エンドポイントのセキュリティ保護は、ゼロ トラスト戦略の重要な部分です。 これらのIntune推奨事項は、暗号化を適用し、未承認のアクセスを制限し、脆弱性の露出を減らすポリシー主導の制御を通じて、ネットワーク境界とデバイスを保護するのに役立ちます。 これらのチェックは、プラットフォーム間で構成ポリシーとセキュリティ ポリシーを適用することで、Microsoft の Secure Future Initiative と一致し、organizationの全体的なセキュリティ体制を強化します。
ゼロ トラストセキュリティに関する推奨事項
Windows 上のローカル管理者の資格情報は、Windows LAPS によって保護されます
ローカル管理者パスワード ソリューション (LAPS) ポリシーを適用せずに、エンドポイントにアクセスする脅威アクターは、静的または脆弱なローカル管理者パスワードを悪用して、特権をエスカレートし、横に移動し、永続化を確立できます。 通常、攻撃チェーンは、フィッシング、マルウェア、または物理的なアクセスによるデバイスの侵害から始まり、その後にローカル管理者の資格情報を収集しようとします。 LAPS がないと、攻撃者は侵害された資格情報を複数のデバイスで再利用できるため、特権のエスカレーションとドメイン全体の侵害のリスクが高まります。
すべての会社の Windows デバイスに Windows LAPS を適用すると、一意で定期的にローテーションされるローカル管理者パスワードが保証されます。 これにより、資格情報アクセスと横移動の段階で攻撃チェーンが中断され、広範な侵害のリスクが大幅に軽減されます。
修復アクション
Intuneを使用して、強力で一意のローカル管理者パスワードをローテーションし、それらを安全にバックアップする Windows LAPS ポリシーを適用します。
詳細については、以下を参照してください:
macOS のローカル管理者資格情報は、macOS LAPS による登録中に保護されます
自動デバイス登録 (ADE) 中に macOS LAPS ポリシーを適用することなく、脅威アクターは静的または再利用されたローカル管理者パスワードを悪用して、特権をエスカレートし、横方向に移動し、永続化を確立できます。 ランダム化された資格情報なしでプロビジョニングされたデバイスは、資格情報の収集と複数のエンドポイント間での再利用に対して脆弱であり、ドメイン全体の侵害のリスクが高まります。
macOS LAPS を適用すると、各デバイスは、Intuneによって管理される一意の暗号化されたローカル管理者パスワードでプロビジョニングされます。 これにより、資格情報アクセスと横移動の段階で攻撃チェーンが中断され、広範な侵害のリスクが大幅に軽減され、最小限の特権と資格情報の検疫のゼロ トラスト原則に合わせて調整されます。
修復アクション
Intuneを使用して、ランダム化された暗号化されたパスワードを使用してローカル管理者アカウントをプロビジョニングし、安全なローテーションを可能にする macOS ADE プロファイルを構成します。
詳細については、以下を参照してください:
Windows でのローカル アカウントの使用は、承認されていないアクセスを減らすために制限されています
Intuneで適切に構成され、割り当てられたローカル ユーザーとグループ ポリシーがないと、脅威アクターは、Windows デバイス上の管理されていないローカル アカウントまたは正しく構成されていないローカル アカウントを悪用する可能性があります。 これにより、環境内の権限のエスカレーション、永続化、横移動が発生する可能性があります。 ローカル管理者アカウントが制御されていない場合、攻撃者は非表示のアカウントを作成したり、特権を昇格させたりして、コンプライアンスとセキュリティの制御をバイパスすることができます。 このギャップにより、データ流出、ランサムウェアのデプロイ、規制違反のリスクが高まります。
アカウント保護プロファイルを使用して、マネージド Windows デバイスにローカル ユーザーとグループのポリシーが適用されるようにすることは、セキュリティで保護された準拠デバイスフリートを維持するために重要です。
修復アクション
Intune アカウント保護ポリシーからローカル ユーザー グループ メンバーシップ プロファイルを構成して展開し、Windows デバイスでのローカル アカウントの使用状況を制限および管理します。
Windows 上のデータは BitLocker 暗号化によって保護されます
Intuneで適切に構成され、割り当てられた BitLocker ポリシーがないと、脅威アクターは暗号化されていない Windows デバイスを悪用して、機密性の高い企業データに不正にアクセスできます。 暗号化が強制されていないデバイスは、ディスクの削除や外部メディアからの起動などの物理的な攻撃に対して脆弱であり、攻撃者はオペレーティング システムのセキュリティ制御をバイパスできます。 これらの攻撃により、データ流出、資格情報の盗難、環境内でのさらなる横移動が発生する可能性があります。
マネージド Windows デバイス間で BitLocker を強制することは、データ保護規制への準拠とデータ侵害のリスクを軽減するために重要です。
修復アクション
Intuneを使用して、BitLocker 暗号化を適用し、すべてのマネージド Windows デバイスにコンプライアンスを監視します。
FileVault 暗号化は macOS デバイス上のデータを保護します
Intuneで適切に構成され、割り当てられた FileVault 暗号化ポリシーがないと、脅威アクターは、管理されていない macOS デバイスまたは正しく構成されていない macOS デバイスへの物理的なアクセスを利用して、機密性の高い企業データを抽出できます。 暗号化されていないデバイスを使用すると、攻撃者は、外部メディアから起動するか、ストレージ ドライブを削除することで、オペレーティング システム レベルのセキュリティをバイパスできます。 これらの攻撃により、資格情報、証明書、キャッシュされた認証トークンが公開され、特権のエスカレーションと横移動が可能になります。 さらに、暗号化されていないデバイスは、データ保護規制への準拠を損ない、侵害が発生した場合の評判の損害と金銭的な罰則のリスクを高めます。
FileVault 暗号化を適用すると、失われたり盗まれたりした場合でも、macOS デバイスの保存データが保護されます。 資格情報の収集と横移動を中断し、規制コンプライアンスをサポートし、デバイス信頼のゼロ トラスト原則に合わせて調整します。
修復アクション
Intuneを使用して、FileVault 暗号化を適用し、すべてのマネージド macOS デバイスでコンプライアンスを監視します。
Windows での認証では、Windows Hello for Businessを使用します
Windows Hello for Business (WHfB) のポリシーが構成されておらず、すべてのユーザーとデバイスに割り当てられない場合、脅威アクターは脆弱な認証メカニズム (パスワードなど) を悪用して、未承認のアクセスを得ることができます。 これにより、資格情報の盗難、特権のエスカレーション、環境内での横移動が発生する可能性があります。 WHfB のような強力なポリシー駆動型認証がないと、攻撃者はデバイスとアカウントを侵害し、広範な影響のリスクを高めることができます。
WHfB を強制すると、強力な多要素認証が要求され、この攻撃チェーンが中断されます。これにより、資格情報ベースの攻撃や不正アクセスのリスクを軽減できます。
修復アクション
IntuneにWindows Hello for Businessをデプロイして、強力な多要素認証を適用します。
- デバイスがIntuneで登録された時点で適用されるテナント全体のWindows Hello for Business ポリシーを構成します。
- 登録後、アカウント保護プロファイルを構成し、Windows Hello for Businessのさまざまな構成をユーザーとデバイスの異なるグループに割り当てます。
攻撃表面の縮小ルールは、脆弱なシステム コンポーネントの悪用を防ぐために Windows デバイスに適用されます
攻撃サーフェスリダクション (ASR) ルールのIntuneプロファイルが適切に構成され、Windows デバイスに割り当てられない場合、脅威アクターは保護されていないエンドポイントを悪用して難読化されたスクリプトを実行し、Office マクロから Win32 API 呼び出しを呼び出すことができます。 これらの手法は、フィッシング キャンペーンやマルウェア配信でよく使用され、攻撃者は従来のウイルス対策防御をバイパスし、初期アクセスを取得できます。 内部に入ると、攻撃者は特権をエスカレートし、永続化を確立し、ネットワーク全体を横方向に移動します。 ASR の適用がなければ、デバイスはスクリプトベースの攻撃やマクロの悪用に対して脆弱なままであり、Microsoft Defenderの有効性を損ない、機密データを流出に公開します。 エンドポイント保護のこのギャップにより、侵害が成功する可能性が高くなり、脅威を封じ込め、対応するorganizationの能力が低下します。
ASR ルールを適用すると、スクリプトベースの実行やマクロの悪用などの一般的な攻撃手法をブロックし、初期侵害のリスクを軽減し、エンドポイント防御を強化することでゼロ トラストをサポートできます。
修復アクション
Intuneを使用して、Windows デバイス用の攻撃面削減ルール プロファイルを展開し、リスクの高い動作をブロックし、エンドポイント保護を強化します。
詳細については、以下を参照してください:
- Microsoft Defenderドキュメントの攻撃面縮小ルールリファレンス。
Defender ウイルス対策 ポリシーによって Windows デバイスがマルウェアから保護される
Microsoft Defenderウイルス対策のポリシーがIntuneで適切に構成および割り当てられない場合、脅威アクターは保護されていないエンドポイントを悪用してマルウェアを実行し、ウイルス対策保護を無効にし、環境内に保持することができます。 ウイルス対策ポリシーが適用されていない場合、デバイスは古い定義、無効なリアルタイム保護、または正しく構成されていないスキャン スケジュールで動作します。 これらのギャップにより、攻撃者は検出をバイパスし、特権をエスカレートし、ネットワーク全体を横方向に移動できます。 ウイルス対策の適用がない場合、デバイスのコンプライアンスが損なわれ、ゼロデイの脅威にさらされ、規制違反が発生する可能性があります。 攻撃者はこれらの弱点を利用して永続化を維持し、検出を回避します。特に、一元化されたポリシーの適用がない環境では、
Defender ウイルス対策 ポリシーを適用すると、マルウェアに対する一貫性のある保護が確保され、リアルタイムの脅威検出がサポートされ、セキュリティで保護された準拠エンドポイントの姿勢を維持することで、ゼロ トラストに合わせて調整されます。
修復アクション
Microsoft Defender ウイルス対策のIntune ポリシーを構成して割り当てて、リアルタイム保護を適用し、最新の定義を維持し、マルウェアへの露出を減らします。
Defender ウイルス対策 ポリシーによって macOS デバイスがマルウェアから保護される
Microsoft Defenderウイルス対策ポリシーが正しく構成されておらず、Intuneの macOS デバイスに割り当てられない場合、攻撃者は保護されていないエンドポイントを悪用してマルウェアを実行し、ウイルス対策保護を無効にし、環境内に保持することができます。 ポリシーが適用されていないと、デバイスは古い定義を実行したり、リアルタイム保護を利用したり、スキャン スケジュールが正しく構成されていなくても、検出されない脅威や特権のエスカレーションのリスクが高まります。 これにより、ネットワーク全体の横移動、資格情報の収集、およびデータ流出が可能になります。 ウイルス対策の適用がないため、デバイスのコンプライアンスが損なわれ、エンドポイントがゼロデイ脅威にさらされ、規制違反が発生する可能性があります。 攻撃者はこれらのギャップを使用して永続化を維持し、特に一元的なポリシー適用のない環境で検出を回避します。
Defender ウイルス対策 ポリシーを適用すると、macOS デバイスがマルウェアから一貫して保護され、リアルタイムの脅威検出がサポートされ、セキュリティで保護された準拠エンドポイントの姿勢を維持することでゼロ トラストに合わせて調整されます。
修復アクション
Intuneを使用して、macOS デバイスのMicrosoft Defenderウイルス対策ポリシーを構成して割り当て、リアルタイム保護を適用し、最新の定義を維持し、マルウェアへの露出を減らします。
Windows ファイアウォール ポリシーは、未承認のネットワーク アクセスから保護します
Windows ファイアウォールのポリシーが構成および割り当てられない場合、脅威アクターは保護されていないエンドポイントを悪用して、未承認のアクセスを取得し、横に移動し、環境内の特権をエスカレートできます。 ファイアウォール規則が適用されていない場合、攻撃者はネットワークのセグメント化をバイパスしたり、データを流出させたり、マルウェアを展開したりできるため、広範な侵害のリスクが高まります。
Windows ファイアウォール ポリシーを適用すると、受信トラフィックと送信トラフィック制御の一貫性のあるアプリケーションが保証され、未承認のアクセスにさらされる可能性が減り、ネットワークセグメント化とデバイスレベルの保護を通じてゼロ トラストがサポートされます。
修復アクション
未承認のトラフィックをブロックし、すべての管理対象デバイスに一貫したネットワーク保護を適用するために、Intuneで Windows のファイアウォール ポリシーを構成して割り当てます。
-
Windows デバイスのファイアウォール ポリシーを構成します。 Intuneでは、次の 2 つの補完プロファイルを使用してファイアウォール設定を管理します。
- Windows ファイアウォール - このプロファイルを使用して、ネットワークの種類に基づいてファイアウォールの全体的な動作を構成します。
- Windows ファイアウォール規則 - このプロファイルを使用して、特定のグループまたはワークロードに合わせて調整されたアプリ、ポート、または IP のトラフィック規則を定義します。 このIntune プロファイルでは、再利用可能な設定グループの使用もサポートされ、さまざまなプロファイル インスタンスで使用する一般的な設定の管理を簡略化できます。
- Intune でポリシーを割り当てる
詳細については、以下を参照してください:
macOS ファイアウォール ポリシーは、未承認のネットワーク アクセスから保護します
一元的に管理されたファイアウォール ポリシーがないと、macOS デバイスは既定またはユーザーが変更した設定に依存する可能性があります。これは、多くの場合、企業のセキュリティ標準を満たさない場合があります。 これにより、デバイスが一方的な受信接続に公開され、脅威アクターが脆弱性を悪用し、データ流出のための送信コマンド アンド コントロール (C2) トラフィックを確立し、ネットワーク内を横方向に移動できるようになり、侵害の範囲と影響が大幅にエスカレートされます。
macOS ファイアウォール ポリシーを適用すると、受信トラフィックと送信トラフィックを一貫して制御でき、未承認のアクセスへの露出を減らし、デバイス レベルの保護とネットワークセグメント化を通じてゼロ トラストをサポートします。
修復アクション
Intuneで macOS ファイアウォール プロファイルを構成して割り当てて、未承認のトラフィックをブロックし、すべてのマネージド macOS デバイスに一貫性のあるネットワーク保護を適用します。
詳細については、以下を参照してください:
Windows Updateポリシーは、パッチが適用されていない脆弱性からのリスクを軽減するために適用されます
Windows Updateポリシーがすべての企業の Windows デバイスに適用されていない場合、脅威アクターはパッチが適用されていない脆弱性を悪用して、未承認のアクセスを取得し、特権をエスカレートし、環境内を横方向に移動できます。 攻撃チェーンは、多くの場合、フィッシング、マルウェア、既知の脆弱性の悪用によるデバイスの侵害から始まり、セキュリティ制御をバイパスしようとします。 強制的な更新ポリシーがなければ、攻撃者は古いソフトウェアを利用して環境内に保持し、特権のエスカレーションとドメイン全体の侵害のリスクを高めます。
Windows Update ポリシーを適用すると、セキュリティ上の欠陥のタイムリーな修正プログラムが適用され、攻撃者の永続化が中断され、広範な侵害のリスクが軽減されます。
修復アクション
使用可能なWindows Updateポリシーの種類と構成方法を理解するには、Intuneの Windows ソフトウェア更新プログラムの管理に関するページを参照してください。
Intuneには、次の Windows 更新プログラム ポリシーの種類が含まれています。
- Windows 品質更新プログラム ポリシー - をクリックして、Windows 用の定期的な毎月の更新プログラムをインストールします。
- 更新プログラムの迅速化ポリシー - 重要なセキュリティ パッチを迅速にインストールできます。
- 機能更新ポリシー
- リング ポリシーを更新します - を使用して、デバイスが機能と品質の更新プログラムをインストールする方法とタイミングを管理します。
- Windows ドライバーの更新プログラム - ハードウェア コンポーネントを更新します。
セキュリティ ベースラインが Windows デバイスに適用され、セキュリティ体制が強化されます
Windows のセキュリティ ベースラインIntune適切に構成および割り当てなければ、デバイスは、脅威アクターが悪用して永続化を取得し、特権をエスカレートする広範な攻撃ベクトルに対して脆弱なままです。 敵対者は、セキュリティ設定が強化されていない既定の Windows 構成を利用して、資格情報のダンプ、パッチが適用されていない脆弱性による特権エスカレーション、脆弱な認証メカニズムの悪用などの手法を使用して横移動を実行します。 セキュリティ ベースラインが強制されていない場合、脅威アクターは重要なセキュリティ制御をバイパスし、レジストリの変更によって永続化を維持し、監視されていないチャネルを通じて機密データを流出させることができます。 多層防御戦略を実装しないと、初期アクセスからデータ流出まで、攻撃チェーンを介して攻撃者が進行するにつれて、デバイスを悪用しやすくなります。最終的には、organizationのセキュリティ体制が損なわれ、コンプライアンス違反のリスクが高まります。
セキュリティ ベースラインを適用すると、Windows デバイスがセキュリティ設定で構成され、攻撃対象領域を減らし、多層防御を適用し、環境全体でセキュリティ制御を標準化することでゼロ トラストをサポートできるようになります。
修復アクション
標準化されたセキュリティ設定を適用し、コンプライアンスを監視するために、Intuneセキュリティ ベースラインを構成して Windows デバイスに割り当てます。
パッチが適用されていない脆弱性によるリスクを軽減するために、macOS の更新ポリシーが適用されます
macOS 更新ポリシーが正しく構成および割り当てられていない場合、脅威アクターは、organization内の macOS デバイスでパッチが適用されていない脆弱性を悪用する可能性があります。 更新ポリシーが適用されていない場合、デバイスは古いソフトウェア バージョンのままであり、特権エスカレーション、リモート コード実行、または永続化手法の攻撃対象領域が増えます。 脅威アクターは、これらの弱点を利用して初期アクセスを取得し、特権をエスカレートし、環境内を横方向に移動できます。 ポリシーが存在していてもデバイス グループに割り当てられていない場合、エンドポイントは保護されず、コンプライアンス ギャップは検出されません。 これにより、広範な侵害、データ流出、運用の中断が発生する可能性があります。
macOS 更新ポリシーを適用すると、デバイスがタイムリーなパッチを確実に受け取り、セキュリティで保護された準拠デバイス フリートを維持することで、ゼロ トラストを悪用およびサポートするリスクが軽減されます。
修復アクション
Intuneで macOS 更新ポリシーを構成して割り当てて、タイムリーなパッチ適用を適用し、パッチが適用されていない脆弱性によるリスクを軽減します。
パッチが適用されていない脆弱性によるリスクを軽減するために、iOS/iPadOS の更新ポリシーが適用されます
iOS 更新ポリシーが構成および割り当てられていない場合、脅威アクターは、マネージド デバイス上の古いオペレーティング システムでパッチが適用されていない脆弱性を悪用する可能性があります。 更新ポリシーが適用されていないと、攻撃者は既知の悪用を使用して初期アクセスを取得し、特権をエスカレートし、環境内を横方向に移動できます。 タイムリーな更新がないと、デバイスは Apple によって既に対処されている悪用の影響を受けやすくなります。これにより、脅威アクターはセキュリティ制御をバイパスしたり、マルウェアを展開したり、機密データを流出させたりすることができます。 この攻撃チェーンは、パッチが適用されていない脆弱性によるデバイスの侵害から始まり、続いて、組織のセキュリティとコンプライアンス体制の両方に影響を与える永続化と潜在的なデータ侵害が続きます。
更新ポリシーを適用すると、デバイスが既知の脅威から一貫して保護されるため、このチェーンが中断されます。
修復アクション
Intuneで iOS/iPadOS 更新ポリシーを構成して割り当てて、タイムリーな修正プログラムを適用し、パッチが適用されていない脆弱性によるリスクを軽減します。