保护终结点是零信任策略的关键部分。 这些 Intune 建议通过强制加密、限制未经授权的访问并减少漏洞暴露的策略驱动控制措施来帮助保护网络外围和设备。 通过跨平台应用配置和安全策略,这些检查与Microsoft的 “安全未来计划 ”保持一致,并增强组织的整体安全态势。
零信任安全建议
Windows 上的本地管理员凭据受 Windows LAPS 保护
在不强制实施本地管理员密码解决方案 (LAPS) 策略的情况下,有权访问终结点的威胁参与者可以利用静态或弱的本地管理员密码来升级特权、横向移动和建立持久性。 攻击链通常从设备泄露(通过网络钓鱼、恶意软件或物理访问)开始,然后尝试获取本地管理员凭据。 如果没有 LAPS,攻击者可以在多个设备上重复使用已泄露的凭据,从而增加特权提升和域范围泄露的风险。
在所有公司 Windows 设备上强制实施 Windows LAPS 可确保定期轮换本地管理员密码的唯一性。 这会在凭据访问和横向移动阶段中断攻击链,从而显著降低广泛入侵的风险。
修正操作
使用 Intune 强制实施 Windows LAPS 策略,这些策略轮换强且唯一的本地管理员密码,并安全地备份这些密码:
有关更多信息,请参阅:
macOS LAPS 在注册期间保护 macOS 上的本地管理员凭据
在自动设备注册 (ADE) 期间无需强制实施 macOS LAPS 策略,威胁参与者可以利用静态或重用的本地管理员密码来提升权限、横向移动和建立持久性。 在没有随机凭据的情况下预配的设备容易受到跨多个终结点的凭据收集和重用,从而增加了域范围泄露的风险。
强制实施 macOS LAPS 可确保为每个设备预配由 Intune 管理的唯一加密本地管理员密码。 这在凭据访问和横向移动阶段中断了攻击链,大大降低了广泛入侵的风险,并符合最低特权和凭据卫生零信任原则。
修正操作
使用 Intune 配置 macOS ADE 配置文件,这些配置文件使用随机加密密码预配本地管理员帐户,并启用安全轮换:
有关更多信息,请参阅:
限制 Windows 上的本地帐户使用以减少未经授权的访问
如果不在 Intune 中正确配置和分配本地用户和组策略,威胁参与者可能会利用 Windows 设备上的非托管或配置错误的本地帐户。 这可能会导致未经授权的特权提升、持久性和环境中横向移动。 如果本地管理员帐户不受控制,攻击者可以创建隐藏的帐户或提升特权,从而绕过合规性和安全控制。 此差距会增加数据外泄、勒索软件部署和法规不符合的风险。
确保使用帐户保护配置文件在托管 Windows 设备上强制实施本地用户和组策略对于维护安全合规的设备群至关重要。
修正操作
从 Intune 帐户保护策略配置并部署 本地用户组成员身份 配置文件,以限制和管理 Windows 设备上的本地帐户使用情况:
Windows 上的数据受 BitLocker 加密保护
如果不在 Intune 中正确配置和分配 BitLocker 策略,威胁参与者就可以利用未加密的 Windows 设备来未经授权访问敏感公司数据。 缺乏强制加密的设备容易受到物理攻击,例如磁盘删除或从外部媒体启动,从而允许攻击者绕过作系统安全控制。 这些攻击可能导致数据外泄、凭据被盗以及环境中进一步的横向移动。
跨托管 Windows 设备强制实施 BitLocker 对于符合数据保护法规和降低数据泄露风险至关重要。
修正操作
使用 Intune 强制实施 BitLocker 加密,并监视所有托管 Windows 设备的合规性:
FileVault 加密保护 macOS 设备上的数据
如果不在 Intune 中正确配置和分配 FileVault 加密策略,威胁参与者可能会利用对非托管或配置错误的 macOS 设备的物理访问来提取敏感的公司数据。 未加密的设备允许攻击者通过从外部媒体启动或删除存储驱动器来绕过作系统级安全性。 这些攻击可能会公开凭据、证书和缓存的身份验证令牌,从而启用权限提升和横向移动。 此外,未加密的设备会破坏对数据保护法规的遵守,并增加在发生违规时声誉损失和经济处罚的风险。
实施 FileVault 加密可保护 macOS 设备上的静态数据,即使丢失或被盗也是如此。 它中断凭据收集和横向移动,支持合规性,并符合设备信任零信任原则。
修正操作
使用 Intune 在所有托管 macOS 设备上强制实施 FileVault 加密并监视合规性:
Windows 上的身份验证使用 Windows Hello for Business
如果 Windows Hello for Business (WHfB) 的策略未配置并分配给所有用户和设备,则威胁参与者可能会利用弱身份验证机制(如密码)获取未经授权的访问。 这可能会导致凭据被盗、特权提升和环境中的横向移动。 如果没有 WHfB 等强大的策略驱动型身份验证,攻击者可能会入侵设备和帐户,从而增加广泛影响的风险。
强制执行 WHfB 会通过要求强多重身份验证来中断此攻击链,这有助于降低基于凭据的攻击和未经授权的访问的风险。
修正操作
在 Intune 中部署 Windows Hello for Business 以强制实施强多重身份验证:
- 配置在设备向 Intune 注册时应用的租户范围Windows Hello for Business 策略。
- 注册后,配置帐户保护配置文件,并将 Windows Hello for Business 的不同配置分配给不同的用户和设备组。
攻击面减少规则应用于 Windows 设备,以防止利用易受攻击的系统组件
如果 Intune 配置文件的攻击面减少 (ASR) 规则未正确配置并分配给 Windows 设备,则威胁参与者可以利用未受保护的终结点执行模糊处理脚本,并从 Office 宏调用 Win32 API 调用。 这些技术通常用于网络钓鱼活动和恶意软件传递,使攻击者能够绕过传统的防病毒防御并获取初始访问权限。 一旦进入网络,攻击者就会升级权限、建立持久性,并在网络中横向移动。 如果不实施 ASR,设备仍然容易受到基于脚本的攻击和宏滥用,从而削弱Microsoft Defender的有效性,并暴露敏感数据以使其外泄。 终结点保护中的这种差距增加了成功入侵的可能性,并降低了组织遏制和响应威胁的能力。
强制实施 ASR 规则有助于阻止常见的攻击技术,例如基于脚本的执行和宏滥用,通过强化终结点防御来降低初始入侵的风险和支持零信任。
修正操作
使用 Intune 为 Windows 设备部署 攻击面减少规则 配置文件,以阻止高风险行为并增强终结点保护:
有关更多信息,请参阅:
- Microsoft Defender文档中的攻击面减少规则参考。
Defender 防病毒策略保护 Windows 设备免受恶意软件的攻击
如果在 Intune 中未正确配置和分配Microsoft Defender防病毒策略,威胁参与者可能会利用未受保护的终结点执行恶意软件、禁用防病毒保护并在环境中保留。 如果不强制实施防病毒策略,设备使用过时的定义、禁用实时保护或错误配置扫描计划来运行。 这些差距允许攻击者绕过检测、升级权限,并跨网络横向移动。 缺乏防病毒强制实施会破坏设备合规性,增加零日威胁的风险,并可能导致法规不合规。 攻击者利用这些弱点来保持持久性并逃避检测,尤其是在缺乏集中策略实施的环境中。
强制实施Defender 防病毒策略可确保针对恶意软件的一致保护,支持实时威胁检测,并通过维护安全合规的终结点态势来与零信任保持一致。
修正操作
配置和分配 Microsoft Defender 防病毒的 Intune 策略,以强制实施实时保护、维护最新的定义并减少恶意软件的暴露:
Defender 防病毒策略保护 macOS 设备免受恶意软件的攻击
如果 Microsoft Defender防病毒策略未正确配置并分配给 Intune 中的 macOS 设备,攻击者可能会利用未受保护的终结点执行恶意软件、禁用防病毒保护,并保留在环境中。 如果不强制实施策略,设备将运行过时的定义、缺少实时保护或配置错误的扫描计划,从而增加了未检测到的威胁和特权提升的风险。 这样可以跨网络横向移动、凭据收集和数据外泄。 缺少防病毒强制实施会破坏设备合规性,增加终结点受到零时差威胁的风险,并可能导致法规不合规。 攻击者使用这些差距来保持持久性并逃避检测,尤其是在没有集中策略实施的环境中。
实施Defender 防病毒策略可确保 macOS 设备始终受到恶意软件的防护,支持实时威胁检测,并通过保持安全合规的终结点态势来与零信任保持一致。
修正操作
使用 Intune 为 macOS 设备配置和分配Microsoft Defender防病毒策略,以强制实施实时保护、维护最新的定义并减少恶意软件的暴露:
Windows 防火墙策略防止未经授权的网络访问
如果未配置和分配 Windows 防火墙的策略,威胁参与者可能会利用未受保护的终结点获取未经授权的访问、横向移动和升级环境中的权限。 如果不强制实施防火墙规则,攻击者就可以绕过网络分段、泄露数据或部署恶意软件,从而增加广泛入侵的风险。
强制实施 Windows 防火墙策略可确保一致地应用入站和出站流量控制,减少未经授权的访问风险,并通过网络分段和设备级保护支持零信任。
修正操作
在 Intune 中为 Windows 配置和分配防火墙策略,以阻止未经授权的流量,并跨所有托管设备强制实施一致的网络保护:
-
为 Windows 设备配置防火墙策略。 Intune 使用两个互补配置文件来管理防火墙设置:
- Windows 防火墙 - 使用此配置文件基于网络类型配置整体防火墙行为。
- Windows 防火墙规则 - 使用此配置文件定义针对特定组或工作负载定制的应用、端口或 IP 的流量规则。 此 Intune 配置文件还支持使用 可重用的设置组 ,以帮助简化用于不同配置文件实例的常见设置的管理。
- 在 Intune 中分配策略
有关更多信息,请参阅:
macOS 防火墙策略防止未经授权的网络访问
如果没有集中管理的防火墙策略,macOS 设备可能依赖于默认设置或用户修改的设置,这些设置通常无法满足公司安全标准。 这会向未经请求的入站连接公开设备,使威胁参与者能够利用漏洞,建立出站命令和控制 (C2) 流量来防止数据外泄,并在网络中横向移动,从而显著升级违规的范围和影响。
强制实施 macOS 防火墙策略可确保对入站和出站流量进行一致的控制,减少未经授权的访问风险,并通过设备级保护和网络分段支持零信任。
修正操作
在 Intune 中配置和分配 macOS 防火墙 配置文件,以阻止未经授权的流量,并对所有托管 macOS 设备强制实施一致的网络保护:
有关更多信息,请参阅:
强制实施Windows 更新策略以降低未修补漏洞的风险
如果未在所有公司 Windows 设备上强制实施Windows 更新策略,则威胁参与者可以利用未修补的漏洞获取未经授权的访问、升级权限并在环境中横向移动。 攻击链通常首先通过网络钓鱼、恶意软件或利用已知漏洞进行设备入侵,然后尝试绕过安全控制。 如果不强制实施更新策略,攻击者会利用过时的软件在环境中持续存在,从而增加特权提升和域范围的入侵的风险。
实施Windows 更新策略可确保及时修补安全漏洞,中断攻击者的持久性,并降低广泛入侵的风险。
修正操作
从在 Intune 中管理 Windows 软件更新开始,了解可用的Windows 更新策略类型以及如何配置它们。
Intune 包含以下 Windows 更新策略类型:
- Windows 质量更新策略 - 安装 Windows 的定期每月更新。
- 加速更新策略 - 以快速安装关键安全修补程序。
- 功能更新策略
- 更新通道策略 - 用于管理设备安装功能和质量更新的方式和时间。
- Windows 驱动程序更新 - 更新硬件组件。
安全基线应用于 Windows 设备以增强安全态势
如果没有正确配置和分配适用于 Windows 的 Intune 安全基线,设备仍容易受到各种攻击途径的攻击,威胁参与者利用这些攻击途径获得持久性并提升权限。 攻击者利用缺少强化安全设置的默认 Windows 配置,使用凭据转储、通过未修补的漏洞提升特权以及利用弱身份验证机制等技术执行横向移动。 在没有强制实施的安全基线的情况下,威胁参与者可以绕过关键安全控制,通过注册表修改来保持持久性,并通过不受监视的通道外泄敏感数据。 如果无法实施深层防御策略,则随着攻击者通过攻击链(从初始访问到数据外泄)进行攻击,设备更容易被利用,最终会损害组织的安全态势并增加违反合规性的风险。
应用安全基线可确保为 Windows 设备配置强化设置,减少攻击面,实施深层防御,并通过标准化整个环境的安全控制来支持零信任。
修正操作
配置 Intune 安全基线并将其分配给 Windows 设备,以强制实施标准化安全设置并监视合规性:
强制实施 macOS 更新策略,以降低未修补漏洞的风险
如果未正确配置和分配 macOS 更新策略,威胁参与者可能会利用组织中 macOS 设备中的未修补漏洞。 如果不强制实施更新策略,设备将保留在过时的软件版本上,从而增加了特权提升、远程代码执行或持久性技术的攻击面。 威胁参与者可以利用这些弱点获取初始访问权限、升级权限并在环境中横向移动。 如果策略存在但未分配给设备组,则终结点将保持不受保护,并且不会发现合规性差距。 这可能会导致广泛的入侵、数据外泄和运营中断。
强制实施 macOS 更新策略可确保设备及时收到修补程序,通过维护安全合规的设备群,降低攻击风险并支持零信任。
修正操作
在 Intune 中配置和分配 macOS 更新策略,以强制实施及时修补并降低未修补漏洞的风险:
强制执行适用于 iOS/iPadOS 的更新策略,以降低未修补漏洞的风险
如果未配置和分配 iOS 更新策略,威胁参与者可以在托管设备上利用过时作系统中的未修补漏洞。 由于缺少强制的更新策略,攻击者可以使用已知攻击来获取初始访问权限、提升权限并在环境中横向移动。 如果没有及时更新,设备仍然容易受到 Apple 已经解决的漏洞的攻击,从而使威胁参与者能够绕过安全控制、部署恶意软件或泄露敏感数据。 此攻击链首先通过未修补的漏洞对设备进行入侵,然后是影响组织安全性和合规性状况的持久性和潜在数据泄露。
强制实施更新策略可确保设备持续受到保护,免受已知威胁,从而中断此链。
修正操作
在 Intune 中配置和分配 iOS/iPadOS 更新策略,以强制实施及时修补并降低未修补漏洞的风险: