Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die DoD Zero Trust Strategie und Roadmap beschreibt einen Weg für Komponenten des Department of Defense und Partner der Verteidigungsindustrie-Basis (DIB), um ein neues Cybersicherheitsframework basierend auf den Zero Trust Prinzipien zu übernehmen. Zero Trust beseitigt herkömmliche Umkreise und Vertrauensannahmen, wodurch eine effizientere Architektur ermöglicht wird, die Sicherheit, Benutzererfahrung und Unternehmensleistung verbessert.
Dieser Leitfaden enthält Empfehlungen für die 152 Zero Trust Aktivitäten im DoD Zero Trust Fähigkeitsausführungsfahrplan. Die Abschnitte entsprechen den sieben Säulen des DoD-Zero Trust-Modells.
Über die folgenden Links gelangen Sie zu den entsprechenden Abschnitten des Leitfadens.
- Introduction
- Benutzer
- Gerät
- Anwendungen und Workloads
- Daten
- Network
- Automatisierung und Orchestrierung
- Sichtbarkeit und Analysen
2 Gerät
Dieser Abschnitt enthält Microsoft-Empfehlungen und -Leitlinien für Zero Trust-Aktivitäten des DoD in der Gerätedomäne. Weitere Informationen finden Sie unter Endpunkte mit Zero Trust sichern.
2.1 Gerätebestand
Microsoft Intune und Microsoft Defender for Endpoint können Geräte konfigurieren, die Gesundheitsbewertung durchführen und Software-Sicherheitslücken erkennen. Verwenden Sie Microsoft Entra ID und Microsoft Intune Integration, um kompatible Geräterichtlinien für den Ressourcenzugriff zu erzwingen.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target
2.1.1 Analyse der GeräteintegritätslückeDoD-Organisationen entwickeln eine manuelle Bestandsaufnahme von Geräten innerhalb der Umgebung. Im Bestand nachverfolgte Geräteattribute ermöglichen die Verwendung von Funktionen, die auf der ZTA-Zielebene beschrieben sind. Ergebnis: - Manuelles Inventar der Geräte wird pro Organisation mit Besitzern erstellt |
Microsoft Entra ID Registern Sie Endbenutzergeräte mit Microsoft Entra ID und Verwalten von Geräteidentitäten aus dem Microsoft Entra Admin Center. Die Seite "Geräteübersicht" verfolgt Geräteressourcen, Verwaltungsstatus, Betriebssystem, Verknüpfungstyp und Besitzer. - Registrierte Geräte - Hybrid verbundene Geräte - Geräteliste - Geräteidentitäten verwalten Microsoft Entra Connect Sync Verwenden Sie Connect Sync, um Active Directory-verwaltete Geräte mit Microsoft Entra ID zu synchronisieren. - Hybrid verbundene Geräte Microsoft Intune Anzeigen von Geräteinformationen zu verwalteten Geräten aus dem Microsoft Intune Admin Center. Abrufen von Diagnosedaten von Windows-Geräten mithilfe der Remoteaktion "Diagnose sammeln". - Geräteinformationen - Windows-Geräte-Diagnosen Microsoft Endpoint Configuration Manager Verwenden Sie Co-Management, um eine Configuration Manager-Bereitstellung an die Microsoft 365-Cloud anzubinden. - Co-Management Microsoft Defender for Endpoint Sehen Sie sich Geräte an, die vom Defender für Endpoint im Microsoft Defender-Portal geschützt sind. - Geräteinventar |
Target
2.1.2 NPE/PKI, Gerät unter VerwaltungDoD-Organisationen verwenden die DoD Enterprise PKI-Lösung/den Dienst, um x509-Zertifikate auf allen unterstützten und verwalteten Geräten bereitzustellen. Zusätzliche nicht-personenbezogene Entitäten (Nonperson Entities, NPEs), die X.509-Zertifikate unterstützen, werden den PKI- und/oder IdP-Systemen zugewiesen. Ergebnis: - Nichtpersonsentitäten werden über Organisations-PKI und Organisations-IDP verwaltet |
Microsoft Intune Fügen Sie den Intune-Zertifikat-Connector für die Zertifikatbereitstellung auf Endpunkten hinzu. - Zertifikat-Connector - Zertifikate zur Authentifizierung Verwenden Sie Intune-Netzwerkprofile, um verwalteten Geräten bei der Authentifizierung in Ihrem Netzwerk zu helfen. Fügen Sie ein SCEP-Zertifikat (Simple Certificate Enrolment Protocol) hinzu. - Geräteeinstellungen für Wi-Fi - Verkabelte Netzwerkeinstellungen für Windows-Geräte Integrieren Sie Intune mit Network Access Control (NAC)-Partnern, um Ihre Daten zu sichern, wenn Geräte auf lokale Ressourcen zugreifen. - NAC-Integration Richtlinie zur Anwendungsverwaltung Konfigurieren Sie die App-Verwaltungsrichtlinie des Mandanten, um Anwendungsanmeldeinformationen auf Zertifikate einzuschränken, die von einer Unternehmens-PKI ausgestellt wurden. Siehe Microsoft-Leitfaden 1.9.1 unter Benutzer. Azure IoT Hub Konfigurieren Sie Azure IoT Hub zur Verwendung und Durchsetzung von X.509-Authentifizierung. - Authentifizieren von Identitäten mit x509-Zertifikaten Microsoft Defender for Identity Wenn Ihre Organisation ihre PKI mit Active Directory Zertifikatsdiensten (AD CS) hostet, stellen Sie Defender for Identity-Sensoren bereit und konfigurieren Sie die Überwachung für AD CS. - AD CS Sensor - Konfigurieren der Überwachung für AD CS |
Target
2.1.3 Enterprise IDP Pt1Der DoD eterprise Identity Provider (IdP) integriert entweder eine zentralisierte Technologie oder Verbundorganisationstechnologien, die Nicht-Person-Entitäten (NON-Person Entities, NPEs) wie Geräte und Dienstkonten integrieren. Falls zutreffend, wird die Integration in der Enterprise-Device-Management-Lösung nachverfolgt, ob eine Integration vorliegt oder nicht. NPEs, die nicht in den Identitätsanbieter integriert werden können, werden entweder für die Ausmusterung vorgemerkt oder mithilfe eines risikobasierten methodischen Ansatzes als Ausnahme eingestuft. Ergebnis: - NPEs einschließlich Geräten sind in das Enterprise-IdP integriert |
Geräteregistrierung mit Microsoft Entra Verwenden Sie mit Microsoft Entra verknüpfte Geräte für neue und neu-aufgesetzte Windows Client-Geräte. Microsoft Entra verbundenen Geräte haben eine verbesserte Benutzererfahrung für die Anmeldung bei Cloud-Apps wie Microsoft 365. Benutzer greifen mit Microsoft Entra verbundenen Geräten auf lokale Ressourcen zu. - Verbundene Geräte - SSO zu lokalen Ressourcen auf verbundenen Geräten Microsoft Intune Einrichten der automatischen Registrierung für Windows 10 oder 11 Geräte, die mit einem Microsoft Entra-Mandanten verbunden sind. - Automatische Registrierung Microsoft Entra Connect Sync Wenn Ihre Organisation Active Directory mit Microsoft Entra ID mithilfe von Connect Sync synchronisiert. Um Geräte automatisch bei Microsoft Entra ID zu registrieren, konfigurieren Sie hybrid verbundene Geräte. - Hybrid verbundene Geräte Microsoft Entra Anwendungen Registrieren Sie Anwendungen bei Microsoft Entra und verwenden Sie Dienstprinzipale für den programmgesteuerten Zugriff auf Microsoft Entra und geschützte APIs wie Microsoft Graph. Konfigurieren Sie App-Verwaltungsrichtlinien, um Anmeldeinformationstypen von Anwendungen einzuschränken. Siehe Microsoft-Richtlinie 2.1.2. Microsoft Entra Workload ID Verwenden Sie den Workload-Identitätsverbund, um auf von Microsoft Entra geschützte Ressourcen in GitHub Actions und anderen unterstützten Szenarien zuzugreifen. - Workload-Identitätsverbund Verwaltete Identitäten Verwenden Sie verwaltete Identitäten für unterstützte Azure-Ressourcen und Azure Arc-fähige VMs. - Verwaltete Identitäten für Azure-Ressourcen - Azure Arc-fähige Server Azure IoT Hub Verwenden Sie Microsoft Entra ID, um Anforderungen an Azure IoT Hub-Dienst-APIs zu authentifizieren. - Zugriff auf IoT Hub steuern |
Advanced
2.1.4 Enterprise IDP Pt2Der DoD Enterprise Identity Provider (IdP) verwendet entweder eine zentrale Technologie oder Verbundorganisationstechnologien, fügt zusätzliche dynamische Attribute für NPEs wie Standort, Verwendungsmuster usw. hinzu. Ergebnis: - Bedingte Geräteattribute sind Teil des IdP-Profils |
Microsoft Defender for Endpoint Bereitstellung von Defender for Endpoint für Endbenutzer-Desktopgeräte, verwaltete mobile Geräte und Server. - Geräte einbinden - Defender for Endpoint auf Geräten mit Intune - Windows-Server einbinden Microsoft Intune Verwalten von Endbenutzergeräten mit Intune. Konfigurieren Sie Intune-Konformitätsrichtlinien für verwaltete Geräte. Schließen Sie die Microsoft Defender for Endpoint-Risikobewertung in Intune-Compliancerichtlinien ein. - Compliancerichtlinien planen - Compliancerichtlinie für das Gerätrisikoniveau - Benutzerdefinierte Compliancerichtlinien - Windows-Geräte in Intune konfigurieren - Android Enterprise-Sicherheitskonfiguration - iOS- und iPadOS-Geräte in Intune Wenn Ihre Organisation eine MTD-Lösung (Mobile Threat Defense) von Drittanbietern verwendet, konfigurieren Sie den Intune-Connector. - MTD-Konfiguration Mobile App-Verwaltung Verwenden Sie Intune MAM für nicht registrierte Geräte, um Apps für "Bring Your Own Device" (BYOD) zu konfigurieren und zu sichern. - App-Verwaltung |
2.2 Geräteerkennung und -konformität
Microsoft Intune Compliancerichtlinien stellen sicher, dass Geräte den Organisationsstandards entsprechen. Konformitätsrichtlinien können die Gerätekonfiguration anhand einer Sicherheitsbaseline bewerten. Richtlinien verwenden den Microsoft Defender for Endpoint-Schutzstatus und die Geräterisiko-Bewertung, um die Compliance zu ermitteln. Für den bedingten Zugriff wird der Gerätekonformitätszustand verwendet, um dynamische Zugriffsentscheidungen für Benutzer und Geräte (einschließlich BYOD) zu treffen.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target
2.2.1 Implementieren der C2C/Compliance-basierten Netzwerkautorisierung Pt1Das DoD-Unternehmen, das mit den Organisationen arbeitet, entwickelt eine Richtlinie, einen Standard und anforderungen für "Compliance to Connect". Nachdem eine Vereinbarung getroffen wurde, wird mit der Lösungsbeschaffung begonnen, mindestens ein Anbieter ausgewählt und mit der Implementierung grundlegender Funktionen in Zero Trust-Zielumgebungen (mit geringem Risiko) begonnen. In der neuen C2C-Lösung (Comply to Connect) werden grundlegende Überprüfungen implementiert, um ZTA-Zielfunktionen erfüllen zu können. Ergebnisse: - C2C wird auf Unternehmensebene für Umgebungen mit geringem Risiko und Test erzwungen. Grundlegende Geräteüberprüfungen werden mit C2C implementiert. |
Microsoft Intune Verwalten Sie Geräte mit Intune und konfigurieren Sie Gerätekompatibilitätsrichtlinien. Verwenden Sie die Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) von Intune, um Apps bei nicht registrierten BYOD zu sichern. Siehe Microsoft-Anleitung in 2.1.4. Bedingter Zugriff Verwenden Sie Intune-kompatible Gerätesignale, Standort- und Anmelderisikosignale in Richtlinien für bedingten Zugriff. Verwenden von Gerätefiltern für Richtlinien für bedingten Zugriff, basierend auf Geräteattributen. - Konforme Geräte erforderlich - Bedingungen - Filter für Geräte - Bedingter Zugriff mit Intune Microsoft Entra Workload-ID Erstellen Sie Richtlinien für bedingten Zugriff für Arbeitslastidentitäten unter Verwendung von Risiko- und Standortkontrollen. - Bedingter Zugriff für Arbeitslastidentitäten - Sichern Sie Arbeitslastidentitäten |
Advanced
2.2.2 Implementieren der C2C/Compliance-basierten Netzwerkautorisierung Pt2DoD-Organisationen erweitern die Bereitstellung und Nutzung von Compliance to Connect mit allen unterstützten Umgebungen, die erforderlich sind, um erweiterte ZT-Funktionen zu erfüllen. C2C-Teams integrieren ihre Lösungen mit dem Unternehmens-Identitätsprovider (IdP) und den Autorisierungsgateways, um den Zugriff und die Autorisierungen für Ressourcen besser verwalten zu können. Ergebnisse: - C2C wird in allen unterstützten Umgebungen erzwungen. Erweiterte Geräteprüfungen werden abgeschlossen und in dynamischen Zugriff, Unternehmens-IdP und ZTNA integriert. |
Microsoft Entra-Anwendungen Integrieren Sie Anwendungen und verwalten Sie den Benutzerzugriff mit Microsoft Entra ID. Siehe Microsoft-Anleitung 1.2.4 in Benutzer. Microsoft Intune und Microsoft Defender für Endpunkt Geräte mit Intune verwalten, Defender für Endpunkt bereitstellen und eine Richtlinie zur Gerätekonformität mit der Risikobewertung von Endpunktcomputern erstellen. Siehe Microsoft-Anleitung 2.1.4 in diesem Abschnitt. Erstellen Sie Richtlinien für bedingten Zugriff, die ein konformes Gerät für den Anwendungszugriff erforderlich machen. Siehe Microsoft-Anleitung in 2.2.1. Implementieren Sie einen Anwendungsproxy oder eine Secure Hybrid Access (SHA)-Partnerlösung, um bedingten Zugriff für lokale und Legacy-Anwendungen durch den Zero Trust Network Access (ZTNA) zu ermöglichen. - Tunnel ist eine VPN-Gatewaylösung (Virtual Private Network) für Intune-verwaltete Geräte und nicht registrierte Geräte mit Intune-verwalteten Apps. Tunnel verwendet Microsoft Entra ID für Authentifizierung und Richtlinien für bedingten Zugriff, um mobilen Geräten den Zugang zu lokalen Anwendungen zu ermöglichen. - Tunnel für Intune |
2.3 Geräteautorisierung mit Echtzeitüberprüfung
Bedingter Zugriff ist das Zero Trust Richtlinienmodul für Microsoft-Cloudprodukte und -Dienste. Bei der Auswertung von Zero-Trust-Richtlinien am IdP wird das Comply-to-Connect-Modell (C2C) durch Anwenden adaptiver Steuerelemente vor dem Ressourcenzugriff verbessert. Richtlinien für bedingten Zugriff verwenden Sicherheitssignale von Microsoft Entra ID, Microsoft Defender XDR und Microsoft Intune.
Microsoft Defender XDR Komponenten bewerten Geräte- und Identitätsrisikostufen mithilfe von Ml-Erkennungen (Machine Learning) und ermöglichen dynamische, risikobasierte Entscheidungen, um den Zugriff auf Daten, Anwendungen, Ressourcen und Dienste (DAAS) zu ermöglichen, zu blockieren oder zu steuern.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Advanced
2.3.1 Überwachung von Entitätsaktivitäten Pt1Mithilfe der entwickelten Benutzer- und Gerätebasispläne nutzen DoD-Organisationen die implementierte User and Entity Behavior Activity (UEBA)-Lösung, um Basispläne zu integrieren. UEBA-Geräteattribute und -baselines können für Geräteautorisierungserkennungen verwendet werden. Ergebnisse: - UEBA-Attribute sind für Gerätebasispläne integriert– UEBA-Attribute sind für die Verwendung mit Gerätezugriff verfügbar. |
Microsoft Intune und Microsoft Defender for Endpoint Verwalten Sie Geräte mit Intune, stellen Sie Defender für Endpoint bereit und konfigurieren Sie eine Gerätekompatibilitätsrichtlinie mithilfe der Risikobewertung von Defender für Endpoint-Computern. Siehe Microsoft-Anleitung in 2.1.4. Bedingter Zugriff Erstellen Sie Richtlinien für bedingten Zugriff, die ein konformes Gerät für den Anwendungszugriff erfordern. Siehe Microsoft-Anleitung in 2.2.1. Microsoft Entra ID-Schutz Konfigurieren Sie Richtlinien für bedingten Zugriff für Identitätsrisikostufen im Microsoft Entra ID-Schutz. Siehe Microsoft-Anleitung in Abschnitt 1.6.1 des Benutzers. |
Advanced
2.3.2 Überwachung von Entitätsaktivitäten Pt2DoD-Organisationen nutzen die Benutzer- und Entitätsverhaltensaktivität (UEBA)-Lösung mit Netzwerkzugriffslösungen, um UEBA-Attribute (z. B. Geräteintegrität, Anmeldemuster usw.) für den Zugriff auf Umgebungen und Ressourcen zu mandatieren. Ergebnis: - UEBA-Attribute werden für den Gerätezugriff vorgeschrieben |
Bedingter Zugriff Verwenden Sie Intune-kompatible Gerätestatus-, Standort- und Identitätsrisikosignale in Richtlinien für bedingten Zugriff. Verwenden Sie Gerätefilter, um Richtlinien für bedingten Zugriff basierend auf Geräteattributen zu verwenden. Siehe Microsoft-Anleitungen in 2.2.1 und in 2.3.1. |
Target
2.3.3 Implementieren von Tools zur Anwendungssteuerung und Dateiintegritätsüberwachung (FIM)DoD-Organisationen beschaffen und implementieren Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) und Anwendungssteuerungslösungen. FIM führt die Entwicklung und Erweiterung der Überwachung in der Datensäule fort. Die Anwendungssteuerung wird in Umgebungen mit geringem Risiko in einem reinen Überwachungsmodus bereitgestellt, um grundlegende Zulassungen zu etablieren. Anwendungssteuerungsteams, die in die PKI-Umgebungen von Unternehmen und Organisationen integriert werden, verwenden Zertifikate für Anwendungszulassungen. NextGen AV umfasst alle möglichen Dienste und Anwendungen Ergebnisse: - AppControl und FIM Tooling werden für alle kritischen Dienste/Anwendungen implementiert- EDR-Tools decken die maximale Anzahl von Diensten/Anwendungen ab– AppControl und FIM-Daten werden nach Bedarf an C2C gesendet. |
Microsoft Defender for Endpoint Defender für Endpunkt aggregiert Signale aus der Dateiintegritätsüberwachung (File Integrity Monitoring, FIM), Anwendungssteuerung, Antivirus der nächsten Generation (NGAV) und mehr für den Maschinenrisikowert. - Schutz - Antivirus für verwaltete Geräte - Kontrollierter Ordnerzugriff Microsoft Intune App-Control-Endpunktsicherheitsrichtlinien in Microsoft Intune konfigurieren. - Genehmigte Apps mit App Control for Business - Microsoft Defender AppControl-Richtlinie und Dateiregeln Bedingter Zugriff Um das Compliance-to-Connect-Modell (C2C) zu erreichen, integrieren Sie Anwendungen mit Microsoft Entra ID und erfordern Sie eine konforme Steuerung der Gerätefreigabe im bedingten Zugriff. Siehe die Microsoft-Anleitung in 2.2.2. |
Advanced
2.3.4 Integration von NextGen AV-Tools C2CDoD-Organisationen beschaffen und implementieren bei Bedarf Anti-Virus- und Antischadsoftware-Lösungen der nächsten Generation. Diese Lösungen sind in die anfängliche Bereitstellung von "Compliance to Connect" integriert, um grundlegende Statusprüfungen von Signaturen, Updates usw. zu erhalten. Ergebnisse: - Kritische NextGen AV-Daten werden zur Überprüfung an C2C gesendet– NextGen AV-Tools werden für alle kritischen Dienste/Anwendungen implementiert. |
Microsoft Intune Erstellen Sie Gerätekonformitätsrichtlinien für Antivirus und den Risikobewertungswert von Microsoft Defender für Endpoint-Geräte. - Antivirus-Richtlinie für Endpunktsicherheit Siehe Microsoft-Richtlinien in 2.2.2. |
Advanced
2.3.5 Vollständige Integration des Gerätesicherheitsstapels mit C2C bei BedarfDoD-Organisationen setzen die Bereitstellung der Applikationskontrolle für alle Umgebungen im Verhinderungsmodus fort. Analysen der Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) und der Anwendungssteuerungen werden in „Comply to Connect“ integriert, um Datenpunkte für erweiterte Zugriffsentscheidungen zu erhalten. C2C-Analysen werden für weitere Datenpunkte im Zusammenhang mit dem Geräte-/Endpunktsicherheitsstapel ausgewertet (beispielsweise UEDM) und nach Bedarf integriert. Ergebnisse: - Die Bereitstellung von AppControl und FIM wird auf alle erforderlichen Dienste/Anwendungen erweitert. Verbleibende Daten aus der Gerätesicherheitstools werden mit C2C implementiert. |
Abschließen der Aktivität 2.3.4. Microsoft Defender for Cloud Apps Identifizieren und kontrollieren Sie riskante Cloud-Anwendungen mit Richtlinien von Defender for Cloud Apps. - Kontrollieren Sie Cloud-Anwendungen mit Richtlinien |
Advanced
2.3.6 Enterprise PKI Pt1Die DoD Enterprise Public Key Infrastructure (PKI) wird um das Hinzufügen von NPE- und Gerätezertifikaten erweitert. NPEs und Geräte, die keine PKI-Zertifikate unterstützen, werden zur Ausmusterung vorgemerkt, und der Abbauprozess beginnt. Ergebnisse: - Geräte, die keine Zertifikate haben können, werden aus- und/oder in minimale Zugriffsumgebungen verschoben– Alle Geräte und NPEs haben Zertifikate für die Authentifizierung in der Unternehmens-PKI installiert. |
Microsoft Intune Verwenden Sie Microsoft Intune, um DoD-PKI-Zertifikate auf Geräten bereitzustellen. Siehe Microsoft-Anleitung in 2.1.2. Anwendungs-Verwaltungsrichtlinie Konfigurieren Sie die Mandanten-App-Verwaltungsrichtlinie, um Anmeldeinformationen auf Zertifikate einzuschränken, die von der Enterprise-PKI ausgestellt wurden. Siehe Microsoft-Anleitung 1.5.3 in Benutzer. Microsoft Defender for Cloud Apps Konfigurieren Sie Zugriffsrichtlinien, um Clientzertifikate für den Anwendungszugriff zu erfordern und unautorisierten Gerätezugriff zu blockieren. - Zugriffsrichtlinien |
Advanced
2.3.7 Enterprise PKI Pt2DoD-Organisationen verwenden Zertifikate für die Geräteauthentifizierung und computerbasierte Kommunikation. Die Ausmusterung nicht unterstützter Geräte wird abgeschlossen, und Ausnahmen werden mit einem risikobasierten methodischen Ansatz genehmigt. Ergebnis: - Geräte müssen sich authentifizieren, um mit anderen Diensten und Geräten zu kommunizieren. |
Microsoft Intune und bedingter Zugriff Integrieren von Anwendungen mit Microsoft Entra ID, Verwalten von Geräten mit Intune, Schützen von Geräten mit Microsoft Defender for Endpoint und Konfigurieren von Compliancerichtlinien. Schließen Sie eine Konformitätsrichtlinie für die Computerrisikobewertung von Defender for Endpoint ein. Erfordern einer konformen Erteilungssteuerung in Richtlinien für bedingten Zugriff. Siehe Microsoft-Anleitung in 2.2.2. |
2.4 Remotezugriff
Microsoft Entra ID ist ein Identitätsanbieter (IdP) mit der Standardeinstellung "standardmäßig blockieren". Wenn Sie Microsoft Entra für die Anwendungsanmeldung verwenden, authentifizieren sich die Benutzer und durchlaufen Richtlinienprüfungen für bedingten Zugriff, bevor Microsoft Entra den Zugriff autorisiert. Sie können Microsoft Entra ID verwenden, um anwendungen zu schützen, die in der Cloud oder lokal gehostet werden.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target
2.4.1 Geräte standardmäßig verweigernDoD-Organisationen blockieren standardmäßig den Zugriff aller nicht verwalteten Remote- und lokalen Geräte auf Ressourcen. Konforme verwaltete Geräte erhalten risikobasierten methodischen Zugriff gemäß ZTA-Zielebenenkonzepten. Ergebnisse: - Komponenten können den Gerätezugriff standardmäßig auf Ressourcen (Apps/Daten) blockieren und explizit kompatible Geräte pro Richtlinie zulassen– Remotezugriff wird nach einem Ansatz "Gerät standardmäßig verweigern" aktiviert. |
Microsoft Entra ID Anwendungen Zugriff auf Anwendungen und Ressourcen, die durch Microsoft Entra ID geschützt sind, wird standardmäßig verweigert. Für den Ressourcenzugriff sind Authentifizierung und aktive Berechtigung sowie Autorisierung durch Richtlinien für bedingten Zugriff erforderlich. - Integrate apps - App integration Microsoft Intune Manage-Geräte mit Intune. Konfigurieren Sie Konformitätsrichtlinien für Geräte. Erfordern eines kompatiblen Geräts in Richtlinien für den bedingten Zugriff für alle Benutzer und Anwendungen. Siehe Microsoft-Anleitung in 2.2.1. |
Target
2.4.2 Verwaltete und Eingeschränkte BYOD- und IoT-UnterstützungDoD-Organisationen verwenden Unified Endpoint und Device Management (UEDM) und ähnliche Lösungen, um sicherzustellen, dass verwaltete Geräte im Rahmen von "Bring Your Own Device" (BYOD) und "Internet of Things" (IoT) nahtlos mit dem Enterprise-Identitätsanbieter (IdP) integriert sind und die benutzer- sowie gerätebasierte Autorisierung ermöglichen. Der Gerätezugriff für alle Anwendungen erfordert dynamische Zugriffsrichtlinien. Ergebnisse: - Alle Anwendungen erfordern dynamischen Berechtigungszugriff für Geräte – BYOD- und IOT-Geräteberechtigungen werden geplant und in Enterprise IDP integriert |
Aktivität 2.4.1 abschließen. Microsoft Intune Verwenden Sie die Geräteverwaltung und das mobile Anwendungsmanagement von Intune, um Ihr eigenes Gerät (BYOD) zu verwalten. - Verwaltung mobiler Apps für nicht angemeldete Geräte - App-Schutzrichtlinien Bedingter Zugriff Erfordern Sie Gerätkonformität und/oder App-Schutzrichtlinien im Bedingten Zugriff für alle Benutzer und Anwendungen. - Genehmigte Client-App oder App-Schutzrichtlinie - App-Schutzrichtlinie auf Windows-Geräten Microsoft Entra External ID Konfigurieren Sie mandantenübergreifende Zugriffseinstellungen, um konformen Gerätesteuerungen von vertrauenswürdigen Partnern zu vertrauen. - Mandantenübergreifende Zugriffseinstellungen für die B2B-Zusammenarbeit Microsoft Defender for IoT Setzen Sie Defender for IoT-Sensoren zur Erhöhung der Sichtbarkeit sowie zur Überwachung und zum Schutz von IoT- und Betriebstechnologiegeräten (OT) ein. Stellen Sie sicher, dass Gerätesoftware auf dem neuesten Stand ist, und ändern Sie lokale Kennwörter. Verwenden Sie keine Standardpasswörter. - Defender für IoT - IoT- und OT-Sicherheit mit Zero Trust - US Nationale Cybersecurity-Strategie zum Sichern von IoT |
Ergebnisse: - Nur BYOD- und IOT-Geräte, die vorgeschriebene Konfigurationsstandards erfüllen, die auf Ressourcen zugreifen dürfen– Kritische Dienste erfordern dynamischen Zugriff für Geräte |
Führen Sie Aktivität 2.4.2 durch. Microsoft Defender for Cloud Apps Konfigurieren Sie Zugriffsrichtlinien so, dass für den Zugriff auf Anwendungen Clientzertifikate erforderlich sind. Zugriff von nicht autorisierten Geräten blockieren. Siehe Microsoft-Anleitung in 2.3.6. |
Ergebnis: - Alle möglichen Dienste erfordern dynamischen Zugriff für Geräte |
Azure Virtual Desktop Deploy Azure Virtual Desktop (AVD) zur Unterstützung des Remotezugriffs von nicht verwalteten Geräten aus. Fügen Sie VMs des AVD-Sitzungshosts zu Microsoft Entra hinzu und verwalten Sie die Compliance mit Microsoft Intune. Anmeldung bei AVD mit einem kennwortlosen, gegen Phishing resistenten Authenticator von nicht verwalteten Geräten zulassen. - In Microsoft Entra eingebundene VMs in AVD - Authentifizierungsstärke Microsoft Defender for Cloud Apps Verwenden Sie die Defender for Cloud Apps-Sitzungssteuerung, um Websitzungen von nicht verwalteten Geräten zu überwachen und einzuschränken. - Sitzungsrichtlinien |
2.5 Teilweise und vollständig automatisierte Verwaltung von Ressourcen, Sicherheitsrisiken und Patches
Microsoft Intune unterstützt cloudbasierte und hybride Lösungen (Co-Management) für die Geräteverwaltung. Konfigurations- und Konformitätsrichtlinien stellen sicher, dass Geräte über die für Ihre Organisation erforderliche Patchebene und Sicherheitskonfiguration verfügen.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target
2.5.1 Implementieren von Ressourcen-, Sicherheitsrisiken- und PatchverwaltungstoolsDoD-Organisationen implementieren Lösungen zum Verwalten von Ressourcen/Gerätekonfigurationen, Sicherheitsrisiken und Patches. Mithilfe von Mindeststandards für die Konformität (z. B. STIGs usw.) können Teams die Konformität verwalteter Geräte bestätigen oder verweigern. Im Rahmen des Beschaffungs- und Implementierungsprozesses für Lösungen werden APIs und andere programmgesteuerte Schnittstellen für zukünftige Automatisierungs- und Integrationsebenen einbezogen. Ergebnisse: - Komponenten können bestätigen, ob Geräte Mindestcompliancestandards erfüllen oder nicht – Komponenten verfügen über Ressourcenverwaltungs-, Sicherheitsrisiko- und Patchingsysteme mit APIs, die die Integration über die Systeme hinweg ermöglichen |
Microsoft Intune Verwalten von Geräten in Intune. Siehe Microsoft-Anleitung in 2.1.4. Verwenden Sie die Gemeinsame Verwaltung von Microsoft Intune für ältere Endpunktgeräte. - Endpunktverwaltung - Co-Management Konfigurieren und Aktualisieren von Richtlinien für Geräteplattformen, die mit Intune verwaltet werden. - iOS- und iPadOS-Softwareupdaterichtlinien - MacOS-Softwareupdaterichtlinien - Android FOTA-Updates - Windows 10- und 11-Updates Microsoft Defender für Endpunkt Integrieren sie Microsoft Defender für Endpunkt in Microsoft Intune. Beheben von Endpunktschwachstellen mit Microsoft Intune-Konfigurationsrichtlinien. - Microsoft Defender Vulnerability Management - Verwenden Sie Microsoft Intune und Schwachstellen, die von Microsoft Defender for Endpoint identifiziert wurden |
2.6 Einheitliche Endpunktverwaltung und Verwaltung mobiler Geräte
Microsoft Intune Konfigurations- und Compliancerichtlinien stellen sicher, dass Geräte die Sicherheitskonfigurationsanforderungen der Organisation erfüllen. Intune wertet Konformitätsrichtlinien aus und kennzeichnet Geräte als konform oder nicht konform. Richtlinien für bedingten Zugriff können den Gerätekompatibilitätsstatus verwenden, um Benutzern mit nicht kompatiblen Geräten den Zugriff auf ressourcen zu blockieren, die durch Microsoft Entra ID geschützt sind.
Microsoft Entra External ID Einstellungen für den mandantenübergreifenden Zugriff umfassen Vertrauenseinstellungen für die Zusammenarbeit von Gastbenutzern. Diese Einstellungen können für jeden Partnermandant angepasst werden. Wenn Sie den konformen Geräten eines anderen Mandanten vertrauen, erfüllen Gäste, die in ihrem Basismandanten konforme Geräte verwenden, die Zugriffsrichtlinien für bedingten Zugriff, die konforme Geräte in Ihrem Mandanten erfordern. Sie müssen keine Ausnahmen von Richtlinien für bedingten Zugriff erstellen, um zu verhindern, dass externe Gäste blockiert werden.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target
2.6.1 Implementieren sie UEDM oder gleichwertige ToolsDoD-Organisationen arbeiten eng mit den Aktivitäten "Ressourcen-, Sicherheitsrisiko- und Patchverwaltungstools implementieren" zusammen, um unified Endpoint und Device Management (UEDM) zu beschaffen und zu implementieren, um sicherzustellen, dass anforderungen in den Beschaffungsprozess integriert sind. Nach der Beschaffung einer Lösung stellen die UEDM-Teams sicher, dass wichtige ZT-Zielfunktionen wie Mindestkonformität, Ressourcenverwaltung und API-Unterstützung vorhanden sind. Ergebnisse: - Komponenten können bestätigen, ob Geräte die Mindest-Compliance-Standards erfüllen oder nicht – Komponenten verfügen über Asset-Management-Systeme für Benutzergeräte (Telefone, Desktops, Laptops), die die IT-Compliance aufrechterhalten und an das DoD-Unternehmen berichten – Komponenten-Asset-Management-Systeme können programmatisch, z. B. über eine API, den Compliance-Status der Geräte bereitstellen und bestätigen, ob diese die Mindeststandards erfüllen. |
Schließen Sie die Aktivität 2.3.2 ab. Microsoft Intune Der Gerätekonformitätsstatus ist durch Intune-Konformitätssignale in Conditional Access in den Identitätsanbieter (IdP), Microsoft Entra ID, integriert. Anzeigen des Gerätekonformitätsstatus im Microsoft Entra Admin Center oder mithilfe der Microsoft Graph API. - Compliance-Richtlinien - Intune-Berichte Microsoft Entra External ID Um Gerätekonformitätsrichtlinien auf Benutzer außerhalb der Organisation zu erweitern, konfigurieren Sie mandantenübergreifende Zugriffseinstellungen, um MFA- und konforme Geräteansprüche von vertrauenswürdigen DoD-Mandanten zu akzeptieren. - Mandantenübergreifender Zugriff Microsoft Graph API Microsoft Graph APIs query den Gerätekonformitätsstatus. - Compliance- und Datenschutz-APIs |
Target
2.6.2 Enterprise Device Management Pt1DoD-Organisationen migrieren den manuellen Gerätebestand mithilfe der Unified Endpoint- und Device Management-Lösung zu einem automatisierten Ansatz. Genehmigte Geräte können unabhängig vom Standort verwaltet werden. Geräte, die Teil kritischer Dienste sind, werden durch die Unified Endpoint und Device Management-Lösung verwaltet, die Automatisierung unterstützt. Outcomes: - Manuelles Inventar ist in eine automatisierte Verwaltungslösung für kritische Dienste integriert - ZT-Device Management aktivieren (von jedem Standort mit oder ohne Remotezugriff) |
Microsoft Intune und Conditional Access Verwalten Sie Geräte mit Microsoft Intune. Konfigurieren Sie Konformitätsrichtlinien für Geräte. Erfordern kompatible Geräterichtlinien für bedingten Zugriff. Siehe Microsoft-Anleitung in 2.1.4. |
Target
2.6.3 Enterprise Device Management Pt2DoD-Organisationen migrieren die verbleibenden Geräte zur Enterprise Device Management-Lösung. Die EDM-Lösung ist nach Bedarf in Risiko- und Compliance-Lösungen integriert. Ergebnis: - Manuelles Inventar ist in eine automatisierte Managementlösung für alle Dienste integriert |
Microsoft Intune und Conditional Access Geräte mit Intune verwalten. Konfigurieren Sie Konformitätsrichtlinien für Geräte. Erfordern eines kompatiblen Geräts in Richtlinien für bedingten Zugriff. Siehe Microsoft-Anleitung in 2.1.4. |
2.7 Endpunkterkennung und Reaktion (Endpoint Detection and Response, EDR) und erweiterte Erkennung und Reaktion (Extended Detection and Response, XDR)
Die Microsoft Defender XDR unified defense suite koordiniert Erkennung, Prävention, Untersuchung und Reaktion über Endpunkte, Identitäten, E-Mails und Anwendungen hinweg. Microsoft Defender XDR Komponenten erkennen und schützen vor komplexen Angriffen.
Die Integration von Microsoft Defender XDR Komponenten erweitert den Schutz über Geräte hinaus. Beispiele für Erkennungsereignisse, die zur Risikostufe des Benutzers in Microsoft Entra ID Protection beitragen:
- Verdächtige Muster für das Senden von E-Mails, die von Microsoft Defender für Office erkannt wurden
- Unmögliche Reiseerkennungen in Microsoft Defender for Cloud Apps
- Versuche, auf das primäre Aktualisierungstoken zuzugreifen, wurden von Microsoft Defender for Endpoint erkannt.
Risikobasierte Richtlinien für bedingten Zugriff können den Zugriff auf Clouddienste für den Risikobenutzer schützen, einschränken oder blockieren, auch wenn ein konformes Gerät in einem vertrauenswürdigen Netzwerk verwendet wird.
Weitere Informationen finden Sie unter Microsoft Defender XDR-Komponenten aktivieren und Was sind Risiken?
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target
2.7.1 Implementieren von Endpunkterkennungs- und Reaktionstools (EDR) und Integration in C2CDoD-Organisationen beschaffen und implementieren Endpunkterkennungs- und Reaktionslösung (EDR) in Umgebungen. EDR schützt, überwacht und reagiert auf schädliche und anomale Aktivitäten, um Zero Trust-Zielfunktionen zu ermöglichen, und sendet Daten für erweiterte Geräte- und Benutzerüberprüfungen an die C2C-Lösung (Comply to Connect). Ergebnisse: - Endpoint Detection & Response Tooling wird implementiert - Kritische EDR-Daten werden zur Überprüfung an C2C gesendet- NextGen AV-Tools decken die maximale Anzahl von Diensten/Anwendungen ab. |
Microsoft Defender for Endpoint Stellen Sie Defender für Endgeräte auf Endbenutzergeräten bereit. Siehe Microsoft-Anleitung 2.3.1 in diesem Abschnitt. Microsoft Intune Konfigurieren Sie Intune Geräte-Compliance-Richtlinien. Schließen Sie defender für Endpunkt-Computerrisikobewertung für die Richtliniencompliance ein. Siehe Microsoft-Anleitung 2.1.4. und in 2.3.2. Microsoft Defender for Cloud Microsoft Defender für Server für Abonnements mit virtuellen Computern (VMs) in Azure aktivieren. Defender for Server-Pläne umfassen Defender for Cloud für Server. - Defender for Servers Verwenden Sie Azure Arc-fähige Server, um Windows- und Linux-physische Server und VMs außerhalb von Azure zu verwalten und zu schützen. Stellen Sie den Azure Arc-Agent für Server bereit, die außerhalb Azure gehostet werden. Onboarding von Azure Arc-fähigen Servern zu einem Abonnement, das durch Microsoft Defender for Server geschützt ist. - Azure Arc-enabled servers - Azure Connected Machine agent |
Target
2.7.2 Implementieren von Tools für erweiterte Erkennung und Reaktion (Extended Detection & Response, XDR) und Integration in C2C Pt1DoD-Organisationen beschaffen und implementieren erweiterte Erkennungs- und Reaktionslösung (Extended Detection & Response, XDR)-Lösung(n). Integrationspunkte mit säulenübergreifenden Funktionen werden identifiziert und auf der Grundlage des Risikos priorisiert. Die Integrationspunkte mit dem höchsten Risiko werden behandelt, und die Integration wird gestartet. EDR setzt die Abdeckung von Endpunkten fort, um die maximale Anzahl von Diensten und Anwendungen als Teil der XDR-Implementierung einzuschließen. Grundlegende Analysen werden vom XDR-Lösungsstapel an SIEM gesendet. Ergebnisse: - Integrationspunkte wurden pro Funktion identifiziert - Die riskantesten Integrationspunkte wurden mit XDR integriert - Grundlegende Warnungen sind mit SIEM und/oder anderen Mechanismen eingerichtet. |
Microsoft Defender XDR Pilotierung und Bereitstellung von Microsoft Defender XDR-Komponenten und -Diensten. - Defender XDR - Sentinel und Defender XDR für Zero Trust Konfigurieren Sie die Integrationen der bereitgestellten Microsoft Defender XDR-Komponenten. - Defender für Endpunkt mit Defender für Cloud-Apps Defender für Identität und Defender für Cloud-Apps Purview Informationsschutz und Defender für Cloud-Apps Microsoft Sentinel Konfigurieren Sie Sentinel-Datenconnectors für Microsoft Defender XDR. Aktivieren Sie Analyseregeln. - Installieren von Defender XDR - Verbinden von Defender XDR-Daten mit Sentinel |
Advanced
2.7.3 Implementieren von Tools für erweiterte Erkennung und Reaktion (Extended Detection & Response, XDR) und Integration in C2C Pt2Der XDR-Lösungsstapel schließt die Identifizierung von Integrationspunkten ab, die die Abdeckung bis zum größtmöglichen Umfang erweitern. Ausnahmen werden mithilfe eines risikobasierten methodischen Ansatzes für den fortgesetzten Betrieb nachverfolgt und verwaltet. Erweiterte Analysen, die ZT Advanced-Funktionen ermöglichen, sind in das SIEM und andere geeignete Lösungen integriert. Ergebnisse: - Verbleibende Integrationspunkte wurden entsprechend integriert– Erweiterte Warnungen und Reaktionen sind mit anderen Analysetools aktiviert, zumindest mit SIEM |
Microsoft Defender XDR Verwenden Sie Microsoft Defender XDR in Ihrer Sicherheitsoperationsstrategie. - Integrieren Sie Defender XDR in Ihre Sicherheitsoperationen |
Nächste Schritte
Konfigurieren von Microsoft-Clouddiensten für die DoD-Zero Trust-Strategie: