엔드포인트 보안은 제로 트러스트 전략의 중요한 부분입니다. 이러한 Intune 권장 사항은 암호화를 적용하고, 무단 액세스를 제한하며, 취약성 노출을 줄이는 정책 기반 제어를 통해 네트워크 경계 및 디바이스를 보호하는 데 도움이 됩니다. 플랫폼 간에 구성 및 보안 정책을 적용함으로써 이러한 검사는 Microsoft의 Secure Future 이니셔티브에 부합하고 organization 전반적인 보안 태세를 강화합니다.
제로 트러스트 보안 권장 사항
Windows의 로컬 관리자 자격 증명은 Windows LAPS로 보호됩니다.
LAPS(로컬 관리자 암호 솔루션) 정책을 적용하지 않고 엔드포인트에 액세스하는 위협 행위자가 정적 또는 약한 로컬 관리자 암호를 악용하여 권한을 에스컬레이션하고, 횡적으로 이동하고, 지속성을 설정할 수 있습니다. 공격 체인은 일반적으로 피싱, 맬웨어 또는 물리적 액세스를 통해 디바이스 손상으로 시작하고 로컬 관리자 자격 증명을 수집하려고 시도합니다. LAPS가 없으면 공격자는 여러 디바이스에서 손상된 자격 증명을 재사용하여 권한 상승 및 도메인 전체 손상의 위험을 높일 수 있습니다.
모든 회사 Windows 디바이스에 Windows LAPS를 적용하면 고유하고 정기적으로 회전되는 로컬 관리자 암호가 보장됩니다. 이렇게 하면 자격 증명 액세스 및 횡적 이동 단계에서 공격 체인이 중단되어 광범위한 손상의 위험이 크게 줄어듭니다.
수정 작업
Intune 사용하여 강력하고 고유한 로컬 관리자 암호를 회전하고 안전하게 백업하는 Windows LAPS 정책을 적용합니다.
자세한 내용은 다음 항목을 참조하세요.
macOS LAPS에 의해 등록하는 동안 macOS의 로컬 관리자 자격 증명이 보호됩니다.
ADE(자동화된 디바이스 등록) 중에 macOS LAPS 정책을 적용하지 않으면 위협 행위자가 정적 또는 재사용된 로컬 관리자 암호를 악용하여 권한을 에스컬레이션하고, 횡적으로 이동하고, 지속성을 설정할 수 있습니다. 임의 자격 증명 없이 프로비전된 디바이스는 여러 엔드포인트에서 자격 증명 수집 및 재사용에 취약하므로 도메인 전체 손상의 위험이 높아집니다.
macOS LAPS를 적용하면 각 디바이스가 Intune 관리되는 고유한 암호화된 로컬 관리자 암호로 프로비전됩니다. 이는 자격 증명 액세스 및 횡적 이동 단계에서 공격 체인을 방해하여 광범위한 손상의 위험을 크게 줄이고 최소 권한 및 자격 증명 위생의 제로 트러스트 원칙에 부합합니다.
수정 작업
Intune 사용하여 임의로 암호화된 암호로 로컬 관리자 계정을 프로비전하고 보안 회전을 가능하게 하는 macOS ADE 프로필을 구성합니다.
자세한 내용은 다음 항목을 참조하세요.
Windows의 로컬 계정 사용량은 무단 액세스를 줄이기 위해 제한됩니다.
Intune 제대로 구성되고 할당된 로컬 사용자 및 그룹 정책이 없으면 위협 행위자는 Windows 디바이스에서 관리되지 않거나 잘못 구성된 로컬 계정을 악용할 수 있습니다. 이로 인해 환경 내에서 권한 상승, 지속성 및 횡적 이동이 발생할 수 있습니다. 로컬 관리자 계정이 제어되지 않는 경우 공격자는 숨겨진 계정을 만들거나 권한을 상승하여 규정 준수 및 보안 제어를 무시할 수 있습니다. 이러한 격차는 데이터 반출, 랜섬웨어 배포 및 규정 비준수의 위험을 증가합니다.
계정 보호 프로필을 사용하여 관리되는 Windows 디바이스에 로컬 사용자 및 그룹 정책을 적용하는 것은 안전하고 호환되는 디바이스 플릿을 유지하는 데 중요합니다.
수정 작업
Intune 계정 보호 정책에서 로컬 사용자 그룹 멤버 자격 프로필을 구성하고 배포하여 Windows 디바이스에서 로컬 계정 사용량을 제한하고 관리합니다.
Windows의 데이터는 BitLocker 암호화로 보호됩니다.
Intune 올바르게 구성되고 할당된 BitLocker 정책이 없으면 위협 행위자는 암호화되지 않은 Windows 디바이스를 악용하여 중요한 회사 데이터에 무단으로 액세스할 수 있습니다. 강제 암호화가 없는 디바이스는 외부 미디어에서 디스크 제거 또는 부팅과 같은 물리적 공격에 취약하므로 공격자가 운영 체제 보안 제어를 우회할 수 있습니다. 이러한 공격으로 인해 데이터 반출, 자격 증명 도용 및 환경 내의 추가 횡적 이동이 발생할 수 있습니다.
관리되는 Windows 디바이스에 BitLocker를 적용하는 것은 데이터 보호 규정을 준수하고 데이터 침해 위험을 줄이는 데 중요합니다.
수정 작업
Intune 사용하여 BitLocker 암호화를 적용하고 모든 관리되는 Windows 디바이스에서 규정 준수를 모니터링합니다.
FileVault 암호화는 macOS 디바이스의 데이터를 보호합니다.
Intune FileVault 암호화 정책을 올바르게 구성하고 할당하지 않으면 위협 행위자는 관리되지 않거나 잘못 구성된 macOS 디바이스에 대한 물리적 액세스를 악용하여 중요한 회사 데이터를 추출할 수 있습니다. 암호화되지 않은 디바이스를 사용하면 공격자가 외부 미디어에서 부팅하거나 스토리지 드라이브를 제거하여 운영 체제 수준 보안을 우회할 수 있습니다. 이러한 공격은 자격 증명, 인증서 및 캐시된 인증 토큰을 노출하여 권한 상승 및 횡적 이동을 가능하게 할 수 있습니다. 또한 암호화되지 않은 디바이스는 데이터 보호 규정 준수를 저해하고 위반 시 평판 손상 및 재정적 처벌의 위험을 증가시킵니다.
FileVault 암호화를 적용하면 분실하거나 도난당한 경우에도 macOS 디바이스에서 미사용 데이터를 보호할 수 있습니다. 자격 증명 수집 및 횡적 이동을 방해하고, 규정 준수를 지원하며, 디바이스 신뢰의 제로 트러스트 원칙에 부합합니다.
수정 작업
Intune 사용하여 모든 관리형 macOS 디바이스에서 FileVault 암호화를 적용하고 규정 준수를 모니터링합니다.
Windows에서 인증은 비즈니스용 Windows Hello 사용합니다.
WHfB(비즈니스용 Windows Hello) 정책이 구성되고 모든 사용자 및 디바이스에 할당되지 않은 경우 위협 행위자는 암호와 같은 약한 인증 메커니즘을 악용하여 무단 액세스를 얻을 수 있습니다. 이로 인해 환경 내에서 자격 증명 도난, 권한 상승 및 횡적 이동이 발생할 수 있습니다. WHfB와 같은 강력한 정책 기반 인증이 없으면 공격자는 디바이스와 계정을 손상시켜 광범위한 영향의 위험을 높일 수 있습니다.
WHfB를 적용하면 강력한 다단계 인증이 필요하므로 이 공격 체인이 중단되어 자격 증명 기반 공격 및 무단 액세스의 위험을 줄일 수 있습니다.
수정 작업
강력한 다단계 인증을 적용하려면 Intune 비즈니스용 Windows Hello 배포합니다.
- 디바이스가 Intune 등록할 때 적용되는 테넌트 전체 비즈니스용 Windows Hello 정책을 구성합니다.
- 등록 후 계정 보호 프로필을 구성하고 다른 사용자 및 디바이스 그룹에 비즈니스용 Windows Hello 대한 다양한 구성을 할당합니다.
공격 표면 감소 규칙은 취약한 시스템 구성 요소의 악용을 방지하기 위해 Windows 디바이스에 적용됩니다.
ASR(공격 표면 감소) 규칙에 대한 Intune 프로필이 제대로 구성되고 Windows 디바이스에 할당되지 않은 경우 위협 행위자는 보호되지 않는 엔드포인트를 악용하여 난독 처리된 스크립트를 실행하고 Office 매크로에서 Win32 API 호출을 호출할 수 있습니다. 이러한 기술은 일반적으로 피싱 캠페인 및 맬웨어 배달에 사용되므로 공격자가 기존 바이러스 백신 방어를 우회하고 초기 액세스 권한을 얻을 수 있습니다. 일단 내부로 들어가면 공격자는 권한을 에스컬레이션하고, 지속성을 설정하고, 네트워크를 통해 횡적으로 이동합니다. ASR 적용이 없으면 디바이스는 스크립트 기반 공격 및 매크로 남용에 취약하여 Microsoft Defender 효과를 훼손하고 중요한 데이터 반출에 노출합니다. 엔드포인트 보호의 이러한 격차는 성공적인 손상 가능성을 높이고 organization 위협을 억제하고 대응하는 능력을 감소시킵니다.
ASR 규칙을 적용하면 스크립트 기반 실행 및 매크로 남용과 같은 일반적인 공격 기술을 차단하여 초기 손상 위험을 줄이고 엔드포인트 방어를 강화하여 제로 트러스트 지원할 수 있습니다.
수정 작업
Intune 사용하여 Windows 디바이스에 대한 공격 표면 감소 규칙 프로필을 배포하여 고위험 동작을 차단하고 엔드포인트 보호를 강화합니다.
자세한 내용은 다음 항목을 참조하세요.
- Microsoft Defender 설명서의 공격 표면 감소 규칙 참조입니다.
Defender 바이러스 백신 정책은 맬웨어로부터 Windows 디바이스를 보호합니다.
Microsoft Defender 바이러스 백신에 대한 정책이 Intune 올바르게 구성되고 할당되지 않은 경우 위협 행위자는 보호되지 않는 엔드포인트를 악용하여 맬웨어를 실행하고, 바이러스 백신 보호를 사용하지 않도록 설정하고, 환경 내에서 유지할 수 있습니다. 바이러스 백신 정책을 적용하지 않으면 디바이스는 오래된 정의, 비활성화된 실시간 보호 또는 잘못 구성된 검사 일정으로 작동합니다. 이러한 격차를 통해 공격자는 탐지를 우회하고, 권한을 에스컬레이션하고, 네트워크를 통해 횡적으로 이동할 수 있습니다. 바이러스 백신 적용의 부재는 디바이스 규정 준수를 저해하고, 제로 데이 위협에 대한 노출을 증가시키고, 규정 비준수를 초래할 수 있습니다. 공격자는 이러한 약점을 활용하여 지속성을 유지하고 특히 중앙 집중식 정책 적용이 부족한 환경에서 탐지를 회피합니다.
Defender 바이러스 백신 정책을 적용하면 맬웨어에 대한 일관된 보호가 보장되고, 실시간 위협 탐지가 지원되며, 안전하고 호환되는 엔드포인트 상태를 유지하여 제로 트러스트 맞춥니다.
수정 작업
Microsoft Defender 바이러스 백신에 대한 Intune 정책을 구성하고 할당하여 실시간 보호를 적용하고, 최신 정의를 유지 관리하고, 맬웨어에 대한 노출을 줄입니다.
Defender 바이러스 백신 정책은 맬웨어로부터 macOS 디바이스를 보호합니다.
Microsoft Defender 바이러스 백신 정책이 Intune macOS 디바이스에 올바르게 구성되고 할당되지 않은 경우 공격자는 보호되지 않는 엔드포인트를 악용하여 맬웨어를 실행하고 바이러스 백신 보호를 사용하지 않도록 설정하고 환경에서 유지할 수 있습니다. 강제 정책이 없으면 디바이스는 오래된 정의를 실행하거나, 실시간 보호가 부족하거나, 검사 일정을 잘못 구성하여 검색되지 않은 위협 및 권한 에스컬레이션의 위험을 증가합니다. 이렇게 하면 네트워크 간에 횡적 이동, 자격 증명 수집 및 데이터 반출이 가능합니다. 바이러스 백신 적용이 없으므로 디바이스 규정 준수가 훼손되고, 엔드포인트가 제로 데이 위협에 노출되며, 규정 비준수가 발생할 수 있습니다. 공격자는 이러한 간격을 사용하여 지속성을 유지하고 특히 중앙 집중식 정책 적용이 없는 환경에서 탐지를 회피합니다.
Defender 바이러스 백신 정책을 적용하면 macOS 디바이스가 맬웨어로부터 지속적으로 보호되고, 실시간 위협 탐지를 지원하며, 안전하고 호환되는 엔드포인트 상태를 유지 관리하여 제로 트러스트 맞춥니다.
수정 작업
Intune 사용하여 macOS 디바이스에 대한 Microsoft Defender 바이러스 백신 정책을 구성하고 할당하여 실시간 보호를 적용하고, 최신 정의를 유지하고, 맬웨어에 대한 노출을 줄입니다.
Windows 방화벽 정책은 무단 네트워크 액세스로부터 보호합니다.
Windows 방화벽에 대한 정책이 구성되고 할당되지 않은 경우 위협 행위자는 보호되지 않는 엔드포인트를 악용하여 무단 액세스를 얻고, 횡적으로 이동하고, 환경 내에서 권한을 에스컬레이션할 수 있습니다. 방화벽 규칙을 적용하지 않으면 공격자는 네트워크 세분화를 우회하거나, 데이터를 유출하거나, 맬웨어를 배포하여 광범위한 손상의 위험을 높일 수 있습니다.
Windows 방화벽 정책을 적용하면 인바운드 및 아웃바운드 트래픽 제어를 일관되게 적용하여 무단 액세스에 대한 노출을 줄이고 네트워크 세분화 및 디바이스 수준 보호를 통해 제로 트러스트 지원합니다.
수정 작업
Intune Windows에 대한 방화벽 정책을 구성하고 할당하여 무단 트래픽을 차단하고 모든 관리되는 디바이스에서 일관된 네트워크 보호를 적용합니다.
-
Windows 디바이스에 대한 방화벽 정책을 구성합니다. Intune 두 개의 보완 프로필을 사용하여 방화벽 설정을 관리합니다.
- Windows 방화벽 - 이 프로필을 사용하여 네트워크 유형에 따라 전반적인 방화벽 동작을 구성합니다.
- Windows 방화벽 규칙 - 이 프로필을 사용하여 특정 그룹 또는 워크로드에 맞게 조정된 앱, 포트 또는 IP에 대한 트래픽 규칙을 정의합니다. 또한 이 Intune 프로필은 재사용 가능한 설정 그룹을 사용하여 다른 프로필 인스턴스에 사용하는 일반적인 설정의 관리를 간소화할 수 있도록 지원합니다.
- Intune 정책 할당
자세한 내용은 다음 항목을 참조하세요.
macOS 방화벽 정책은 무단 네트워크 액세스로부터 보호합니다.
중앙에서 관리되는 방화벽 정책이 없으면 macOS 디바이스는 기본 또는 사용자가 수정한 설정에 의존할 수 있으며, 이는 종종 회사 보안 표준을 충족하지 못합니다. 이렇게 하면 디바이스가 원치 않는 인바운드 연결에 노출되어 위협 행위자가 취약성을 악용하고, 데이터 반출을 위해 아웃바운드 C2(명령 및 제어) 트래픽을 설정하고, 네트워크 내에서 횡적으로 이동할 수 있으므로 위반의 scope 및 영향이 크게 증가합니다.
macOS 방화벽 정책을 적용하면 인바운드 및 아웃바운드 트래픽을 일관되게 제어하여 무단 액세스에 대한 노출을 줄이고 디바이스 수준 보호 및 네트워크 구분을 통해 제로 트러스트 지원합니다.
수정 작업
Intune macOS 방화벽 프로필을 구성하고 할당하여 무단 트래픽을 차단하고 관리되는 모든 macOS 디바이스에서 일관된 네트워크 보호를 적용합니다.
자세한 내용은 다음 항목을 참조하세요.
패치되지 않은 취약성으로 인한 위험을 줄이기 위해 Windows 업데이트 정책이 적용됩니다.
Windows 업데이트 정책이 모든 회사 Windows 디바이스에 적용되지 않는 경우 위협 행위자가 패치되지 않은 취약성을 악용하여 무단 액세스를 얻고, 권한을 에스컬레이션하고, 환경 내에서 횡적으로 이동할 수 있습니다. 공격 체인은 종종 피싱, 맬웨어 또는 알려진 취약성 악용을 통해 디바이스 손상으로 시작하고 보안 제어를 우회하려는 시도가 뒤따릅니다. 강제 업데이트 정책이 없으면 공격자는 오래된 소프트웨어를 활용하여 환경에서 유지하므로 권한 상승 및 도메인 전체 손상의 위험이 증가합니다.
Windows 업데이트 정책을 적용하면 보안 결함을 적시에 패치하고, 공격자 지속성을 방해하고, 광범위한 손상의 위험을 줄일 수 있습니다.
수정 작업
사용 가능한 Windows 업데이트 정책 유형과 구성하는 방법을 이해하려면 Intune Windows 소프트웨어 업데이트 관리부터 시작합니다.
Intune 다음과 같은 Windows 업데이트 정책 유형을 포함합니다.
- Windows 품질 업데이트 정책 - Windows에 대한 정기적인 월별 업데이트를 설치합니다.
- 업데이트 정책 신속 처리 - 중요한 보안 패치를 신속하게 설치합니다.
- 기능 업데이트 정책
- 링 정책 - 업데이트디바이스가 기능 및 품질 업데이트를 설치하는 방법과 시기를 관리합니다.
- Windows 드라이버 업데이트 - 하드웨어 구성 요소를 업데이트합니다.
보안 기준은 보안 태세를 강화하기 위해 Windows 디바이스에 적용됩니다.
Windows에 대한 Intune 보안 기준을 올바르게 구성하고 할당하지 않으면 디바이스는 위협 행위자가 지속성을 얻고 권한을 에스컬레이션하기 위해 악용하는 다양한 공격 벡터에 취약합니다. 악의적 사용자는 강화된 보안 설정이 없는 기본 Windows 구성을 활용하여 자격 증명 덤핑, 패치되지 않은 취약성을 통한 권한 상승 및 약한 인증 메커니즘 악용과 같은 기술을 사용하여 횡적 이동을 수행합니다. 강제 보안 기준이 없는 경우 위협 행위자는 중요한 보안 제어를 우회하고, 레지스트리 수정을 통해 지속성을 유지 관리하고, 모니터링되지 않는 채널을 통해 중요한 데이터 유출할 수 있습니다. 심층 방어 전략을 구현하지 못하면 공격자가 초기 액세스에서 데이터 반출에 이르기까지 공격 체인을 통해 진행함에 따라 디바이스를 더 쉽게 악용할 수 있으며 궁극적으로 organization 보안 태세를 손상시키고 규정 준수 위반의 위험을 증가시킬 수 있습니다.
보안 기준을 적용하면 Windows 디바이스가 강화된 설정으로 구성되고, 공격 표면을 줄이고, 심층 방어를 적용하고, 환경 전체에서 보안 제어를 표준화하여 제로 트러스트 지원할 수 있습니다.
수정 작업
표준화된 보안 설정을 적용하고 규정 준수를 모니터링하도록 Windows 디바이스에 Intune 보안 기준을 구성하고 할당합니다.
패치되지 않은 취약성으로 인한 위험을 줄이기 위해 macOS에 대한 업데이트 정책이 적용됩니다.
macOS 업데이트 정책이 제대로 구성되고 할당되지 않은 경우 위협 행위자는 organization 내의 macOS 디바이스에서 패치되지 않은 취약성을 악용할 수 있습니다. 강제 업데이트 정책이 없으면 디바이스가 오래된 소프트웨어 버전에 남아 있으므로 권한 상승, 원격 코드 실행 또는 지속성 기술에 대한 공격 노출 영역이 증가합니다. 위협 행위자는 이러한 약점을 활용하여 초기 액세스 권한을 얻고, 권한을 에스컬레이션하고, 환경 내에서 횡적으로 이동할 수 있습니다. 정책이 있지만 디바이스 그룹에 할당되지 않은 경우 엔드포인트는 보호되지 않은 상태로 유지되고 규정 준수 격차는 검색되지 않습니다. 이로 인해 광범위한 손상, 데이터 반출 및 운영 중단이 발생할 수 있습니다.
macOS 업데이트 정책을 적용하면 디바이스가 적시에 패치를 받도록 하여 안전하고 규정을 준수하는 디바이스 함대를 유지 관리하여 악용 위험을 줄이고 제로 트러스트 지원합니다.
수정 작업
Intune macOS 업데이트 정책을 구성하고 할당하여 패치를 적시에 적용하고 패치되지 않은 취약성으로 인한 위험을 줄입니다.
패치되지 않은 취약성으로 인한 위험을 줄이기 위해 iOS/iPadOS에 대한 업데이트 정책이 적용됩니다.
iOS 업데이트 정책이 구성되고 할당되지 않은 경우 위협 행위자는 관리 디바이스의 오래된 운영 체제에서 패치되지 않은 취약성을 악용할 수 있습니다. 강제 업데이트 정책이 없으므로 공격자는 알려진 익스플로잇을 사용하여 초기 액세스 권한을 얻고, 권한을 에스컬레이션하고, 환경 내에서 횡적으로 이동할 수 있습니다. 시기 적절한 업데이트가 없으면 디바이스는 Apple에서 이미 해결한 악용에 취약하므로 위협 행위자가 보안 제어를 우회하거나 맬웨어를 배포하거나 중요한 데이터 유출할 수 있습니다. 이 공격 체인은 패치되지 않은 취약성을 통해 디바이스 손상으로 시작하여 조직의 보안 및 규정 준수 상태 모두에 영향을 주는 지속성 및 잠재적인 데이터 위반이 뒤따릅니다.
업데이트 정책을 적용하면 디바이스가 알려진 위협으로부터 지속적으로 보호되도록 하여 이 체인이 중단됩니다.
수정 작업
Intune iOS/iPadOS 업데이트 정책을 구성하고 할당하여 패치를 적시에 적용하고 패치되지 않은 취약성으로 인한 위험을 줄입니다.