Nasazení privilegovaného přístupu

Tento dokument vás provede implementací technických komponent strategie privilegovaného přístupu, včetně zabezpečených účtů, pracovních stanic a zařízení a zabezpečení rozhraní (se zásadami podmíněného přístupu).

Souhrn profilů na úrovni zabezpečení

Tyto pokyny nastaví všechny profily pro všechny tři úrovně zabezpečení a měly by být přiřazeny role vaší organizace na základě pokynů k úrovním zabezpečení privilegovaného přístupu . Společnost Microsoft doporučuje konfigurovat je v pořadí popsaném v plánu rychlé modernizace (RAMP).

Licenční požadavky

Koncepty popsané v této příručce předpokládají, že máte Microsoft 365 Enterprise E5 nebo ekvivalentní skladovou položku. Některá doporučení v této příručce je možné implementovat s nižšími skladovými úrovněmi. Další informace najdete v tématu Microsoft 365 Enterprise licencování.

Pokud chcete automatizovat zřizování licencí, zvažte licencování na základě skupin pro vaše uživatele.

Konfigurace Azure Active Directory

Azure Active Directory (Azure AD) spravuje uživatele, skupiny a zařízení pro pracovní stanice správce. Povolte služby a funkce identit pomocí účtu správce.

Když vytvoříte účet správce zabezpečené pracovní stanice, zpřístupníte ho stávající pracovní stanici. Ujistěte se, že k provedení této počáteční konfigurace a všech globálních konfigurací používáte známé bezpečné zařízení. Pokud chcete snížit riziko útoku při prvním výskytu, zvažte následující pokyny, abyste zabránili infekcím malwaru.

Vyžadovat vícefaktorové ověřování, aspoň pro správce. Pokyny k implementaci najdete v tématu Podmíněný přístup: Vyžadování vícefaktorového ověřování pro správce .

Uživatelé a skupiny služby Azure AD

  1. V Azure Portal přejděte k novémuuživateliAzure Active Directory>.>

  2. Podle pokynů v kurzu vytvoření uživatele vytvořte uživatele zařízení.

  3. Zadejte:

    • Název – Zabezpečený správce pracovní stanice
    • Uživatelské jméno - secure-ws-user@contoso.com
    • Role - adresáře Omezený správce a vyberte roli správce Intune.
    • Umístění použití – Například Velká Británie nebo požadované umístění tvoří seznam.
  4. Vyberte Vytvořit.

Vytvořte uživatele správce zařízení.

  1. Zadejte:

    • Název – Zabezpečený správce pracovní stanice
    • Uživatelské jméno - secure-ws-admin@contoso.com
    • Role - adresáře Omezený správce a vyberte roli správce Intune.
    • Umístění použití – Například Velká Británie nebo požadované umístění tvoří seznam.
  2. Vyberte Vytvořit.

Dále vytvoříte čtyři skupiny: Secure Workstation Users, Secure Workstation Admins, Emergency BreakGlass a Secure Workstation Devices.

V Azure Portal přejděte donové skupinyskupin>Azure Active Directory>.

  1. U skupiny uživatelů pracovní stanice můžete chtít nakonfigurovat licencování na základě skupin pro automatizaci zřizování licencí pro uživatele.

  2. Jako skupinu uživatelů pracovní stanice zadejte:

    • Typ skupiny – Zabezpečení
    • Název skupiny – Zabezpečení uživatelů pracovní stanice
    • Typ členství – Přiřazeno
  3. Přidejte uživatele zabezpečené pracovní stanice: secure-ws-user@contoso.com

  4. Můžete přidat všechny ostatní uživatele, kteří budou používat zabezpečené pracovní stanice.

  5. Vyberte Vytvořit.

  6. Jako skupinu Privileged Workstation Admins zadejte:

    • Typ skupiny – Zabezpečení
    • Název skupiny – Správci zabezpečených pracovních stanic
    • Typ členství – Přiřazeno
  7. Přidejte uživatele zabezpečené pracovní stanice: secure-ws-admin@contoso.com

  8. Můžete přidat všechny ostatní uživatele, kteří budou spravovat zabezpečené pracovní stanice.

  9. Vyberte Vytvořit.

  10. Do skupiny Nouzové BreakGlass zadejte:

    • Typ skupiny – Zabezpečení
    • Název skupiny – Nouzové BreakGlass
    • Typ členství – Přiřazeno
  11. Vyberte Vytvořit.

  12. Přidejte do této skupiny účty pro nouzový přístup.

  13. Jako skupinu zařízení pracovní stanice zadejte:

    • Typ skupiny – Zabezpečení
    • Název skupiny – Zabezpečené pracovní stanice
    • Typ členství – Dynamické zařízení
    • Pravidla dynamického členství - (device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")
  14. Vyberte Vytvořit.

konfigurace zařízení Azure AD

Určete, kdo může připojit zařízení k Azure AD

Nakonfigurujte nastavení zařízení ve službě Active Directory tak, aby se vaše skupina zabezpečení pro správu připojila k vaší doméně. Konfigurace tohoto nastavení z Azure Portal:

  1. Přejděte na Azure Active Directory>Zařízení>Nastavení zařízení.
  2. V částiUživatelé se můžou zařízení připojit k Azure AD a pak vyberte skupinu Zabezpečené uživatele pracovní stanice.

Odebrat práva místního správce

Tato metoda vyžaduje, aby uživatelé virtuální IP adresy, DevOps a privilegovaných pracovních stanic neměli na svých počítačích žádná práva správce. Konfigurace tohoto nastavení z Azure Portal:

  1. Přejděte na Azure Active Directory>Zařízení>Nastavení zařízení.
  2. V části Další místní správci na zařízeních připojených k Azure AD vyberte Žádné.

Podrobnosti o správě členů místní skupiny administrators na zařízeních připojených k Azure AD najdete v tématu Postup správy členů místní skupiny administrators.

Vyžadovat vícefaktorové ověřování pro připojení zařízení

Další posílení procesu připojování zařízení k Azure AD:

  1. Přejděte na Azure Active Directory>Zařízení>Nastavení zařízení.
  2. V části Vyžadovat vícefaktorové ověřování pro připojení zařízení vyberte Ano.
  3. Vyberte Uložit.

Konfigurace správy mobilních zařízení

Na webu Azure Portal:

  1. Přejděte do Microsoft Intuneslužby Azure Active Directory>Mobility (MDM a MAM).>
  2. Změňte nastavení oboru uživatele MDM na Vše.
  3. Vyberte Uložit.

Tyto kroky umožňují spravovat všechna zařízení s Microsoftem Endpoint Manager. Další informace najdete v tématu Intune Rychlý start: Nastavení automatické registrace pro Windows 10 zařízení. Zásady konfigurace a dodržování předpisů Intune vytvoříte v dalším kroku.

Podmíněný přístup Azure AD

Azure AD podmíněný přístup může pomoct omezit privilegované úlohy správy na zařízení vyhovující předpisům. Předdefinovaní členové skupiny Uživatelé zabezpečené pracovní stanice musí při přihlašování ke cloudovým aplikacím provádět vícefaktorové ověřování. Osvědčeným postupem je vyloučit účty pro nouzový přístup ze zásad. Další informace najdete v tématu Správa účtů pro nouzový přístup v Azure AD.

Podmíněný přístup umožňuje přístup k Azure Portal pouze zabezpečené pracovní stanici

Organizace by měly uživatelům s privilegovaným přístupem blokovat možnost připojení k rozhraním, portálům a PowerShellu z zařízení s privilegovaným přístupem.

Pokud chcete blokovat neoprávněná zařízení přístup k rozhraním pro správu cloudu, postupujte podle pokynů v článku Podmíněný přístup: Filtry pro zařízení (Preview). Při nasazování této funkce je důležité zvážit funkci účtu tísňového přístupu . Tyto účty by se měly používat jenom pro extrémní případy a účet spravovaný prostřednictvím zásad.

Poznámka

Budete muset vytvořit skupinu uživatelů a zahrnout uživatele tísňového volání, který může obejít zásady podmíněného přístupu. V našem příkladu máme skupinu zabezpečení s názvem Emergency BreakGlass

Tato sada zásad zajistí, aby vaši správci museli používat zařízení, které může prezentovat konkrétní hodnotu atributu zařízení, že MFA je splněné a zařízení je označené jako kompatibilní se službou Microsoft Endpoint Manager a Microsoft Defender for Endpoint.

Organizace by také měly zvážit blokování starších ověřovacích protokolů ve svých prostředích. Existuje několik způsobů, jak tuto úlohu provést. Další informace o blokování starších ověřovacích protokolů najdete v článku Postupy: Blokování starší verze ověřování pro Azure AD s podmíněným přístupem.

konfigurace Microsoft Intune

Registrace zařízení zamítá BYOD

V naší ukázce doporučujeme, aby zařízení BYOD nebyla povolená. Použití Intune registrace BYOD umožňuje uživatelům registrovat zařízení, která jsou méně nebo nejsou důvěryhodná. Je však důležité si uvědomit, že v organizacích, které mají omezený rozpočet na nákup nových zařízení, hledající použití existujícího hardwarového vozového parku nebo zvažování zařízení bez oken, může zvážit možnost BYOD v Intune nasazení profilu Enterprise.

Následující doprovodné materiály nakonfigurují registraci pro nasazení, která zamítnou přístup BYOD.

Nastavení omezení registrace bránící byod

  1. V Centru pro správu Microsoftu Endpoint Manager zvolte >Omezení> registrace zařízení> a zvolte výchozí omezení Všichni uživatelé.
  2. Vybrat nastavení platformy Vlastností>– Upravit
  3. Vyberte Blokovat pro všechny typy s výjimkou MDM systému Windows.
  4. Vyberte Možnost Blokovat pro všechny položky vlastněné osobně.

Vytvoření profilu nasazení Autopilotu

Po vytvoření skupiny zařízení musíte vytvořit profil nasazení pro konfiguraci zařízení Autopilot.

  1. V Centru pro správu Microsoft Endpoint Manager zvolteProfily> nasazeníregistrace>zařízení>s Windows vytvořit profil.

  2. Zadejte:

    • Název – Zabezpečený profil nasazení pracovní stanice
    • Popis – Nasazení zabezpečených pracovních stanic
    • Nastavte možnost Převést všechna cílová zařízení na Autopilot na Ano. Toto nastavení zajistí, že všechna zařízení v seznamu se zaregistrují pomocí služby nasazení Autopilot. Vyřízení registrace trvá 48 hodin.
  3. Vyberte Další.

    • V režimu nasazení zvolte Samoobslužné nasazení (Preview). Zařízení s tímto profilem jsou přidružená k uživateli, který zařízení zaregistruje. Během nasazení je vhodné použít funkce režimu Self-Deployment, které zahrnují:
      • Zaregistruje zařízení v Intune Azure AD automatické registraci MDM a povolí přístup k zařízení jenom do doby, než se na zařízení zřídí všechny zásady, aplikace, certifikáty a síťové profily.
      • Při registraci zařízení se musí zadat přihlašovací údaje uživatele. Je důležité si uvědomit, že nasazení zařízení v režimu samoobslužného nasazení vám umožní nasadit přenosné počítače ve sdíleném modelu. K žádnému přiřazení uživatele nedojde, dokud se zařízení nepřiřadí uživateli poprvé. V důsledku toho nebudou povoleny žádné zásady uživatelů, jako je BitLocker, dokud se přiřazení uživatele nedokončí. Další informace o tom, jak se přihlásit k zabezpečenému zařízení, najdete v vybraných profilech.
    • Vyberte svůj jazyk (oblast), standardní typ uživatelského účtu.
  4. Vyberte Další.

    • Vyberte značku oboru, pokud jste ji předem nakonfigurovali.
  5. Vyberte Další.

  6. Zvolte Přiřazenípřiřadit vybraným>>skupinám. V oblasti Vybrat skupiny, které chcete zahrnout, zvolte Zabezpečené pracovní stanice.

  7. Vyberte Další.

  8. Vyberte Vytvořit a vytvořte profil. Profil nasazení Autopilotu je teď možné přiřazovat zařízením.

Registrace zařízení v Autopilotu poskytuje jiné uživatelské prostředí na základě typu a role zařízení. V našem příkladu nasazení znázorňujeme model, ve kterém jsou zabezpečená zařízení hromadně nasazená a dá se sdílet, ale při prvním použití se zařízení přiřadí uživateli. Další informace najdete v tématu Intune registrace zařízení Autopilot.

Stránka stavu registrace

Stránka stavu registrace (ESP) zobrazuje průběh zřizování po registraci nového zařízení. Aby bylo zajištěno, že jsou zařízení před použitím plně nakonfigurovaná, Intune poskytuje způsob, jak blokovat používání zařízení, dokud nebudou nainstalovány všechny aplikace a profily.

Vytvoření a přiřazení profilu stránky stavu registrace

  1. V Centru pro správu Microsoft Endpoint Manager zvolte Vytvořitprofilregistrace>zařízení> sWindowssWindows>>.
  2. Zadejte Název a Popis.
  3. Zvolte Vytvořit.
  4. Nový profil vyberte v seznamu Stránka stavu registrace.
  5. Nastavte průběh instalace profilu aplikace na ano.
  6. Nastavte použití blokového zařízení, dokud nebudou všechny aplikace a profily nainstalovány na ano.
  7. Zvolte Možnosti Vybrat>skupiny>, zvolte Secure Workstationskupinu>>Vybrat uložit.
  8. Zvolte Nastavení> , která chcete použít pro tento profil >Uložit.

Konfigurace služba Windows Update

Udržování Windows 10 aktuální je jedním z nejdůležitějších věcí, které můžete udělat. Pokud chcete udržovat Systém Windows v zabezpečeném stavu, nasadíte aktualizační okruh pro správu tempa, které se použijí na pracovní stanice.

Tyto pokyny doporučují, abyste vytvořili nový aktualizační okruh a změnili následující výchozí nastavení:

  1. V Centru pro správu Microsoft Endpoint Manager zvolteAktualizace> softwaru zařízení>Windows 10 aktualizační kanály.

  2. Zadejte:

    • Název – aktualizace pracovních stanic spravovaných Azure
    • Servisní kanál – půlroční kanál
    • Odložení aktualizace kvality (dny) – 3
    • Odložení aktualizace funkcí (dny) – 3
    • Chování automatické aktualizace – Automatická instalace a restartování bez ovládacího prvku koncového uživatele
    • Blokování pozastavení aktualizací Systému Windows – Blokování
    • Vyžadování schválení uživatele k restartování mimo pracovní dobu – povinné
    • Povolit restartování uživatele (zasílané restartování) – povinné
    • Přechod uživatelů na aktivní restartování po automatickém restartování (dny) – 3
    • Připomenutí restartování zapojení Snooze (dny) – 3
    • Nastavit termín čekání na restartování (dny) – 3
  3. Vyberte Vytvořit.

  4. Na kartě Přiřazení přidejte skupinu Zabezpečené pracovní stanice .

Další informace ozásadách služba Windows Update ch

integrace Microsoft Defender for Endpoint Intune

Microsoft Defender for Endpoint a Microsoft Intune spolupracují, aby se zabránilo porušení zabezpečení. Můžou také omezit dopad porušení. Funkce ATP poskytují detekci hrozeb v reálném čase a umožňují rozsáhlé auditování a protokolování zařízení koncových bodů.

Konfigurace integrace Windows Defender pro koncový bod a Microsoft Endpoint Manager:

  1. V Centru pro správu Microsoft Endpoint Manager zvolte AtP v programu Endpoint Security>Microsoft Defender.

  2. V kroku 1 v části Konfigurace Windows Defender ATP vyberte Připojit Windows Defender ATP a Microsoft Intune ve službě Windows Defender Security Center.

  3. V Centru zabezpečení v programu Windows Defender:

    1. Vyberte Možnosti Upřesnit nastavení>.
    2. V Microsoft Intune připojení zvolte Zapnuto.
    3. Vyberte Uložit předvolby.
  4. Po navázání připojení se vraťte do microsoft Endpoint Manager a v horní části vyberte Aktualizovat.

  5. Nastavte připojení zařízení s Windows verze(20H2) 19042.450 a novější na Windows Defender ATP na Zapnuto.

  6. Vyberte Uložit.

Vytvoření konfiguračního profilu zařízení pro onboarding zařízení s Windows

  1. Přihlaste se do Centra pro správu Microsoft Endpoint Manager, zvolte zjišťování koncových bodů zabezpečení>koncového bodu a vytvořte profil odpovědi>.

  2. V případě platformy vyberte Windows 10 a novější.

  3. Jako typ profilu vyberte detekci a odpověď koncového bodu a pak vyberte Vytvořit.

  4. Na stránce Základy zadejte pracovní stanici s privilegovaným přístupem – Defender for Endpoint do pole Název a popis (volitelné) profilu a pak zvolte Další.

  5. Na stránce Nastavení konfigurace nakonfigurujte v části Detekce koncových bodů a odpovědi následující možnost:

  6. Výběrem možnosti Další otevřete stránku Značky oboru . Značky oboru jsou volitelné. Pokračujte výběrem tlačítka Další.

  7. Na stránce Přiřazení vyberte skupinu Zabezpečené pracovní stanice . Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

    Vyberte Další.

  8. Na stránce Zkontrolovat a vytvořit vyberte po dokončení možnost Vytvořit. Nový profil se zobrazí v seznamu, když vyberete typ zásady pro profil, který jste vytvořili. OK a pak vytvořte změny, které vytvoří profil.

Další informace najdete v tématu Windows Defender Advanced Threat Protection.

Posílení zabezpečení profilu pracovní stanice

Pokud chcete úspěšně dokončit posílení zabezpečení řešení, stáhněte a spusťte příslušný skript. Vyhledejte odkazy ke stažení požadované úrovně profilu:

Profil Umístění pro stažení Jméno souboru
Enterprise https://aka.ms/securedworkstationgit Enterprise-Workstation-Windows10-(20H2).ps1
Specializovaná https://aka.ms/securedworkstationgit Specializované – Windows10-(20H2).ps1
Privilegovaný https://aka.ms/securedworkstationgit Privileged-Windows10-(20H2).ps1

Poznámka

Odebrání práv správce a přístupu a také řízení spouštění aplikací (AppLocker) se spravuje profily zásad, které jsou nasazené.

Po úspěšném spuštění skriptu můžete v Intune provádět aktualizace profilů a zásad. Skripty pro vás vytvoří zásady a profily, ale musíte je přiřadit skupině zařízení Zabezpečené pracovní stanice .

  • Tady najdete konfigurační profily Intune zařízení vytvořené skripty: Azure Portal>Microsoft Intune>Device konfigurační>profily.
  • Tady najdete Intune zásady dodržování předpisů zařízením vytvořené skripty: Azure Portal>Microsoft Intune>Device Dodržování předpisů>.

Spuštěním skriptu DeviceConfiguration_Export.ps1 exportu dat Intune z úložiště GitHub DeviceConfiguration exportujte všechny aktuální profily Intune pro porovnání a vyhodnocení profilů.

Nastavení pravidel v konfiguračním profilu služby Endpoint Protection pro bránu Firewall v programu Microsoft Defender

Windows Defender nastavení zásad brány firewall jsou součástí konfiguračního profilu služby Endpoint Protection. Chování zásady použité v tabulce níže.

Profil Příchozí pravidla Pravidla pro odchozí provoz Chování při slučování
Enterprise Blok Povolit Povolit
Specializovaná Blok Povolit Blok
Privilegovaný Blok Blok Blok

Organizace: Tato konfigurace je nejvýkonnější, protože zrcadlí výchozí chování instalace systému Windows. Veškerý příchozí provoz je blokován s výjimkou pravidel, která jsou explicitně definována v pravidlech místních zásad, protože sloučení místních pravidel je nastaveno na povolenou. Veškerý odchozí provoz je povolený.

Specializované: Tato konfigurace je více omezující, protože ignoruje místně definovaná pravidla na zařízení. Veškerý příchozí provoz je blokovaný včetně místně definovaných pravidel, která zásada obsahuje dvě pravidla, která umožňují optimalizaci doručení fungovat podle návrhu. Veškerý odchozí provoz je povolený.

Privileged: Veškerý příchozí provoz je blokovaný včetně místně definovaných pravidel, která zásada obsahuje dvě pravidla, která umožňují optimalizaci doručení fungovat podle návrhu. Odchozí provoz je také blokovaný kromě explicitních pravidel, která povolují provoz DNS, DHCP, NTP, NSCI, HTTP a HTTPS. Tato konfigurace nejen snižuje prostor útoku, který zařízení prezentuje v síti, omezuje odchozí připojení, která může zařízení navázat pouze na tato připojení potřebná ke správě cloudových služeb.

Pravidlo Směr Akce Aplikace / služba Protokol Místní porty Vzdálené porty
Webové služby (HTTP Traffic-out) Odchozí Povolit Vše TCP Všechny porty 80
World Wide Web Services (provoz HTTPS) Odchozí Povolit Vše TCP Všechny porty 443
Základní sítě – Protokol pro konfiguraci dynamického hostitele pro protokol IPv6 (DHCPV6-Out) Odchozí Povolit %SystemRoot%\system32\svchost.exe TCP 546 547
Základní sítě – Protokol pro konfiguraci dynamického hostitele pro protokol IPv6 (DHCPV6-Out) Odchozí Povolit Dhcp TCP 546 547
Základní sítě – protokol DHCP (Dynamic Host Configuration Protocol) pro protokol IPv6 (DHCP-Out) Odchozí Povolit %SystemRoot%\system32\svchost.exe TCP 68 67
Základní sítě – protokol DHCP (Dynamic Host Configuration Protocol) pro protokol IPv6 (DHCP-Out) Odchozí Povolit Dhcp TCP 68 67
Základní sítě – DNS (UDP-Out) Odchozí Povolit %SystemRoot%\system32\svchost.exe UDP Všechny porty 53
Základní sítě – DNS (UDP-Out) Odchozí Povolit Dnscache UDP Všechny porty 53
Základní sítě – DNS (TCP-Out) Odchozí Povolit %SystemRoot%\system32\svchost.exe TCP Všechny porty 53
Základní sítě – DNS (TCP-Out) Odchozí Povolit Dnscache TCP Všechny porty 53
Sonda NSCI (TCP-Out) Odchozí Povolit %SystemRoot%\system32\svchost.exe TCP Všechny porty 80
Sonda NSCI – DNS (TCP-Out) Odchozí Povolit NlaSvc TCP Všechny porty 80
Čas windows (udp-out) Odchozí Povolit %SystemRoot%\system32\svchost.exe TCP Všechny porty 80
Sonda času systému Windows – DNS (UDP-Out) Odchozí Povolit W32Time UDP Všechny porty 123
Optimalizace doručení (TCP-in) Příchozí Povolit %SystemRoot%\system32\svchost.exe TCP 7680 Všechny porty
Optimalizace doručení (TCP-in) Příchozí Povolit DoSvc TCP 7680 Všechny porty
Optimalizace doručení (UDP-in) Příchozí Povolit %SystemRoot%\system32\svchost.exe UDP 7680 Všechny porty
Optimalizace doručení (UDP-in) Příchozí Povolit DoSvc UDP 7680 Všechny porty

Poznámka

Pro každé pravidlo v konfiguraci brány firewall v programu Microsoft Defender jsou definována dvě pravidla. Pokud chcete omezit příchozí a odchozí pravidla na služby Systému Windows, například klienta DNS, název služby, DNSCache a spustitelné cesty, C:\Windows\System32\svchost.exe, je potřeba definovat jako samostatné pravidlo, nikoli jedno pravidlo, které je možné použít Zásady skupiny.

V případě povolených a blokovaných služeb můžete provádět další změny správy příchozích i odchozích pravidel. Další informace najdete v tématu Konfigurační služba brány firewall.

Proxy uzamčení adresy URL

Omezující správa přenosů adres URL zahrnuje:

  • Odepřít veškerý odchozí provoz s výjimkou vybraných služeb Azure a Microsoftu včetně azure Cloud Shell a možnosti samoobslužného resetování hesla.
  • Privilegovaný profil omezuje koncové body na internetu, ke kterým se zařízení může připojit pomocí následující konfigurace proxy uzamčení adresy URL.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

Koncové body uvedené v seznamu ProxyOverride jsou omezené na tyto koncové body potřebné k ověření pro Azure AD a přístup k rozhraním pro správu Azure nebo Office 365. Pokud chcete rozšířit na další cloudové služby, přidejte do seznamu adresu URL pro správu. Tento přístup je navržený tak, aby omezil přístup k širšímu internetu, aby chránil privilegované uživatele před internetovými útoky. Pokud se tento přístup považuje za příliš omezující, zvažte použití následujícího přístupu pro privilegovanou roli.

Povolení microsoft Cloud Application Security, seznamu omezených adres URL na schválené adresy URL (Povolit většinu)

V našem nasazení rolí se doporučuje, aby pro podniková a specializovaná nasazení, kdy přísné odepření veškerého procházení webu není žádoucí, aby používání funkcí zprostředkovatele zabezpečení přístupu cloudu (CASB), jako je Microsoft Defender for Cloud Apps být využito k blokování přístupu k rizikovým a dotazovatelným webovým webům. Řešení řeší jednoduchý způsob blokování aplikací a webů, které byly kurátorovány. Toto řešení se podobá získání přístupu k seznamu blokování z webů, jako je Spamhaus Project, který udržuje seznam blokovaných domén (DBL): dobrý zdroj, který se má použít jako pokročilá sada pravidel pro implementaci pro blokování webů.

Řešení vám poskytne:

  • Viditelnost: detekce všech cloudových služeb; přiřaďte každému hodnocení rizik; identifikace všech uživatelů a aplikací třetích stran, které se můžou přihlásit
  • Zabezpečení dat: identifikace a řízení citlivých informací (DLP); reakce na popisky klasifikace obsahu
  • Ochrana před hrozbami: nabídka adaptivního řízení přístupu (AAC); poskytovat analýzu chování uživatelů a entit (UEBA); zmírnění malwaru
  • Dodržování předpisů: poskytování sestav a řídicích panelů k předvedení zásad správného řízení v cloudu; pomoc s úsilím o splnění požadavků na rezidenci dat a dodržování předpisů

Povolte Defender for Cloud Apps a připojte se k programu Defender ATP a zablokujte přístup k rizikovým adresám URL:

Správa místních aplikací

Zabezpečená pracovní stanice se přesune do skutečně posíleného stavu při odebrání místních aplikací, včetně aplikací pro produktivitu. Tady přidáte Visual Studio Code, abyste umožnili připojení k Azure DevOps pro GitHub ke správě úložišť kódu.

Konfigurace Portál společnosti pro vlastní aplikace

Intune spravovaná kopie Portál společnosti poskytuje přístup na vyžádání k dalším nástrojům, které můžete odsdílit uživatelům zabezpečených pracovních stanic.

V zabezpečeném režimu je instalace aplikace omezena na spravované aplikace, které jsou dodávány Portál společnosti. Instalace Portál společnosti ale vyžaduje přístup k Microsoft Storu. V zabezpečeném řešení přidáte a přiřadíte aplikaci Windows 10 Portál společnosti pro zřízená zařízení Autopilot.

Poznámka

Nezapomeňte přiřadit aplikaci Portál společnosti skupině Secure Workstation Device Tag, která se používá k přiřazení profilu Autopilot.

Nasazení aplikací pomocí Intune

V některých situacích se na zabezpečené pracovní stanici vyžadují aplikace, jako je Microsoft Visual Studio Code. Následující příklad obsahuje pokyny k instalaci nástroje Microsoft Visual Studio Code uživatelům ve skupině zabezpečení Secure Workstation Users.

Visual Studio Code je k dispozici jako balíček EXE, takže se musí zabalit jako .intunewin formátový soubor pro nasazení pomocí Microsoft Endpoint Manager pomocí nástroje Microsoft Win32 Content Prep Tool.

Stáhněte si nástroj Microsoft Win32 Content Prep místně na pracovní stanici a zkopírujte ho do adresáře pro balení, například C:\Packages. Potom vytvořte zdrojový a výstupní adresář v části C:\Packages.

Zabalení nástroje Microsoft Visual Studio Code

  1. Stáhněte si offline instalační program Visual Studio Code pro Windows 64bitovou verzi.
  2. Zkopírujte stažený soubor Exe editoru Visual Studio Code do C:\Packages\Source
  3. Otevřete konzolu PowerShellu a přejděte na C:\Packages
  4. Zadejte .\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1
  5. Zadáním Y vytvořte novou výstupní složku. V této složce se vytvoří soubor Intunewin pro Visual Studio Code.

Nahrání VS Code do Microsoftu Endpoint Manager

  1. V Centru pro správu Microsoft Endpoint Manager přejděte na Přidat aplikace> proWindows>.
  2. V části Vybrat typ aplikace zvolte aplikaci pro Windows (Win32)
  3. Klikněte na Vybrat soubor balíčku aplikace, klikněte na Vybrat soubor a pak vyberte z VSCodeUserSetup-x64-1.51.1.intunewinC:\Packages\Output\VSCodeUserSetup-x64-1.51.1. Klikněte na tlačítko OK.
  4. Zadejte Visual Studio Code 1.51.1 do pole Název.
  5. Do pole Popis zadejte popis editoru Visual Studio Code.
  6. Zadejte Microsoft Corporation do pole vydavatele .
  7. Stáhněte https://jsarray.com/images/page-icons/visual-studio-code.png a vyberte obrázek pro logo. Vyberte Další.
  8. Zadejte VSCodeSetup-x64-1.51.1.exe /SILENT do pole Příkaz Nainstalovat .
  9. Zadejte C:\Program Files\Microsoft VS Code\unins000.exe do pole příkazu Odinstalovat.
  10. V rozevíracím seznamu Chování zařízení vyberte Určit chování na základě návratových kódů. Vyberte Další.
  11. V rozevíracím seznamu Architektury operačního systému vyberte 64bitovou verzi.
  12. V rozevíracím seznamu Minimální operační systém vyberte Windows 10 1903. Vyberte Další.
  13. V rozevíracím seznamu Formát pravidel vyberte ručně konfigurovat pravidla detekce.
  14. Klikněte na Přidat a potom vyberte Soubor formuláře rozevíracího seznamu Typ pravidla .
  15. Zadejte C:\Program Files\Microsoft VS Code do pole Cesta .
  16. Zadejte unins000.exe do pole Soubor nebo složka .
  17. V rozevíracím seznamu vyberte Soubor nebo složku , vyberte OK a pak vyberte Další.
  18. Vyberte Další , protože v tomto balíčku nejsou žádné závislosti.
  19. V části Přidat skupinuk dispozici pro zaregistrovaná zařízení přidejte skupinu Privileged Users. Kliknutím na vybrat potvrďte skupinu. Vyberte Další.
  20. Klikněte na Vytvořit.

Vytvoření vlastních aplikací a nastavení pomocí PowerShellu

Doporučujeme některá nastavení konfigurace, včetně dvou doporučení Defenderu pro koncové body, která je potřeba nastavit pomocí PowerShellu. Tyto změny konfigurace nelze nastavit prostřednictvím zásad v Intune.

Pomocí PowerShellu můžete také rozšířit možnosti správy hostitelů. SkriptPAW-DeviceConfig.ps1 z GitHubu je ukázkový skript, který konfiguruje následující nastavení:

  • Odebere Internet Explorer.
  • Odebere PowerShell 2.0.
  • Odebere Přehrávač médií Windows
  • Odebere klienta Pracovních složek.
  • Odebere tisk XPS.
  • Povolí a nakonfiguruje hibernaci.
  • Implementuje opravu registru pro povolení zpracování pravidel knihovny DLL nástroje AppLocker.
  • Implementuje nastavení registru pro dvě doporučení Microsoft Defender for Endpoint, která nelze nastavit pomocí Endpoint Manager.
    • Vyžadování zvýšení úrovně uživatelů při nastavování umístění sítě
    • Zabránění ukládání síťových přihlašovacích údajů
  • Průvodce zakázáním síťového umístění – zabrání uživatelům v nastavení síťového umístění jako soukromé a tím zvýšení prostoru útoku vystaveného v bráně Windows Firewall.
  • Nakonfiguruje systém Windows Time tak, aby používal protokol NTP a nastavil automatickou službu Automatického času.
  • Stáhne a nastaví pozadí plochy na konkrétní obrázek, aby bylo možné zařízení snadno identifikovat jako připravenou a privilegovanou pracovní stanici.

Skript PAW-DeviceConfig.ps1 z GitHubu.

  1. Stáhněte skript [PAW-DeviceConfig.ps1] do místního zařízení.
  2. Přejděte na Azure Portal>Microsoft Intune> Soustavovacískripty> PowerShelluprokonfiguraci>. vProvide název skriptu a zadejte umístění skriptu.
  3. Vyberte Konfigurovat.
    1. Nastavte spustit tento skript pomocí přihlášených přihlašovacích údajů na Hodnotu Ne.
    2. Vyberte OK.
  4. Vyberte Vytvořit.
  5. Vyberteskupiny Výběr přiřazení>.
    1. Přidejte skupinu zabezpečení Zabezpečené pracovní stanice.
    2. Vyberte Uložit.

Ověření a otestování nasazení pomocí prvního zařízení

Tato registrace předpokládá, že budete používat fyzické výpočetní zařízení. V rámci procesu zajišťování doporučujeme, aby OEM, Reseller, distributor nebo partner zaregistroval zařízení ve Windows Autopilotu.

Pro testování je však možné vystát Virtual Machines jako testovací scénář. Upozorňujeme, že registrace zařízení připojených k osobním uživatelům se ale bude muset upravit, aby byla tato metoda připojení klienta povolena.

Tato metoda funguje pro Virtual Machines nebo fyzická zařízení, která nebyla dříve zaregistrována.

  1. Spusťte zařízení a počkejte na zobrazení dialogového okna uživatelského jména.
  2. Stisknutím SHIFT + F10 klávesy zobrazte příkazový řádek.
  3. Zadejte PowerShell, stiskněte Enter.
  4. Zadejte Set-ExecutionPolicy RemoteSigned, stiskněte Enter.
  5. Zadejte Install-Script GetWindowsAutopilotInfo, stiskněte Enter.
  6. Zadejte Y a kliknutím na Enter přijměte změnu prostředí PATH.
  7. Zadejte Y a klikněte na Enter a nainstalujte zprostředkovatele NuGet.
  8. Typ Y pro vztah důvěryhodnosti úložiště
  9. Spuštění typu Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv
  10. Kopírování sdíleného svazku clusteru z virtuálního počítače nebo fyzického zařízení

Import zařízení do Autopilotu

  1. V Centru pro správu Microsoft Endpoint Manager přejděte naZařízení s>Windows Zařízení s>Windows>

  2. Vyberte Importovat a zvolte soubor CSV.

  3. Počkejte na Group Tag aktualizaci PAW a Profile Status změnu na Assigned.

    Poznámka

    Značka skupiny je používána dynamickou skupinou Zabezpečené pracovní stanice k tomu, aby zařízení bylo členem jeho skupiny,

  4. Přidejte zařízení do skupiny zabezpečení Zabezpečené pracovní stanice .

  5. Na Windows 10 zařízení, které chcete nakonfigurovat, přejděte dočásti Obnovenízabezpečení služby Windows Settings Update&.>>

    1. V části Resetování tohoto počítače zvolte Začínáme.
    2. Postupujte podle pokynů k resetování a změně konfigurace zařízení pomocí nakonfigurovaných zásad profilu a dodržování předpisů.

Po nakonfigurování zařízení dokončete kontrolu a zkontrolujte konfiguraci. Před pokračováním nasazení ověřte, že je první zařízení správně nakonfigurované.

Přiřazení zařízení

Pokud chcete přiřadit zařízení a uživatele, musíte vybrané profily namapovat na skupinu zabezpečení. Všichni noví uživatelé, kteří vyžadují oprávnění ke službě, musí být také přidáni do skupiny zabezpečení.

Použití Microsoft Defender for Endpoint k monitorování a reakci na incidenty zabezpečení

  • Průběžné sledování a monitorování ohrožení zabezpečení a chybná konfigurace
  • Využití Microsoft Defender for Endpoint k určení priorit dynamických hrozeb ve volné přírodě
  • Podpora korelace ohrožení zabezpečení s upozorněními detekce a odezvy koncových bodů (EDR)
  • Použití řídicího panelu k identifikaci ohrožení zabezpečení na úrovni počítače během vyšetřování
  • Vysdílení náprav do Intune

Nakonfigurujte Centrum zabezpečení v programu Microsoft Defender. S využitím doprovodných materiálů na řídicím panelu Správa ohrožení zabezpečení hrozeb & najdete přehled.

Monitorování aktivit aplikací pomocí rozšířeného vyhledávání hrozeb

Počínaje specializovanou pracovní stanicí je AppLocker povolený pro monitorování aktivity aplikace na pracovní stanici. Program Defender for Endpoint ve výchozím nastavení zaznamenává události AppLockeru a rozšířené dotazy proaktivního vyhledávání k určení aplikací, skriptů, souborů DLL blokovaných nástrojem AppLocker.

Poznámka

Profily specializovaných a privilegovaných pracovních stanic obsahují zásady AppLockeru. Nasazení zásad se vyžaduje pro monitorování aktivity aplikace na klientovi.

V podokně Centrum zabezpečení v programu Microsoft Defender Rozšířené vyhledávání použijte následující dotaz k vrácení událostí AppLockeru.

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

Monitorování

Další kroky