Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In einem Zero Trust-Modell sind Geräte ein wichtiger Bestandteil der Vertrauensbewertung. Auch wenn die Identität eines Benutzers überprüft wird, hängen Zugriffsentscheidungen auch vom Sicherheitsstatus, der Konfiguration und dem Risikostatus des Geräts ab. Die Säule "Geräte" konzentriert sich auf die Sicherstellung, dass Geräte verwaltet, kontinuierlich bewertet und vor Bedrohungen geschützt werden, wodurch Zugriffsentscheidungen basierend auf der Gerätelage ermöglicht werden.
Der Leitfaden für den Workshop zum Gerätebereich behandelt schwerpunktmäßig die Verwaltung des Gerätelebenszyklus und der Geräteregistrierung, die Durchsetzung von Compliance- und Konfigurationsstandards, den Schutz von Endpunkten vor Bedrohungen, die Verringerung der Angriffsfläche sowie die Einbindung von Geräterisiken in Zugriffs- und Sicherheitsabläufe.
Workshop-Implementierung
Der Workshop "Geräte" befasst sich mit den in der Tabelle zusammengefassten Implementierungsbereichen.
| Area | Details |
|---|---|
| Verwalten der Geräteregistrierung und des Lebenszyklus | Registrieren und Bereitstellen von Geräten mithilfe der modernen Verwaltung (z. B. Microsoft Intune und Windows Autopilot). Standardisieren Sie das Onboarding und die Konfiguration des Geräts, um sicherzustellen, dass Geräte in einem bekannten, vertrauenswürdigen Zustand beginnen und während des gesamten Lebenszyklus konsistent verwaltet werden. |
| Compliance-Status von Geräten definieren und durchsetzen | Definieren Sie Richtlinien für die Gerätecompliance basierend auf Sicherheitsanforderungen, z. B. Betriebssystemversion, Konfigurationsbasisplan und Risikostufe. Bewerten Sie den Gerätezustand kontinuierlich, um zu ermitteln, ob Geräte die Standards der Organisation erfüllen. |
| Statusbasierten Zugriff mit Bedingtem Zugriff erzwingen | Integrieren Sie Gerätekompatibilitäts- und Risikosignale in Richtlinien für bedingten Zugriff, um sicherzustellen, dass nur fehlerfreie und kompatible Geräte auf Unternehmensressourcen zugreifen können. Wenden Sie differenzierte Zugriffssteuerungen für verwaltete, nicht verwaltete und risikoreiche Geräte an. |
| Sichere Gerätekonfiguration und Basisstandards | Wenden Sie Sicherheitsgrundwerte und Konfigurationsrichtlinien an, um eine konsistente Härtung auf allen Geräten zu erzwingen. Standardisieren Sie Einstellungen für Betriebssysteme, Sicherheitskontrollen und Verwaltungskonfigurationen, um Fehlkonfigurationen zu reduzieren. |
| Verringern der Geräteangriffsoberfläche und Einschränken riskanter Verhaltensweisen | Implementieren Sie Steuerelemente wie Attack Surface Reduction (ASR)-Regeln, Exploit-Schutz und Anwendungssteuerung (z. B. App Control for Business (vormals Windows Defender Anwendungssteuerung)), um exploitable Verhaltensweisen einzuschränken und nicht vertrauenswürdige oder nicht autorisierte Codeausführung einzuschränken. |
| Schützen von Endpunkten mit Bedrohungserkennung und -reaktion | Stellen Sie Endpunktschutz- und Erkennungsfunktionen bereit, um Bedrohungen auf Geräten zu identifizieren, zu untersuchen und zu beheben. Generieren Sie Risikosignale von Endpunktschutzsystemen, und verwenden Sie sie, um Korrekturen zu fördern und Zugriffsentscheidungen zu informieren. |
| Least-Privilege- und Verwaltungskontrollen implementieren | Minimieren Sie den lokalen Administratorzugriff, und erzwingen Sie die geringsten Berechtigungen auf Geräten. Wenden Sie rollenbasierte Zugriffssteuerung und administrative Segmentierung an, um sicherzustellen, dass nur autorisierte Mitarbeiter Gerätekonfigurationen und Verwaltungsrichtlinien verwalten können. |
| Sicherer Zugriff für nicht verwaltete und BYOD-Geräte | Ermöglichen Sie den sicheren Zugriff von persönlichen Geräten (BYODs) oder nicht verwalteten Geräten mithilfe von App-Schutzrichtlinien (Mobile Access Management, MAM),browserbasierten Steuerelementen oder Virtualisierungslösungen. Erzwingen Sie Datenschutzkontrollen, ohne eine vollständige Geräteverwaltung zu erfordern, und verwenden Sie Bedingten Zugriff, um Aktionen einzuschränken. Beispielsweise das Blockieren von Downloads oder das Anfordern genehmigter Apps. |
| Geräte auf dem neuesten Stand halten | Wenden Sie regelmäßig Betriebssystem- und Anwendungsupdates an, um sicherzustellen, dass Geräte vor bekannten Sicherheitsrisiken geschützt sind. Erzwingen Sie die Updatecompliance und automatisieren Sie Patchingprozesse, um eine konsistente und sichere Gerätebasislinie in der gesamten Umgebung aufrechtzuerhalten. |
| Unterstützung des sicheren Zugriffs für verschiedene Geräteszenarien | Ermöglichen Sie die sichere Nutzung von privaten, gemeinsam genutzten und Geräten für Frontline-Mitarbeitende. Wenden Sie geeignete Steuerelemente wie App-Schutzrichtlinien, Modus für gemeinsame Geräte oder sitzungsbasierte Schutzmechanismen an, um den sicheren Zugriff zu gewährleisten, wenn die vollständige Geräteverwaltung nicht möglich ist. |
| Integrieren von Gerätesignalen in Sicherheitsvorgänge (SecOps) | Streamen Sie Geräteintegritäts-, Compliance- und Bedrohungssignale in zentralisierte Überwachungs- und Reaktionsworkflows. Korrelieren Sie diese Signale mit Identitäts-, Daten- und Netzwerktelemetrie, um gerätebasierte Bedrohungen zu erkennen und darauf zu reagieren. |
Gerätezustand bewerten
Das Zero Trust Bewertungstool kann Ihre Gerätekonfiguration anhand einer Reihe bewährter Sicherheitsmethoden bewerten. Erfahren Sie mehr.
Nächste Schritte
Führen Sie eine Bewertung aus, und beginnen Sie mit dem Workshop "Geräte".