Zero Trust-Strategie des US-amerikanischen Verteidigungsministeriums für die Gerätesäule
Die DoD Zero Trust-Strategie und -Roadmap skizziert einen Weg für die Komponenten des Department of Defense und die Partner der Defense Industrial Base (DIB) zur Einführung eines neuen Cybersicherheitsframeworks, das auf Zero-Trust-Prinzipien basiert. Zero Trust eliminiert herkömmliche Perimeter und Vertrauensannahmen, was eine effizientere Architektur ermöglicht, die die Sicherheit, Benutzerfreundlichkeit und Einsatzleistung verbessert.
Dieser Leitfaden enthält Empfehlungen für die 152 Zero Trust-Aktivitäten in der DoD Zero Trust Capability Execution Roadmap. Die Abschnitte entsprechen den sieben Säulen des DoD Zero Trust-Modells.
Über die folgenden Links gelangen Sie zu den entsprechenden Abschnitten des Leitfadens.
- Einführung
- Benutzer
- Sicherungsmedium
- Anwendungen und Workloads
- Daten
- Network
- Automatisierung und Orchestrierung
- Sichtbarkeit und Analysen
2 Gerät
Dieser Abschnitt enthält Informationen und Empfehlungen von Microsoft für DoD-Zero Trust-Aktivitäten in der Gerätesäule. Weitere Informationen finden Sie unter Schützen von Endpunkten mit Zero Trust.
2.1 Gerätebestand
Microsoft Intune und Microsoft Defender for Endpoint konfigurieren Geräte, bewerten ihre Integrität und erkennen Softwaresicherheitsrisiken für Geräte. Nutzen Sie Microsoft Entra ID und die Microsoft Intune-Integration, um konforme Geräterichtlinien für den Ressourcenzugriff zu erzwingen.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target 2.1.1 Lückenanalyse des GeräteintegritätstoolsDoD-Organisationen entwickeln eine manuelle Bestandserfassung für Geräte innerhalb der Umgebung. Im Bestand nachverfolgte Geräteattribute ermöglichen die Verwendung von Funktionen, die auf der ZTA-Zielebene beschrieben sind. Ergebnis: - Es wird eine manuelle Bestandserfassung der Geräte pro Organisation mit Besitzern erstellt. |
Microsoft Entra ID Registrieren Sie Endbenutzergeräte mit Microsoft Entra ID, und verwalten Sie Geräteidentitäten über das Microsoft Entra Admin Center. Auf der Seite „Geräteübersicht“ werden Geräteressourcen, Verwaltungsstatus, Betriebssystem, Jointyp und Besitzer nachverfolgt. - Registrierte Geräte - Eingebundene Hybridgeräte - Auflisten von Geräten - Verwalten von Geräteidentitäten Microsoft Entra Connect Sync Verwenden Sie Connect Sync, um von Active Directory verwaltete Geräten mit Microsoft Entra ID zu synchronisieren. - Eingebundene Hybridgeräte Microsoft Intune Zeigen Sie Geräteinformationen zu verwalteten Geräten über das Microsoft Intune Admin Center an. Rufen Sie Diagnosen von Windows-Geräten mithilfe der Remoteaktion „Diagnosedaten sammeln“ ab. - Gerätedetails - Windows-Gerätediagnose Microsoft Endpoint Configuration Manager Verwenden Sie die Co-Verwaltung, um eine Configuration Manager-Bereitstellung an die Microsoft 365-Cloud anzufügen. - Co-Verwaltung Microsoft Defender for Endpoint Zeigen Sie durch Defender for Endpoint geschützte Geräte im Microsoft Defender-Portal an. - Geräteübersicht |
Target 2.1.2 NPE/PKI, verwaltetes GerätOrganisationen nutzen die PKI-Lösung bzw. den PKI-Dienst für DoD-Unternehmen, um X.509-Zertifikate auf allen unterstützten und verwalteten Geräten bereitzustellen. Zusätzliche nicht menschliche Entitäten (Nonperson Entities, NPEs), die X.509-Zertifikate unterstützen, werden in den PKI- und/oder Identitätsanbietersystemen zugewiesen. Ergebnis: - Nicht menschliche Entitäten werden per Organisations-PKI und Organisationsidentitätsanbieter verwaltet. |
Microsoft Intune Fügen Sie Intune Certificate Connector für die Zertifikatbereitstellung auf Endpunkten bereit. - Zertifikatconnector - Zertifikate für die Authentifizierung Verwenden Sie Intune-Netzwerkprofile, um die Authentifizierung verwalteter Geräte bei Ihrem Netzwerk zu unterstützen. Fügen Sie ein SCEP-Zertifikat (Simple Certificate Enrollment-Protokoll) hinzu. - WLAN-Einstellungen von Geräten - Kabelnetzwerkeinstellungen für Windows-Geräte Integrieren Sie Intune mit NAC-Partnern (Network Access Control, Netzwerkzugriffssteuerung), um Ihre Daten zu schützen, wenn Geräte auf lokale Ressourcen zugreifen. - NAC-Integration Anwendungsverwaltungsrichtlinie Konfigurieren Sie die Mandanten-App-Verwaltungsrichtlinie, um Anwendungsanmeldeinformationen auf Zertifikate zu beschränken, die von der Unternehmens-PKI ausgestellt wurden. Siehe Microsoft-Leitfaden 1.9.1 unter Benutzer. Azure IoT Hub Konfigurieren Sie Azure IoT Hub für die Verwendung und Erzwingung der X.509-Authentifizierung. - Authentifizieren von Identitäten mit X.509-Zertifikaten Microsoft Defender for Identity Wenn Ihre Organisation die PKI mit Active Directory-Zertifikatdiensten (Active Directory Certificate Services, AD CS) hostet, stellen Sie Defender for Identity-Sensoren bereit, und konfigurieren Sie die Überwachung für AD CS. - AD CS-Sensor - Konfigurieren von Überwachungen für AD CS |
Target 2.1.3 Unternehmensidentitätsanbieter (Teil 1)Der DoD-Unternehmensidentitätsanbieter (Identity Provider, IdP) verwendet entweder eine zentralisierte Technologie oder Verbundorganisationstechnologien, um unpersönliche Entitäten (Non-Person Entities, NPEs) wie Geräte und Dienstkonten zu integrieren. Die Integration wird in der Enterprise Device Management-Lösung nachverfolgt, um ggf. Aufschluss über den Integrationsstatus zu geben. NPEs, die nicht in den Identitätsanbieter integriert werden können, werden entweder für die Ausmusterung vorgemerkt oder mithilfe eines risikobasierten methodischen Ansatzes als Ausnahme eingestuft. Ergebnis: - NPEs (einschließlich Geräten) werden in den Unternehmensidentitätsanbieter integriert. |
Registrierung von in Microsoft Entra eingebundenen Geräten Verwenden Sie in Microsoft Entra eingebundene Geräte für neue Windows-Clientgeräte sowie für Windows-Clientgeräte, für die ein Reimaging durchgeführt wurde. In Microsoft Entra eingebundene Geräte bieten eine verbesserte Benutzererfahrung für die Anmeldung bei Cloud-Apps wie Microsoft 365. Benutzer greifen über in Microsoft Entra eingebundene Geräte auf lokale Ressourcen zu. - Eingebundene Geräte - Einmaliges Anmelden bei lokalen Ressourcen auf eingebundenen Geräten Microsoft Intune Richten Sie eine automatische Registrierung für Windows 10- oder Windows 11-Geräte ein, die in einen Microsoft Entra-Mandanten eingebunden sind. - Automatische Registrierung Microsoft Entra Connect Sync Falls Ihre Organisation Connect Sync verwendet, um Active Directory mit Microsoft Entra ID zu synchronisieren, konfigurieren Sie eingebundene Hybridgeräte, um Geräte automatisch bei Microsoft Entra ID zu registrieren. - Eingebundene Hybridgeräte Microsoft Entra-Anwendungen Registrieren Sie Anwendungen bei Microsoft Entra, und verwenden Sie Dienstprinzipale für programmgesteuerten Zugriff auf Microsoft Entra und geschützte APIs wie Microsoft Graph. Konfigurieren Sie App-Verwaltungsrichtlinien, um Anmeldeinformationstypen für Anwendungen einzuschränken. Siehe Microsoft-Leitfaden 2.1.2. Microsoft Entra Workload ID Verwenden Sie einen Workload-Identitätsverbund, um in GitHub Actions und anderen unterstützten Szenarien auf von Microsoft Entra geschützte Ressourcen zuzugreifen. - Workload-Identitätsverbund Verwaltete Identitäten Verwenden Sie verwaltete Identitäten für unterstützte Azure-Ressourcen und VMs mit Azure Arc-Unterstützung. - Verwaltete Identitäten für Azure-Ressourcen - Server mit Azure Arc-Unterstützung Azure IoT Hub Verwenden Sie Microsoft Entra ID, um Anforderungen für APIs des Azure IoT Hub-Diensts zu authentifizieren. - Steuern des Zugriffs auf IoT Hub |
Advanced 2.1.4 Unternehmensidentitätsanbieter (Teil 2)Der DoD-Unternehmensidentitätsanbieter (Identity Provider, IdP) verwendet entweder eine zentralisierte Technologie oder Verbundorganisationstechnologien, um zusätzliche dynamische Attribute für NPEs wie Standort, Verwendungsmuster usw. hinzuzufügen. Ergebnis: - Bedingte Geräteattribute sind Teil des IdP-Profils. |
Microsoft Defender for Endpoint Stellen Sie Defender for Endpoint auf Endbenutzer-Desktopgeräten sowie auf verwalteten mobilen Geräten und auf Servern bereit. - Onboarding von Geräten - Defender for Endpoint auf Geräten mit Intune - Integrieren von Windows-Servern Microsoft Intune Verwalten Sie Endbenutzergeräte mit Intune. Konfigurieren Sie Intune-Konformitätsrichtlinien für verwaltete Geräte. Schließen Sie die Computerrisikobewertung von Microsoft Defender for Endpoint in Intune-Konformitätsrichtlinien ein. - Planen von Konformitätsrichtlinien - Konformitätsrichtlinie für Geräterisikostufe - Benutzerdefinierte Konformitätsrichtlinien - Konfigurieren von Windows-Geräten in Intune - Android Enterprise-Sicherheitskonfiguration - iOS- und iPadOS-Geräte in Intune Wenn Ihre Organisation eine MTD-Lösung (Mobile Threat Defense) eines Drittanbieters verwendet, konfigurieren Sie den Intune-Connector. - MTD-Konfiguration Verwaltung mobiler Apps Verwenden Sie Intune MAM für nicht registrierte Geräte, um Apps für die Verwendung eigener Geräte (Bring Your Own Device, BYOD) zu konfigurieren und zu schützen. - App-Verwaltung |
2.2 Geräteerkennung und -konformität
Microsoft Intune-Konformitätsrichtlinien stellen sicher, dass Geräte den Organisationsstandards entsprechen. Konformitätsrichtlinien können die Gerätekonfiguration anhand einer Sicherheitsbaseline bewerten. Richtlinien verwenden den Schutzstatus und die Computerrisikobewertung von Microsoft Defender for Endpoint, um die Konformität zu ermitteln. Für den bedingten Zugriff wird der Gerätekonformitätszustand verwendet, um dynamische Zugriffsentscheidungen für Benutzer und Geräte (einschließlich BYOD) zu treffen.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target 2.2.1 Implementieren von C2C/konformitätsbasierter Netzwerkautorisierung (Teil 1)Das DoD-Unternehmen entwickelt gemeinsam mit Organisationen eine Richtlinie, einen Standard und Anforderungen für C2C (Comply to Connect). Nachdem eine Vereinbarung getroffen wurde, wird mit der Lösungsbeschaffung begonnen, mindestens ein Anbieter ausgewählt und mit der Implementierung grundlegender Funktionen in Zero Trust-Zielumgebungen (mit geringem Risiko) begonnen. In der neuen C2C-Lösung (Comply to Connect) werden grundlegende Überprüfungen implementiert, um ZTA-Zielfunktionen erfüllen zu können. Ergebnisse: - C2C wird auf Unternehmensebene für Umgebungen mit geringem Risiko sowie für Testumgebungen erzwungen. - Grundlegende Geräteüberprüfungen werden mit C2C implementiert. |
Microsoft Intune Verwalten Sie Geräte mit Intune, und konfigurieren Sie Konformitätsrichtlinien für Geräte. Verwenden Sie die Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) von Intune, um Apps auf nicht registrierten eigenen Geräten (BYOD) zu schützen. Siehe Microsoft-Leitfaden unter 2.1.4. Bedingter Zugriff Verwenden Sie Intune-konforme Gerätesignale, Standorte und Anmelderisikosignale in Richtlinien für bedingten Zugriff. Verwenden Sie Gerätefilter für Richtlinien für bedingten Zugriff auf der Grundlage von Geräteattributen. - Erfordern konformer Geräte - Bedingungen - Filter für Geräte - Bedingter Zugriff mit Intune Microsoft Entra Workload ID Verwenden Sie Risiko- und Standortkontrollen, um Richtlinien für bedingten Zugriff für Workloadidentitäten zu erstellen. - Bedingter Zugriff für Workloadidentitäten - Schützen von Workloadidentitäten |
Advanced 2.2.2 Implementieren von C2C/konformitätsbasierter Netzwerkautorisierung (Teil 2)DoD-Organisationen erweitern die Bereitstellung und Nutzung von C2C auf alle unterstützten Umgebungen, die erforderlich sind, um erweiterte Zero Trust-Funktionen zu erfüllen. C2C-Teams integrieren ihre Lösungen in den Unternehmensidentitätsanbieter und in Autorisierungsgateways, um den Zugriff und die Autorisierungen für Ressourcen besser verwalten zu können. Ergebnisse: - C2C wird in allen unterstützten Umgebungen erzwungen. - Erweiterte Geräteüberprüfungen werden durchgeführt und in dynamischen Zugriff, in den Unternehmensidentitätsanbieter und in ZTNA integriert. |
Microsoft Entra-Anwendungen Integrieren Sie Anwendungen, und steuern Sie den Benutzerzugriff mit Microsoft Entra ID. Siehe Microsoft-Leitfaden 1.2.4 unter Benutzer. Microsoft Intune und Microsoft Defender for Endpoint Verwalten Sie Geräte mit Intune, stellen Sie Defender for Endpoint bereit, und konfigurieren Sie eine Gerätekonformitätsrichtlinie unter Verwendung der Computerrisikobewertung von Defender for Endpoint. Siehe Microsoft-Leitfaden 2.1.4 in diesem Abschnitt. Bedingter Zugriff Erstellen Sie Richtlinien für bedingten Zugriff, die ein kompatibles Gerät für den Anwendungszugriff erfordern. Siehe Microsoft-Leitfaden unter 2.2.1. Microsoft Entra-Anwendungsproxy Stellen Sie einen Anwendungsproxy oder eine SHA-Partnerlösung (Secure Hybrid Access) bereit, um bedingten Zugriff für lokale Anwendungen und Legacyanwendungen per Zero Trust Network Access (ZTNA) zu ermöglichen. - SHA mit Microsoft Entra-Integration Microsoft Tunnel Tunnel ist eine VPN-Gatewaylösung (virtuelles privates Netzwerk) für von Intune verwaltete Geräte und für nicht registrierte Geräte mit von Intune verwalteten Apps. Tunnel verwendet Microsoft Entra ID für die Authentifizierung sowie Richtlinien für bedingten Zugriff für den Zugriff mobiler Geräte auf lokale Anwendungen. - Tunnel für Intune |
2.3 Geräteautorisierung mit Echtzeitüberprüfung
Bedingter Zugriff ist die Zero Trust-Richtlinien-Engine für Cloudprodukte und -dienste von Microsoft. Die Auswertung von Zero Trust-Richtlinien im Identitätsanbieter verbessert das C2C-Modell (Comply to Connect) durch Anwendung adaptiver Kontrollen vor dem Ressourcenzugriff. Richtlinien für bedingten Zugriff verwenden Sicherheitssignale von Microsoft Entra ID, Microsoft Defender XDR und Microsoft Intune.
Microsoft Defender XDR-Komponenten bewerten Geräte- und Identitätsrisikostufen mithilfe von ML-Erkennungen (Machine Learning) sowie durch Ermöglichung dynamischer, risikobasierter Entscheidungen, um den Zugriff auf Daten, Anwendungen, Ressourcen und Dienste (Data, Applications, Assets and Services, DAAS) zuzulassen, zu blockieren oder zu steuern.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Advanced 2.3.1 Aktivitätsüberwachung für Entitäten (Teil 1)Auf der Grundlage der entwickelten Benutzer- und Gerätebaselines nutzen DoD-Organisationen die implementierte UEBA-Lösung (User and Entity Behavior Analytics), um Baselines zu integrieren. UEBA-Geräteattribute und -baselines können für Geräteautorisierungserkennungen verwendet werden. Ergebnisse: - UEBA-Attribute werden für die Gerätebaseline integriert. - UEBA-Attribute stehen für die Verwendung mit dem Gerätezugriff zur Verfügung. |
Microsoft Intune und Microsoft Defender for Endpoint Verwalten Sie Geräte mit Intune, stellen Sie Defender for Endpoint bereit, und konfigurieren Sie eine Gerätekonformitätsrichtlinie unter Verwendung der Computerrisikobewertung von Defender for Endpoint. Siehe Microsoft-Leitfaden unter 2.1.4. Bedingter Zugriff Erstellen Sie Richtlinien für bedingten Zugriff, die ein kompatibles Gerät für den Anwendungszugriff erfordern. Siehe Microsoft-Leitfaden unter 2.2.1. Microsoft Entra ID Protection Konfigurieren Sie Richtlinien für bedingten Zugriff für Identitätsrisikostufen in Microsoft Entra ID Protection. Siehe Microsoft-Leitfaden 1.6.1 unter Benutzer. |
Advanced 2.3.2 Aktivitätsüberwachung für Entitäten (Teil 2)DoD-Organisationen nutzen die UEBA-Lösung (User and Entity Behavior Analytics) mit Netzwerkzugriffslösungen, um UEBA-Attribute (z. B. Geräteintegrität, Anmeldemuster usw.) für den Zugriff auf Umgebungen und Ressourcen erforderlich zu machen. Ergebnis: - UEBA-Attribute sind für den Gerätezugriff erforderlich. |
Bedingter Zugriff Verwenden Sie Intune-konforme Gerätestatus-, Standort- und Identitätsrisikosignale in Richtlinien für bedingten Zugriff. Nutzen Sie Gerätefilter, um Richtlinien für bedingten Zugriff auf der Grundlage von Geräteattributen als Ziel zu verwenden. Siehe Microsoft-Leitfaden unter 2.2.1 sowie unter 2.3.1. |
Target 2.3.3 Implementieren von Tools für Anwendungssteuerung und Dateiintegritätsüberwachung (File Integrity Monitoring, FIM)DoD-Organisationen beschaffen und implementieren Lösungen für die Dateiintegritätsüberwachung und Anwendungssteuerung. FIM führt die Entwicklung und Erweiterung der Überwachung in der Datensäule fort. Die Anwendungssteuerung wird in Umgebungen mit geringem Risiko in einem reinen Überwachungsmodus bereitgestellt, um grundlegende Zulassungen zu etablieren. Anwendungssteuerungsteams, die in die PKI-Umgebungen von Unternehmen und Organisationen integriert werden, verwenden Zertifikate für Anwendungszulassungen. AV der nächsten Generation deckt alle in Frage kommenden Dienste und Anwendungen ab. Ergebnisse: - AppControl- und FIM-Tools werden für alle kritischen Dienste/Anwendungen implementiert. - EDR-Tools decken die maximale Anzahl von Diensten/Anwendungen ab. - AppControl- und FIM-Daten werden nach Bedarf an C2C gesendet. |
Microsoft Defender for Endpoint Defender for Endpoint aggregiert Signale für die Computerrisikobewertung aus den Bereichen Dateiintegritätsüberwachung (File Integrity Monitoring, FIM), Anwendungssteuerung, Antivirenlösung der nächsten Generation (Next Generation Antivirus, NGAV) und weiteren Bereichen. - Schutz der nächsten Generation - Antivirenfeatures für verwaltete Geräte - Gesteuerter Ordnerzugriff Microsoft Intune Konfigurieren der Endpunktsicherheit für App Control in Microsoft Intune - Genehmigte Apps mit App Control for Business - Richtlinien- und Dateiregeln von AppControl von Windows Defender Bedingter Zugriff Integrieren Sie Anwendungen in Microsoft Entra ID, und machen Sie die Verwendung eines Gewährungssteuerelements für konforme Geräte im bedingten Zugriff erforderlich, um das C2C-Modell (Comply to Connect) umzusetzen. Weitere Informationen finden Sie im Microsoft-Leitfaden unter 2.2.2. |
Advanced 2.3.4 Integrieren von AV-Tools der nächsten Generation (C2C)DoD-Organisationen beschaffen und implementieren nach Bedarf Antiviren- und Antischadsoftwarelösungen der nächsten Generation. Diese Lösungen werden in die anfängliche Bereitstellung von „Comply to Connect“ integriert, um grundlegende Statusüberprüfungen für Signaturen, Updates usw. zu erhalten. Ergebnisse: - Kritische Daten der AV-Lösung der nächsten Generation werden zur Überprüfung an C2C gesendet. - AV-Tools der nächsten Generation werden für alle kritischen Dienste/Anwendungen implementiert. |
Microsoft Intune Erstellen Sie Gerätekonformitätsrichtlinien für Antivirenlösungen und für die Computerrisikobewertung von Microsoft Defender for Endpoint. - Antivirenrichtlinie für Endpunktsicherheit Siehe Microsoft-Leitfaden unter 2.2.2. |
Advanced 2.3.5 Vollständiges Integrieren des Gerätesicherheitsstapels in C2C (nach Bedarf)DoD-Organisationen setzen die Bereitstellung der Anwendungssteuerung in allen Umgebungen und im Präventionsmodus fort. Analysen der Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) und der Anwendungssteuerungen werden in „Comply to Connect“ integriert, um Datenpunkte für erweiterte Zugriffsentscheidungen zu erhalten. C2C-Analysen werden für weitere Datenpunkte im Zusammenhang mit dem Geräte-/Endpunktsicherheitsstapel ausgewertet (beispielsweise UEDM) und nach Bedarf integriert. Ergebnisse: - Die Bereitstellung von Anwendungssteuerung und FIM wird auf alle erforderlichen Dienste/Anwendungen ausgedehnt. - Die restlichen Daten aus Gerätesicherheitstools werden mit C2C implementiert. |
Schließen Sie die Aktivität 2.3.4 ab. Microsoft Defender for Cloud Apps Identifizieren und steuern Sie riskante Cloudanwendungen mit Defender for Cloud Apps-Richtlinien. - Steuern von Cloud-Apps mit Richtlinien |
Advanced 2.3.6 Unternehmens-PKI (Teil 1)Die DoD-Unternehmens-PKI (Public Key-Infrastruktur) wird erweitert, um das Hinzufügen von NPE- und Gerätezertifikaten einzuschließen. NPEs und Geräte, die keine PKI-Zertifikate unterstützen, werden für die Ausmusterung vorgemerkt, und die Ausmusterung beginnt. Ergebnisse: - Geräte, die über keine Zertifikate verfügen können, werden abgeschafft und/oder zu Umgebungen mit minimalem Zugriff migriert. - Für alle Geräte und NPEs werden Zertifikate für die Authentifizierung in der Unternehmens-PKI installiert. |
Microsoft Intune Verwenden Sie Microsoft Intune, um DoD-PKI-Zertifikate auf Geräten bereitzustellen. Siehe Microsoft-Leitfaden unter 2.1.2. Anwendungsverwaltungsrichtlinie Konfigurieren Sie die Mandanten-App-Verwaltungsrichtlinie, um Anwendungsanmeldeinformationen auf Zertifikate zu beschränken, die von der Unternehmens-PKI ausgestellt wurden. Siehe Microsoft-Leitfaden 1.5.3 unter Benutzer. Microsoft Defender for Cloud Apps Konfigurieren Sie Zugriffsrichtlinien, um für den Anwendungszugriff Clientzertifikate erforderlich zu machen und nicht autorisierte Gerätezugriffe zu blockieren. - Zugriffsrichtlinien |
Advanced 2.3.7 Unternehmens-PKI (Teil 2)DoD-Organisationen nutzen Zertifikate für die Geräteauthentifizierung und für die Kommunikation zwischen Computern. Die Ausmusterung nicht unterstützter Geräte wird abgeschlossen, und Ausnahmen werden mit einem risikobasierten methodischen Ansatz genehmigt. Ergebnis: - Geräte müssen authentifiziert werden, um mit anderen Diensten und Geräten kommunizieren zu können. |
Microsoft Intune und bedingter Zugriff Integrieren Sie Anwendungen in Microsoft Entra ID, verwalten Sie Geräte mit Intune, schützen Sie Geräte mit Microsoft Defender for Endpoint, und konfigurieren Sie Konformitätsrichtlinien. Schließen Sie eine Konformitätsrichtlinie für die Computerrisikobewertung von Defender for Endpoint ein. Machen Sie die Verwendung eines konformen Gewährungssteuerelements in Richtlinien für bedingten Zugriff erforderlich. Siehe Microsoft-Leitfaden unter 2.2.2. |
2.4 Remotezugriff
Microsoft Entra ID ist ein Identitätsanbieter (Identity Provider, IdP) mit standardmäßiger Ablehnung. Wenn Sie Microsoft Entra für die Anwendungsanmeldung verwenden, werden Benutzer authentifiziert und durchlaufen die Richtlinienüberprüfungen für bedingten Zugriff, bevor Microsoft Entra den Zugriff autorisiert. Sie können Microsoft Entra ID verwenden, um Anwendungen zu schützen, die in der Cloud oder lokal gehostet werden.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target 2.4.1 Standardmäßige GeräteablehnungDoD-Organisationen blockieren alle Ressourcenzugriffe von nicht verwalteten Remotegeräten sowie von nicht verwalteten lokalen Geräten. Konforme verwaltete Geräte erhalten risikobasierten methodischen Zugriff gemäß ZTA-Zielebenenkonzepten. Ergebnisse: - Komponenten können standardmäßig den Gerätezugriff auf Ressourcen (Apps/Daten) blockieren und explizit kompatible Geräte per Richtlinie zulassen. - Für den Remotezugriff wird ein Richtlinienansatz verwendet, der dafür sorgt, dass Geräte standardmäßig abgelehnt werden. |
Microsoft Entra ID-Anwendungen Zugriffe auf Anwendungen und Ressourcen, die durch Microsoft Entra ID geschützt sind, werden standardmäßig verweigert. Für den Ressourcenzugriff sind Authentifizierung und aktive Berechtigung sowie Autorisierung durch Richtlinien für bedingten Zugriff erforderlich. - Integrieren von Apps - App-Integration Microsoft Intune Verwalten Sie Geräte mit Intune. Konfigurieren Sie Konformitätsrichtlinien für Geräte. Machen Sie in Richtlinien für den bedingten Zugriff die Verwendung konformer Geräte für alle Benutzer und Anwendungen erforderlich. Siehe Microsoft-Leitfaden unter 2.2.1. |
Target 2.4.2 Verwaltete und eingeschränkte Unterstützung von BYOD und IoTDoD-Organisationen nutzen die einheitliche Endpunkt- und Geräteverwaltung (Unified Endpoint and Device Management, UEDM) sowie ähnliche Lösungen, um sicherzustellen, dass verwaltete BYOD-Geräte (Bring Your Own Device) und IoT-Geräte (Internet of Things; Internet der Dinge) vollständig in den Unternehmensidentitätsanbieter integriert sind, um die Unterstützung der benutzer- und gerätebasierten Autorisierung zu ermöglichen. Der Gerätezugriff für alle Anwendungen erfordert dynamische Zugriffsrichtlinien. Ergebnisse: - Alle Anwendungen erfordern Zugriff mit dynamischen Berechtigungen für Geräte. - Für BYOD- und IoT-Geräteberechtigungen wird eine Baseline erstellt, und sie werden in den Unternehmensidentitätsanbieter integriert. |
Schließen Sie die Aktivität 2.4.1 ab. Microsoft Intune Verwenden Sie die Intune-Geräteverwaltung und die Verwaltung mobiler Anwendungen, um eigene Geräte zu nutzen (BYOD). - Verwaltung mobiler Apps für nicht registrierte Geräte - App-Schutzrichtlinien Bedingter Zugriff Machen Sie im bedingten Zugriff für alle Benutzer und Anwendungen ein konformes Gerät und/oder eine App-Schutzrichtlinie erforderlich. - Genehmigte Client-App oder App-Schutzrichtlinie - App-Schutzrichtlinie auf Windows-Geräten Microsoft Entra External ID Konfigurieren Sie mandantenübergreifende Zugriffseinstellungen, um Kontrollen für konforme Geräte von vertrauenswürdigen Partnern zu vertrauen. - Mandantenübergreifende Zugriffseinstellungen für die B2B-Zusammenarbeit Microsoft Defender for IoT Stellen Sie Defender for IoT-Sensoren aus Gründen der Sichtbarkeit sowie zur Überwachung und zum Schutz von IoT- und OT-Geräten (Operational Technology; Betriebstechnik) bereit. Stellen Sie sicher, dass Gerätesoftware auf dem neuesten Stand ist, und ändern Sie lokale Kennwörter. Verwenden Sie keine Standardkennwörter. - Defender for IoT - IoT- und OT-Sicherheit mit Zero Trust - Nationale Cybersicherheitsstrategie der USA zum Schutz von IoT |
Advanced 2.4.3 Unterstützung von verwaltetem und uneingeschränktem BYOD und IoT (Teil 1)DoD-Organisationen nutzen die einheitliche Endpunkt- und Geräteverwaltung (Unified Endpoint and Device Management, UEDM) sowie ähnliche Lösungen, um verwalteten und genehmigten Geräten Zugriff auf unternehmens- und betriebskritische Dienste/Anwendungen mit dynamischen Zugriffsrichtlinien zu ermöglichen. BYOD- und IoT-Geräte (Internet of Things; Internet der Dinge) müssen vor der Autorisierung standardmäßige Baselineüberprüfungen bestehen. Ergebnisse: - Nur BYOD- und IoT-Geräte, die den vorgegebenen Konfigurationsstandards entsprechen, dürfen auf Ressourcen zugreifen. - Kritische Dienste erfordern dynamischen Zugriff für Geräte. |
Schließen Sie die Aktivität 2.4.2 ab. Microsoft Defender for Cloud Apps Konfigurieren Sie Zugriffsrichtlinien, um Clientzertifikate für den Anwendungszugriff erforderlich zu machen. Blockieren Sie Zugriffe von nicht autorisierten Geräten. Siehe Microsoft-Leitfaden unter 2.3.6. |
Advanced 2.4.4 Unterstützung von verwaltetem und uneingeschränktem BYOD und IoT (Teil 2)DoD-Organisationen nutzen die einheitliche Endpunkt- und Geräteverwaltung (Unified Endpoint and Device Management, UEDM) sowie ähnliche Lösungen, um den Zugriff für nicht verwaltete Geräte zu ermöglichen, die Geräteüberprüfungen und Standardbaselines erfüllen. Alle in Frage kommenden Dienste/Anwendungen werden integriert, um den Zugriff auf verwaltete Geräte zu ermöglichen. Nicht verwaltete Geräte werden auf der Grundlage eines risikogesteuerten methodischen Autorisierungsansatzes in Dienste/Anwendungen integriert. Ergebnis: - Alle in Frage kommenden Dienste erfordern dynamischen Zugriff für Geräte. |
Azure Virtual Desktop Stellen Sie Azure Virtual Desktop (AVD) bereit, um Remotezugriffe über nicht verwaltete Geräte zu unterstützen. Binden Sie AVD-Sitzungshost-VMs in Microsoft Entra ein, und verwalten Sie die Konformität mit Microsoft Intune. Lassen Sie Anmeldungen bei AVD ohne Kennwort oder mit einem kennwortlosen, phishingresistenten Authentifikator über nicht verwaltete Geräte zu. - Microsoft Entra-VMs in AVD - Authentifizierungsstärke Microsoft Defender for Cloud Apps Verwenden Sie die Sitzungssteuerung von Defender for Cloud Apps, um Websitzungen von nicht verwalteten Geräten zu überwachen und einzuschränken. - Sitzungsrichtlinien |
2.5 Teilweise und vollständig automatisierte Verwaltung von Ressourcen, Sicherheitsrisiken und Patches
Microsoft Endpoint Manager unterstützt cloudbasierte Lösungen und Hybridlösungen (Co-Verwaltung) für die Geräteverwaltung. Konfigurations- und Konformitätsrichtlinien stellen sicher, dass Geräte über die für Ihre Organisation erforderliche Patchebene und Sicherheitskonfiguration verfügen.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target 2.5.1 Implementieren von Tools für die Verwaltung von Ressourcen, Sicherheitsrisiken und PatchesDoD-Organisationen implementieren Lösungen für die Verwaltung von Ressourcen/Gerätekonfigurationen, Sicherheitsrisiken und Patches. Mithilfe von Mindeststandards für die Konformität (z. B. STIGs usw.) können Teams die Konformität verwalteter Geräte bestätigen oder verweigern. Im Rahmen des Beschaffungs- und Implementierungsprozesses für Lösungen werden APIs und andere programmgesteuerte Schnittstellen für zukünftige Automatisierungs- und Integrationsebenen einbezogen. Ergebnisse: - Komponenten können überprüfen, ob Geräte Mindeststandards für die Konformität erfüllen. - Komponenten verfügen über Systeme für die Verwaltung von Ressourcen, Sicherheitsrisiken und Patches mit APIs, die eine systemübergreifende Integration ermöglichen. |
Microsoft Intune Verwalten von Geräten in Intune. Siehe Microsoft-Anleitungen in 2.1.4. Verwenden der gemeinsamen Verwaltung von Microsoft Endpoint Manager für ältere Endpunktgeräte. - Endpunktverwaltung - Co-Management Konfigurieren und Aktualisieren von Richtlinien für Geräteplattformen, die mit Intune verwaltet werden. - iOS- und iPadOS-Softwareupdaterichtlinien - macOS-Softwareupdaterichtlinien - Android FOTA-Updates - Windows 10- und 11-Updates Microsoft Defender for Endpoint Integrieren von Microsoft Defender for Endpoint in Microsoft Intune. Beheben von Endpunktsicherheitsrisiken mit Microsoft Intune-Konfigurationsrichtlinien. - Microsoft Defender-Sicherheitsrisikoverwaltung - Verwenden von Microsoft Intune und Sicherheitsrisiken, die von Microsoft Defender for Endpoint identifiziert wurden |
2.6 Einheitliche Endpunktverwaltung und Verwaltung mobiler Geräte
Konfigurations- und Konformitätsrichtlinien von Microsoft Intune stellen sicher, dass Geräte über die für Ihre Organisation erforderliche Sicherheitskonfiguration verfügen. Intune wertet Konformitätsrichtlinien aus und kennzeichnet Geräte als konform oder nicht konform. Richtlinien für bedingten Zugriff können den Gerätekonformitätszustand verwenden, um zu verhindern, dass Benutzer mit nicht kompatiblen Geräten auf Ressourcen zugreifen, die durch Microsoft Entra ID geschützt sind.
Die mandantenübergreifenden Zugriffseinstellungen von Microsoft Entra External ID beinhalten Vertrauenseinstellungen für die Zusammenarbeit von Gästen. Diese Einstellungen können für jeden Partnermandanten angepasst werden. Wenn Sie konformen Geräten eines anderen Mandanten vertrauen, erfüllen Gäste, die konforme Geräte in ihrem Basismandanten verwenden, die Richtlinien für bedingten Zugriff, die konforme Geräte in Ihrem Mandanten erfordern. Sie müssen keine Ausnahmen von Richtlinien für bedingten Zugriff erstellen, um zu verhindern, dass externe Gäste blockiert werden.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target 2.6.1 Implementieren von UEDM oder entsprechenden ToolsDoD-Organisationen orientieren sich stark an der Aktivität „Implementieren von Tools für die Verwaltung von Ressourcen, Sicherheitsrisiken und Patches“, um die UEDM-Lösung (Unified Endpoint and Device Management; einheitliche Endpunkt- und Geräteverwaltung) zu beschaffen und zu implementieren. Dadurch wird die Integration von Anforderungen in den Beschaffungsprozess sichergestellt. Nach der Beschaffung einer Lösung stellen die UEDM-Teams sicher, dass wichtige ZT-Zielfunktionen wie Mindestkonformität, Ressourcenverwaltung und API-Unterstützung vorhanden sind. Ergebnisse: - Komponenten können überprüfen, ob Geräte Mindeststandards für die Konformität erfüllen. - Komponenten verfügen über mindestens ein Ressourcenverwaltungssystem für Benutzergeräte (Smartphones, Desktops, Laptops), das die IT-Konformität sicherstellt. Dies wird an das DoD-Unternehmen gemeldet. - Die Ressourcenverwaltungssysteme von Komponenten können programmgesteuert (also per API) den Gerätekonformitätsstatus bereitstellen und angeben, ob das Gerät die Mindeststandards erfüllt. |
Schließen Sie die Aktivität 2.3.2 ab. Microsoft Intune Der Gerätekonformitätsstatus wird in den Identitätsanbieter, Microsoft Entra ID, über Intune-Konformitätssignale in den bedingten Zugriff integriert. Zeigen Sie den Gerätekonformitätsstatus im Microsoft Entra Admin Center oder per Microsoft Graph-API an. - Konformitätsrichtlinien - Intune-Berichte Microsoft Entra External ID Um Gerätekonformitätsrichtlinien auf Benutzer außerhalb der Organisation zu erweitern, konfigurieren Sie mandantenübergreifende Zugriffseinstellungen, um MFA-Ansprüchen sowie Ansprüchen konformer Geräte von vertrauenswürdigen DoD-Mandanten zu vertrauen. - Mandantenübergreifender Zugriff Microsoft Graph-API Microsoft Graph-APIs fragen den Gerätekonformitätsstatus ab. - Compliance- und Datenschutz-APIs |
Target 2.6.2 Enterprise Device Management (Teil 1)DoD-Organisationen migrieren die manuelle Gerätebestandserfassung mithilfe der UEDM-Lösung zu einem automatisierten Ansatz. Genehmigte Geräte können unabhängig vom Standort verwaltet werden. Geräte, die zu kritischen Diensten gehören, müssen von der UEDM-Lösung mit Automatisierungsunterstützung verwaltet werden. Ergebnisse: - Die manuelle Bestandserfassung wird in eine automatisierte Verwaltungslösung für kritische Dienste integriert. - Zero Trust-Geräteverwaltung wird ermöglicht (standortunabhängig, mit oder ohne Remotezugriff). |
Microsoft Intune und bedingter Zugriff Verwalten Sie Geräte mit Microsoft Intune. Konfigurieren Sie Konformitätsrichtlinien für Geräte. Machen Sie die Verwendung von Gerätekonformitätsrichtlinien für bedingten Zugriff erforderlich. Siehe Microsoft-Leitfaden unter 2.1.4. |
Target 2.6.3 Enterprise Device Management Pt2DoD-Organisationen migrieren die verbleibenden Geräte zur Enterprise Geräteverwaltungslösung. Die EDM-Lösung ist nach Bedarf in Risiko- und Compliance-Lösungen integriert. Ergebnis: - Manuelles Inventar ist in eine automatisierte Managementlösung für alle Dienste integriert |
Microsoft Intune und bedingter Zugriff Verwalten Sie Geräte mit Intune. Konfigurieren Sie Konformitätsrichtlinien für Geräte. Machen Sie die Verwendung von Gerätekonformitätsrichtlinien für bedingten Zugriff erforderlich. Siehe Microsoft-Leitfaden unter 2.1.4. |
2.7 Endpunkterkennung und Reaktion (Endpoint Detection and Response, EDR) und erweiterte Erkennung und Reaktion (Extended Detection and Response, XDR)
Die einheitliche Verteidigungssuite von Microsoft Defender XDR koordiniert die übergreifende Erkennung, Prävention, Untersuchung und Reaktion für Endpunkte, Identitäten, E-Mails und Anwendungen. Microsoft Defender XDR-Komponenten erkennen komplexe Angriffe und schützen vor ihnen.
Die Integration von Microsoft Defender XDR-Komponenten erweitert den Schutz, sodass er über Geräte hinausgeht. Im Anschluss folgen exemplarische Erkennungsereignisse, die in die Risikostufe des Benutzers in Microsoft Entra ID Protection einfließen:
- Verdächtige Sendemuster bei E-Mails, die von Microsoft Defender for Office erkannt wurden
- Erkennung unmöglicher Ortswechsel in Microsoft Defender for Cloud Apps
- Zugriffsversuche auf das primäre Aktualisierungstoken, die von Microsoft Defender for Endpoint erkannt wurden
Risikobasierte Richtlinien für bedingten Zugriff können den Zugriff auf Clouddienste für den Risikobenutzer schützen, einschränken oder blockieren, auch wenn ein konformes Gerät in einem vertrauenswürdigen Netzwerk verwendet wird.
Weitere Informationen finden Sie unter Einrichten Ihrer Microsoft Defender XDR-Komponenten sowie unter Was sind Risiken?.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target 2.7.1 Implementieren von EDR-Tools (Endpoint Detection and Response; Endpunkterkennung und Reaktion) und Integrieren in C2CDoD-Organisationen beschaffen und implementieren mindestens eine EDR-Lösung in Umgebungen. EDR schützt, überwacht und reagiert auf schädliche und anomale Aktivitäten, um Zero Trust-Zielfunktionen zu ermöglichen, und sendet Daten für erweiterte Geräte- und Benutzerüberprüfungen an die C2C-Lösung (Comply to Connect). Ergebnisse: - EDR-Tools werden implementiert. - Kritische EDR-Daten werden zur Überprüfung an C2C gesendet. - AV-Tools der nächsten Generation decken die maximale Anzahl von Diensten/Anwendungen ab. |
Microsoft Defender for Endpoint Stellen Sie Defender for Endpoint für Endbenutzergeräte bereit. Siehe Microsoft-Leitfaden unter 2.3.1 in diesem Abschnitt. Microsoft Intune Konfigurieren Sie Intune-Gerätekonformitätsrichtlinien. Schließen Sie die Computerrisikobewertung von Defender for Endpoint für die Richtlinienkonformität ein. Siehe Microsoft-Leitfaden unter 2.1.4 sowie unter 2.3.2. Microsoft Defender for Cloud Aktivieren Sie Microsoft Defender for Servers für Abonnements mit virtuellen Computern (Virtual Machines, VMs) in Azure. Defender for Servers-Pläne beinhalten Defender for Cloud für Server. - Defender for Servers Verwenden Sie Server mit Azure Arc-Unterstützung, um physische Windows- und Linux-Server und -VMs außerhalb von Azure zu verwalten und zu schützen. Stellen Sie den Azure Arc-Agent für Server bereit, die außerhalb von Azure gehostet werden. Integrieren Sie Server mit Arc-Unterstützung in ein Abonnement, das durch Microsoft Defender for Servers geschützt ist. - Server mit Azure Arc-Unterstützung - Azure Connected Machine-Agent |
Target 2.7.2 Implementieren von XDR-Tools (Extended Detection & Response; erweiterte Erkennung und Reaktion) und Integrieren in C2C (Teil 1)DoD-Organisationen beschaffen und implementieren mindestens eine XDR-Lösung. Integrationspunkte mit säulenübergreifenden Funktionen werden identifiziert und auf der Grundlage des Risikos priorisiert. Die Integrationspunkte mit dem höchsten Risiko werden behandelt, und die Integration wird gestartet. EDR setzt die Abdeckung von Endpunkten fort, um die maximale Anzahl von Diensten und Anwendungen als Teil der XDR-Implementierung einzuschließen. Grundlegende Analysen werden vom XDR-Lösungsstapel an SIEM gesendet. Ergebnisse: - Funktionsspezifische Integrationspunkte wurden identifiziert. - Die Integrationspunkte mit dem höchsten Risiko wurden in XDR integriert. - Grundlegende Warnungen wurden mit SIEM und/oder anderen Mechanismen eingerichtet. |
Microsoft Defender XDR Pilot und Bereitstellen von Microsoft Defender XDR-Komponenten und -Diensten. - Defender XDR - Sentinel und Defender XDR für Zero Trust Konfigurieren von Integrationen von bereitgestellten Microsoft Defender XDR-Komponenten. - Defender for Endpoint mit Defender für Cloud Apps - Defender for Identity und Defender for Cloud Apps - Purview Information Protection und Defender for Cloud Apps Microsoft Sentinel Konfigurieren von Sentinel-Datenconnectors für Microsoft Defender XDR. Aktivieren Sie Analyseregeln. - Installieren von Defender XDR - Verbinden von Defender XDR-Daten mit Sentinel |
Advanced 2.7.3 Implementieren von XDR-Tools (Extended Detection & Response; erweiterte Erkennung und Reaktion) und Integrieren in C2C (Teil 2)Der XDR-Lösungsstapel schließt die Identifizierung von Integrationspunkten ab und erweitert die Abdeckung auf den größtmöglichen Umfang. Ausnahmen werden mithilfe eines risikobasierten methodischen Ansatzes für den fortgesetzten Betrieb nachverfolgt und verwaltet. Erweiterte Analysen, die erweiterte Zero Trust-Funktionen ermöglichen, werden in SIEM und andere geeignete Lösungen integriert. Ergebnisse: - Verbleibende Integrationspunkte wurden entsprechend integriert. - Erweiterte Warnungen und Reaktionen wurden mit anderen Analysetools aktiviert (mindestens mit SIEM). |
Microsoft Defender XDR Verwenden Sie Microsoft Defender XDR in Ihrer Security Operations-Strategie. - Integrieren von Defender XDR in Security Operations |
Nächste Schritte
Konfigurieren von Microsoft-Clouddiensten für die DoD Zero Trust-Strategie: