Hopp til hovedinnhold

Endepunktssikkerhet med Microsoft Intune

Logo letter
Evelon AS
Jon-Alfred Smith
Bilde av en lapp hvor det står enpoint security

Sikkerheten i Microsoft 365 er identitetsdreven og sentrert rundt ressurstilganger, avgjørende komponenter i modellene for Null tillit (Zero Trust). Identiteter er brukere, enheter og applikasjoner – alt som kan bekrefte at de er den de utgir seg for (autentisering), og som kan gis adgang til å utføre bestemte handlinger (autorisering). Endepunktsbeskyttelse utgjør en viktig del. I vår rettsoppfatning er personer uskyldige inntil det motsatte er bevist; i Null tillit er identiteter skyldige inntil de har gjort seg fortjent til eller har opparbeidet tillit. Vi må kunne stole på endepunktene brukere logger seg på fra. Enhetene inngår i godkjennelsesprosessen.

De bør være registrert i vårt system for enhets- og applikasjonsbehandling, som er Microsoft Intune. De må være konfigurert i samsvar med våre retningslinjer. Programvaren må holdes oppdatert, så den ikke oppviser kjente sårbarheter. Enhetene må ikke vise tegn på at de er infisert med skadevare. Angrepsflaten må være redusert og sørge for proaktive beskyttelse, til forskjell fra den reaktive sikkerhet vi stort sett har i tradisjonelle nettverksperimetere. Vi kan også opererere med uregistrerte enheter, men i så fall bør vi benytte appbeskyttelsespolicyer for å oppnå det samme vi gjør med enheter, apper som deltar i autentiseringen og gis tilganger.

Konfigurasjonsprofiler

endepunktssikkerhet1

Administrasjonsportalen kalles Microsoft Endpoint Manager, en paraply for Microsoft Intune og Microsoft Endpoint Configuration Manager, som i fellesskap kan administrere forskjellige funksjoner på de samme enhetene i et co-management-scenario. Tre andre produkter hører også med: Desktop Analytics, Windows Autopilot og Endpoint Analytics.

Konfigurasjonsprofiler gjør stort sett det samme som gruppepolicyer i Windows Active Directory (AD). Men det er også noen forskjeller. Det er i tillegg til Windows støtte for macOS, iOS/IPadOS, Android og snart Linux. Det er langt færre av dem, selv om det stadig importeres flere policyobjekter fra Windows AD. Vi trenger ikke så mange – en annen tid, andre behov.

Vi er ikke ute etter å lobotomere enheter, skreddersy dem til utelukkende den jobben som skal utføres. Vi ønsker primært å sikre dem og virksomheten vår, dernest gjøre livet enklere for brukere. Filosofien i dag er å åpne for trivsel og kreativitet, som erfaringsmessig fører til økt produktivitet. I alt vesentlig sørger profilene i skjermbildet ovenfor for sikkerhetsinnstillinger, noe som ligger i kategoriene Endpoint protection og Device restrictions. Administrative Templates er policyer fra Windows AD. Vi kan imidlertid håndtere endepunktsbeskyttelsen langt mer effektivt – da i tråd med Microsofts anbefalinger om beste praksis – ved hjelp av Endpoint security.

Endepunktssikkerhet

endepunktssikkerhet2

Klikk på Endpoint security i Intune. Her beskytter og sikrer du alle enheter fra ett sted. Du aktiverer, konfigurer og distribuerer Microsoft Defender for Endpoint for å forhindre sikkerhetsbrudd og får innsyn i organisasjonens sikkerhetsstatus. Med Microsofts anbefalte sikkerhetsinnstillinger tildeler du raskt grunnlinjer, uten at du trenger bla deg gjennom haugevis av dokumentasjon. Det er forenklede sikkerhetspolicyer for antivirus, diskkryptering og brannmur for Windows og macOS. Det er policyer for reduksjon av angrepsflater (bare Windows), endepunktdeteksjon og respons, samt konto-beskyttelse. Med Utbedring av endepunktssvakheter kan du fjerne sårbarheter rapportert av Defender for Endpoint og Trussel- og sårbarhetsbehandling.

Anbefalte sikkerhetsgrunnlinjer

endepunktssikkerhet3

Intune kommer med fire sikkerhetsgrunnlinjer som gjenspeiler Microsofts vurdering av beste praksis:

  • Security Baseline for Windows 10 and later
  • Microsoft Defender for Endpoint Baseline
  • Microsoft Edge Baseline
  • Windows 365 Security Baseline (Preview)

Du kan redigere og tilpasse grunnlinjene for så å tildele dem. Det har vært en lang debatt om hvem som skal få policyene: brukere, maskiner eller begge deler. Reglene er klarlagt: Alltid bare brukere – enheter kun når det er maskinspesifikt.

endepunktssikkerhet4

Her er det opprettet en profil for Windows 10 Security Baseline, allerede lenge før Windows 11, derav navnet. Profilene oppdateres fra tid til annen, og da kan du velge om du vil slå sammen den gamle med den nye. Du kan også erstatte den.

endepunktssikkerhet6

Det er et hav av innstillinger som konfigureres. Men enkelte steder må du inn for å tilpasse policyen, som her med å aktivere Client basic authentication for å administrere Exchange med PowerShell.

Forenklede sikkerhetspolicyer

endepunktssikkerhet7

Det er mye enklere å finne frem i disse konfigurasjonsprofilene. Microsoft Defender Antivirus er forresten fullt på høyde med de beste antivirusløsningene. Foruten signaturer benytter den lokalt heuristikk, atferdsanalyse og maskinlæring og kommuniserer med tilsvarende moduler i skyen, der den også har tilgang til et detonasjonskammer for videre analyse av ukjent skadevare. Enkelte avanserte funksjoner, så som regler for angrepsflatereduksjon, krever at Defender Antivirus kjører i aktiv modus uten tredjepartsløsning.

Regler for angrepsflatereduksjon

Regler for angrepsflatereduksjon kom i sin tid som en gigantisk oppdatering for Defender Antivirus. Reglene kan konfigureres og rulles ut med Windows AD-gruppepolicyer, Configuration Manager og PowerShell. Men mest elegant er det med Intune.

endepunktssikkerhet8

ASR-regler (Attack Surface Reduction) eller Regler for reduksjon av angrepsoverflaten tar sikte på å hindre spesifikke aktiviteter som ofte brukes i forskjellige typer angrep. De fleste dekker egenskaper i Microsoft Office-produkter, andre er mer generelle. For enkelte av reglene kan du velge mellom Ikke konfigurert, Aktiver, Brukerdefinert, Overvåkingsmodus, Advar. For andre står valget mellom Ikke konfigurert, Blokker, Overvåkingsmodus og Deaktiver.

endepunktssikkerhet9

Du bør ikke aktivere noen av reglene før du har kontrollert om de ødelegger for applikasjoner som benyttes i virksomheten din. Det elegante med Defender for Endpoint er at du kan få ut rapporter, og du slipper å foreta overvåkingen ved å gå inn i Hendelseslisten på berørte enheter.

Sikkerhetsoppgaver

endepunktssikkerhet10

I Defender for Endpoint kan du be om at forskjellige oppgaver skal utføres, så som å oppdatere eller konfigurere programvare. Disse forespørslene legges inn under Sikkerhetsoppgaver. Det er ideelt for større organisasjoner som har atskilte avdelinger for sikkerhet og IT-administrasjon.

Samsvarspolicyer

endepunktssikkerhet11

Med samsvarspolicyer angir vi en rekke krav en enhet må oppfylle før vi godtar at en bruker kan logge på fra den, som operativsystemnivå, kryptert lagring og PIN. Viktig for oss her er hvis Defender for Endpoint oppdager mistenkelige aktiviteter som tyder på skadevare, er enheten ikke i samsvar. Dermed aksepteres ikke påloggingen før truslene er utbedret.

Microsoft Sikkerhetsvurdering

endepunktssikkerhet12

Sikkerhetsvurderingen bestemmes av tre størrelser: sikring av brukeridentiteter, beskyttelse av endepunkter og konfigurasjon av applikasjoner. Det mest variable er enheter; de kommer og går. Endringer du foretar i konfigurasjonsprofiler, reflekteres ofte ikke før etter flere døgn. Men du får opp skåren for dem i betydelig grad ved å benytte deg av funksjonene du finner under Endpoint security i Intune. Spesielt effektivt er å ta i bruk sikkerhetsgrunnlinjene. For de resterende topp forbedringshandlingene guides du gjennom oppsettet med kortfattede forklaringer og henvisninger til Microsoft Docs.

Avsluttende ord

Tillit er en sårbarhet. Vi kan ikke sette opp en neste generasjons brannmur rundt Microsoft 365. Og vi ønsker det heller ikke. Vi er utsatt for et økende antall angrep med avanserte vedvarende trusler (APTer) som bryter seg inn i virksomheten og planter trojanere med fjerntilgang. Menneskestyrte løsepengevirus ødelegger Windows AD og backuper, ekstraherer og krypterer våre data. Dette har for lengst motbevist antakelsen om at alt innenfor nettverket er trygt, og at vi bare har å gjøre med ansvarsbevisste personer der. Tvert imot ser vi ansatte som utilsiktet lekker data, identiteter som er kompromitterte, og innsidetrusler.

Egentlig finnes det ikke noe inne eller ute lenger. Brannmuren, om du vil, er vår identitets-, enhets-, og appbeskyttelse – dynamiske størrelser i et virtuelt rom. Naturligvis skal vi ikke gi avkall på nettverksperimetere. Men de må se helt annerledes ut enn vi er vant til. Sikkerheten må ta utgangspunkt i at vi ikke stoler på noe før vi eksplisitt har verifisert det. Identiteter må gis akkurat de tilgangene de trenger, ikke mer. Arkitekturen må være utformet for å håndtere sikkerhetsbrudd og redusere skadeomfanget. Denne modellen eller filosofien går under betegnelsen Null tillit. Klarerte enheter utgjør en sentral del og inngår i et proaktivt dybdeforsvar.

Publisert:

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!