD nabywają i implementują rozwiązania antywirusowe i chroniące przed złośliwym oprogramowaniem nowej generacji zgodnie z potrzebami. Te rozwiązania są zintegrowane z początkowym wdrożeniem funkcji Comply to Connect na potrzeby kontroli stanu punktu odniesienia podpisów, aktualizacji itp. Wyniki: - Krytyczne dane av NextGen są wysyłane do C2C w celu sprawdzenia — narzędzie NextGen AV jest implementowane we wszystkich krytycznych usługach/aplikacjach |
Usługa Microsoft IntuneUmożliwia tworzenie zasad zgodności urządzeń dla oprogramowania antywirusowego i oceny ryzyka maszyny Ochrona punktu końcowego w usłudze Microsoft Defender. - Zasady ochrony antywirusowej dotyczące zabezpieczeń punktów końcowych zobacz Wskazówki firmy Microsoft w wersji 2.2.2. |
Advanced2.3.5 W pełni integruj stos zabezpieczeń urządzeń z C2C zgodnie z potrzebamiOrganizacje doD kontynuują wdrażanie kontroli aplikacji we wszystkich środowiskach i w trybie zapobiegania. Analiza monitorowania integralności plików (FIM) i kontroli aplikacji jest zintegrowana z funkcją Comply to Connect w celu uzyskania rozszerzonych punktów danych podejmowania decyzji o dostępie. Zgodność z analizą connect są oceniane pod kątem dalszych punktów danych stosu zabezpieczeń urządzenia/punktu końcowego, takich jak UEDM i są zintegrowane w razie potrzeby. Wyniki: - Wdrożenie AppControl i FIM jest rozszerzane do wszystkich niezbędnych usług/aplikacji — pozostałe dane z narzędzi zabezpieczeń urządzeń są implementowane za pomocą C2C |
Ukończ działanie 2.3.4. aplikacje Microsoft Defender dla ChmuryIdentyfikowanie i kontrolowanie ryzykownych aplikacji w chmurze przy użyciu zasad Defender dla Chmury Apps. - Kontrolowanie aplikacji w chmurze przy użyciu zasad |
Advanced2.3.6 Enterprise PKI Pt1Infrastruktura kluczy publicznych przedsiębiorstwa DoD (PKI) jest rozszerzana w celu dodania certyfikatów NPE i urządzeń. NpE i urządzenia, które nie obsługują certyfikatów infrastruktury kluczy publicznych, są oznaczone na potrzeby wycofywania i wycofywania. Wyniki: - Urządzenia, które nie mogą mieć certyfikatów, są wycofywane i/lub przenoszone do minimalnych środowisk dostępu — wszystkie urządzenia i npe mają zainstalowane certyfikaty na potrzeby uwierzytelniania w infrastrukturze kluczy publicznych przedsiębiorstwa |
Usługa Microsoft Intune umożliwia wdrażanie certyfikatów PKI doD na urządzeniach przy użyciu usługi Microsoft Intune . Zobacz Wskazówki firmy Microsoft w wersji 2.1.2. Zasady zarządzania aplikacjami Skonfiguruj zasady zarządzania aplikacjami dzierżawy, aby ograniczyć poświadczenia aplikacji do certyfikatów wystawionych przez infrastrukturę kluczy publicznych przedsiębiorstwa. Zobacz Wskazówki firmy Microsoft 1.5.3 w temacie Użytkownik. aplikacje Microsoft Defender dla ChmurySkonfiguruj zasady dostępu, aby wymagać certyfikatów klienta na potrzeby dostępu do aplikacji i blokowania nieautoryzowanego dostępu do urządzeń. - Zasady dostępu |
Advanced2.3.7 Enterprise PKI Pt2Organizacje doD wykorzystują certyfikaty do uwierzytelniania urządzeń i maszyny do komunikacji maszynowej. Nieobsługiwane urządzenia kończą wycofywanie i wyjątki są zatwierdzane przy użyciu metodycznego podejścia opartego na ryzyku. Wynik: - Urządzenia są wymagane do uwierzytelniania w celu komunikowania się z innymi usługami i urządzeniami |
Usługa Microsoft Intune i dostęp warunkowy integrują aplikacje z identyfikatorem Entra firmy Microsoft, zarządzaj urządzeniami w usłudze Intune, chronią urządzenia przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender i konfigurują zasady zgodności. Uwzględnij zasady zgodności dla oceny ryzyka maszyny usługi Defender for Endpoint. Wymagaj zgodnej kontroli udzielania w zasadach dostępu warunkowego. Zobacz Wskazówki firmy Microsoft w wersji 2.2.2. |
2.4 Dostęp zdalny
Microsoft Entra ID to domyślny dostawca tożsamości (IDP, deny-by-default identity provider). Jeśli używasz usługi Microsoft Entra do logowania aplikacji, użytkownicy uwierzytelniają się i przechodzą testy zasad dostępu warunkowego, zanim firma Microsoft Entra autoryzuje dostęp. Za pomocą identyfikatora Entra firmy Microsoft można chronić aplikacje hostowane w chmurze lub lokalnie.
| Opis i wynik działania dod | Wskazówki i zalecenia firmy Microsoft |
|---|---|
Target2.4.1 Odmów urządzenia domyślnieOrganizacje doD blokują dostęp wszystkich niezarządzanych urządzeń zdalnych i lokalnych do zasobów. Zgodne urządzenia zarządzane zapewniają dostęp metodyczny oparty na ryzyku zgodnie z pojęciami dotyczącymi poziomu docelowego usługi ZTA. Wyniki: - Składniki mogą domyślnie blokować dostęp urządzenia do zasobów (aplikacje/dane) i jawnie zezwalać na zgodne urządzenia na zasady — dostęp zdalny jest włączony zgodnie z podejściem "odmowa urządzenia domyślnie" |
Aplikacje Microsoft Entra ID Dostęp do aplikacji i zasobów chronionych przez identyfikator Entra firmy Microsoft jest domyślnie odrzucany. Dostęp do zasobów wymaga uwierzytelniania, aktywnego upoważnienia i autoryzacji według zasad dostępu warunkowego. - Integrowanie integracji aplikacji- z usługą Microsoft Intune Zarządzanie urządzeniami za pomocą usługi Intune. Konfigurowanie zasad zgodności urządzeń. Wymagaj zgodnego urządzenia w zasadach dostępu warunkowego dla wszystkich użytkowników i aplikacji. Zobacz Wskazówki firmy Microsoft w wersji 2.2.1. |
Target2.4.2 Zarządzana i ograniczona obsługafunkcji BYOD i IOTOrganizacje doD korzystają z ujednoliconego punktu końcowego i Zarządzanie urządzeniami (UEDM) i podobnych rozwiązań, aby upewnić się, że zarządzane urządzenia Bring Your Own Device (BYOD) i Internet of Things (IoT) są w pełni zintegrowane z dostawcą tożsamości przedsiębiorstwa, aby umożliwić autoryzację użytkowników i urządzeń. Dostęp do urządzeń dla wszystkich aplikacji wymaga zasad dostępu dynamicznego. Wyniki: — Wszystkie aplikacje wymagają dostępu do uprawnień dynamicznych dla urządzeń — uprawnienia urządzeń BYOD i IOT są punktami bazowymi i zintegrowanymi z dostawcą tożsamości przedsiębiorstwa |
Ukończ działanie 2.4.1. Usługa Microsoft Intune umożliwia zarządzanie urządzeniami i zarządzanie aplikacjami mobilnymi w usłudze Intunew celu korzystania z własnego urządzenia (BYOD). - Zarządzanie aplikacjami mobilnymi dla niewyrejestrowanych urządzeń- Ochrona aplikacji zasady Dostępu warunkowego Wymagaj zgodnego urządzenia i/lub zasad ochrony aplikacji w dostępie warunkowym dla wszystkich użytkowników i aplikacji. - Zatwierdzone zasady- ochrony aplikacji klienckiej lub aplikacji Ochrona aplikacji zasady na urządzeniach z systemem Windows Tożsamość zewnętrzna Microsoft Entra Konfiguruj ustawienia dostępu między dzierżawami, aby ufać zgodnym mechanizmom kontroli urządzeń od zaufanych partnerów. - Ustawienia dostępu między dzierżawami na potrzeby współpracy B2B w usłudze Microsoft Defender dla IoT Wdrażanie czujników usługi Defender for IoT w celu zapewnienia widoczności, a także monitorowania i ochrony urządzeń IoT i technologii operacyjnych (OT). Upewnij się, że oprogramowanie urządzenia jest aktualne i zmienia lokalne hasła. Nie używaj haseł domyślnych. - Defender for IoT IoT i OT security with Zero Trust US National Cybersecurity Strategy to secure IoT (Ochrona bezpieczeństwa IoT w usłudze Defender for IoT - i ZABEZPIECZENIA OT za pomocą strategii Zero Trust - US National Cybersecurity) |
Advanced2.4.3 Zarządzane i pełne elementy BYOD i obsługa IOT pt1Organizacje DoD korzystają z ujednoliconego punktu końcowego i Zarządzanie urządzeniami (UEDM) i podobnych rozwiązań w celu umożliwienia dostępu dla zarządzanych i zatwierdzonych urządzeń do usług Mission i Operational Critical Services/aplikacji przy użyciu zasad dostępu dynamicznego. Urządzenia BYOD i Internet rzeczy (IoT) są wymagane do spełnienia standardowych kontroli linii bazowej przed autoryzacją. Wyniki: tylko urządzenia BYOD i IOT spełniające standardy konfiguracji z mandatami, które mogą uzyskiwać dostęp do zasobów — usługi krytyczne wymagają dynamicznego dostępu dla urządzeń |
Ukończ działanie 2.4.2. aplikacje Microsoft Defender dla ChmurySkonfiguruj zasady dostępu, aby wymagać certyfikatów klienta na potrzeby dostępu do aplikacji. Blokuj dostęp z nieautoryzowanych urządzeń. Zobacz Wskazówki firmy Microsoft w wersji 2.3.6. |
Advanced2.4.4 Managed and Full BYOD &IOT Support Pt2Organizacje doD korzystają z ujednoliconego punktu końcowego i Zarządzanie urządzeniami (UEDM) i podobnych rozwiązań, aby umożliwić dostęp do niezarządzanych urządzeń spełniających kontrole urządzeń i standardowe punkty odniesienia. Wszystkie możliwe usługi/aplikacje są zintegrowane, aby umożliwić dostęp do zarządzanych urządzeń. Urządzenia niezarządzane są zintegrowane z usługami/aplikacjami na podstawie podejścia opartego na metodzie autoryzacji opartej na ryzyku. Wynik: - Wszystkie możliwe usługi wymagają dynamicznego dostępu dla urządzeń |
Azure Virtual Desktop Deploy Azure Virtual Desktop (AVD) to support remote access from unmanaged devices (Azure Virtual Desktop Deploy Azure Virtual Desktop (AVD) to support remote access from unmanaged devices (Wdrażanie usługi Azure Virtual Desktop (AVD) w celu obsługi dostępu zdalnego z urządzeń niezarządzanych. Dołącz maszyny wirtualne hosta sesji usługi AVD do firmy Microsoft Entra i zarządzaj zgodnością z usługą Microsoft Intune. Zezwalaj na logowanie do usługi AVD bez hasła lub bez hasła odporne na wyłudzanie informacji uwierzytelnienie z urządzeń niezarządzanych. - Firma Microsoft Entra dołączyła do maszyn wirtualnych o sile uwierzytelniania AVD - Microsoft Defender dla Chmury Aplikacje używają kontroli sesji Defender dla Chmury Apps do monitorowania i ograniczania sesji internetowych z urządzeń niezarządzanych. - Zasady sesji |
2.5 Częściowo i w pełni zautomatyzowany zasób, luka w zabezpieczeniach i zarządzanie poprawkami
Rozwiązanie Microsoft Endpoint Manager obsługuje rozwiązania oparte na chmurze i hybrydowe (współzarządzanie) do zarządzania urządzeniami. Zasady konfiguracji i zgodności zapewniają, że urządzenia spełniają wymagania dotyczące poziomu poprawek i konfiguracji zabezpieczeń dla organizacji.
| Opis i wynik działania dod | Wskazówki i zalecenia firmy Microsoft |
|---|---|
Target2.5.1 Implementowanie narzędzido zarządzania zasobami, lukami w zabezpieczeniach i poprawkamiOrganizacje doD implementują rozwiązania do zarządzania konfiguracjami zasobów/urządzeń, lukami w zabezpieczeniach i poprawkami. Korzystając z minimalnych standardów zgodności (np. stIG itp.), zespoły mogą potwierdzić lub odrzucić zgodność urządzeń zarządzanych. W ramach procesu zaopatrzenia i implementacji rozwiązań interfejsy API lub inne interfejsy programowe będą w zakresie przyszłych poziomów automatyzacji i integracji. Wyniki: - Składniki mogą potwierdzić, czy urządzenia spełniają minimalne standardy zgodności, czy nie — składniki mają systemy zarządzania zasobami, luk w zabezpieczeniach i stosowania poprawek za pomocą interfejsów API, które umożliwią integrację między systemami |
Zarządzanie urządzeniami w usłudze Intune w usłudze Microsoft Intune . Zobacz Wskazówki firmy Microsoft w wersji 2.1.4. Użyj współzarządzania programu Microsoft Endpoint Manager dla starszych urządzeń punktów końcowych. - Współzarządzanie punktami końcowymi- Konfigurowanie i aktualizowanie zasad dla platform urządzeń zarządzanych za pomocą usługi Intune. - Zasady aktualizacji oprogramowania dla systemu iOS i iPadOS zasady - aktualizacji- oprogramowania systemu macOS Aktualizacje SYSTEMU Android FOTA aktualizacje - systemu Windows 10 i 11 Ochrona punktu końcowego w usłudze Microsoft Defender Integrate Ochrona punktu końcowego w usłudze Microsoft Defender z usługą Microsoft Intune. Korygowanie luk w zabezpieczeniach punktu końcowego za pomocą zasad konfiguracji usługi Microsoft Intune. - - Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender Użyj usługę Microsoft Intune i luki w zabezpieczeniach zidentyfikowane przez Ochrona punktu końcowego w usłudze Microsoft Defender |
2.6 Ujednolicone zarządzanie punktami końcowymi i zarządzanie urządzeniami przenośnymi
Zasady konfiguracji i zgodności usługi Microsoft Intune zapewniają, że urządzenia spełniają wymagania dotyczące konfiguracji zabezpieczeń organizacji. Usługa Intune ocenia zasady zgodności i oznacza urządzenia jako zgodne lub niezgodne. Zasady dostępu warunkowego mogą używać stanu zgodności urządzeń, aby zablokować użytkownikom niezgodnym urządzeniom dostęp do zasobów chronionych przez identyfikator Firmy Microsoft Entra.
Tożsamość zewnętrzna Microsoft Entra ustawienia dostępu między dzierżawami obejmują ustawienia zaufania do współpracy gościa. Te ustawienia można dostosować dla każdej dzierżawy partnera. Jeśli ufasz zgodnym urządzeniom z innej dzierżawy, goście korzystający ze zgodnych urządzeń w swojej dzierżawie macierzystej spełniają wymagania zasad dostępu condtional wymagających zgodnych urządzeń w dzierżawie. Nie musisz wprowadzać wyjątków od zasad dostępu warunkowego, aby uniknąć blokowania gości zewnętrznych.
| Opis i wynik działania dod | Wskazówki i zalecenia firmy Microsoft |
|---|---|
Target2.6.1 Implementowanie narzędzia UEDM lub równoważnychOrganizacje DoD będą ściśle współpracować z działaniem "Implementowanie narzędzi do zarządzania zasobami, lukami w zabezpieczeniach i poprawkami" w celu pozyskiwania i implementowania oraz ujednoliconego punktu końcowego i rozwiązania Zarządzanie urządzeniami (UEDM) zapewniającego, że wymagania są zintegrowane z procesem zaopatrzenia. Po uzyskaniu rozwiązania przez zespoły UEDM upewnij się, że istnieją krytyczne funkcje docelowe ZT, takie jak minimalna zgodność, zarządzanie zasobami i obsługa interfejsu API. Wyniki: - Składniki mogą potwierdzić, czy urządzenia spełniają minimalne standardy zgodności, czy nie — składniki mają systemy zarządzania zasobami dla urządzeń użytkowników (telefonów, komputerów stacjonarnych, laptopów), które utrzymują zgodność IT, które są zgłaszane do przedsiębiorstwa DoD — składniki zarządzania zasobami mogą programowo, tj. interfejs API, zapewnić stan zgodności urządzeń i jeśli spełnia minimalne standardy |
Ukończ działanie 2.3.2. Stan zgodności urządzenia w usłudze Microsoft Intune jest zintegrowany z dostawcą tożsamości (IDP), identyfikatorem Entra firmy Microsoft przez sygnały zgodności usługi Intune w dostępie warunkowym. Wyświetlanie stanu zgodności urządzeń w centrum administracyjnym firmy Microsoft Entra lub przy użyciu interfejsu API programu Microsoft Graph. - Zasady- zgodności Raporty usługi Intune Tożsamość zewnętrzna Microsoft Entra Aby rozszerzyć zasady zgodności urządzeń na użytkowników spoza organizacji, skonfiguruj ustawienia dostępu między dzierżawami w celu zaufania uwierzytelniania wieloskładnikowego i zgodnych oświadczeń urządzeń z zaufanych dzierżaw DoD. - Interfejsy MICROSOFT Graph APIprogramu Microsoft Graph z dostępem między dzierżawami wysyłają zapytania dotyczące stanu zgodności urządzeń. - Interfejsy API zgodności i prywatności |
Target2.6.2 Enterprise Zarządzanie urządzeniami Pt1Organizacje DoD migrują spis urządzeń ręcznych do zautomatyzowanego podejścia przy użyciu ujednoliconego punktu końcowego i rozwiązania Zarządzanie urządzeniami. Zatwierdzone urządzenia mogą być zarządzane niezależnie od lokalizacji. Urządzenia częścią usług krytycznych są wymagane do zarządzania przez ujednolicony punkt końcowy i rozwiązanie Zarządzanie urządzeniami obsługujące automatyzację. Wyniki: - Spis ręczny jest zintegrowany z zautomatyzowanym rozwiązaniem do zarządzania dla krytycznych usług — włącz Zarządzanie urządzeniami ZT (z dowolnej lokalizacji z dostępem zdalnym lub bez dostępu zdalnego) |
Usługa Microsoft Intune i dostęp warunkowy zarządzaj urządzeniami za pomocą usługi Microsoft Intune. Konfigurowanie zasad zgodności urządzeń. Wymagaj zgodnych zasad dostępu warunkowego urządzenia. Zobacz Wskazówki firmy Microsoft w wersji 2.1.4. |
Target2.6.3 Enterprise Zarządzanie urządzeniami Pt2DoD Organizations migrują pozostałe urządzenia do rozwiązania Enterprise Zarządzanie urządzeniami. Rozwiązanie EDM jest zintegrowane z rozwiązaniami dotyczącymi ryzyka i zgodności zgodnie z potrzebami. Wynik: — spis ręczny jest zintegrowany z zautomatyzowanym rozwiązaniem do zarządzania dla wszystkich usług |
Usługa Microsoft Intune i dostęp warunkowy zarządzaj urządzeniami za pomocą usługi Intune. Konfigurowanie zasad zgodności urządzeń. Wymagaj zgodnego urządzenia w zasadach dostępu warunkowego. Zobacz Wskazówki firmy Microsoft w wersji 2.1.4. |
2.7 Punkt końcowy i rozszerzone wykrywanie i reagowanie (EDR i XDR)
Ujednolicony pakiet obrony usługi Microsoft Defender XDR koordynuje wykrywanie, zapobieganie, badanie i reagowanie między punktami końcowymi, tożsamościami, pocztą e-mail i aplikacjami. Składniki XDR w usłudze Microsoft Defender wykrywają zaawansowane ataki i bronią ich przed nimi.
Integracja składników XDR usługi Microsoft Defender rozszerza ochronę poza urządzenia. Zobacz przykładowe zdarzenia wykrywania, które przyczyniają się do poziomu ryzyka użytkownika w Ochrona tożsamości Microsoft Entra:
- Podejrzane wzorce wysyłania wiadomości e-mail wykryte przez usługę Microsoft Defender dla pakietu Office
- Wykrywanie niemożliwych podróży w aplikacjach Microsoft Defender dla Chmury
- Próbuje uzyskać dostęp do podstawowego tokenu odświeżania wykrytego przez Ochrona punktu końcowego w usłudze Microsoft Defender
Zasady dostępu warunkowego oparte na ryzyku mogą zabezpieczać, ograniczać lub blokować dostęp do usług w chmurze dla ryzykownego użytkownika, nawet jeśli używają zgodnego urządzenia w zaufanej sieci.
Aby dowiedzieć się więcej, zobacz włączanie składników XDR w usłudze Microsoft Defender i jakie są zagrożenia?
| Opis i wynik działania dod | Wskazówki i zalecenia firmy Microsoft |
|---|---|
Target2.7.1 Implementowanie narzędzi wykrywania i reagowania na punkty końcowe (EDR) oraz integracja z językiem C2COrganizacje DoD nabywają i implementują rozwiązania do wykrywania i reagowania na punkty końcowe (EDR) w środowiskach. Usługa EDR chroni, monitoruje i odpowiada na złośliwe i nietypowe działania, co umożliwia korzystanie z funkcji usługi ZT Target i wysyła dane do rozwiązania Zgodne z połączeniem w celu sprawdzenia rozszerzonego urządzenia i użytkownika. Wyniki: - Narzędzia wykrywania i reagowania na punkty końcowe są implementowane — krytyczne dane EDR są wysyłane do C2C w celu sprawdzenia — narzędzie NextGen AV obejmuje maksymalną ilość usług/aplikacji |
Ochrona punktu końcowego w usłudze Microsoft Defender Deploy Defender for Endpoint dla urządzeń użytkowników końcowych. Zobacz Wskazówki firmy Microsoft 2.3.1 w tej sekcji. Microsoft Intune — konfigurowanie zasad zgodności urządzeń w usłudze Intune . Uwzględnij ocenę ryzyka maszyny usługi Defender for Endpoint pod kątem zgodności z zasadami. Zobacz Wskazówki firmy Microsoft 2.1.4. i w wersji 2.3.2. Microsoft Defender dla Chmury Enable Microsoft Defender for Server dla subskrypcji z maszynami wirtualnymi na platformie Azure. Plany usługi Defender for Server obejmują Defender dla Chmury dla serwerów. - Usługa Defender for Servers używa serwerów z obsługą usługi Azure Arc do zarządzania i ochrony serwerów fizycznych i maszyn fizycznych z systemem Windows i Linux poza platformą Azure. Wdróż agenta usługi Azure Arc dla serwerów hostowanych poza platformą Azure. Dołączanie serwerów z obsługą usługi Arc do subskrypcji chronionej przez usługę Microsoft Defender for Server. - Serwery - z obsługą usługi Azure Arc — agent maszyny połączonej platformy Azure |
Target 2.7.2 Implementowanie narzędzi rozszerzonego wykrywania i reagowania (XDR) oraz integracja z organizacjami C2C Pt1DoD pozyskiwania i implementowania rozwiązań rozszerzonego wykrywania i reagowania (XDR). Punkty integracji z funkcjami między filarami są identyfikowane i priorytetowe na podstawie ryzyka. Najbardziej ryzykowne z tych punktów integracji są działania i integracja jest uruchamiana. EDR kontynuuje pokrycie punktów końcowych, aby uwzględnić maksymalną liczbę usług i aplikacji w ramach implementacji XDR. Podstawowa analiza jest wysyłana ze stosu rozwiązania XDR do rozwiązania SIEM. Wyniki: - Zidentyfikowano punkty integracji według możliwości — najbardziej ryzykowne punkty integracji zostały zintegrowane w/ XDR — podstawowe alerty są obsługiwane za pomocą rozwiązania SIEM i/lub innych mechanizmów |
Microsoft Defender XDR Pilot and deploy Microsoft Defender XDR components and services (Wdrażanie składników i usług XDR w usłudze Microsoft Defender). - Defender XDR - Sentinel i Defender XDR for Zero Trust Configure integrations of deployed Microsoft Defender XDR components (Konfigurowanie integracji wdrożonych składników XDR usługi Microsoft Defender). - Defender for Endpoint with Defender dla Chmury Apps- Defender for Identity and Defender dla Chmury Apps Purview Information Protection and Defender dla Chmury Apps Microsoft Sentinel Configure Sentinel data connectors for (Usługa Defender for Identity i Defender dla Chmury Apps - Purview Information Protection oraz aplikacje Defender dla Chmury Microsoft Sentinel — konfigurowanie łączników danych usługi Sentinel dla usługi Microsoft Sentinel Microsoft Defender XDR. Włącz reguły analizy. - Instalowanie danych XDR Defender XDR - Defender do usługi Sentinel |
Advanced2.7.3 Implementowanie narzędzi rozszerzonego wykrywania i reagowania (XDR) oraz integracja z C2C Pt2Stos rozwiązania XDR kończy identyfikację punktów integracji rozszerzających pokrycie do największej możliwej ilości. Wyjątki są śledzone i zarządzane przy użyciu metodycznego podejścia opartego na ryzyku dla ciągłej operacji. Rozszerzona analiza umożliwiająca korzystanie z zaawansowanych funkcji ZT jest zintegrowana z rozwiązaniem SIEM i innymi odpowiednimi rozwiązaniami. Wyniki: - Pozostałe punkty integracji zostały zintegrowane zgodnie z potrzebami — rozszerzone alerty i reagowanie są włączone z innymi narzędziami analitycznymi co najmniej przy użyciu rozwiązania SIEM |
Usługa Microsoft Defender XDR używa usługi Microsoft Defender XDR w strategii operacji zabezpieczeń. - Integrowanie usługi Defender XDR z ops zabezpieczeń |
Następne kroki
Skonfiguruj usługi w chmurze firmy Microsoft dla strategii DoD Zero Trust: