Configurer Microsoft Intune pour Confiance nulle : Appareils sécurisés (préversion)

La sécurisation des points de terminaison est un élément essentiel d’une stratégie de Confiance nulle. Ces recommandations Intune vous aident à protéger votre périmètre réseau et vos appareils grâce à des contrôles pilotés par des stratégies qui appliquent le chiffrement, limitent l’accès non autorisé et réduisent l’exposition aux vulnérabilités. En appliquant des stratégies de configuration et de sécurité sur plusieurs plateformes, ces vérifications s’alignent sur l’initiative Avenir sécurisé de Microsoft et renforcent la posture de sécurité globale de votre organization.

Confiance nulle recommandations en matière de sécurité

Les informations d’identification de l’administrateur local sur Windows sont protégées par Windows LAPS

Sans appliquer de stratégies de solution de mot de passe d’administrateur local (LAPS), les acteurs des menaces qui accèdent aux points de terminaison peuvent exploiter les mots de passe d’administrateur local statiques ou faibles pour remonter les privilèges, se déplacer latéralement et établir la persistance. La chaîne d’attaque commence généralement par la compromission de l’appareil (par le biais d’un hameçonnage, d’un programme malveillant ou d’un accès physique), suivie de tentatives de collecte des informations d’identification de l’administrateur local. Sans LAPS, les attaquants peuvent réutiliser les informations d’identification compromises sur plusieurs appareils, ce qui augmente le risque d’escalade de privilèges et de compromission à l’échelle du domaine.

L’application de Windows LAPS sur tous les appareils Windows d’entreprise garantit des mots de passe d’administrateur local uniques et régulièrement pivotés. Cela perturbe la chaîne d’attaque aux étapes d’accès aux informations d’identification et de mouvement latéral, ce qui réduit considérablement le risque de compromission généralisée.

Action de correction

Utilisez Intune pour appliquer des stratégies Windows LAPS qui font pivoter des mots de passe d’administrateur local forts et uniques, et qui les sauvegardent en toute sécurité :

• Déployer une stratégie Windows LAPS avec Microsoft Intune

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Informations de référence sur les paramètres de stratégie Windows LAPS
• En savoir plus sur Intune prise en charge de Windows LAPS

Les informations d’identification de l’administrateur local sur macOS sont protégées lors de l’inscription par macOS LAPS

Sans appliquer de stratégies macOS LAPS pendant l’inscription automatisée des appareils (ADE), les acteurs des menaces peuvent exploiter les mots de passe d’administrateur local statiques ou réutilisés pour remonter les privilèges, se déplacer latéralement et établir la persistance. Les appareils approvisionnés sans informations d’identification aléatoires sont vulnérables à la collecte et à la réutilisation des informations d’identification sur plusieurs points de terminaison, ce qui augmente le risque de compromission à l’échelle du domaine.

L’application de macOS LAPS garantit que chaque appareil est approvisionné avec un mot de passe administrateur local unique et chiffré géré par Intune. Cela perturbe la chaîne d’attaque aux étapes d’accès aux informations d’identification et de mouvement latéral, réduisant considérablement le risque de compromission généralisée et s’alignant sur Confiance nulle principes de privilège minimum et d’hygiène des informations d’identification.

Action de correction

Utilisez Intune pour configurer des profils ADE macOS qui provisionnent un compte d’administrateur local avec un mot de passe aléatoire et chiffré, et qui permettent une rotation sécurisée :

• Configurer macOS LAPS dans Microsoft Intune
• Faire pivoter le mot de passe de l’administrateur local (macOS)

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Guide d’installation de macOS ADE

L’utilisation du compte local sur Windows est limitée pour réduire les accès non autorisés

Sans une stratégie Utilisateurs et groupes locaux correctement configurée et affectée dans Intune, les acteurs des menaces peuvent exploiter des comptes locaux non gérés ou mal configurés sur les appareils Windows. Cela peut entraîner une escalade de privilèges, une persistance et un mouvement latéral non autorisés au sein de l’environnement. Si les comptes d’administrateur local ne sont pas contrôlés, les attaquants peuvent créer des comptes masqués ou élever des privilèges, en contournant les contrôles de conformité et de sécurité. Cet écart augmente le risque d’exfiltration de données, de déploiement de ransomware et de non-conformité réglementaire.

Il est essentiel de s’assurer que les stratégies Utilisateurs et groupes locaux sont appliquées sur les appareils Windows gérés, à l’aide de profils de protection de compte, pour maintenir une flotte d’appareils sécurisée et conforme.

Action de correction

Configurez et déployez un profil d’appartenance au groupe d’utilisateurs local à partir de Intune stratégie de protection de compte pour restreindre et gérer l’utilisation des comptes locaux sur les appareils Windows :

• Créer une stratégie de protection de compte pour la sécurité des points de terminaison dans Intune
• Affecter des stratégies dans Intune

Les données sur Windows sont protégées par le chiffrement BitLocker

Sans une stratégie BitLocker correctement configurée et affectée dans Intune, les acteurs des menaces peuvent exploiter des appareils Windows non chiffrés pour obtenir un accès non autorisé aux données d’entreprise sensibles. Les appareils qui ne disposent pas d’un chiffrement appliqué sont vulnérables aux attaques physiques, telles que la suppression de disque ou le démarrage à partir d’un média externe, ce qui permet aux attaquants de contourner les contrôles de sécurité du système d’exploitation. Ces attaques peuvent entraîner une exfiltration de données, un vol d’informations d’identification et un mouvement latéral supplémentaire au sein de l’environnement.

L’application de BitLocker sur les appareils Windows gérés est essentielle pour la conformité aux réglementations en matière de protection des données et pour réduire le risque de violations de données.

Action de correction

Utilisez Intune pour appliquer le chiffrement BitLocker et surveiller la conformité sur tous les appareils Windows gérés :

• Créer une stratégie BitLocker pour les appareils Windows dans Intune
• Affecter des stratégies dans Intune
• Contrôlez le cryptage des appareils avec Intune

Le chiffrement FileVault protège les données sur les appareils macOS

Sans stratégies de chiffrement FileVault correctement configurées et affectées dans Intune, les acteurs des menaces peuvent exploiter l’accès physique aux appareils macOS non gérés ou mal configurés pour extraire des données d’entreprise sensibles. Les appareils non chiffrés permettent aux attaquants de contourner la sécurité au niveau du système d’exploitation en démarrant à partir d’un support externe ou en supprimant le lecteur de stockage. Ces attaques peuvent exposer des informations d’identification, des certificats et des jetons d’authentification mis en cache, ce qui permet l’escalade des privilèges et le mouvement latéral. En outre, les appareils non chiffrés sapent la conformité aux réglementations en matière de protection des données et augmentent le risque de dommages de réputation et de sanctions financières en cas de violation.

L’application du chiffrement FileVault protège les données au repos sur les appareils macOS, même en cas de perte ou de vol. Il perturbe la collecte des informations d’identification et le mouvement latéral, prend en charge la conformité réglementaire et s’aligne sur Confiance nulle principes de confiance des appareils.

Action de correction

Utilisez Intune pour appliquer le chiffrement FileVault et surveiller la conformité sur tous les appareils macOS gérés :

• Créer une stratégie de chiffrement de disque FileVault pour macOS dans Intune
• Affecter des stratégies dans Intune
• Contrôlez le cryptage des appareils avec Intune

L’authentification sur Windows utilise Windows Hello Entreprise

Si les stratégies pour Windows Hello Entreprise (WHfB) ne sont pas configurées et attribuées à tous les utilisateurs et appareils, les acteurs des menaces peuvent exploiter des mécanismes d’authentification faibles, tels que les mots de passe, pour obtenir un accès non autorisé. Cela peut entraîner un vol d’informations d’identification, une escalade de privilèges et un mouvement latéral au sein de l’environnement. Sans une authentification forte basée sur des stratégies comme WHfB, les attaquants peuvent compromettre les appareils et les comptes, ce qui augmente le risque d’impact généralisé.

L’application de WHfB perturbe cette chaîne d’attaque en exigeant une authentification multifacteur forte, ce qui permet de réduire le risque d’attaques basées sur les informations d’identification et d’accès non autorisé.

Action de correction

Déployez Windows Hello Entreprise dans Intune pour appliquer une authentification multifacteur forte :

• Configurez une stratégie de Windows Hello Entreprise à l’échelle du locataire qui s’applique au moment où un appareil s’inscrit avec Intune.
• Après l’inscription, configurez les profils de protection de compte et attribuez différentes configurations pour Windows Hello Entreprise à différents groupes d’utilisateurs et d’appareils.

Les règles de réduction de la surface d’attaque sont appliquées aux appareils Windows pour empêcher l’exploitation des composants système vulnérables

Si Intune profils pour les règles de réduction de la surface d’attaque (ASR) ne sont pas correctement configurés et affectés aux appareils Windows, les acteurs des menaces peuvent exploiter des points de terminaison non protégés pour exécuter des scripts obfusqués et appeler des appels d’API Win32 à partir de macros Office. Ces techniques sont couramment utilisées dans les campagnes de hameçonnage et la distribution de programmes malveillants, ce qui permet aux attaquants de contourner les défenses antivirus traditionnelles et d’obtenir un accès initial. Une fois à l’intérieur, les attaquants escaladent les privilèges, établissent la persistance et se déplacent latéralement sur le réseau. En l’absence de mise en œuvre d’ASR, les appareils restent vulnérables aux attaques basées sur des scripts et aux macro-abus, ce qui sape l’efficacité des Microsoft Defender et expose données sensibles à l’exfiltration. Cette lacune dans la protection des points de terminaison augmente la probabilité d’une compromission réussie et réduit la capacité de l’organization à contenir les menaces et à y répondre.

L’application de règles ASR permet de bloquer les techniques d’attaque courantes telles que l’exécution basée sur des scripts et les abus de macros, ce qui réduit le risque de compromission initiale et prend en charge les Confiance nulle en renforçant les défenses des points de terminaison.

Action de correction

Utilisez Intune pour déployer des profils de règles de réduction de la surface d’attaque pour les appareils Windows afin de bloquer les comportements à haut risque et de renforcer la protection des points de terminaison :

• Configurer des profils Intune pour les règles de réduction de la surface d’attaque
• Affecter des stratégies dans Intune

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Informations de référence sur les règles de réduction de la surface d’attaque dans la documentation Microsoft Defender.

Defender Antivirus stratégies protègent les appareils Windows contre les programmes malveillants

Si les stratégies pour Microsoft Defender Antivirus ne sont pas correctement configurées et attribuées dans Intune, les acteurs des menaces peuvent exploiter des points de terminaison non protégés pour exécuter des programmes malveillants, désactiver les protections antivirus et persister dans l’environnement. Sans stratégies antivirus appliquées, les appareils fonctionnent avec des définitions obsolètes, une protection en temps réel désactivée ou des planifications d’analyse mal configurées. Ces lacunes permettent aux attaquants de contourner la détection, d’élever les privilèges et de se déplacer latéralement sur le réseau. L’absence d’application antivirus sape la conformité des appareils, augmente l’exposition aux menaces zero-day et peut entraîner une non-conformité réglementaire. Les attaquants tirent parti de ces faiblesses pour maintenir la persistance et échapper à la détection, en particulier dans les environnements dépourvus d’application centralisée de la stratégie.

L’application de stratégies de Defender Antivirus garantit une protection cohérente contre les programmes malveillants, prend en charge la détection des menaces en temps réel et s’aligne sur Confiance nulle en conservant une posture de point de terminaison sécurisée et conforme.

Action de correction

Configurez et affectez des stratégies Intune pour Microsoft Defender Antivirus afin d’appliquer la protection en temps réel, de maintenir des définitions à jour et de réduire l’exposition aux programmes malveillants :

• Configurer des stratégies Intune pour gérer Microsoft Defender Antivirus
• Affecter des stratégies dans Intune

Defender Antivirus stratégies protègent les appareils macOS contre les programmes malveillants

Si Microsoft Defender stratégies antivirus ne sont pas correctement configurées et affectées aux appareils macOS dans Intune, les attaquants peuvent exploiter des points de terminaison non protégés pour exécuter des programmes malveillants, désactiver les protections antivirus et persister dans l’environnement. Sans stratégies appliquées, les appareils exécutent des définitions obsolètes, manquent de protection en temps réel ou ont des planifications d’analyse mal configurées, ce qui augmente le risque de menaces non détectées et d’escalade de privilèges. Cela permet le déplacement latéral sur le réseau, la collecte des informations d’identification et l’exfiltration des données. L’absence d’application de l’antivirus sape la conformité des appareils, augmente l’exposition des points de terminaison aux menaces zero-day et peut entraîner une non-conformité réglementaire. Les attaquants utilisent ces lacunes pour maintenir la persistance et échapper à la détection, en particulier dans les environnements sans application centralisée de la stratégie.

L’application de stratégies de Defender Antivirus garantit que les appareils macOS sont constamment protégés contre les programmes malveillants, prend en charge la détection des menaces en temps réel et s’aligne sur Confiance nulle en conservant une posture de point de terminaison sécurisée et conforme.

Action de correction

Utilisez Intune pour configurer et affecter des stratégies antivirus Microsoft Defender pour les appareils macOS afin d’appliquer la protection en temps réel, de maintenir des définitions à jour et de réduire l’exposition aux programmes malveillants :

• Configurer des stratégies Intune pour gérer Microsoft Defender Antivirus
• Affecter des stratégies dans Intune

Les stratégies de Pare-feu Windows protègent contre les accès réseau non autorisés

Si les stratégies du Pare-feu Windows ne sont pas configurées et affectées, les acteurs des menaces peuvent exploiter des points de terminaison non protégés pour obtenir un accès non autorisé, se déplacer latéralement et élever des privilèges au sein de l’environnement. Sans règles de pare-feu appliquées, les attaquants peuvent contourner la segmentation du réseau, exfiltrer des données ou déployer des programmes malveillants, ce qui augmente le risque de compromission généralisée.

L’application de stratégies de Pare-feu Windows garantit une application cohérente des contrôles de trafic entrant et sortant, ce qui réduit l’exposition aux accès non autorisés et prend en charge les Confiance nulle via la segmentation du réseau et la protection au niveau de l’appareil.

Action de correction

Configurez et affectez des stratégies de pare-feu pour Windows dans Intune afin de bloquer le trafic non autorisé et d’appliquer des protections réseau cohérentes sur tous les appareils gérés :

• Configurez des stratégies de pare-feu pour les appareils Windows. Intune utilise deux profils complémentaires pour gérer les paramètres de pare-feu :
  • Pare-feu Windows : utilisez ce profil pour configurer le comportement global du pare-feu en fonction du type de réseau.
  • Règles de pare-feu Windows : utilisez ce profil pour définir des règles de trafic pour les applications, les ports ou les adresses IP, adaptées à des groupes ou charges de travail spécifiques. Ce profil Intune prend également en charge l’utilisation de groupes de paramètres réutilisables pour simplifier la gestion des paramètres courants que vous utilisez pour différentes instances de profil.
• Affecter des stratégies dans Intune

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Paramètres du Pare-feu Windows disponibles

Les stratégies de pare-feu macOS protègent contre les accès réseau non autorisés

Sans stratégie de pare-feu gérée de manière centralisée, les appareils macOS peuvent s’appuyer sur des paramètres par défaut ou modifiés par l’utilisateur, qui ne répondent souvent pas aux normes de sécurité de l’entreprise. Cela expose les appareils à des connexions entrantes non sollicitées, ce qui permet aux acteurs de menace d’exploiter les vulnérabilités, d’établir un trafic de commande et de contrôle sortant (C2) pour l’exfiltration des données et de se déplacer latéralement au sein du réseau, ce qui augmente considérablement l’étendue et l’impact d’une violation.

L’application de stratégies de pare-feu macOS garantit un contrôle cohérent du trafic entrant et sortant, ce qui réduit l’exposition aux accès non autorisés et prend en charge les Confiance nulle via la protection au niveau de l’appareil et la segmentation du réseau.

Action de correction

Configurez et affectez des profils de pare-feu macOS dans Intune pour bloquer le trafic non autorisé et appliquer des protections réseau cohérentes sur tous les appareils macOS gérés :

• Configurer le pare-feu intégré sur les appareils macOS
• Affecter des stratégies dans Intune

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Paramètres de pare-feu macOS disponibles

Windows Update stratégies sont appliquées pour réduire les risques liés aux vulnérabilités non corrigées

Si Windows Update stratégies ne sont pas appliquées sur tous les appareils Windows d’entreprise, les acteurs des menaces peuvent exploiter les vulnérabilités non corrigées pour obtenir un accès non autorisé, faire remonter des privilèges et se déplacer latéralement dans l’environnement. La chaîne d’attaque commence souvent par la compromission de l’appareil via le hameçonnage, les programmes malveillants ou l’exploitation de vulnérabilités connues, et est suivie par des tentatives de contournement des contrôles de sécurité. Sans stratégies de mise à jour appliquées, les attaquants tirent parti des logiciels obsolètes pour persister dans l’environnement, ce qui augmente le risque d’escalade de privilèges et de compromission à l’échelle du domaine.

L’application de stratégies de Windows Update garantit la mise à jour corrective en temps voulu des failles de sécurité, la perturbation de la persistance des attaquants et la réduction du risque de compromission généralisée.

Action de correction

Commencez par Gérer les mises à jour logicielles Windows dans Intune pour comprendre les types de stratégies Windows Update disponibles et comment les configurer.

Intune inclut le type de stratégie de mise à jour Windows suivant :

• Stratégie - des mises à jour qualité Windowspour installer les mises à jour mensuelles régulières pour Windows.
• Stratégie d’accélération des mises à jour - pour installer rapidement des correctifs de sécurité critiques.
• Stratégie de mise à jour des fonctionnalités
• Mettre à jour la stratégie - des anneauxpour gérer comment et quand les appareils installent les mises à jour des fonctionnalités et de la qualité.
• Mises à jour - du pilote Windowspour mettre à jour les composants matériels.

Les bases de référence de sécurité sont appliquées aux appareils Windows pour renforcer la posture de sécurité

Sans les bases de référence de sécurité correctement configurées et affectées Intune pour Windows, les appareils restent vulnérables à un large éventail de vecteurs d’attaque que les acteurs de menace exploitent pour obtenir la persistance et augmenter les privilèges. Les adversaires tirent parti des configurations Windows par défaut qui ne disposent pas de paramètres de sécurité renforcés pour effectuer un mouvement latéral à l’aide de techniques telles que le dumping des informations d’identification, l’escalade des privilèges via des vulnérabilités non corrigées et l’exploitation de mécanismes d’authentification faibles. En l’absence de bases de référence de sécurité appliquées, les acteurs des menaces peuvent contourner les contrôles de sécurité critiques, maintenir la persistance via des modifications de registre et exfiltrer des données sensibles via des canaux non surveillés. L’échec de l’implémentation d’une stratégie de défense en profondeur facilite l’exploitation des appareils à mesure que les attaquants progressent dans la chaîne d’attaque( de l’accès initial à l’exfiltration des données), ce qui compromet finalement la posture de sécurité de l’organization et augmente le risque de violations de la conformité.

L’application de bases de référence de sécurité garantit que les appareils Windows sont configurés avec des paramètres renforcés, ce qui réduit la surface d’attaque, applique une défense en profondeur et prend en charge les Confiance nulle en standardisant les contrôles de sécurité dans l’environnement.

Action de correction

Configurez et affectez des bases de référence de sécurité Intune aux appareils Windows pour appliquer des paramètres de sécurité standardisés et surveiller la conformité :

• Déployer des bases de référence de sécurité pour sécuriser les appareils Windows
• Surveiller la conformité de la base de référence de sécurité

Les stratégies de mise à jour pour macOS sont appliquées afin de réduire les risques liés aux vulnérabilités non corrigées

Si les stratégies de mise à jour macOS ne sont pas correctement configurées et attribuées, les acteurs des menaces peuvent exploiter les vulnérabilités non corrigées sur les appareils macOS dans le organization. Sans stratégies de mise à jour appliquées, les appareils restent sur des versions logicielles obsolètes, ce qui augmente la surface d’attaque pour l’escalade des privilèges, l’exécution de code à distance ou les techniques de persistance. Les acteurs de menace peuvent tirer parti de ces faiblesses pour obtenir l’accès initial, faire remonter les privilèges et se déplacer latéralement dans l’environnement. Si des stratégies existent mais ne sont pas affectées aux groupes d’appareils, les points de terminaison restent non protégés et les lacunes de conformité ne sont pas détectées. Cela peut entraîner une compromission généralisée, une exfiltration de données et une interruption opérationnelle.

L’application de stratégies de mise à jour macOS garantit que les appareils reçoivent des correctifs en temps voulu, ce qui réduit le risque d’exploitation et prend en charge les Confiance nulle en conservant une flotte d’appareils sécurisée et conforme.

Action de correction

Configurez et affectez des stratégies de mise à jour macOS dans Intune pour appliquer des correctifs en temps opportun et réduire les risques liés aux vulnérabilités non corrigées :

• Gérer les mises à jour logicielles macOS dans Intune

Les stratégies de mise à jour pour iOS/iPadOS sont appliquées afin de réduire les risques liés aux vulnérabilités non corrigées

Si les stratégies de mise à jour iOS ne sont pas configurées et affectées, les acteurs des menaces peuvent exploiter les vulnérabilités non corrigées dans les systèmes d’exploitation obsolètes sur les appareils gérés. L’absence de stratégies de mise à jour appliquées permet aux attaquants d’utiliser des attaques connues pour obtenir l’accès initial, faire remonter des privilèges et se déplacer latéralement dans l’environnement. Sans mises à jour en temps opportun, les appareils restent vulnérables aux attaques qui ont déjà été traitées par Apple, ce qui permet aux acteurs de menaces de contourner les contrôles de sécurité, de déployer des programmes malveillants ou d’exfiltrer des données sensibles. Cette chaîne d’attaque commence par la compromission de l’appareil par le biais d’une vulnérabilité non corrigée, suivie de la persistance et de la violation potentielle des données qui ont un impact sur la sécurité de l’organisation et la posture de conformité.

L’application de stratégies de mise à jour perturbe cette chaîne en garantissant que les appareils sont constamment protégés contre les menaces connues.

Action de correction

Configurez et affectez des stratégies de mise à jour iOS/iPadOS dans Intune pour appliquer des correctifs en temps voulu et réduire les risques liés aux vulnérabilités non corrigées :

• Gérer les mises à jour logicielles iOS/iPadOS dans Intune
• Affecter des stratégies dans Intune

Contenu connexe

• Guide de déploiement pour Microsoft Intune
• Protéger les données et les appareils avec Microsoft Intune
• Configurer Microsoft Entra pour renforcer la sécurité (préversion)
• Configurer Microsoft Intune pour renforcer la sécurité (préversion)