ניהול והגנה על התקני קצה באמצעות Microsoft Endpoint Manager

מיסקונפיגורציה, סיכונים, פגיעויות, איומי אבטחה וחולשות הם חלק בלתי נפרד מהתמודדות יומיומית של אבטחת מידע, ובמקרים רבים יש לנו את האפשרות לפעול בצורה פרואקטיבית ולהגיב באופן כזה שיכול למנוע בעיות אבטחה ואף את האירוע הבא.

סדרת מאמרים לביצוע פעולות על גבי תשתית Microsoft Endpoint Manager עם נושאים שיתמקדמו ביכולות המובנות של MEM, האינטגרציה עם כלי אבטחה וטיפים מהשטח להקשחה נכונה.

כידוע, תחנות קצה הם ניידות ולכן קשה יותר להגן על תחנות מהסוג הזה, וברגע שתחנה משנה מיקומים ואינה נמצאת רק בתחומי הארגון אז האתגר שונה, ולכן במצב כזה אנו צריכים לבצע אבטחת מידע דינמית – מכאן אפשר לבצע הגנה אשר מבוססת על גבי מודל Zero Trust.

ניידות וניהול תחנות מרחוק מחולקות למספר מודלים ואחד מהם הוא מודל לניהול וחולשות, המודל של ניהול חולשות ואיומים יכול להשתנות בתרחישים מסוימים, ולכן במערכות המתמקדות בהתקני קצה ובפרט תחנות קצה מבוססות Windows 10 אפשר וממולץ להתבסס לפי המודל הבא של סופי ואינסופי:

  • Asset – מאפיין בעל ערך כמותי ומדוד
  • Threat – מאפיין בעל ערך סופי
  • Vulnerabilities – מאפיין בעל ערך אינסופי
  • Attack – מאפיין בעל ערך אינסופי

למה בסדר הנ"ל? פשוט מאוד, מאפיינים בעלי ערך סופי וערך אינסופי יותק קלים לניהול כאשר יודעים מהם – ומה הכוונה למאפיינים הנ"ל?

עוד על ניהול והגנה פרואקטיבית באמצעות Threat & Vulnerability Management

מהו Endpoint Security

Microsoft Endpoint Manager אינו רק שם חדש אלא פלטפורמה מחודשת המשלבת בתוכה ממשק משופר, יכולות ניהול חדשות ואפשרויות של שילוב משימות בין צוות IT לבין צוות אבטחה מידע, כמו כן תשתית Endpoint Manager מכילה אינטגרציה מול כלי אבטחה מבוססי Microsoft לצד כלי אבטחה צד שלישי.

לצד כל אלה האפשרויות המתקדמות של תצורה היברידית עם SCCM היא בשורה של ממש בניהול תחנות קצה בכל מקום.

עד כה בממשק Intune (וקיים גם בממשק Endpoint Manager) ישנם אפשרויות מגוונות להקשחת תחנות קצה, למשל, ברמת פרופיל קונפיגורציה (Device Configuration) – שם אפשר למצוא אינספור יכולות בסיסיות ומתקדמות.

הממשק של Endpoint Manager מביא איתו בשורה לצוותי IT, לצוותי Cloud וכמובן לצוות SecOps בכך שהוא מאפשר לכלל הצוותים להנות מהיכולות ניהול בממשק אחד ולהתמקד באפשרויות השונות, למשל, אפשרויות Endpoint Security מרכזות את כלל האפשרויות של הקשחה במקום אחד ומאפשרות לנהל חבילות פוליסי מוגדרות מראש, ניהול Baseline ואפשרויות אבטחה נוספות.

כך זה נראה מתוך אפשרויות Endpoint Security

בצד השני צוות IT Admin או CloudOps מנהל את התקני הקצה בצורה הרגילה עם אפשרויות שונות ברמת ניהול אפליקציות, התקני קצה, משתמשים, קבוצות וניטור השירות.

לדעתי האישית, אחד השינויים הטובים שהביאו בשורה של ממש בניהול ואינטגרציה בין IT לבין אבטחת מידע תוך שילוב של אינטגרציה מול כלי אבטחה ותצורה היברידית של ממש

איך עובדים עם MEM Security

הממשק של MEM Security נחלק לשלושה חלקים עיקריים, ובכל חלק ניתן למצוא מספר קטגוריות שונות. החלוקה של הממשק היא:

  • החלק הראשון Overview מספק תמונת מצב ראשית של תחנות קצה אך כולל בתוכו יכולות כמו Security Baselines שם אפשר לבצע הקשחות, ובנוסף ישנו את Security Tasks שמקבל משימות מתוך המלצות ובעיות אבטחה שמזוהות בתשתית MDATP
  • החלק השני מכיל מספר חבילות פוליסי שם ישנם אינספור אפשרויות להקשחת תחנות קצה וחלק מהאפשרויות זהות לאלה של Security Baseline, אך רק מחצית מתוך האפשרויות.
  • החלק השלישי הוא האינטגרציה מול MDATP והגדרות סף.

בתור SecOps מאיפה להתחיל? מאוד תלוי בדרישות אבטחה, אבל מומלץ להתחיל מתוך אכיפת חבילות פוליסי בגלל שהמימוש שלהם בתחנות קצה הוא פשוט יותר מאשר Security Baseline ומאפשר לבצע onboarding של אבטחת מידע יעילה יותר.

במקרים רבים בחבילות פוליסי ישנן הגדרות בסיסיות או הגדרות יעודיות ולכן היישום שלהם פחות מורכב. כיום ישנם מספר חבילות פוליסי של:

  • אכיפה והגדרות אנטי-וירוס ברמת Windows Defender
  • הצפנות מידע ברמת ביטלוקר
  • חסימות באמצעות Windows Firewall
  • הגדרת MDATP עם אפשרויות EDR
  • הקטנת שטח התקיפה וחסימת בעיות שאינן מזוהות באמצעות ASR
  • הגנה בסיסית על זהויות עם Windows Hello (הגדרות בסיסיות בלבד)

השניים הנוספים הם Device Compliance להגדרת תאימות סף לתחנות מחוברות והגדרת תנאים וחוקים ברמת Azure AD Conditional Access.

איך יוצרים ומגדירים? הגדרת Endpoint Protection היא פשוטה יחסית ומצריכה יצירת פוליסי, בחירת סוג מערכת ובחירת הגדרות הקשחה – פשוט לא?

טיפים מהשטח

  • ביישום ואכיפה ניתן לעבוד עם שתי סוגי קבוצות: ברמת משתמש + ברמת תחנה, ובכל פוליסי (או אפילו הפצה) ניתן לשייך ברמת משתמש או תחנה
  • ישנן הגדרות שניתנות לביצוע רק ברמת משתמש או תחנה (ניתן לראות ברמת מאפיינים פוליסי או הפצה)
  • כאשר מיישמים פוליסי ברמת Endpoint Manager מומלץ לעבוד עם קבוצות מבוססות משתמשים וקבוצות מבוססות תחנות
  • מומלץ ליצור שלושה סוגים של קבוצות – בכל בדיקה של פוליסי או הפצה מומלץ לעבוד לפי שלושה סייקלים – סייקל ראשון בדיקות מול קבוצת טסטים, סייקל שני – בדיקות מול קבוצת פילוט מורחבת, וסייקל שלישי – יישום ואכיפה לקבוצות ייצור
  • בסיום הגדרת פוליסי ניתן לזרז את תהליך הסנכרון ואכיפת הפוליסי עד לכדי דקות בודדות מרגע סיום ההגדרה
  • אין לבצע בשום אופן הגדרות הקשחה זהות בין Endpoint Policies לבין Security Baseline לבין Device Configuration כי במצב כזה עלול להיווצר קונפליקט ברמת תחנה

עוד על MEM Security וניהול תחנות באמצעות Endpoint Manager במאמרים הקרובים

מה דעתך?

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.