Verwenden Von Sicherheitsbaselines zum Schützen von Windows-Geräten, die Sie mit Microsoft Intune

Mit den Sicherheitsbaselines von Microsoft Intune können Sie schnell einen empfohlenen Sicherheitsstatus für Ihre verwalteten Windows-Geräte für Windows-Sicherheitsbaselines bereitstellen, um Ihre Benutzer und Geräte zu schützen und zu schützen.

Obwohl Windows und Windows Server so konzipiert sind, dass sie sofort bei Erstverwendung sicher sind, wünschen sich viele Organisationen dennoch eine präzisere Kontrolle über ihre Sicherheitskonfigurationen. Um durch die große Anzahl von Steuerelementen zu navigieren, suchen Organisationen häufig nach Anleitungen zum Konfigurieren verschiedener Sicherheitsfeatures. Microsoft stellt diese Anleitung in Form von Sicherheitsbaselines bereit.

Diese Funktion gilt für:

• Windows 10, Version 1809 und höher
• Windows 11

Übersicht über Intune Sicherheitsbaseline

Jede Sicherheitsbaseline ist eine Gruppe vorkonfigurierter Windows-Einstellungen, mit denen Sie präzise Sicherheitseinstellungen anwenden und erzwingen können, die von den relevanten Sicherheitsteams empfohlen werden. Sie können auch jede Baseline, die Sie bereitstellen, so anpassen, dass dieses nur diejenigen Einstellungen und Werte erzwingen, die Sie benötigen. Wenn Sie in Intune ein Sicherheitsbaselineprofil erstellen, erstellen Sie damit eine Vorlage, die aus mehreren Profilen für die Gerätekonfiguration besteht.

Die Einstellungen in jeder Baseline sind Gerätekonfigurationseinstellungen, die in verschiedenen Intune-Richtlinien enthalten sind. Jede Einstellung in einer Baseline funktioniert mit dem Konfigurationsdienstanbieter für das relevante Produkt, das auf einem verwalteten Windows-Gerät vorhanden ist.

Weitere Informationen dazu, warum und wann Sie Sicherheitsbaselines bereitstellen möchten, finden Sie unter Windows Sicherheitsbaselines in der Windows Sicherheitsdokumentation.

Sie stellen Sicherheitsbaselines für Gruppen von Benutzern oder Geräten in Intune bereit, und die Einstellungen gelten für Geräte, auf denen Windows 10 oder 11 ausgeführt wird. Beispielsweise aktiviert die Standardkonfiguration der Sicherheitsbaseline für Windows 10 und später automatisch BitLocker für Wechseldatenträger, erfordert automatisch ein Kennwort zum Entsperren eines Geräts, deaktiviert automatisch die Standardauthentifizierung und vieles mehr. Wenn eine Standardeinstellung für Ihre Umgebung nicht funktioniert, passen Sie die Baseline so an, dass die benötigten Einstellungen angewendet werden.

Hinweis

Im Mai 2023 begann Intune mit dem Rollout eines neuen Sicherheitsbaselineformats für jedes neue Baselinerelease oder Versionsupdate. Das neue Format aktualisiert die Baselineeinstellungen so, dass der Name und die Konfigurationsoptionen direkt vom Konfigurationsdienstanbieter (Configuration Service Provider, CSP) stammen, der von der Baselineeinstellung verwaltet wird.

Intune auch einen neuen Prozess eingeführt, mit dem Sie ein vorhandenes Sicherheitsbaselineprofil zur neueren Baselineversion migrieren können. Dieses neue Verhalten ist ein einmaliger Prozess, der das normale Updateverhalten ersetzt, wenn Sie von der neuesten Version eines älteren Profils zu einer neueren Version wechseln, die im Mai 2023 oder höher verfügbar wurde.

Vorteile der Verwendung von Baselines:
Sicherheitsbaselines bieten Ihnen die Möglichkeit eines durchgängig sicheren Workflows beim Arbeiten mit Microsoft 365. Einige Vorteile sind:

• Standardmäßig ist jede Sicherheitsbaseline so konfiguriert, dass sie die bewährten Methoden und Empfehlungen für die Einstellungen erfüllt, die sich auf die Sicherheit auswirken. Partner von Intune ist dasselbe Windows-Sicherheitsteam, das Gruppenrichtlinien-Sicherheitsbaselines erstellt. Diese Empfehlungen basieren auf Anleitungen und umfassenden Erfahrungen.
• Wenn Sie noch nicht mit Intune sind und nicht sicher sind, wo Sie beginnen sollen, bieten Ihnen Sicherheitsbaselines einen Vorteil. Sie können schnell ein sicheres Profil erstellen und bereitstellen und sicher sein, dass Sie so die Ressourcen und Daten Ihrer Organisation schützen.
• Wenn Sie derzeit Gruppenrichtlinien verwenden, ist die Migration zu Intune für die Verwaltung mit diesen Baselines einfacher. Diese Baselines sind nativ in Intune integriert und umfassen eine moderne Verwaltungsoberfläche.

Standardeinstellungen für mehrere Baselines:
Separate Baselinetypen, z. B. die MDM-Sicherheitsbaseline für Windows und die Baseline für Microsoft Defender, können die gleichen Einstellungen enthalten und unterschiedliche Standardwerte für diese Einstellungen verwenden. Intune können nicht ermitteln, welche Konfiguration für Sie am besten geeignet ist oder in welcher Umgebung oder in welchem Szenario Sie möglicherweise eine Standardempfehlung für Baselines gegenüber einer anderen verwenden möchten:

• Es ist wichtig, die Standardwerte in den von Ihnen verwendeten Baselines zu verstehen und dann jede Baseline an die Anforderungen Ihrer Organisation anzupassen.
• Standardmäßig ist jede Baseline mit den Empfehlungen vorkonfiguriert, die für das Produkt spezifisch sind, für das sie gilt.
• In einigen Fällen ist eine Konfiguration, die Microsoft Defender empfiehlt, möglicherweise nicht die Standardkonfiguration für ähnliche Einstellungen, wenn sie von Windows empfohlen wird. In solchen Situationen ist es wichtig, jede Einstellung zu überprüfen, damit Sie ihre Absicht basierend auf den Details des Konfigurationsdienstanbieters und einem größeren Umfang der beiden Produkte verstehen können.

In fast allen Szenarien sind die Standardeinstellungen in den Sicherheitsbaselines am restriktivsten. Sie sollten sich vergewissern, dass diese Einstellungen nicht mit anderen Richtlinieneinstellungen oder Features in Ihrer Umgebung in Konflikt treten.

Beispielsweise werden in den Standardeinstellungen für die Firewallkonfiguration möglicherweise keine Verbindungssicherheitsregeln und lokale Richtlinienregeln mit MDM-Regeln zusammengeführt. Wenn Sie also die Übermittlungsoptimierung verwenden, sollten Sie diese Konfigurationen überprüfen, bevor Sie die Sicherheitsbaseline zuweisen.

Hinweis

Microsoft empfiehlt nicht, Vorschauversionen von Sicherheitsbaselines in einer Produktionsumgebung einzusetzen. Die Einstellungen in einer Vorschaubaseline können sich im Laufe der Vorschau ändern.

Verfügbare Sicherheitsbaselines

Die folgenden Sicherheitsbaseline-Instanzen können für Intune verwendet werden. Klicken Sie auf die Links, um die Einstellungen für die neuesten Instanzen jeder Baseline anzuzeigen.

• Sicherheitsbaseline für Windows 10 und höher:
  • Version 23H2
  • November 2021
  • Dezember 2020
  • August 2020

• Microsoft Defender for Endpoint Baseline:
  (Um diese Baseline verwenden zu können, muss Ihre Umgebung den Anforderungen zur Verwendung von Microsoft Defender für Endpunkt entsprechen).

  • Version 6
  • Version 5
  • Version 4
  • Version 3

  Hinweis

  Die Sicherheitsbaseline für Microsoft Defender für Endpunkt wurde für physische Geräte optimiert und wird zurzeit nicht für virtuelle Computer (VMs) oder VDI-Endpunkte empfohlen. Bestimmte Baselineeinstellungen können sich auf interaktive Remotesitzungen in virtualisierten Umgebungen auswirken. Weitere Informationen finden Sie unter Erhöhung der Compliance für die Microsoft Defender for Endpoint-Sicherheitsbaseline.

• Microsoft 365 Apps für Unternehmen:

  • Version 2306 (Office-Baseline)Veröffentlicht im November 2023
  • Mai 2023 (Office-Baseline)

• Microsoft Edge-Baseline:

  • Mai 2023 (Microsoft Edge Version 112 und höher)
  • September 2020 (Microsoft Edge Version 85 und höher)
  • April 2020 (Microsoft Edge Version 80 und höher)
  • Vorschau: Oktober 2019 (Microsoft Edge Version 77 und höher)

• Windows 365 Sicherheitsbaseline:

  • Oktober 2021

Wenn eine neue Version für ein Profil verfügbar wird, werden Einstellungen in Profilen, die auf den älteren Versionen basieren, schreibgeschützt. Sie können diese älteren Profile weiterhin verwenden. Sie können auch die Profilnamen, Beschreibungen und Zuweisungen bearbeiten, aber sie unterstützen keine Änderung der Einstellungskonfiguration, und Sie können keine neuen Profile basierend auf den älteren Versionen erstellen.

Wenn Sie bereit sind, die neuere Baselineversion zu verwenden, können Sie neue Profile erstellen oder Ihre vorhandenen Profile auf die neue Version aktualisieren. Weitere Informationen finden Sie im Abschnitt Ändern der Baselineversion für ein Profil im Artikel Verwalten von Sicherheitsbaselineprofilen.

Informationen zu Baselineversionen und Instanzen

Bei jeder neuen Versionsinstanz einer Baseline können Einstellungen hinzugefügt oder entfernt oder andere Änderungen vorgenommen werden. Wenn beispielsweise neue Windows-Einstellungen mit neuen Versionen von Windows 10/11 verfügbar werden, erhält die Sicherheitsbaseline für Windows 10 und höher möglicherweise eine neue Version instance, die die neuesten Einstellungen enthält.

Sie können die Liste der verfügbaren Baselines im Microsoft Intune Admin Center unter Baselines für Endpunktsicherheit>anzeigen. Die Liste enthält Folgendes:

• Der Name jeder Sicherheitsbaselinevorlage.
• Die Anzahl der Profile, die diesen Baselinetyp verwenden
• Die Anzahl der verfügbaren separaten Instanzen (Versionen) des Baselinetyps
• Ein Datum unter Zuletzt veröffentlicht, das angibt, seit wann die neueste Version der Baselinevorlage verfügbar ist

Um weitere Informationen zu den verwendeten Baselineversionen anzuzeigen, wählen Sie einen Baselinetyp aus, z. B. Sicherheitsbaseline für Windows 10 und höher, um den Bereich Profile zu öffnen, und wählen Sie dann Versionen aus. Intune zeigt Details zu den Versionen dieser Baseline an, die von Ihren Profilen verwendet werden. Die Details umfassen die neueste und die aktuelle Baselineversion. Sie können auf eine einzelne Version klicken, um nähere Informationen über die Profile einzusehen, die diese Version verwenden.

Sie können die Version einer Baseline ändern, die mit einem bestimmten Profil verwendet wird. Wenn Sie die Version ändern, müssen Sie kein neues Baselineprofil erstellen, um die Vorteile aktualisierter Versionen nutzen zu können. Stattdessen können Sie ein Baselineprofil auswählen und die integrierte Option verwenden, um die Instanzversion für dieses Profil in eine neue Version zu ändern.

Vermeiden von Konflikten

Sie können eine oder mehrere der verfügbaren Baselines in Ihrer Intune-Umgebung gleichzeitig verwenden. Sie können auch mehrere Instanzen derselben Sicherheitsbaselines verwenden, die unterschiedliche Anpassungen aufweisen.

Wenn Sie mehrere Sicherheitsbaselines verwenden, überprüfen Sie die Einstellungen in jeder einzelnen Baseline, um festzustellen, ob die verschiedenen Baselinekonfigurationen zu widersprüchlichen Werten für dieselbe Einstellung führen. Da Sie Sicherheitsbaselines bereitstellen können, die für verschiedene Zwecke konzipiert sind, und mehrere Instanzen derselben Baseline bereitgestellt werden können, die benutzerdefinierte Einstellungen umfassen, kann es zu Konfigurationskonflikten für Geräte kommen, die untersucht und gelöst werden müssen.

Außerdem verwalten Sicherheitsbaselines häufig dieselben Einstellungen, die Sie möglicherweise mit Gerätekonfigurationsprofilen oder anderen Arten von Richtlinien festlegen. Achten Sie daher auf Ihre anderen Richtlinien und Profile für Einstellungen, wenn Sie Konflikte vermeiden oder lösen möchten.

Informationen, die Ihnen helfen können, Konflikte zu identifizieren und zu lösen, finden Sie unter:

• Problembehandlung von Richtlinien und Profilen in Intune
• Überwachen Ihrer Sicherheitsbaselines

Q & A

Warum diese Einstellungen?

Diese Empfehlungen basieren auf der jahrelangen Erfahrung des Microsoft-Sicherheitsteams in der direkten Zusammenarbeit mit Windows-Entwicklern und der Sicherheitscommunity. Die Einstellungen in dieser Baseline werden als die wichtigsten sicherheitsbezogenen Konfigurationsoptionen betrachtet. In jedem neuen Build von Windows passt das Team die Empfehlungen basierend auf neu herausgegebenen Features an.

Gibt es einen Unterschied in den Empfehlungen für die Windows-Sicherheitsbaselines für Gruppenrichtlinien im Vergleich zu Intune?

Das gleiche Microsoft-Sicherheitsteam hat die Einstellungen für jede Baseline ausgewählt und organisiert. Intune umfasst alle relevanten Einstellungen in der Intune-Sicherheitsbaseline. Es gibt einige Einstellungen in der Gruppenrichtlinienbaseline, die für einen lokalen Domänencontroller spezifisch sind. Diese Einstellungen werden von den Intune-Empfehlungen ausgeschlossen. Alle anderen Einstellungen sind identisch.

Sind die Intune-Sicherheitsbaselines CIS- oder NIST-konform?

Streng genommen, nicht. Das Microsoft-Sicherheitsteam berät Unternehmen wie CIS, um Empfehlungen zusammenzutragen. Es gibt jedoch keine 1:1-Zuordnung zwischen "CIS-konformen" und Microsoft-Baselines.

Welche Zertifizierungen haben die Sicherheitsbaselines von Microsoft?

Microsoft veröffentlicht weiterhin Sicherheitsbaselines für Gruppenrichtlinien (GPOs) und das Security Compliance Toolkit, wie seit vielen Jahren. Diese Baselines werden von vielen Organisationen verwendet. Die Empfehlungen in diesen Baselines entstammen der Zusammenarbeit des Microsoft-Sicherheitsteams mit Unternehmenskunden und externen Einrichtungen, einschließlich des Department of Defense (DoD, Verteidigungsministerium der USA), National Institute of Standards and Technology (NIST, Nationales Institut für Standards und Technologie) und anderer. Wir teilen unsere Empfehlungen und Baselines mit diesen Organisationen. Diese Organisationen haben auch ihre eigenen Empfehlungen, die die Empfehlungen von Microsoft sehr genau widerspiegeln. Da die mobile Geräteverwaltung (MDM) in der Cloud zunimmt, hat Microsoft entsprechende MDM-Empfehlungen zu diesen Gruppenrichtlinien-Baselines erstellt. Viele dieser Baselines sind in Microsoft Intune integriert und enthalten Complianceberichte zu Benutzern, Gruppen und Geräten, die der Baseline folgen (oder nicht folgen).

Viele Kunden verwenden die Intune Basisempfehlungen als Ausgangspunkt und passen sie dann an ihre IT- und Sicherheitsanforderungen an. Die Windows 10 und spätere Baselinevorlage von Microsoft war die erste Baseline, die veröffentlicht wurde. Diese Baseline wird als allgemeine Infrastruktur erstellt, die Kunden ermöglicht, schließlich andere, auf CIS, NIST und anderen Standards basierende Sicherheitsbaselines zu importieren.

Die Migration von lokales Active Directory Gruppenrichtlinien zu einer reinen Cloudlösung mit Microsoft Entra ID mit Microsoft Intune ist ein Weg. Verwenden Sie die verschiedenen Tools aus dem Security Compliance Toolkit, mit denen Sie cloudbasierte Optionen aus Sicherheitsbaselines ermitteln können, die Ihre lokalen GPO-Konfigurationen ersetzen können.

Wo finde ich Details zur Verwendung oder Konfiguration der Einstellungen, die in einer Sicherheitsbaseline verfügbar sind?

Jede Sicherheitsbaseline verwaltet Gerätekonfigurationen, indem die Optionen eines Konfigurationsdienstanbieters auf einem Gerät angewendet werden. Einstellungen, die z. B. für Microsoft Defender gelten, stammen aus der Microsoft Defender CSP. Da Intune ein Konfigurationsfahrzeug für diese Optionen ist und nicht deren Funktionalität oder Umfang bestimmt, besitzt die CSP-Dokumentation den Inhalt der Konfiguration der einzelnen Optionen.

Auf der Benutzeroberfläche der Intune Sicherheitsbaselinerichtlinie stellt Intune Informationstext bereit, der aus dem Quell-CSP stammt, und stellt einen Link zu diesem CSP bereit. In einigen Fällen kann der CSP Teil eines größeren Inhaltssatzes sein, der proaktive Anleitungen enthält, die außerhalb des Bereichs Intune, unsere Inhalte einzuschließen oder zu duplizieren. Intune dokumentiert jedoch die Liste der Einstellungen in jeder Sicherheitsbaselineversion und deren Standardkonfiguration.

Nächste Schritte

• Erstellen von Sicherheitsbaselineprofilen

• Überprüfen Sie den Status, und überwachen Sie Baseline und Profil.

• Prüfen Sie die Einstellungen in den neuesten Versionen der verfügbaren Baselines:

  • Windows 10 und höher : MDM-Sicherheitsbaseline
  • Baseline für Microsoft Defender für Endpunkt
  • Microsoft 365 Apps für Unternehmenssicherheitsbaseline (Office)
  • Microsoft Edge-Sicherheitsbaseline
  • Windows 365-Sicherheitsbaseline