Windows网络安全的四大支柱

微软'■CISO细分了用于保护Windows网络安全的四个关键领域:无密码身份管理,补丁管理,设备控制和基准。

微软 loading= Windows laptop + logo with binary lock and key" itemprop="contentUrl" />
微软 / Gerd Altmann (CC0)

在Microsoft的Ignite会议之前,我能够与公司的CISO Bret Arsenault讨论了我们所有人都应该做的一些关键要素,以确保Windows网络的安全。他谈到了安全的四个支柱:无密码身份管理,补丁管理,设备控制和安全基准。

1.无密码身份管理

Arsenault的建议从使用多因素身份验证(MFA)开始,然后转向无密码身份管理。基于 2020 Verizon数据泄露调查报告, stolen credentials are behind 80% of cyberattacks. It’s a key reason why 微软 emphasizes getting rid of normal passwords and focuses on 无密码 技术。

你有 三大主密码 Windows部署的选项。首先是使用Windows Hello for Business,其中包括 生物特征认证。若要支持Windows Hello for Business进行纯云部署,您需要Windows 10版本1511或更高版本,Microsoft Azure帐户,Azure Active Directory(AD),Azure多因素身份验证,现代管理(Intune或受支持的第三方MDM) 。 (可选)您可以拥有Azure AD Premium订阅,以在设备加入Azure AD时自动进行MDM注册。对于 混合部署 , 您需要Windows 10版本1511或更高版本,并且必须加入Hybrid Azure AD或加入Azure AD。

下一个选项(也是我使用的一个选项)是Microsoft Authenticator应用程序。 (您也可以将Google Authenticator应用程序用于两步验证,但是您需要Microsoft Authenticator进行无密码实施。)如果您的应用程序支持Authenticator应用程序并且用户可以将同一平台用于以下目的,那么这对于您来说是一个可行的选择多个云应用程序。正如在 微软’s documentation,使用的技术类似于Windows Hello。要部署它,您需要Azure多重身份验证,并允许将推送通知作为验证方法。然后,您需要在运行iOS 8.0或更高版本或Android 6.0或更高版本的设备上安装最新版本的Microsoft Authenticator。

最后,您可以通过以下方式实施无密码解决方案: FIDO 2.0安全密钥。您需要类似Yubikey的功能,该功能支持一个驻留密钥,客户端PIN,HMAC秘密以及每个依赖方(RP)的多个帐户。

要继续阅读本文,请立即注册