Microsoft 零信任研讨会中的设备安全性

在零信任模型中,设备是信任评估的关键部分。 即使验证用户的标识,访问决策也取决于设备的安全运行状况、配置和风险状态。 设备支柱侧重于确保设备受到管理、持续评估和防范威胁,从而基于设备状况做出访问决策。

设备支柱研讨会指南侧重于管理设备生命周期和注册、强制实施合规性和配置标准、保护终结点免受威胁、减少攻击面以及将设备风险集成到访问和安全操作中。

研讨会实施

“设备”研讨会涵盖表中汇总的实现区域。

Area 详细信息
管理设备注册和生命周期 使用新式管理(如Microsoft Intune和Windows Autopilot)注册和预配设备。

标准化设备载入和配置,以确保设备以已知、受信任的状态启动,并在其整个生命周期内保持一致管理。
定义并强制执行设备合规状态 根据 OS 版本、配置基线和风险级别等安全要求定义设备符合性策略。

持续评估设备运行状况,以确定设备是否符合组织标准。
通过条件访问实施基于设备状态的访问控制 将设备符合性和风险信号集成到条件访问策略中,以确保只有正常运行且合规的设备才能访问公司资源。

对托管设备、非托管设备和高风险设备应用区分的访问控制。
保护设备配置和基线标准 应用安全基线和配置策略,以跨设备强制实施一致的强化。

标准化操作系统、安全控制和管理配置的设置,以减少配置错误。
减少设备攻击面并限制风险行为 实施攻击面减少(ASR)规则、漏洞利用防护和应用程序控制(例如,企业应用控制(以前称为 Windows Defender 应用程序控制))等控制措施,以限制可被利用的行为,并限制执行不受信任或未经授权的代码。
使用威胁检测和响应保护终结点 部署终结点保护和检测功能,以识别、调查和修正设备上的威胁。

从终结点保护系统生成风险信号,并使用这些信号来推动修正并告知访问决策。
实现最低特权和管理控制 最大程度地减少本地管理员访问权限,并在设备上强制实施最低特权。

应用基于角色的访问控制和管理分段,以确保只有经过授权的人员才能管理设备配置和管理策略。
面向非受管和 BYOD(自带设备)的安全访问 通过应用保护策略(移动访问管理 [MAM])、基于浏览器的控制或虚拟化解决方案,可让来自个人拥有的自带设备(BYOD)或非托管设备的访问更加安全。

强制实施数据保护控制,而无需完整的设备注册,并使用条件访问来限制操作。 例如,阻止下载或要求批准的应用。
使设备保持最新状态 定期应用操作系统和应用程序更新,以确保设备免受已知漏洞的攻击。

强制执行更新合规性要求,并自动化补丁流程,以在整个环境中维持一致且安全的设备基线。
支持对各种设备方案进行安全访问 支持个人设备、共享设备和一线员工设备的安全使用。

在无法实施全面设备管理的情况下,可采用适当的控制措施(例如应用保护策略、共享设备模式或基于会话的保护措施)来保障访问安全。
将设备信号集成到安全操作(SecOps) 将设备运行状况、合规性和威胁信号流式传输到集中式监视和响应工作流。

将这些信号与标识、数据和网络遥测相关联,以检测和响应基于设备的威胁。

评估设备状况

零信任评估工具可以根据一系列安全最佳做法评估设备配置。 了解详细信息

后续步骤

运行评估,并开始 设备研讨会