Použití standardních hodnot zabezpečení k zabezpečení zařízení s Windows, která spravujete pomocí Microsoft Intune

Se standardními hodnotami zabezpečení Microsoft Intune můžete rychle nasadit doporučený stav zabezpečení na spravovaná zařízení s Windows pro standardní hodnoty zabezpečení Windows, které vám pomůžou zabezpečit a chránit vaše uživatele a zařízení.

I když jsou systémy Windows a Windows Server navržené tak, aby byly automaticky zabezpečené, mnoho organizací stále chce mít větší kontrolu nad konfigurací zabezpečení. Při procházení velkého počtu ovládacích prvků organizace často hledají pokyny ke konfiguraci různých funkcí zabezpečení. Microsoft poskytuje tyto pokyny ve formě standardních hodnot zabezpečení.

Tato funkce platí pro:

• Windows 10 verze 1809 a novější
• Windows 11

Intune přehled standardních hodnot zabezpečení

Každý standardní plán zabezpečení je skupina předkonfigurovaných nastavení Windows, která vám pomůžou použít a vynutit podrobná nastavení zabezpečení, která doporučují příslušné týmy zabezpečení. Můžete také přizpůsobit každý směrný plán, který nasadíte, tak, aby vynucovat pouze ta nastavení a hodnoty, které požadujete. Při vytváření profilu standardních hodnot zabezpečení v Intune vytváříte šablonu, která se skládá z více konfiguračních profilů zařízení.

Nastavení v jednotlivých směrných hodnotách jsou nastavení konfigurace zařízení, jako jsou nastavení v různých zásadách Intune. Každé nastavení ve standardních hodnotách funguje s poskytovatelem konfiguračních služeb pro příslušný produkt, který je k dispozici na spravovaném zařízení s Windows.

Další informace o tom, proč a kdy byste mohli chtít nasadit standardní hodnoty zabezpečení, najdete v tématu Standardní hodnoty zabezpečení Windows v dokumentaci k zabezpečení Windows.

Standardní hodnoty zabezpečení nasadíte do skupin uživatelů nebo zařízení v Intune a nastavení platí pro zařízení, která používají Windows 10 nebo 11. Například výchozí konfigurace standardních hodnot zabezpečení pro Windows 10 a novější automaticky povolí nástroj BitLocker pro vyměnitelné jednotky, automaticky vyžaduje heslo k odemknutí zařízení, automaticky zakáže základní ověřování a další. Pokud výchozí hodnota pro vaše prostředí nefunguje, přizpůsobte si směrný plán tak, aby se použila potřebná nastavení.

Poznámka

V květnu 2023 začala Intune zavádět nový formát standardních hodnot zabezpečení pro každou novou verzi nebo aktualizaci verze. Nový formát aktualizuje nastavení směrného plánu tak, aby přímo převzal jejich název a možnosti konfigurace od poskytovatele konfiguračních služeb (CSP), který spravuje nastavení směrného plánu.

Intune také zavedl nový proces, který vám pomůže migrovat existující profil standardních hodnot zabezpečení na novější základní verzi. Toto nové chování je jednorázový proces, který nahrazuje normální chování aktualizace při přechodu z nejnovější verze staršího profilu na novější verzi, která byla k dispozici v květnu 2023 nebo novějším.

Výhody použití směrných plánů:
Standardní hodnoty zabezpečení vám můžou pomoct s komplexním zabezpečeným pracovním postupem při práci s Microsoftem 365. Mezi výhody patří:

• Ve výchozím nastavení jsou všechny standardní hodnoty zabezpečení nakonfigurované tak, aby splňovaly osvědčené postupy a doporučení pro nastavení, která mají vliv na zabezpečení. Intune spolupracuje se stejným týmem zabezpečení Windows, který vytváří standardní hodnoty zabezpečení zásad skupiny. Tato doporučení vycházejí z pokynů a rozsáhlých zkušeností.
• Pokud s Intune začínáte a nevíte, kde začít, standardní hodnoty zabezpečení vám poskytují výhodu. Zabezpečený profil můžete rychle vytvořit a nasadit s vědomím, že pomáháte chránit prostředky a data vaší organizace.
• Pokud aktuálně používáte zásady skupiny, je migrace na Intune pro správu s těmito směrnými plány jednodušší. Tyto směrné plány jsou nativně integrované do Intune a zahrnují moderní prostředí pro správu.

Výchozí nastavení pro více směrných plánů:
Samostatné typy standardních hodnot, jako jsou standardní hodnoty zabezpečení MDM pro Windows a standardní hodnoty pro Microsoft Defender, můžou obsahovat stejná nastavení a používat pro tato nastavení jiné výchozí hodnoty. Intune nemůžete určit, která konfigurace je pro vás nejvhodnější, a dokonce ani ve kterém prostředí nebo scénáři byste mohli chtít použít jedno výchozí doporučení směrného plánu před jiným:

• Je důležité pochopit výchozí hodnoty ve směrných plánech, které používáte, a pak upravit každý směrný plán tak, aby vyhovoval potřebám vaší organizace.
• Ve výchozím nastavení je každý směrný plán předem nakonfigurovaný pomocí doporučení, která jsou specifická pro produkt, na který se vztahuje.
• V některých případech nemusí být konfigurace, která Microsoft Defender doporučuje, výchozí konfigurací pro podobná nastavení, pokud ji doporučuje Systém Windows. V takových situacích je důležité každé nastavení zkontrolovat, abyste pochopili jeho záměr na základě podrobností o poskytovateli konfiguračních služeb a většího rozsahu těchto dvou produktů.

Téměř ve všech scénářích jsou výchozí nastavení ve standardních hodnotách zabezpečení nejvíce omezující. Měli byste ověřit, že tato nastavení nejsou v konfliktu s jinými nastaveními nebo funkcemi zásad ve vašem prostředí.

Výchozí nastavení konfigurace brány firewall například nemusí sloučit pravidla zabezpečení připojení a pravidla místních zásad s pravidly MDM. Pokud tedy používáte optimalizaci doručení, měli byste tyto konfigurace před přiřazením standardních hodnot zabezpečení ověřit.

Poznámka

Microsoft nedoporučuje používat verze Preview standardních hodnot zabezpečení v produkčním prostředí. Nastavení ve standardních hodnotách preview se může v průběhu verze Preview měnit.

Dostupné standardní hodnoty zabezpečení

Pro použití s Intune jsou k dispozici následující instance standardních hodnot zabezpečení. Pomocí odkazů můžete zobrazit nastavení pro poslední instance jednotlivých směrných plánů.

• Standardní hodnoty zabezpečení pro Windows 10 a novější:
  • Verze 23H2
  • Listopad 2021
  • Prosinec 2020
  • Srpen 2020

• Microsoft Defender for Endpoint směrný plán:
  (Pokud chcete použít tento směrný plán, vaše prostředí musí splňovat požadavky pro použití Microsoft Defender for Endpoint).

  • Verze 6
  • Verze 5
  • Verze 4
  • Verze 3

  Poznámka

  Standardní hodnoty zabezpečení Microsoft Defender for Endpoint jsou optimalizované pro fyzická zařízení a v současné době se nedoporučuje používat na virtuálních počítačích ani koncových bodech VDI. Některá základní nastavení můžou mít vliv na vzdálené interaktivní relace ve virtualizovaných prostředích. Další informace najdete v tématu Zvýšení dodržování předpisů podle standardních hodnot zabezpečení Microsoft Defender for Endpoint v dokumentaci k Windows.

• Microsoft 365 Apps pro podniky:

  • Verze 2306 (standardní hodnoty Office)Vydaná v listopadu 2023
  • Květen 2023 (standardní hodnoty Office)

• Standardní hodnoty pro Microsoft Edge:

  • Květen 2023 (Microsoft Edge verze 112 a novější)
  • Září 2020 (Microsoft Edge verze 85 a novější)
  • Duben 2020 (Microsoft Edge verze 80 a novější)
  • Preview: říjen 2019 (Microsoft Edge verze 77 a novější)

• standardní hodnoty zabezpečení Windows 365:

  • Říjen 2021

Jakmile bude k dispozici nová verze profilu, nastavení v profilech založených na starších verzích se změní na jen pro čtení. Tyto starší profily můžete dál používat. Můžete také upravit názvy, popisy a přiřazení profilu, ale nepodporují změnu konfigurace nastavení a nemůžete vytvářet nové profily založené na starších verzích.

Až budete připraveni používat novější základní verzi, můžete vytvořit nové profily nebo aktualizovat stávající profily na novou verzi. Viz Změna standardní verze profilu v článku Správa profilů standardních hodnot zabezpečení .

O standardních verzích a instancích

Každá instance nové verze směrného plánu může přidat nebo odebrat nastavení nebo provést jiné změny. Například když budou v nových verzích Windows 10/11 k dispozici nová nastavení Windows, standardní hodnoty zabezpečení pro Windows 10 a novější můžou obdržet novou instanci verze, která obsahuje nejnovější nastavení.

Seznam dostupných směrných plánů si můžete prohlédnout v Centru pro správu Microsoft Intune v částiStandardní hodnoty zabezpečenízabezpečení> koncových bodů. Seznam obsahuje:

• Název každé šablony standardních hodnot zabezpečení.
• Kolik profilů máte, které používají tento typ směrného plánu.
• Kolik samostatných instancí (verzí) základního typu je k dispozici.
• Datum posledního publikování , které určuje, kdy byla k dispozici nejnovější verze šablony směrného plánu.

Pokud chcete zobrazit další informace o verzích standardních hodnot, které používáte, vyberte typ směrného plánu, například Standardní hodnoty zabezpečení pro Windows 10 a později, otevřete podokno Profily a pak vyberte Verze. Intune zobrazí podrobnosti o verzích standardních hodnot, které používají vaše profily. Podrobnosti zahrnují nejnovější a aktuální základní verzi. Pokud chcete zobrazit podrobnější podrobnosti o profilech, které tuto verzi používají, můžete vybrat jednu verzi.

Můžete změnit verzi směrného plánu, která se používá s daným profilem. Když změníte verzi, nemusíte vytvářet nový základní profil, abyste mohli využívat aktualizované verze. Místo toho můžete vybrat základní profil a pomocí předdefinované možnosti změnit verzi instance pro tento profil na novou.

Vyhněte se konfliktům

Ve svém Intune prostředí můžete současně použít jeden nebo více dostupných směrných plánů. Můžete také použít několik instancí stejných standardních hodnot zabezpečení, které mají různá přizpůsobení.

Pokud používáte více standardních hodnot zabezpečení, zkontrolujte nastavení v každém z nich a zjistěte, kdy vaše různé konfigurace standardních hodnot představují konfliktní hodnoty pro stejné nastavení. Vzhledem k tomu, že můžete nasadit standardní hodnoty zabezpečení, které jsou navržené pro různé záměry, a několik instancí stejného směrného plánu, které zahrnují přizpůsobená nastavení, můžete vytvořit konflikty konfigurace pro zařízení, která je potřeba prošetřit a vyřešit.

Standardní hodnoty zabezpečení navíc často spravují stejná nastavení, která můžete nastavit pomocí profilů konfigurace zařízení nebo jiných typů zásad. Proto při hledání předcházení konfliktům nebo jejich řešení mějte na paměti další zásady a profily pro nastavení.

Informace, které vám můžou pomoct identifikovat a vyřešit konflikty, najdete tady:

• Řešení potíží se zásadami a profily v Intune
• Monitorování standardních hodnot zabezpečení

Q & A

Proč tato nastavení?

Bezpečnostní tým Microsoftu má roky zkušeností s přímou prací s vývojáři Windows a komunitou zabezpečení, aby tato doporučení vytvořil. Nastavení v tomto směrném plánu se považují za nejrelevantní možnosti konfigurace související se zabezpečením. V každém novém buildu Windows tým upravuje doporučení na základě nově vydaných funkcí.

Liší se doporučení pro standardní hodnoty zabezpečení Windows pro zásady skupiny a Intune?

Stejný tým zabezpečení Microsoftu vybral a uspořádal nastavení pro každý směrný plán. Intune zahrnuje všechna relevantní nastavení ve standardních hodnotách zabezpečení Intune. Standardní hodnoty zásad skupiny mají určitá nastavení specifická pro místní řadič domény. Tato nastavení jsou vyloučena z doporučení Intune. Všechna ostatní nastavení jsou stejná.

Jsou standardní hodnoty zabezpečení Intune cis nebo NIST kompatibilní?

Přesně řečeno, ne. Bezpečnostní tým Microsoftu se poradí s organizacemi, jako je CIS, aby zkompiloval svá doporučení. Mezi standardními hodnotami standardu CIS a Microsoftu ale neexistuje mapování 1:1.

Jaké certifikace mají standardní hodnoty zabezpečení Microsoftu?

Microsoft nadále publikuje standardní hodnoty zabezpečení pro zásady skupiny (GPO) a sadu Nástrojů pro dodržování předpisů zabezpečení, jak tomu bylo již mnoho let. Tyto směrné plány používá mnoho organizací. Doporučení v těchto směrných plánech vycházejí ze spolupráce bezpečnostního týmu Microsoftu s podnikovými zákazníky a externími agenturami, včetně Ministerstva obrany (DoD), Národního institutu standardů a technologií (NIST) a dalších. S těmito organizacemi sdílíme naše doporučení a směrné plány. Tyto organizace mají také svá vlastní doporučení, která přesně odpovídají doporučením Microsoftu. S tím, jak se správa mobilních zařízení (MDM) stále rozšiřuje do cloudu, vytvořil Microsoft ekvivalentní doporučení MDM pro tyto standardní hodnoty zásad skupiny. Mnohé z těchto směrných plánů jsou integrované do Microsoft Intune a zahrnují sestavy dodržování předpisů pro uživatele, skupiny a zařízení, která se řídí (nebo nedodržují) směrný plán.

Mnoho zákazníků používá doporučení Intune standardních hodnot jako výchozí bod a pak si je přizpůsobí tak, aby splňovaly jejich požadavky na IT a zabezpečení. Šablona Windows 10 a pozdějších směrných plánů od Microsoftu byla první směrnou hodnotou, která byla vydána. Tento směrný plán je vytvořený jako obecná infrastruktura, která umožňuje zákazníkům nakonec importovat další standardní hodnoty zabezpečení na základě CIS, NIST a dalších standardů.

Migrace ze zásad skupiny místní Active Directory na čistě cloudové řešení pomocí Microsoft Entra ID s Microsoft Intune je cesta. Pokud chcete pomoct, použijte různé nástroje ze sady nástrojů pro dodržování předpisů zabezpečení , které vám pomůžou identifikovat cloudové možnosti ze standardních hodnot zabezpečení, které můžou nahradit vaše místní konfigurace objektů zásad zabezpečení.

Kde najdu podrobnosti o používání nebo konfiguraci nastavení, která jsou k dispozici ve standardních hodnotách zabezpečení?

Každý standardní plán zabezpečení spravuje konfigurace zařízení použitím možností, které najdete v poskytovateli konfiguračních služeb na zařízení. Například nastavení, která platí pro Microsoft Defender, jsou převzata z Microsoft Defender CSP. Vzhledem k tomu, že Intune je nástroj konfigurace pro tyto možnosti a neurčí jejich funkčnost ani rozsah, vlastní dokumentace CSP obsah pro konfiguraci jednotlivých možností.

V uživatelském rozhraní zásad standardních hodnot zabezpečení Intune poskytuje Intune informační text převzatý ze zdrojového poskytovatele CSP a odkaz na tento poskytovatele CSP. V některých případech může být CSP součástí větší sady obsahu, která zahrnuje proaktivní pokyny, které zůstávají nad rámec Intune zahrnout nebo duplikovat v našem obsahu. Intune ale dokumentuje seznam nastavení v jednotlivých verzích standardních hodnot zabezpečení a jejich výchozí konfiguraci.

Další kroky

• Vytvoření profilů standardních hodnot zabezpečení

• Kontrola stavu a monitorování směrného plánu a profilu

• Podívejte se na nastavení v nejnovějších verzích dostupných směrných plánů:

  • Windows 10 a novější – standardní hodnoty zabezpečení MDM
  • Microsoft Defender for Endpoint směrný plán
  • Microsoft 365 Apps pro standardní hodnoty zabezpečení podniku (Office)
  • Standardní hodnoty zabezpečení pro Microsoft Edge
  • standardní hodnoty zabezpečení Windows 365