Microsoft Intune configureren voor Zero Trust: Beveiligde apparaten (preview)

Het beveiligen van eindpunten is een essentieel onderdeel van een Zero Trust-strategie. Deze Intune aanbevelingen helpen uw netwerkperimeter en -apparaten te beschermen via beleidsgestuurde besturingselementen die versleuteling afdwingen, onbevoegde toegang beperken en de blootstelling aan beveiligingsproblemen verminderen. Door configuratie- en beveiligingsbeleid op verschillende platforms toe te passen, komen deze controles overeen met het Secure Future Initiative van Microsoft en versterken ze de algehele beveiligingspostuur van uw organisatie.

Zero Trust beveiligingsaanbeveling

Lokale beheerdersreferenties in Windows worden beveiligd door Windows LAPS

Zonder lokaal beleid voor beheerderswachtwoordoplossing (LAPS) af te dwingen, kunnen bedreigingsactoren die toegang krijgen tot eindpunten statische of zwakke lokale beheerderswachtwoorden misbruiken om bevoegdheden te escaleren, lateraal te verplaatsen en persistentie tot stand te brengen. De aanvalsketen begint meestal met inbreuk op het apparaat, via phishing, malware of fysieke toegang, gevolgd door pogingen om lokale beheerdersreferenties te verzamelen. Zonder LAPS kunnen aanvallers gecompromitteerde referenties op meerdere apparaten hergebruiken, waardoor het risico op escalatie van bevoegdheden en domeinbrede inbreuk toeneemt.

Het afdwingen van Windows LAPS op alle zakelijke Windows-apparaten zorgt voor unieke, regelmatig gerouleerde lokale beheerderswachtwoorden. Dit verstoort de aanvalsketen in de fasen van toegang tot referenties en laterale verplaatsingen, waardoor het risico op wijdverspreide inbreuk aanzienlijk wordt verminderd.

Herstelactie

Gebruik Intune om Windows LAPS-beleid af te dwingen dat sterke en unieke lokale beheerderswachtwoorden roteert en die er veilig een back-up van maken:

• Windows LAPS-beleid implementeren met Microsoft Intune

Zie voor meer informatie:

• Naslaginformatie over beleidsinstellingen voor Windows LAPS
• Meer informatie over Intune ondersteuning voor Windows LAPS

Lokale beheerdersreferenties in macOS worden tijdens de inschrijving beveiligd door macOS LAPS

Zonder macOS LAPS-beleid af te dwingen tijdens Geautomatiseerde apparaatinschrijving (ADE), kunnen bedreigingsactoren statische of hergebruikte lokale beheerderswachtwoorden misbruiken om bevoegdheden te escaleren, lateraal te verplaatsen en persistentie tot stand te brengen. Apparaten die zonder gerandomiseerde referenties zijn ingericht, zijn kwetsbaar voor het verzamelen en hergebruik van referenties op meerdere eindpunten, waardoor het risico op inbreuk op het hele domein toeneemt.

Het afdwingen van macOS LAPS zorgt ervoor dat elk apparaat wordt ingericht met een uniek, versleuteld lokaal beheerderswachtwoord dat wordt beheerd door Intune. Dit verstoort de aanvalsketen in de fasen van toegang tot referenties en laterale verplaatsing, waardoor het risico op wijdverspreide inbreuk aanzienlijk wordt verminderd en wordt afgestemd op Zero Trust principes van minimale bevoegdheden en referentiehygiëne.

Herstelactie

Gebruik Intune om macOS ADE-profielen te configureren die een lokaal beheerdersaccount inrichten met een gerandomiseerd en versleuteld wachtwoord en die veilige rotatie mogelijk maakt:

• macOS-LAPS configureren in Microsoft Intune
• Lokaal beheerderswachtwoord draaien (macOS)

Zie voor meer informatie:

• installatiehandleiding voor macOS ADE

Lokaal accountgebruik in Windows is beperkt om onbevoegde toegang te verminderen

Zonder een correct geconfigureerd en toegewezen lokaal gebruikers- en groepenbeleid in Intune, kunnen bedreigingsactoren onbeheerde of onjuist geconfigureerde lokale accounts op Windows-apparaten misbruiken. Dit kan leiden tot escalatie van onbevoegde bevoegdheden, persistentie en laterale verplaatsing binnen de omgeving. Als lokale beheerdersaccounts niet worden beheerd, kunnen aanvallers verborgen accounts maken of bevoegdheden verhogen, waardoor nalevings- en beveiligingscontroles worden overgeslagen. Deze lacune verhoogt het risico op gegevensexfiltratie, implementatie van ransomware en niet-naleving van regelgeving.

Ervoor zorgen dat beleid voor lokale gebruikers en groepen wordt afgedwongen op beheerde Windows-apparaten, met behulp van accountbeveiligingsprofielen, is essentieel voor het onderhouden van een veilige en compatibele apparaatpark.

Herstelactie

Configureer en implementeer een lidmaatschapsprofiel voor lokale gebruikersgroepen vanuit Intune accountbeveiligingsbeleid om het gebruik van lokale accounts op Windows-apparaten te beperken en te beheren:

• Een accountbeveiligingsbeleid maken voor eindpuntbeveiliging in Intune
• Beleid toewijzen in Intune

Gegevens in Windows worden beveiligd met BitLocker-versleuteling

Zonder een correct geconfigureerd en toegewezen BitLocker-beleid in Intune, kunnen bedreigingsactoren niet-versleutelde Windows-apparaten misbruiken om onbevoegde toegang te krijgen tot gevoelige bedrijfsgegevens. Apparaten zonder afgedwongen versleuteling zijn kwetsbaar voor fysieke aanvallen, zoals schijfverwijdering of opstarten vanaf externe media, waardoor aanvallers de beveiligingscontroles van het besturingssysteem kunnen omzeilen. Deze aanvallen kunnen leiden tot gegevensexfiltratie, diefstal van referenties en verdere laterale verplaatsing binnen de omgeving.

Het afdwingen van BitLocker op beheerde Windows-apparaten is essentieel voor de naleving van de voorschriften voor gegevensbescherming en voor het verminderen van het risico op gegevensschendingen.

Herstelactie

Gebruik Intune om BitLocker-versleuteling af te dwingen en naleving te bewaken op alle beheerde Windows-apparaten:

• Een BitLocker-beleid maken voor Windows-apparaten in Intune
• Beleid toewijzen in Intune
• Apparaatversleuteling bewaken met Intune

FileVault-versleuteling beschermt gegevens op macOS-apparaten

Zonder correct geconfigureerd en toegewezen FileVault-versleutelingsbeleid in Intune, kunnen bedreigingsactoren fysieke toegang tot niet-beheerde of onjuist geconfigureerde macOS-apparaten misbruiken om gevoelige bedrijfsgegevens te extraheren. Met niet-versleutelde apparaten kunnen aanvallers beveiliging op besturingssysteemniveau omzeilen door op te starten vanaf externe media of het opslagstation te verwijderen. Deze aanvallen kunnen referenties, certificaten en verificatietokens in de cache beschikbaar maken, waardoor escalatie van bevoegdheden en laterale verplaatsing mogelijk is. Bovendien ondermijnen niet-versleutelde apparaten de naleving van de voorschriften voor gegevensbescherming en vergroten ze het risico op reputatieschade en financiële sancties in het geval van een schending.

Het afdwingen van FileVault-versleuteling beschermt data-at-rest op macOS-apparaten, zelfs bij verlies of diefstal. Het verstoort het verzamelen van referenties en laterale verplaatsingen, ondersteunt naleving van regelgeving en is afgestemd op Zero Trust principes van apparaatvertrouwen.

Herstelactie

Gebruik Intune om FileVault-versleuteling af te dwingen en naleving te bewaken op alle beheerde macOS-apparaten:

• Een FileVault-schijfversleutelingsbeleid voor macOS maken in Intune
• Beleid toewijzen in Intune
• Apparaatversleuteling bewaken met Intune

Verificatie in Windows maakt gebruik van Windows Hello voor Bedrijven

Als beleidsregels voor Windows Hello voor Bedrijven (WHfB) niet zijn geconfigureerd en toegewezen aan alle gebruikers en apparaten, kunnen bedreigingsactoren gebruikmaken van zwakke verificatiemechanismen, zoals wachtwoorden, om onbevoegde toegang te krijgen. Dit kan leiden tot diefstal van referenties, escalatie van bevoegdheden en laterale verplaatsing binnen de omgeving. Zonder sterke, beleidsgestuurde verificatie zoals WHfB, kunnen aanvallers apparaten en accounts in gevaar komen, waardoor het risico op wijdverspreide gevolgen toeneemt.

Het afdwingen van WHfB verstoort deze aanvalsketen door sterke, meervoudige verificatie te vereisen, waardoor het risico op aanvallen op basis van referenties en onbevoegde toegang wordt verminderd.

Herstelactie

Implementeer Windows Hello voor Bedrijven in Intune om sterke, meervoudige verificatie af te dwingen:

• Configureer een tenantbreed Windows Hello voor Bedrijven-beleid dat van toepassing is op het moment dat een apparaat wordt ingeschreven bij Intune.
• Configureer na de inschrijving accountbeveiligingsprofielen en wijs verschillende configuraties voor Windows Hello voor Bedrijven toe aan verschillende groepen gebruikers en apparaten.

Regels voor het verminderen van kwetsbaarheid voor aanvallen worden toegepast op Windows-apparaten om misbruik van kwetsbare systeemonderdelen te voorkomen

Als Intune profielen voor ASR-regels (Attack Surface Reduction) niet correct zijn geconfigureerd en toegewezen aan Windows-apparaten, kunnen bedreigingsactoren niet-beveiligde eindpunten misbruiken om verborgen scripts uit te voeren en Win32-API-aanroepen aan te roepen vanuit Office-macro's. Deze technieken worden vaak gebruikt bij phishingcampagnes en het leveren van malware, waardoor aanvallers de traditionele antivirusbeveiliging kunnen omzeilen en in eerste instantie toegang kunnen krijgen. Eenmaal binnen escaleren aanvallers bevoegdheden, zorgen ze voor persistentie en verplaatsen ze zich lateraal over het netwerk. Zonder ASR-afdwinging blijven apparaten kwetsbaar voor aanvallen op basis van scripts en macro-misbruik, waardoor de effectiviteit van Microsoft Defender wordt ondermijnd en gevoelige gegevens wordt blootgesteld aan exfiltratie. Deze lacune in endpoint protection vergroot de kans op succesvolle inbreuk en vermindert het vermogen van de organisatie om bedreigingen in te perken en erop te reageren.

Het afdwingen van ASR-regels helpt veelvoorkomende aanvalstechnieken te blokkeren, zoals uitvoering op basis van scripts en macromisbruik, waardoor het risico op initiële inbreuk wordt verminderd en Zero Trust wordt ondersteund door eindpuntbeveiliging te verbeteren.

Herstelactie

Gebruik Intune om profielen voor kwetsbaarheidsbeperkingsregels voor Windows-apparaten te implementeren om gedrag met een hoog risico te blokkeren en eindpuntbeveiliging te versterken:

• Intune-profielen configureren voor regels voor het verminderen van kwetsbaarheid voor aanvallen
• Beleid toewijzen in Intune

Zie voor meer informatie:

• Verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen in de documentatie Microsoft Defender.

Defender Antivirus beleid om Windows-apparaten te beschermen tegen malware

Als beleidsregels voor Microsoft Defender Antivirus niet correct zijn geconfigureerd en toegewezen in Intune, kunnen bedreigingsactoren misbruik maken van niet-beveiligde eindpunten om malware uit te voeren, antivirusbeveiligingen uit te schakelen en binnen de omgeving te blijven. Zonder afgedwongen antivirusbeleid werken apparaten met verouderde definities, uitgeschakelde realtime-beveiliging of onjuist geconfigureerde scanschema's. Door deze hiaten kunnen aanvallers detectie omzeilen, bevoegdheden escaleren en zich lateraal over het netwerk verplaatsen. De afwezigheid van antivirus afdwingen ondermijnt de naleving van apparaten, verhoogt de blootstelling aan zero-day-bedreigingen en kan leiden tot niet-naleving van regelgeving. Aanvallers maken gebruik van deze zwakke punten om persistentie te behouden en detectie te omzeilen, met name in omgevingen zonder gecentraliseerde beleidsafdwinging.

Het afdwingen van Defender Antivirus-beleid zorgt voor consistente bescherming tegen malware, ondersteunt realtime detectie van bedreigingen en wordt afgestemd op Zero Trust door een veilige en compatibele eindpuntpostuur te behouden.

Herstelactie

Configureer en wijs Intune beleid voor Microsoft Defender Antivirus toe om realtime-beveiliging af te dwingen, definities up-to-date te houden en blootstelling aan malware te verminderen:

• Intune-beleid configureren om Microsoft Defender Antivirus te beheren
• Beleid toewijzen in Intune

Defender Antivirus beleid macOS-apparaten beschermen tegen malware

Als Microsoft Defender Antivirusbeleid niet correct is geconfigureerd en toegewezen aan macOS-apparaten in Intune, kunnen aanvallers misbruik maken van niet-beveiligde eindpunten om malware uit te voeren, antivirusbeveiligingen uit te schakelen en in de omgeving te blijven. Zonder afgedwongen beleid voeren apparaten verouderde definities uit, ontbreken realtime-beveiliging of hebben onjuist geconfigureerde scanschema's, waardoor het risico op niet-gedetecteerde bedreigingen en escalatie van bevoegdheden toeneemt. Dit maakt laterale verplaatsing in het netwerk, het verzamelen van referenties en gegevensexfiltratie mogelijk. De afwezigheid van antivirus afdwingen ondermijnt de naleving van apparaten, verhoogt de blootstelling van eindpunten aan zero-day-bedreigingen en kan leiden tot niet-naleving van regelgeving. Aanvallers gebruiken deze hiaten om persistentie te behouden en detectie te omzeilen, met name in omgevingen zonder gecentraliseerde beleidsafdwinging.

Het afdwingen van Defender Antivirus-beleid zorgt ervoor dat macOS-apparaten consistent worden beveiligd tegen malware, realtime detectie van bedreigingen ondersteunt en wordt afgestemd op Zero Trust door een veilige en compatibele eindpuntpostuur te behouden.

Herstelactie

Gebruik Intune om Microsoft Defender antivirusbeleid voor macOS-apparaten te configureren en toe te wijzen om realtime-beveiliging af te dwingen, bijgewerkte definities te onderhouden en de blootstelling aan malware te verminderen:

• Intune-beleid configureren om Microsoft Defender Antivirus te beheren
• Beleid toewijzen in Intune

Windows Firewall-beleid beschermt tegen onbevoegde netwerktoegang

Als beleidsregels voor Windows Firewall niet zijn geconfigureerd en toegewezen, kunnen bedreigingsactoren niet-beveiligde eindpunten misbruiken om onbevoegde toegang te krijgen, lateraal te verplaatsen en bevoegdheden binnen de omgeving te escaleren. Zonder afgedwongen firewallregels kunnen aanvallers netwerksegmentatie omzeilen, gegevens exfiltreren of malware implementeren, waardoor het risico op wijdverspreide aanvallen toeneemt.

Het afdwingen van Windows Firewall-beleid zorgt voor een consistente toepassing van binnenkomende en uitgaande verkeerscontroles, vermindert blootstelling aan onbevoegde toegang en ondersteunt Zero Trust via netwerksegmentatie en beveiliging op apparaatniveau.

Herstelactie

Configureer en wijs firewallbeleid voor Windows in Intune toe om onbevoegd verkeer te blokkeren en consistente netwerkbeveiliging af te dwingen op alle beheerde apparaten:

• Firewallbeleid configureren voor Windows-apparaten. Intune gebruikt twee aanvullende profielen om firewallinstellingen te beheren:
  • Windows Firewall : gebruik dit profiel om het algehele firewallgedrag te configureren op basis van het netwerktype.
  • Windows Firewall-regels : gebruik dit profiel om verkeersregels te definiëren voor apps, poorten of IP-adressen, afgestemd op specifieke groepen of workloads. Dit Intune-profiel ondersteunt ook het gebruik van herbruikbare instellingengroepen om het beheer te vereenvoudigen van algemene instellingen die u gebruikt voor verschillende profielexemplaren.
• Beleid toewijzen in Intune

Zie voor meer informatie:

• Beschikbare Windows Firewall-instellingen

macOS Firewall-beleid beschermt tegen onbevoegde netwerktoegang

Zonder centraal beheerd firewallbeleid kunnen macOS-apparaten afhankelijk zijn van standaardinstellingen of door de gebruiker aangepaste instellingen, die vaak niet voldoen aan de beveiligingsstandaarden van het bedrijf. Hierdoor worden apparaten blootgesteld aan ongevraagde binnenkomende verbindingen, waardoor bedreigingsactoren misbruik kunnen maken van beveiligingsproblemen, uitgaand C2-verkeer (command-and-control) kunnen opzetten voor gegevensexfiltratie en lateraal binnen het netwerk kunnen bewegen, waardoor het bereik en de impact van een inbreuk aanzienlijk worden geëscaleerd.

Het afdwingen van macOS Firewall-beleid zorgt voor een consistente controle over binnenkomend en uitgaand verkeer, vermindert blootstelling aan onbevoegde toegang en ondersteunt Zero Trust via beveiliging op apparaatniveau en netwerksegmentatie.

Herstelactie

Configureer en wijs macOS Firewall-profielen toe in Intune om onbevoegd verkeer te blokkeren en consistente netwerkbeveiliging af te dwingen op alle beheerde macOS-apparaten:

• De ingebouwde firewall op macOS-apparaten configureren
• Beleid toewijzen in Intune

Zie voor meer informatie:

• Beschikbare macOS-firewallinstellingen

Windows Update beleid wordt afgedwongen om het risico van niet-gepatchte beveiligingsproblemen te verminderen

Als Windows Update beleid niet wordt afgedwongen op alle Windows-apparaten van het bedrijf, kunnen bedreigingsactoren niet-gepatchte beveiligingsproblemen misbruiken om onbevoegde toegang te krijgen, bevoegdheden te escaleren en zich lateraal binnen de omgeving te verplaatsen. De aanvalsketen begint vaak met inbreuk op het apparaat via phishing, malware of misbruik van bekende beveiligingsproblemen, en wordt gevolgd door pogingen om beveiligingscontroles te omzeilen. Zonder afgedwongen updatebeleid maken aanvallers gebruik van verouderde software om in de omgeving te blijven, waardoor het risico op escalatie van bevoegdheden en domeinbrede inbreuk toeneemt.

Het afdwingen van Windows Update-beleid zorgt voor tijdige patching van beveiligingsfouten, het verstoren van de persistentie van aanvallers en het verminderen van het risico op wijdverspreide inbreuk.

Herstelactie

Begin met Windows-software-updates beheren in Intune om inzicht te verkrijgen in de beschikbare Windows Update beleidstypen en hoe u deze configureert.

Intune bevat het volgende Beleidstype Voor Windows-updates:

• Windows-beleid - voor kwaliteitsupdatesom de reguliere maandelijkse updates voor Windows te installeren.
• Updatesbeleid versnellen - om snel kritieke beveiligingspatches te installeren.
• Beleid voor functie-updates
• Ringenbeleid bijwerken - om te beheren hoe en wanneer apparaten functie- en kwaliteitsupdates installeren.
• Updates van Windows-stuurprogramma's - om hardwareonderdelen bij te werken.

Beveiligingsbasislijnen worden toegepast op Windows-apparaten om de beveiligingspostuur te versterken

Zonder correct geconfigureerd en toegewezen Intune beveiligingsbasislijnen voor Windows, blijven apparaten kwetsbaar voor een breed scala aan aanvalsvectoren die bedreigingsactoren misbruiken om persistentie te verkrijgen en bevoegdheden te escaleren. Kwaadwillenden maken gebruik van standaard Windows-configuraties zonder beveiligde beveiligingsinstellingen om laterale bewegingen uit te voeren met behulp van technieken zoals referentiedumping, escalatie van bevoegdheden via niet-gepatchte beveiligingsproblemen en misbruik van zwakke verificatiemechanismen. Als er geen afgedwongen beveiligingsbasislijnen zijn, kunnen bedreigingsactoren kritieke beveiligingscontroles omzeilen, persistentie handhaven via registerwijzigingen en gevoelige gegevens exfiltreren via niet-bewaakte kanalen. Het niet implementeren van een diepgaande verdedigingsstrategie maakt apparaten gemakkelijker te misbruiken naarmate aanvallers de aanvalsketen doorlopen, van initiële toegang tot gegevensexfiltratie, waardoor uiteindelijk de beveiligingsstatus van de organisatie in gevaar komt en het risico op nalevingsschendingen toeneemt.

Het toepassen van beveiligingsbasislijnen zorgt ervoor dat Windows-apparaten zijn geconfigureerd met beveiligde instellingen, waardoor de kwetsbaarheid voor aanvallen wordt verminderd, diepgaande verdediging wordt afgedwongen en Zero Trust wordt ondersteund door beveiligingscontroles in de omgeving te standaardiseren.

Herstelactie

Configureer en wijs Intune beveiligingsbasislijnen toe aan Windows-apparaten om gestandaardiseerde beveiligingsinstellingen af te dwingen en naleving te bewaken:

• Beveiligingsbasislijnen implementeren om Windows-apparaten te beveiligen
• Naleving van beveiligingsbasislijn bewaken

Updatebeleid voor macOS wordt afgedwongen om het risico van niet-gepatchte beveiligingsproblemen te verminderen

Als macOS-updatebeleidsregels niet correct zijn geconfigureerd en toegewezen, kunnen bedreigingsactoren niet-gepatchte beveiligingsproblemen op macOS-apparaten binnen de organisatie misbruiken. Zonder afgedwongen updatebeleid blijven apparaten op verouderde softwareversies staan, waardoor de kwetsbaarheid voor aanvallen wordt vergroot voor escalatie van bevoegdheden, externe code-uitvoering of persistentietechnieken. Bedreigingsactoren kunnen gebruikmaken van deze zwakke punten om initiële toegang te krijgen, bevoegdheden te escaleren en zich lateraal binnen de omgeving te verplaatsen. Als er beleid bestaat, maar niet wordt toegewezen aan apparaatgroepen, blijven eindpunten onbeveiligd en worden hiaten in de naleving niet gedetecteerd. Dit kan leiden tot wijdverspreide inbreuk, gegevensexfiltratie en operationele onderbrekingen.

Het afdwingen van macOS-updatebeleid zorgt ervoor dat apparaten tijdig patches ontvangen, waardoor het risico op exploitatie wordt verminderd en Zero Trust wordt ondersteund door een veilige, compatibele apparaatpark te onderhouden.

Herstelactie

Configureer en wijs macOS-updatebeleidsregels toe in Intune om tijdige patches af te dwingen en het risico van niet-gepatchte beveiligingsproblemen te verminderen:

• MacOS-software-updates beheren in Intune

Updatebeleidsregels voor iOS/iPadOS worden afgedwongen om het risico van niet-gepatchte beveiligingsproblemen te verminderen

Als iOS-updatebeleidsregels niet zijn geconfigureerd en toegewezen, kunnen bedreigingsactoren gebruikmaken van niet-gepatchte beveiligingsproblemen in verouderde besturingssystemen op beheerde apparaten. Door het ontbreken van afgedwongen updatebeleid kunnen aanvallers bekende aanvallen gebruiken om initiële toegang te krijgen, bevoegdheden te escaleren en zich lateraal binnen de omgeving te verplaatsen. Zonder tijdige updates blijven apparaten vatbaar voor aanvallen die al door Apple zijn aangepakt, waardoor bedreigingsactoren beveiligingscontroles kunnen omzeilen, malware kunnen implementeren of gevoelige gegevens kunnen exfiltreren. Deze aanvalsketen begint met inbreuk op het apparaat via een niet-gepatchte kwetsbaarheid, gevolgd door persistentie en mogelijke gegevensinbreuken die van invloed zijn op zowel de beveiliging van de organisatie als de nalevingspostuur.

Het afdwingen van updatebeleid verstoort deze keten door ervoor te zorgen dat apparaten consistent worden beschermd tegen bekende bedreigingen.

Herstelactie

Configureer en wijs iOS-/iPadOS-updatebeleid toe in Intune om tijdige patches af te dwingen en het risico van niet-gepatchte beveiligingsproblemen te verminderen:

• iOS-/iPadOS-software-updates beheren in Intune
• Beleid toewijzen in Intune

Verwante onderwerpen

• Implementatiehandleiding voor Microsoft Intune
• Gegevens en apparaten beveiligen met Microsoft Intune
• Microsoft Entra configureren voor betere beveiliging (preview)
• Microsoft Intune configureren voor betere beveiliging (preview)