Configurar Microsoft Intune para Confiança Zero: Dispositivos seguros (Pré-visualização)

Proteger pontos finais é uma parte fundamental de uma estratégia de Confiança Zero. Estas Intune recomendações ajudam a proteger o perímetro da rede e os dispositivos através de controlos orientados por políticas que impõem a encriptação, restringem o acesso não autorizado e reduzem a exposição a vulnerabilidades. Ao aplicar políticas de configuração e segurança em várias plataformas, estas verificações alinham-se com a Iniciativa Secure Future da Microsoft e reforçam a postura de segurança geral da sua organização.

Confiança Zero recomendações de segurança

As credenciais de administrador local no Windows estão protegidas pelo Windows LAPS

Sem impor políticas de Solução de Palavra-passe de Administrador Local (LAPS), os atores de ameaças que obtêm acesso aos pontos finais podem explorar palavras-passe de administrador local estáticas ou fracas para escalar privilégios, mover-se lateralmente e estabelecer persistência. Normalmente, a cadeia de ataques começa com o comprometimento do dispositivo , através de phishing, software maligno ou acesso físico, seguido de tentativas de recolha de credenciais de administrador local. Sem a LAPS, os atacantes podem reutilizar credenciais comprometidas em vários dispositivos, aumentando o risco de escalamento de privilégios e compromisso em todo o domínio.

A imposição do Windows LAPS em todos os dispositivos Windows empresariais garante palavras-passe de administrador local exclusivas e regularmente rodadas. Isto interrompe a cadeia de ataques nas fases de acesso a credenciais e movimento lateral, reduzindo significativamente o risco de compromisso generalizado.

Ação de correção

Utilize Intune para impor políticas de LAPS do Windows que rodam palavras-passe de administrador locais fortes e exclusivas e que as efetuam uma cópia de segurança das mesmas de forma segura:

• Implementar a política laps do Windows com Microsoft Intune

Para saber mais, confira:

• Referência das definições de política do Windows LAPS
• Saiba mais sobre Intune suporte para o Windows LAPS

As credenciais de administrador local no macOS são protegidas durante a inscrição pelo macOS LAPS

Sem impor políticas laps do macOS durante a Inscrição Automatizada de Dispositivos (ADE), os atores de ameaças podem explorar palavras-passe de administrador local estáticas ou reutilizadas para escalar privilégios, mover-se lateralmente e estabelecer persistência. Os dispositivos aprovisionados sem credenciais aleatórias são vulneráveis à recolha e reutilização de credenciais em vários pontos finais, aumentando o risco de comprometimento ao nível do domínio.

A imposição de LAPS do macOS garante que cada dispositivo é aprovisionado com uma palavra-passe de administrador local exclusiva e encriptada gerida por Intune. Isto interrompe a cadeia de ataques nas fases de acesso a credenciais e movimento lateral, reduzindo significativamente o risco de compromisso generalizado e alinhando-se com Confiança Zero princípios de menor privilégio e higiene de credenciais.

Ação de correção

Utilize Intune para configurar perfis de ADE do macOS que aprovisionam uma conta de administrador local com uma palavra-passe aleatória e encriptada, o que permite uma rotação segura:

• Configurar o laps do macOS no Microsoft Intune
• Rodar a palavra-passe de administrador local (macOS)

Para saber mais, confira:

• Guia de configuração da ADE do macOS

A utilização da conta local no Windows está restrita para reduzir o acesso não autorizado

Sem uma política de Utilizadores e Grupos Locais corretamente configurada e atribuída no Intune, os atores de ameaças podem explorar contas locais não geridas ou configuradas incorretamente em dispositivos Windows. Isto pode levar a um escalamento de privilégios, persistência e movimento lateral não autorizados dentro do ambiente. Se as contas de administrador local não forem controladas, os atacantes podem criar contas ocultas ou elevar privilégios, ignorando os controlos de conformidade e segurança. Esta lacuna aumenta o risco de transferência de dados, implementação de ransomware e não conformidade regulamentar.

Garantir que as políticas utilizadores e grupos locais são impostas em dispositivos Windows geridos, utilizando perfis de proteção de conta, é fundamental para manter uma frota de dispositivos segura e compatível.

Ação de correção

Configure e implemente um perfil de associação a grupos de utilizadores local a partir de Intune política de proteção de conta para restringir e gerir a utilização da conta local em dispositivos Windows:

• Criar uma política de proteção de conta para a segurança de pontos finais no Intune
• Atribuir políticas no Intune

Os dados no Windows estão protegidos pela encriptação BitLocker

Sem uma política BitLocker corretamente configurada e atribuída no Intune, os atores de ameaças podem explorar dispositivos Windows não encriptados para obter acesso não autorizado a dados empresariais confidenciais. Os dispositivos que não têm encriptação imposta são vulneráveis a ataques físicos, como remoção ou arranque do disco a partir de suportes de dados externos, permitindo que os atacantes ignorem os controlos de segurança do sistema operativo. Estes ataques podem resultar em exfiltração de dados, roubo de credenciais e movimento lateral adicional no ambiente.

A imposição do BitLocker em dispositivos Windows geridos é fundamental para a conformidade com os regulamentos de proteção de dados e para reduzir o risco de violações de dados.

Ação de correção

Utilize Intune para impor a encriptação BitLocker e monitorizar a conformidade em todos os dispositivos Windows geridos:

• Criar uma política BitLocker para dispositivos Windows no Intune
• Atribuir políticas no Intune
• Monitorar a criptografia do dispositivo com o Intune

A encriptação FileVault protege os dados em dispositivos macOS

Sem políticas de encriptação FileVault corretamente configuradas e atribuídas no Intune, os atores de ameaças podem explorar o acesso físico a dispositivos macOS não geridos ou configurados incorretamente para extrair dados empresariais confidenciais. Os dispositivos não encriptados permitem que os atacantes ignorem a segurança ao nível do sistema operativo ao arrancar a partir de suportes de dados externos ou ao remover a unidade de armazenamento. Estes ataques podem expor credenciais, certificados e tokens de autenticação em cache, o que permite o escalamento de privilégios e o movimento lateral. Além disso, os dispositivos não encriptados prejudicam a conformidade com os regulamentos de proteção de dados e aumentam o risco de danos reputacionais e sanções financeiras em caso de violação.

A imposição da encriptação FileVault protege os dados inativos em dispositivos macOS, mesmo que sejam perdidos ou roubados. Interrompe a recolha de credenciais e o movimento lateral, suporta a conformidade regulamentar e alinha-se com Confiança Zero princípios de confiança do dispositivo.

Ação de correção

Utilize Intune para impor a encriptação FileVault e monitorizar a conformidade em todos os dispositivos macOS geridos:

• Criar uma política de encriptação de disco FileVault para macOS no Intune
• Atribuir políticas no Intune
• Monitorar a criptografia do dispositivo com o Intune

A autenticação no Windows utiliza Windows Hello para Empresas

Se as políticas para Windows Hello para Empresas (WHfB) não estiverem configuradas e atribuídas a todos os utilizadores e dispositivos, os atores de ameaças podem explorar mecanismos de autenticação fracos ( como palavras-passe) para obter acesso não autorizado. Isto pode levar ao roubo de credenciais, ao escalamento de privilégios e ao movimento lateral no ambiente. Sem uma autenticação forte e orientada por políticas como o WHfB, os atacantes podem comprometer dispositivos e contas, aumentando o risco de impacto generalizado.

A imposição do WHfB interrompe esta cadeia de ataques ao exigir uma autenticação multifator forte, o que ajuda a reduzir o risco de ataques baseados em credenciais e acesso não autorizado.

Ação de correção

Implemente Windows Hello para Empresas no Intune para impor uma autenticação multifator forte:

• Configure uma política de Windows Hello para Empresas ao nível do inquilino que se aplique no momento em que um dispositivo é inscrito com Intune.
• Após a inscrição, configure perfis de proteção de conta e atribua configurações diferentes para Windows Hello para Empresas a diferentes grupos de utilizadores e dispositivos.

As regras de Redução da Superfície de Ataque são aplicadas a dispositivos Windows para impedir a exploração de componentes de sistema vulneráveis

Se Intune perfis para regras de Redução da Superfície de Ataque (ASR) não estiverem corretamente configurados e atribuídos a dispositivos Windows, os atores de ameaças podem explorar pontos finais desprotegidos para executar scripts ocultados e invocar chamadas à API Win32 a partir de macros do Office. Estas técnicas são frequentemente utilizadas em campanhas de phishing e na entrega de software maligno, permitindo que os atacantes ignorem as defesas antivírus tradicionais e obtenham acesso inicial. Uma vez lá dentro, os atacantes aumentam os privilégios, estabelecem persistência e movem-se lateralmente pela rede. Sem a aplicação do ASR, os dispositivos permanecem vulneráveis a ataques baseados em scripts e abuso de macros, minando a eficácia das Microsoft Defender e expondo dados confidenciais à exfiltração. Esta lacuna na proteção de pontos finais aumenta a probabilidade de um compromisso com êxito e reduz a capacidade da organização de conter e responder a ameaças.

A imposição de regras ASR ajuda a bloquear técnicas de ataque comuns, como a execução baseada em scripts e o abuso de macros, reduzindo o risco de compromisso inicial e suportando Confiança Zero ao proteger as defesas de pontos finais.

Ação de correção

Utilize Intune para implementar perfis de Regras de Redução da Superfície de Ataque para dispositivos Windows para bloquear comportamentos de alto risco e reforçar a proteção de pontos finais:

• Configurar perfis de Intune para Regras de Redução da Superfície de Ataque
• Atribuir políticas no Intune

Para saber mais, confira:

• Referência das regras de redução da superfície de ataque na documentação Microsoft Defender.

Defender Antivírus políticas protegem os dispositivos Windows contra software maligno

Se as políticas para o Antivírus Microsoft Defender não estiverem corretamente configuradas e atribuídas no Intune, os atores de ameaças podem explorar pontos finais desprotegidos para executar software maligno, desativar as proteções antivírus e persistir no ambiente. Sem políticas antivírus impostas, os dispositivos funcionam com definições desatualizadas, proteção em tempo real desativada ou agendas de análise configuradas incorretamente. Estas lacunas permitem que os atacantes ignorem a deteção, aumentem os privilégios e se movam lateralmente pela rede. A ausência de imposição antivírus prejudica a conformidade do dispositivo, aumenta a exposição a ameaças de zero dias e pode resultar em não conformidade regulamentar. Os atacantes tiram partido destas fraquezas para manter a persistência e evitar a deteção, especialmente em ambientes sem imposição de política centralizada.

A imposição de políticas de Defender Antivírus garante uma proteção consistente contra software maligno, suporta a deteção de ameaças em tempo real e alinha-se com Confiança Zero ao manter uma postura de ponto final segura e compatível.

Ação de correção

Configure e atribua políticas de Intune para o Antivírus Microsoft Defender para impor proteção em tempo real, manter definições atualizadas e reduzir a exposição a software maligno:

• Configurar políticas de Intune para gerir o Antivírus do Microsoft Defender
• Atribuir políticas no Intune

Defender Antivírus políticas protegem os dispositivos macOS contra software maligno

Se Microsoft Defender políticas antivírus não estiverem corretamente configuradas e atribuídas a dispositivos macOS no Intune, os atacantes podem explorar pontos finais desprotegidos para executar software maligno, desativar as proteções antivírus e persistir no ambiente. Sem políticas impostas, os dispositivos executam definições desatualizadas, não têm proteção em tempo real ou têm agendas de análise configuradas incorretamente, aumentando o risco de ameaças não detetadas e escalamento de privilégios. Isto permite o movimento lateral na rede, a recolha de credenciais e a transferência de dados por transferência de dados. A ausência de imposição antivírus prejudica a conformidade do dispositivo, aumenta a exposição dos pontos finais a ameaças de zero dias e pode resultar em não conformidade regulamentar. Os atacantes utilizam estas lacunas para manter a persistência e evitar a deteção, especialmente em ambientes sem imposição de política centralizada.

A imposição de políticas de Defender Antivírus garante que os dispositivos macOS estão consistentemente protegidos contra software maligno, suporta a deteção de ameaças em tempo real e alinha-se com Confiança Zero ao manter uma postura de ponto final segura e compatível.

Ação de correção

Utilize Intune para configurar e atribuir Microsoft Defender políticas antivírus para dispositivos macOS para impor proteção em tempo real, manter definições atualizadas e reduzir a exposição a software maligno:

• Configurar políticas de Intune para gerir o Antivírus do Microsoft Defender
• Atribuir políticas no Intune

As políticas de Firewall do Windows protegem contra o acesso não autorizado à rede

Se as políticas da Firewall do Windows não estiverem configuradas e atribuídas, os atores de ameaças podem explorar pontos finais desprotegidos para obter acesso não autorizado, mover-se lateralmente e escalar privilégios dentro do ambiente. Sem regras de firewall impostas, os atacantes podem ignorar a segmentação de rede, exfiltrar dados ou implementar software maligno, aumentando o risco de um compromisso generalizado.

A imposição de políticas de Firewall do Windows garante uma aplicação consistente de controlos de tráfego de entrada e saída, reduzindo a exposição ao acesso não autorizado e suportando Confiança Zero através da segmentação de rede e da proteção ao nível do dispositivo.

Ação de correção

Configure e atribua políticas de firewall para o Windows no Intune para bloquear tráfego não autorizado e impor proteções de rede consistentes em todos os dispositivos geridos:

• Configurar políticas de firewall para dispositivos Windows. Intune utiliza dois perfis complementares para gerir as definições da firewall:
  • Firewall do Windows – utilize este perfil para configurar o comportamento geral da firewall com base no tipo de rede.
  • Regras da Firewall do Windows – utilize este perfil para definir regras de tráfego para aplicações, portas ou IPs, adaptadas a grupos ou cargas de trabalho específicos. Este perfil Intune também suporta a utilização de grupos de definições reutilizáveis para ajudar a simplificar a gestão das definições comuns que utiliza para diferentes instâncias de perfil.
• Atribuir políticas no Intune

Para saber mais, confira:

• Definições da Firewall do Windows disponíveis

As políticas de Firewall do macOS protegem contra o acesso não autorizado à rede

Sem uma política de firewall gerida centralmente, os dispositivos macOS podem depender de definições predefinidas ou modificadas pelo utilizador, que muitas vezes não cumprem as normas de segurança empresariais. Isto expõe os dispositivos a ligações de entrada não solicitadas, permitindo que os atores de ameaças explorem vulnerabilidades, estabeleçam tráfego de comando e controlo de saída (C2) para a transferência de dados não solicitados e se movam lateralmente dentro da rede, aumentando significativamente o âmbito e o impacto de uma falha de segurança.

A imposição de políticas de Firewall do macOS garante um controlo consistente sobre o tráfego de entrada e saída, reduzindo a exposição ao acesso não autorizado e suportando Confiança Zero através da proteção ao nível do dispositivo e da segmentação de rede.

Ação de correção

Configure e atribua perfis de Firewall do macOS no Intune para bloquear tráfego não autorizado e impor proteções de rede consistentes em todos os dispositivos macOS geridos:

• Configurar a firewall incorporada em dispositivos macOS
• Atribuir políticas no Intune

Para saber mais, confira:

• Definições de firewall do macOS disponíveis

Windows Update políticas são impostas para reduzir o risco de vulnerabilidades não corrigidas

Se Windows Update políticas não forem impostas em todos os dispositivos Windows empresariais, os atores de ameaças podem explorar vulnerabilidades não recortados para obter acesso não autorizado, escalar privilégios e mover-se lateralmente dentro do ambiente. A cadeia de ataques começa frequentemente com o comprometimento do dispositivo através de phishing, software maligno ou exploração de vulnerabilidades conhecidas e é seguida por tentativas de ignorar controlos de segurança. Sem políticas de atualização impostas, os atacantes tiram partido do software desatualizado para persistirem no ambiente, aumentando o risco de escalamento de privilégios e compromisso ao nível do domínio.

A aplicação de políticas de Windows Update garante a aplicação de patches oportunas de falhas de segurança, perturbando a persistência do atacante e reduzindo o risco de compromisso generalizado.

Ação de correção

Comece por Gerir atualizações de software do Windows no Intune para compreender os tipos de política de Windows Update disponíveis e como configurá-los.

Intune inclui o seguinte tipo de política de atualização do Windows:

• Política - de atualizações de qualidade do Windowspara instalar as atualizações mensais regulares do Windows.
• Agilizar a política - de atualizaçõespara instalar rapidamente patches de segurança críticos.
• Política de atualizações de recursos
• Atualizar política de anéis - para gerir como e quando os dispositivos instalam atualizações de funcionalidade e qualidade.
• Atualizações - do controlador do Windowspara atualizar os componentes de hardware.

As linhas de base de segurança são aplicadas a dispositivos Windows para reforçar a postura de segurança

Sem linhas de base de segurança Intune corretamente configuradas e atribuídas para o Windows, os dispositivos permanecem vulneráveis a uma grande variedade de vetores de ataque que os atores de ameaças exploram para obter persistência e escalar privilégios. Os adversários tiram partido das configurações predefinidas do Windows que carecem de definições de segurança endurecidas para efetuar movimentos laterais através de técnicas como a captura de credenciais, o escalamento de privilégios através de vulnerabilidades não correspondentes e a exploração de mecanismos de autenticação fracos. Na ausência de linhas de base de segurança impostas, os atores de ameaças podem ignorar controlos de segurança críticos, manter a persistência através de modificações de registo e exfiltrar dados confidenciais através de canais não monitorizados. Não implementar uma estratégia de defesa em profundidade torna os dispositivos mais fáceis de explorar à medida que os atacantes progridem através da cadeia de ataques , desde o acesso inicial à transferência de dados não autorizada, comprometendo a postura de segurança da organização e aumentando o risco de violações de conformidade.

A aplicação de linhas de base de segurança garante que os dispositivos Windows estão configurados com definições endurecidas, reduzindo a superfície de ataque, forçando a defesa em profundidade e suportando Confiança Zero ao uniformizar os controlos de segurança em todo o ambiente.

Ação de correção

Configure e atribua Intune linhas de base de segurança a dispositivos Windows para impor definições de segurança padronizadas e monitorizar a conformidade:

• Implementar linhas de base de segurança para ajudar a proteger dispositivos Windows
• Monitorizar a conformidade da linha de base de segurança

As políticas de atualização para macOS são impostas para reduzir o risco de vulnerabilidades não corrigidas

Se as políticas de atualização do macOS não estiverem corretamente configuradas e atribuídas, os atores de ameaças podem explorar vulnerabilidades não recortados em dispositivos macOS na organização. Sem políticas de atualização impostas, os dispositivos permanecem em versões de software desatualizadas, aumentando a superfície de ataque para escalamento de privilégios, execução remota de código ou técnicas de persistência. Os atores de ameaças podem tirar partido destas fraquezas para obter acesso inicial, escalar privilégios e mover-se lateralmente dentro do ambiente. Se existirem políticas, mas não forem atribuídas a grupos de dispositivos, os pontos finais permanecerão desprotegidos e as lacunas de conformidade não serão detetadas. Isto pode resultar num compromisso generalizado, na transferência de dados não autorizada e na interrupção operacional.

A imposição de políticas de atualização do macOS garante que os dispositivos recebem patches oportunos, reduzindo o risco de exploração e suporte Confiança Zero ao manter uma frota de dispositivos segura e compatível.

Ação de correção

Configure e atribua políticas de atualização do macOS no Intune para impor a aplicação de patches em tempo útil e reduzir o risco de vulnerabilidades não corrigidas:

• Gerir atualizações de software macOS no Intune

As políticas de atualização para iOS/iPadOS são impostas para reduzir o risco de vulnerabilidades não corrigidas

Se as políticas de atualização do iOS não estiverem configuradas e atribuídas, os atores de ameaças podem explorar vulnerabilidades não corrigidas em sistemas operativos desatualizados em dispositivos geridos. A ausência de políticas de atualização impostas permite que os atacantes utilizem exploits conhecidos para obter acesso inicial, escalar privilégios e mover-se lateralmente dentro do ambiente. Sem atualizações oportunas, os dispositivos continuam suscetíveis a exploits que já foram resolvidos pela Apple, permitindo que os atores de ameaças ignorem controlos de segurança, implementem software maligno ou exfiltram dados confidenciais. Esta cadeia de ataques começa com o comprometimento do dispositivo através de uma vulnerabilidade não recortado, seguida de persistência e potencial violação de dados que afeta tanto a segurança organizacional como a postura de conformidade.

A imposição de políticas de atualização interrompe esta cadeia ao garantir que os dispositivos estão consistentemente protegidos contra ameaças conhecidas.

Ação de correção

Configure e atribua políticas de atualização do iOS/iPadOS no Intune para impor a aplicação de patches em tempo útil e reduzir o risco de vulnerabilidades não corrigidas:

• Gerir atualizações de software iOS/iPadOS no Intune
• Atribuir políticas no Intune

Conteúdo relacionado

• Guia de implementação para Microsoft Intune
• Proteger dados e dispositivos com o Microsoft Intune
• Configurar Microsoft Entra para maior segurança (Pré-visualização)
• Configurar Microsoft Intune para maior segurança (pré-visualização)