Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Schützen von Endpunkten ist ein wichtiger Bestandteil einer Zero Trust Strategie. Diese Intune Empfehlungen helfen, Ihren Netzwerkperimeter und Ihre Geräte durch richtliniengesteuerte Kontrollen zu schützen, die Verschlüsselung erzwingen, nicht autorisierten Zugriff einschränken und das Risiko von Sicherheitsrisiken verringern. Durch die plattformübergreifende Anwendung von Konfigurations- und Sicherheitsrichtlinien entsprechen diese Überprüfungen der Secure Future Initiative von Microsoft und stärken den allgemeinen Sicherheitsstatus Ihrer organization.
Zero Trust Sicherheitsempfehlungen
Lokale Administratoranmeldeinformationen unter Windows werden durch Windows LAPS geschützt.
Ohne Erzwingen von LapS-Richtlinien (Local Administrator Password Solution) können Bedrohungsakteure, die Zugriff auf Endpunkte erhalten, statische oder schwache lokale Administratorkennwörter ausnutzen, um Berechtigungen zu eskalieren, seitlich zu verschieben und Persistenz herzustellen. Die Angriffskette beginnt in der Regel mit der Kompromittierung von Geräten – über Phishing, Schadsoftware oder physischen Zugriff – gefolgt von Versuchen, lokale Administratoranmeldeinformationen zu sammeln. Ohne LAPS können Angreifer kompromittierte Anmeldeinformationen auf mehreren Geräten wiederverwenden, was das Risiko einer Rechteausweitung und domänenweiten Gefährdung erhöht.
Durch das Erzwingen von Windows LAPS auf allen Windows-Unternehmensgeräten werden eindeutige, regelmäßig rotierte lokale Administratorkennwörter sichergestellt. Dadurch wird die Angriffskette in den Phasen des Zugriffs auf Anmeldeinformationen und der Lateral Movement unterbrochen, wodurch das Risiko einer weit verbreiteten Kompromittierung erheblich reduziert wird.
Wartungsaktion
Verwenden Sie Intune, um Windows LAPS-Richtlinien zu erzwingen, die starke und eindeutige lokale Administratorkennwörter rotieren und sicher sichern:
Weitere Informationen finden Sie unter:
- Referenz zu Windows LAPS-Richtlinieneinstellungen
- Erfahren Sie mehr über Intune Unterstützung für Windows LAPS
Lokale Administratoranmeldeinformationen unter macOS werden während der Registrierung durch macOS LAPS geschützt.
Ohne macOS LAPS-Richtlinien während der automatisierten Geräteregistrierung (Automated Device Enrollment, ADE) zu erzwingen, können Bedrohungsakteure statische oder wiederverwendete lokale Administratorkennwörter ausnutzen, um Berechtigungen zu eskalieren, seitlich zu verschieben und Persistenz herzustellen. Geräte, die ohne zufällige Anmeldeinformationen bereitgestellt werden, sind anfällig für die Erfassung und Wiederverwendung von Anmeldeinformationen über mehrere Endpunkte hinweg, was das Risiko einer domänenweiten Gefährdung erhöht.
Durch das Erzwingen von macOS LAPS wird sichergestellt, dass jedes Gerät mit einem eindeutigen, verschlüsselten lokalen Administratorkennwort bereitgestellt wird, das von Intune verwaltet wird. Dadurch wird die Angriffskette in den Phasen des Zugriffs auf Anmeldeinformationen und der Lateral Movement unterbrochen, wodurch das Risiko einer weit verbreiteten Kompromittierung erheblich verringert wird und Zero Trust Prinzipien der geringsten Rechte und der Hygiene von Anmeldeinformationen in Einklang gebracht werden.
Wartungsaktion
Verwenden Sie Intune, um macOS-ADE-Profile zu konfigurieren, die ein lokales Administratorkonto mit einem zufälligen und verschlüsselten Kennwort bereitstellen und eine sichere Rotation ermöglichen:
- Konfigurieren von macOS LAPS in Microsoft Intune
- Rotieren des lokalen Administratorkennworts (macOS)
Weitere Informationen finden Sie unter:
Die Verwendung des lokalen Kontos unter Windows ist eingeschränkt, um nicht autorisierten Zugriff zu reduzieren.
Ohne eine ordnungsgemäß konfigurierte und zugewiesene Richtlinie für lokale Benutzer und Gruppen in Intune können Bedrohungsakteure nicht verwaltete oder falsch konfigurierte lokale Konten auf Windows-Geräten ausnutzen. Dies kann zu einer nicht autorisierten Rechteausweitung, Persistenz und lateralen Verschiebung innerhalb der Umgebung führen. Wenn lokale Administratorkonten nicht kontrolliert werden, können Angreifer ausgeblendete Konten erstellen oder Berechtigungen erhöhen, um Compliance- und Sicherheitskontrollen zu umgehen. Diese Lücke erhöht das Risiko von Datenexfiltration, Ransomware-Bereitstellung und Nichtkonformität gesetzlicher Bestimmungen.
Die Sicherstellung, dass lokale Benutzer- und Gruppenrichtlinien auf verwalteten Windows-Geräten mithilfe von Kontoschutzprofilen erzwungen werden, ist für die Aufrechterhaltung einer sicheren und konformen Geräteflotte von entscheidender Bedeutung.
Wartungsaktion
Konfigurieren und bereitstellen Sie ein Lokales Benutzergruppenmitgliedschaftsprofil aus Intune Kontoschutzrichtlinie, um die Verwendung lokaler Konten auf Windows-Geräten einzuschränken und zu verwalten:
- Erstellen einer Kontoschutzrichtlinie für Endpunktsicherheit in Intune
- Zuweisen von Richtlinien in Intune
Daten unter Windows werden durch BitLocker-Verschlüsselung geschützt.
Ohne eine ordnungsgemäß konfigurierte und zugewiesene BitLocker-Richtlinie in Intune können Bedrohungsakteure unverschlüsselte Windows-Geräte ausnutzen, um nicht autorisierten Zugriff auf vertrauliche Unternehmensdaten zu erhalten. Geräte ohne erzwungene Verschlüsselung sind anfällig für physische Angriffe wie das Entfernen von Datenträgern oder das Starten von externen Medien, sodass Angreifer die Sicherheitskontrollen des Betriebssystems umgehen können. Diese Angriffe können zu Datenexfiltration, Diebstahl von Anmeldeinformationen und weiteren lateralen Verschiebungen innerhalb der Umgebung führen.
Das Erzwingen von BitLocker auf verwalteten Windows-Geräten ist für die Einhaltung der Datenschutzbestimmungen und zur Verringerung des Risikos von Datenschutzverletzungen von entscheidender Bedeutung.
Wartungsaktion
Verwenden Sie Intune, um die BitLocker-Verschlüsselung zu erzwingen und die Konformität auf allen verwalteten Windows-Geräten zu überwachen:
- Erstellen einer BitLocker-Richtlinie für Windows-Geräte in Intune
- Zuweisen von Richtlinien in Intune
- Überwachen der Geräteverschlüsselung mit Intune
FileVault-Verschlüsselung schützt Daten auf macOS-Geräten
Ohne ordnungsgemäß konfigurierte und zugewiesene FileVault-Verschlüsselungsrichtlinien in Intune können Bedrohungsakteure den physischen Zugriff auf nicht verwaltete oder falsch konfigurierte macOS-Geräte ausnutzen, um vertrauliche Unternehmensdaten zu extrahieren. Unverschlüsselte Geräte ermöglichen es Angreifern, die Sicherheit auf Betriebssystemebene zu umgehen, indem sie von externen Medien starten oder das Speicherlaufwerk entfernen. Diese Angriffe können Anmeldeinformationen, Zertifikate und zwischengespeicherte Authentifizierungstoken verfügbar machen, was eine Rechteausweitung und laterale Verschiebung ermöglicht. Darüber hinaus untergraben unverschlüsselte Geräte die Einhaltung der Datenschutzbestimmungen und erhöhen im Falle eines Verstoßes das Risiko von Reputationsschäden und finanziellen Strafen.
Durch das Erzwingen der FileVault-Verschlüsselung werden ruhende Daten auf macOS-Geräten geschützt, auch wenn sie verloren gehen oder gestohlen werden. Es unterbricht die Erfassung von Anmeldeinformationen und die laterale Bewegung, unterstützt die Einhaltung gesetzlicher Bestimmungen und entspricht Zero Trust Prinzipien der Gerätevertrauensstellung.
Wartungsaktion
Verwenden Sie Intune, um die FileVault-Verschlüsselung zu erzwingen und die Konformität auf allen verwalteten macOS-Geräten zu überwachen:
- Erstellen einer FileVault-Datenträgerverschlüsselungsrichtlinie für macOS in Intune
- Zuweisen von Richtlinien in Intune
- Überwachen der Geräteverschlüsselung mit Intune
Die Authentifizierung unter Windows verwendet Windows Hello for Business
Wenn Richtlinien für Windows Hello for Business (WHfB) nicht konfiguriert und nicht allen Benutzern und Geräten zugewiesen sind, können Bedrohungsakteure schwache Authentifizierungsmechanismen wie Kennwörter nutzen, um nicht autorisierten Zugriff zu erhalten. Dies kann zu Diebstahl von Anmeldeinformationen, Rechteausweitung und lateraler Verschiebung innerhalb der Umgebung führen. Ohne eine starke, richtliniengesteuerte Authentifizierung wie WHfB können Angreifer Geräte und Konten kompromittieren und so das Risiko weit verbreiteter Auswirkungen erhöhen.
Durch das Erzwingen von WHfB wird diese Angriffskette unterbrochen, da eine starke mehrstufige Authentifizierung erforderlich ist, wodurch das Risiko von Anmeldeinformationen basierenden Angriffen und nicht autorisiertem Zugriff verringert wird.
Wartungsaktion
Stellen Sie Windows Hello for Business in Intune bereit, um eine starke mehrstufige Authentifizierung zu erzwingen:
- Konfigurieren Sie eine mandantenweite Windows Hello for Business Richtlinie, die zum Zeitpunkt der Registrierung eines Geräts bei Intune gilt.
- Konfigurieren Sie nach der Registrierung Kontoschutzprofile, und weisen Sie verschiedenen Gruppen von Benutzern und Geräten verschiedene Konfigurationen für Windows Hello for Business zu.
Regeln zur Verringerung der Angriffsfläche werden auf Windows-Geräte angewendet, um die Ausnutzung anfälliger Systemkomponenten zu verhindern.
Wenn Intune Profile für Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) nicht ordnungsgemäß konfiguriert und Windows-Geräten zugewiesen sind, können Bedrohungsakteure ungeschützte Endpunkte ausnutzen, um verschleierte Skripts auszuführen und Win32-API-Aufrufe aus Office-Makros aufzurufen. Diese Techniken werden häufig bei Phishing-Kampagnen und der Bereitstellung von Schadsoftware verwendet, sodass Angreifer herkömmliche Antivirenschutzmaßnahmen umgehen und ersten Zugriff erhalten können. Sobald sie sich darin befinden, eskalieren Angreifer Berechtigungen, richten Persistenz ein und bewegen sich seitlich über das Netzwerk. Ohne ASR-Erzwingung bleiben Geräte anfällig für skriptbasierte Angriffe und Makromissbrauch, wodurch die Wirksamkeit von Microsoft Defender unterminiert wird und sensible Daten der Exfiltration ausgesetzt werden. Diese Lücke beim Endpunktschutz erhöht die Wahrscheinlichkeit einer erfolgreichen Kompromittierung und verringert die Fähigkeit der organization, Bedrohungen einzudämten und darauf zu reagieren.
Das Erzwingen von ASR-Regeln hilft dabei, gängige Angriffstechniken wie skriptbasierte Ausführung und Makromissbrauch zu blockieren, wodurch das Risiko einer anfänglichen Kompromittierung und die Unterstützung von Zero Trust durch Härtung der Endpunktabwehr verringert wird.
Wartungsaktion
Verwenden Sie Intune, um Profile von Regeln zur Verringerung der Angriffsfläche für Windows-Geräte bereitzustellen, um Verhaltensweisen mit hohem Risiko zu blockieren und den Endpunktschutz zu stärken:
- Konfigurieren von Intune Profilen für Regeln zur Verringerung der Angriffsfläche
- Zuweisen von Richtlinien in Intune
Weitere Informationen finden Sie unter:
- Referenz zu Regeln zur Verringerung der Angriffsfläche in der Microsoft Defender-Dokumentation.
Defender Antivirus Richtlinien schützen Windows-Geräte vor Schadsoftware
Wenn Richtlinien für Microsoft Defender Antivirus nicht ordnungsgemäß konfiguriert und in Intune zugewiesen sind, können Bedrohungsakteure ungeschützte Endpunkte ausnutzen, um Schadsoftware auszuführen, Virenschutz zu deaktivieren und in der Umgebung beizubehalten. Ohne erzwungene Antivirenrichtlinien arbeiten Geräte mit veralteten Definitionen, deaktiviertem Echtzeitschutz oder falsch konfigurierten Scanzeitplänen. Diese Lücken ermöglichen es Angreifern, die Erkennung zu umgehen, Berechtigungen zu eskalieren und sich seitlich über das Netzwerk zu bewegen. Das Fehlen einer Antivirenerzwingung untergräbt die Gerätekonformität, erhöht die Gefährdung gegenüber Zero-Day-Bedrohungen und kann zu Nichtkonformität gesetzlicher Bestimmungen führen. Angreifer nutzen diese Schwächen, um Persistenz aufrechtzuerhalten und die Erkennung zu umgehen, insbesondere in Umgebungen ohne zentralisierte Richtlinienerzwingung.
Durch das Erzwingen von Defender Antivirus Richtlinien wird ein konsistenter Schutz vor Schadsoftware sichergestellt, die Bedrohungserkennung in Echtzeit unterstützt und Zero Trust durch Aufrechterhaltung eines sicheren und konformen Endpunktstatus angepasst.
Wartungsaktion
Konfigurieren und zuweisen Intune Richtlinien für Microsoft Defender Antivirus, um Echtzeitschutz zu erzwingen, aktuelle Definitionen zu verwalten und die Anfälligkeit durch Schadsoftware zu verringern:
- Konfigurieren von Intune Richtlinien zum Verwalten von Microsoft Defender Antivirus
- Zuweisen von Richtlinien in Intune
Defender Antivirus Richtlinien schützen macOS-Geräte vor Schadsoftware
Wenn Microsoft Defender Antivirenrichtlinien nicht ordnungsgemäß konfiguriert und macOS-Geräten in Intune zugewiesen sind, können Angreifer ungeschützte Endpunkte ausnutzen, um Schadsoftware auszuführen, Virenschutz zu deaktivieren und in der Umgebung beizubehalten. Ohne erzwungene Richtlinien führen Geräte veraltete Definitionen aus, verfügen über keinen Echtzeitschutz oder falsch konfigurierte Scanzeitpläne, wodurch das Risiko von nicht erkannten Bedrohungen und einer Rechteausweitung erhöht wird. Dies ermöglicht laterale Verschiebungen über das Netzwerk, das Sammeln von Anmeldeinformationen und die Datenexfiltration. Das Fehlen einer Antivirenerzwingung untergräbt die Gerätekonformität, erhöht die Exposition von Endpunkten gegenüber Zero-Day-Bedrohungen und kann zu Nichtkonformität gesetzlicher Bestimmungen führen. Angreifer nutzen diese Lücken, um Persistenz aufrechtzuerhalten und die Erkennung zu umgehen, insbesondere in Umgebungen ohne zentralisierte Richtlinienerzwingung.
Durch das Erzwingen von Defender Antivirus Richtlinien wird sichergestellt, dass macOS-Geräte konsistent vor Schadsoftware geschützt sind, die Bedrohungserkennung in Echtzeit unterstützt und sich an Zero Trust orientiert, indem ein sicherer und konformer Endpunktstatus beibehalten wird.
Wartungsaktion
Verwenden Sie Intune, um Microsoft Defender Antivirenrichtlinien für macOS-Geräte zu konfigurieren und zuzuweisen, um Echtzeitschutz zu erzwingen, aktuelle Definitionen zu verwalten und die Anfälligkeit durch Schadsoftware zu verringern:
- Konfigurieren von Intune Richtlinien zum Verwalten von Microsoft Defender Antivirus
- Zuweisen von Richtlinien in Intune
Windows-Firewallrichtlinien schützen vor nicht autorisiertem Netzwerkzugriff
Wenn Richtlinien für die Windows-Firewall nicht konfiguriert und zugewiesen sind, können Bedrohungsakteure ungeschützte Endpunkte ausnutzen, um nicht autorisierten Zugriff zu erhalten, seitlich zu verschieben und Berechtigungen innerhalb der Umgebung zu eskalieren. Ohne erzwungene Firewallregeln können Angreifer die Netzwerksegmentierung umgehen, Daten exfiltrieren oder Schadsoftware bereitstellen, was das Risiko einer weit verbreiteten Kompromittierung erhöht.
Das Erzwingen von Windows-Firewallrichtlinien stellt eine konsistente Anwendung von Kontrollen für eingehenden und ausgehenden Datenverkehr sicher, wodurch die Gefährdung durch nicht autorisierten Zugriff verringert und Zero Trust durch Netzwerksegmentierung und Schutz auf Geräteebene unterstützt wird.
Wartungsaktion
Konfigurieren und Zuweisen von Firewallrichtlinien für Windows in Intune, um nicht autorisierten Datenverkehr zu blockieren und konsistenten Netzwerkschutz auf allen verwalteten Geräten zu erzwingen:
-
Konfigurieren sie Firewallrichtlinien für Windows-Geräte. Intune verwendet zwei sich ergänzende Profile zum Verwalten von Firewalleinstellungen:
- Windows-Firewall : Verwenden Sie dieses Profil, um das gesamte Firewallverhalten basierend auf dem Netzwerktyp zu konfigurieren.
- Windows-Firewallregeln : Verwenden Sie dieses Profil, um Datenverkehrsregeln für Apps, Ports oder IP-Adressen zu definieren, die auf bestimmte Gruppen oder Workloads zugeschnitten sind. Dieses Intune Profil unterstützt auch die Verwendung von wiederverwendbaren Einstellungsgruppen, um die Verwaltung allgemeiner Einstellungen zu vereinfachen, die Sie für verschiedene Profilinstanzen verwenden.
- Zuweisen von Richtlinien in Intune
Weitere Informationen finden Sie unter:
macOS-Firewallrichtlinien schützen vor nicht autorisiertem Netzwerkzugriff
Ohne eine zentral verwaltete Firewallrichtlinie basieren macOS-Geräte möglicherweise auf Standard- oder benutzerseitig geänderten Einstellungen, die häufig nicht den Sicherheitsstandards des Unternehmens entsprechen. Dadurch werden Geräte unaufgerufenen eingehenden Verbindungen ausgesetzt, sodass Bedrohungsakteure Sicherheitsrisiken ausnutzen, ausgehenden C2-Datenverkehr (Command-and-Control) für die Datenexfiltration einrichten und seitlich innerhalb des Netzwerks verschoben werden können. Dies erhöht den Umfang und die Auswirkungen einer Sicherheitsverletzung erheblich.
Das Erzwingen von macOS-Firewallrichtlinien gewährleistet eine konsistente Kontrolle über eingehenden und ausgehenden Datenverkehr, wodurch die Gefährdung durch nicht autorisierten Zugriff verringert und Zero Trust durch Schutz auf Geräteebene und Netzwerksegmentierung unterstützt wird.
Wartungsaktion
Konfigurieren und Zuweisen von macOS-Firewallprofilen in Intune, um nicht autorisierten Datenverkehr zu blockieren und konsistenten Netzwerkschutz auf allen verwalteten macOS-Geräten zu erzwingen:
Weitere Informationen finden Sie unter:
Windows Update Richtlinien werden erzwungen, um das Risiko durch nicht gepatchte Sicherheitsrisiken zu verringern.
Wenn Windows Update Richtlinien nicht auf allen Windows-Unternehmensgeräten erzwungen werden, können Bedrohungsakteure nicht gepatchte Sicherheitsrisiken ausnutzen, um nicht autorisierten Zugriff zu erhalten, Berechtigungen zu eskalieren und sich seitlich innerhalb der Umgebung zu bewegen. Die Angriffskette beginnt häufig mit der Kompromittierung von Geräten durch Phishing, Schadsoftware oder Ausnutzung bekannter Sicherheitsrisiken, gefolgt von Versuchen, Sicherheitskontrollen zu umgehen. Ohne erzwungene Updaterichtlinien nutzen Angreifer veraltete Software, um in der Umgebung zu bleiben, wodurch das Risiko einer Rechteausweitung und einer domänenweiten Gefährdung erhöht wird.
Das Erzwingen Windows Update Richtlinien stellt ein rechtzeitiges Patchen von Sicherheitslücken sicher, stört die Persistenz von Angreifern und verringert das Risiko einer weit verbreiteten Kompromittierung.
Wartungsaktion
Beginnen Sie mit Verwalten von Windows-Softwareupdates in Intune, um die verfügbaren Windows Update Richtlinientypen und deren Konfiguration zu verstehen.
Intune enthält den folgenden Windows Update-Richtlinientyp:
- Richtlinie für - Windows-Qualitätsupdates, um die regelmäßigen monatlichen Updates für Windows zu installieren.
- Richtlinie - für beschleunigte Updatesum kritische Sicherheitspatches schnell zu installieren.
- Richtlinie für Featureupdates
- Richtlinie "Ringe aktualisieren" - um zu verwalten, wie und wann Geräte Feature- und Qualitätsupdates installieren.
- Windows-Treiberupdates - , um Hardwarekomponenten zu aktualisieren.
Sicherheitsbaselines werden auf Windows-Geräte angewendet, um den Sicherheitsstatus zu stärken
Ohne ordnungsgemäß konfigurierte und zugewiesene Intune Sicherheitsbaselines für Windows bleiben Geräte anfällig für eine Vielzahl von Angriffsvektoren, die Bedrohungsakteure ausnutzen, um Persistenz zu erlangen und Berechtigungen zu eskalieren. Angreifer nutzen Windows-Standardkonfigurationen, bei denen keine gehärteten Sicherheitseinstellungen vorhanden sind, um Lateral Movement mit Techniken wie dem Dumping von Anmeldeinformationen, der Rechteausweitung durch nicht gepatchte Sicherheitsrisiken und der Ausnutzung schwacher Authentifizierungsmechanismen durchzuführen. Ohne erzwungene Sicherheitsbaselines können Bedrohungsakteure kritische Sicherheitskontrollen umgehen, die Persistenz durch Registrierungsänderungen aufrechterhalten und vertrauliche Daten über nicht überwachte Kanäle exfiltrieren. Wenn Sie keine Strategie für die umfassende Verteidigung implementieren, können Geräte leichter ausgenutzt werden, während Angreifer die Angriffskette durchlaufen – vom ersten Zugriff bis zur Datenexfiltration – wodurch letztendlich der Sicherheitsstatus des organization beeinträchtigt wird und das Risiko von Complianceverstößen erhöht wird.
Durch das Anwenden von Sicherheitsbaselines wird sichergestellt, dass Windows-Geräte mit gehärteten Einstellungen konfiguriert werden, wodurch die Angriffsfläche reduziert, die Tiefe der Verteidigung erzwungen und Zero Trust unterstützt werden, indem Sicherheitskontrollen in der gesamten Umgebung standardisiert werden.
Wartungsaktion
Konfigurieren und zuweisen Intune Sicherheitsbaselines für Windows-Geräte, um standardisierte Sicherheitseinstellungen zu erzwingen und die Konformität zu überwachen:
- Bereitstellen von Sicherheitsbaselines zum Schützen von Windows-Geräten
- Überwachen der Einhaltung der Sicherheitsbaseline
Updaterichtlinien für macOS werden erzwungen, um das Risiko durch nicht gepatchte Sicherheitsrisiken zu verringern.
Wenn macOS-Updaterichtlinien nicht ordnungsgemäß konfiguriert und zugewiesen sind, können Bedrohungsakteure nicht gepatchte Sicherheitsrisiken auf macOS-Geräten innerhalb der organization ausnutzen. Ohne erzwungene Updaterichtlinien bleiben Geräte auf veralteten Softwareversionen, wodurch die Angriffsfläche für Rechteausweitung, Remotecodeausführung oder Persistenztechniken erhöht wird. Bedrohungsakteure können diese Schwächen nutzen, um ersten Zugriff zu erhalten, Berechtigungen zu eskalieren und sich seitlich innerhalb der Umgebung zu bewegen. Wenn Richtlinien vorhanden sind, aber nicht Gerätegruppen zugewiesen sind, bleiben Endpunkte ungeschützt, und Konformitätslücken werden nicht erkannt. Dies kann zu weit verbreiteten Kompromittierungen, Datenexfiltration und Betriebsunterbrechungen führen.
Durch das Erzwingen von macOS-Updaterichtlinien wird sichergestellt, dass Geräte rechtzeitig Patches erhalten, wodurch das Risiko einer Ausnutzung verringert und Zero Trust unterstützt wird, indem eine sichere, konforme Geräteflotte aufrechterhalten wird.
Wartungsaktion
Konfigurieren und Zuweisen von macOS-Updaterichtlinien in Intune, um rechtzeitiges Patchen zu erzwingen und das Risiko durch nicht gepatchte Sicherheitsrisiken zu verringern:
Updaterichtlinien für iOS/iPadOS werden erzwungen, um das Risiko durch nicht gepatchte Sicherheitsrisiken zu verringern.
Wenn iOS-Updaterichtlinien nicht konfiguriert und zugewiesen sind, können Bedrohungsakteure nicht gepatchte Sicherheitsrisiken in veralteten Betriebssystemen auf verwalteten Geräten ausnutzen. Das Fehlen von erzwungenen Updaterichtlinien ermöglicht es Angreifern, bekannte Exploits zu verwenden, um ersten Zugriff zu erhalten, Berechtigungen zu eskalieren und sich seitlich innerhalb der Umgebung zu bewegen. Ohne rechtzeitige Updates bleiben Geräte anfällig für Exploits, die bereits von Apple behoben wurden, sodass Bedrohungsakteure Sicherheitskontrollen umgehen, Schadsoftware bereitstellen oder vertrauliche Daten exfiltrieren können. Diese Angriffskette beginnt mit der Kompromittierung von Geräten durch ein nicht gepatchtes Sicherheitsrisiko, gefolgt von Persistenz und potenziellen Datenschutzverletzungen, die sich sowohl auf die Sicherheit der Organisation als auch auf den Compliancestatus auswirken.
Durch das Erzwingen von Updaterichtlinien wird diese Kette unterbrochen, indem sichergestellt wird, dass Geräte konsistent vor bekannten Bedrohungen geschützt sind.
Wartungsaktion
Konfigurieren und Zuweisen von iOS/iPadOS-Updaterichtlinien in Intune, um rechtzeitiges Patchen zu erzwingen und das Risiko durch nicht gepatchte Sicherheitsrisiken zu verringern: