MD-102 Giai đoạn 2 – Endpoint Security Module 11
11

Endpoint Security & Device Protection

Windows Security Center • Firewall • BitLocker • Attack Surface Reduction • Intune Endpoint Security

Endpoint Security Microsoft Intune MD-102 GĐ2

01 · Lý thuyết

Intune Endpoint Security – Tổng quan

Endpoint Security trong Intune là nhóm chính sách chuyên biệt để bảo vệ thiết bị khỏi các mối đe dọa. Khác với Device Configuration Profiles (dùng cho cấu hình chung), Endpoint Security tập trung vào bảo mật và có dashboard riêng để theo dõi trạng thái bảo vệ.

WorkloadBảo vệ điều gìCông nghệ
AntivirusVirus, malware, spywareMicrosoft Defender Antivirus
Disk EncryptionMã hóa ổ đĩa khi mất thiết bịBitLocker (Windows), FileVault (Mac)
FirewallTraffic vào/ra thiết bịWindows Defender Firewall
Endpoint Detection & ResponsePhát hiện tấn công nâng cao (APT)Microsoft Defender for Endpoint
Attack Surface ReductionGiảm điểm tấn côngASR Rules, Exploit Protection
Account ProtectionBảo vệ tài khoản WindowsWindows Hello, Credential Guard

BitLocker – Mã hóa ổ đĩa

Thiết lậpTùy chọnKhuyến nghị doanh nghiệp
Encryption methodXTS-AES 128-bit / 256-bitXTS-AES 256-bit (cao nhất)
OS driveRequire startup PIN / TPM onlyTPM + PIN (2-factor)
Recovery keyAzure AD / Active Directory / FileEntra ID (tự động backup)
Fixed drivesEncrypt if not encryptedBlock write if not encrypted
Removable drivesBlock write to unencrypted USBEnable – ngăn data leak qua USB

Attack Surface Reduction (ASR) Rules

ASR Rules chặn các hành vi nguy hiểm thường dùng trong tấn công mà không cần biết signature của malware cụ thể:

RuleMô tảMode
Block Office macrosChặn macro trong file Office tải từ internetBlock
Block credential stealingChặn đánh cắp credentials từ lsass.exeBlock
Block child processesOffice apps không được tạo child processesBlock
Block obfuscated scriptsChặn script bị obfuscate (PowerShell)Block
Block executable emailChặn chạy file .exe từ emailBlock
Audit modeGhi log nhưng không chặn (test trước)Audit

Windows Defender Firewall – Cấu hình qua Intune

Intune Endpoint Security Firewall profiles cho phép:

  • Bật Firewall cho cả 3 network profiles: Domain, Private, Public
  • Block inbound connections by default (chặn tất cả kết nối vào trừ allowed)
  • Tạo Firewall rules cụ thể: allow port 443 inbound từ IP range nội bộ
  • Logging: log dropped packets để phân tích sau
Lưu ý thi MD-102: BitLocker recovery key phải được lưu vào Entra ID trước khi enforce encryption. Nếu không, user bị khóa máy mà IT không có key để mở.

02 · Thực hành

Lab A: Bật BitLocker qua Intune Endpoint Security

Thực hành tại: intune.microsoft.com → Endpoint security → Disk encryption

  1. Vào Endpoint securityDisk encryptionCreate Policy
  2. Platform: Windows 10 and later, Profile: BitLocker
  3. Name: BitLocker-Corp-Standard
  4. Cấu hình OS drive encryption:
    • Require BitLocker: Yes
    • Encryption method: XTS-AES 256-bit
    • Additional authentication at startup: Require
    • TPM startup: Required
  5. Recovery key settings:
    • Save BitLocker recovery to Azure AD: Required
    • Create BitLocker recovery password: Allowed
    • Block BitLocker until recovery info stored in Azure AD: Yes
  6. Fixed data drives:
    • Encryption method: XTS-AES 256-bit
    • Block write access to fixed drives not protected: Yes
  7. Assign to group GRP-All-Windows-Devices → Create

Lab B: Cấu hình ASR Rules qua PowerShell

Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All" # Tạo Endpoint Security – Attack Surface Reduction policy $asrRules = @{ name = "ASR-Corp-Standard" description = "Attack Surface Reduction rules for corporate devices" platforms = "windows10AndLater" technologies = "mdm,microsoftSense" templateReference = @{ templateId = "0e237410-1367-4844-bd7f-15fb0f08943b_1" } settings = @( @{ "@odata.type" = "#microsoft.graph.deviceManagementConfigurationSetting" settingInstance = @{ "@odata.type" = "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance" settingDefinitionId = "device_vendor_msft_policy_config_defender_attacksurfacereductiononlyexclusions" choiceSettingValue = @{ value = "block"; children = @() } } } ) } | ConvertTo-Json -Depth 10 # Kiểm tra BitLocker status trên máy client Get-BitLockerVolume | Select-Object MountPoint, VolumeStatus, EncryptionPercentage, KeyProtector # Lấy BitLocker recovery key từ Entra ID Connect-MgGraph -Scopes "BitlockerKey.Read.All" $deviceId = (Get-MgDevice -Filter "displayName eq 'LAPTOP-VT001'").Id Get-MgInformationProtectionBitlockerRecoveryKey -Filter "deviceId eq '$deviceId'" | Select-Object Id, CreatedDateTime
MountPoint VolumeStatus EncryptionPercentage KeyProtector ---------- ---------------- -------------------- --------------------------- C: FullyEncrypted 100 {Tpm, RecoveryPassword} D: FullyEncrypted 100 {Password} # Recovery key từ Entra ID: Id CreatedDateTime ------------------------------------ ---------------------- b3f2e1d4-5a6b-7c8d-9e0f-a1b2c3d4e5f6 2024-03-15T08:00:00Z

Lab C: Kiểm tra Firewall status và tạo rule

# Kiểm tra Windows Firewall profiles Get-NetFirewallProfile | Select-Object Name, Enabled, DefaultInboundAction, DefaultOutboundAction # Tạo rule allow RDP từ subnet nội bộ New-NetFirewallRule ` -DisplayName "Allow RDP from Internal" ` -Direction Inbound ` -Protocol TCP ` -LocalPort 3389 ` -RemoteAddress "10.0.0.0/8","172.16.0.0/12","192.168.0.0/16" ` -Action Allow ` -Profile Domain,Private # Kiểm tra ASR rules hiện tại Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Actions
Name Enabled DefaultInboundAction DefaultOutboundAction ------ ------- -------------------- --------------------- Domain True Block Allow Private True Block Allow Public True Block Allow # ASR Rules đang active: # D4F940AB-401B-4EFC-AADC-AD5F3C50688A → 2 (Block) - Block Office macro content # 9E6C4E1F-7D60-472F-BA1A-A39EF669E4B0 → 2 (Block) - Block credential stealing # BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 → 2 (Block) - Block executable email

03 · Tình huống thực tế

Công ty Luật Hà Nội Legal – Bảo vệ tài liệu pháp lý nhạy cảm

Hà Nội Legal có 80 luật sư và trợ lý, thường xuyên mang laptop về nhà. Một luật sư bị mất laptop chứa hồ sơ vụ kiện trị giá hàng triệu USD. Yêu cầu: đảm bảo dữ liệu không thể đọc được nếu mất thiết bị.

Giải pháp:

  • BitLocker XTS-AES 256-bit + TPM + PIN trên tất cả laptop
  • Recovery key tự động backup lên Entra ID — IT tra cứu được khi cần
  • Block write access to removable drives nếu không encrypted
  • ASR Rules: block macro, block lsass credential stealing, block obfuscated scripts
  • Firewall: block all inbound except VPN tunnel (UDP 500/4500)

Kết quả:

  • • Laptop mất không thể đọc dữ liệu — BitLocker hoạt động hoàn hảo
  • • 1 sự cố ransomware email attachment: ASR rule block macro → không bị nhiễm
  • • Compliance audit đạt 100% — tất cả thiết bị đều encrypted
M10 – Endpoint Apps M12 – VPN & Network