Bereitstellung einer Lösung für privilegierten Zugriff

Dieses Dokument führt Sie durch die Implementierung der technischen Komponenten der Strategie für privilegierten Zugriff, einschließlich sicherer Konten, Arbeitsstationen und Geräte sowie Schnittstellensicherheit (mit Richtlinien für bedingten Zugriff).

Zusammenfassung der Profile auf Sicherheitsebene

Dieser Leitfaden diente zum Einrichten aller Profile für alle drei Sicherheitsebenen, die den Rollen Ihrer Organisation auf Grundlage der Anleitung Sicherheitsebenen für privilegierten Zugriff zugewiesen werden sollten. Microsoft empfiehlt ihre Konfiguration in der im Plan für schnelle Modernisierung beschriebenen Reihenfolge.

Lizenzanforderungen

Die in diesem Handbuch erörterten Konzepte setzen Microsoft 365 Enterprise E5 oder eine entsprechende SKU voraus. Einige der Empfehlungen in diesem Handbuch können mit niedrigeren SKUs implementiert werden. Weitere Informationen finden Sie unter Microsoft 365 Enterprise-Lizenzierung.

Um die Lizenzbereitstellung zu automatisieren, sollten Sie eine gruppenbasierte Lizenzierung für Ihre Benutzer in Betracht ziehen.

Azure Active Directory-Konfiguration

Azure Active Directory (Azure AD) verwaltet Benutzer, Gruppen und Geräte für Ihre Administratorarbeitsstationen. Sie müssen die Identitätsdienste und Features mit einem Administratorkonto aktivieren.

Wenn Sie das gesicherte Arbeitsstationsadministratorkonto erstellen, machen Sie das Konto für Ihre aktuelle Arbeitsstation verfügbar. Stellen Sie sicher, dass Sie für diese Erstkonfiguration und die gesamte globale Konfiguration ein bekanntes sicheres Gerät verwenden. Um die Angriffe bei der ersten Nutzung zu reduzieren, sollten Sie die Hinweise zur Vermeidung von Malwareinfektionen beachten.

Zudem sollte zumindest für Ihre Administratoren eine mehrstufige Authentifizierung erforderlich sein. Implementierungsanleitungen finden Sie unter Bedingter Zugriff: Anfordern der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) für Administratoren.

Azure AD-Benutzer und -Gruppen

  1. Navigieren Sie im Azure-Portal zu Azure Active Directory>Benutzer>Neuer Benutzer.

  2. Erstellen Sie Ihren Gerätebenutzer, indem Sie den Schritten im Schnellstart zum Erstellen eines Benutzers folgen.

  3. Geben Sie Folgendes ein:

    • Name: Administrator der sicheren Arbeitsstation
    • Benutzername - secure-ws-user@contoso.com
    • Verzeichnisrolle - Eingeschränkter Administrator und wählen Sie die Rolle Intune-Administrator aus.
    • Nutzungsort - Beispielsweise Vereinigtes Königreich oder Ihr gewünschter Standort bilden die Liste.
  4. Klicken Sie auf Erstellen.

Erstellen Sie Ihren Geräteadministratorbenutzer.

  1. Geben Sie Folgendes ein:

    • Name: Administrator der sicheren Arbeitsstation
    • Benutzername - secure-ws-admin@contoso.com
    • Verzeichnisrolle - Eingeschränkter Administrator und wählen Sie die Rolle Intune-Administrator aus.
    • Nutzungsort - Beispielsweise Vereinigtes Königreich oder Ihr gewünschter Standort bilden die Liste.
  2. Klicken Sie auf Erstellen.

Als Nächstes erstellen Sie vier Gruppen: Benutzer sicherer Arbeitsstationen, Administratoren sicherer Arbeitsstationen, Emergency BreakGlass und Geräte sicherer Arbeitsstationen.

Navigieren Sie vom Azure-Portal aus zu Azure Active Directory>Gruppen>Neue Gruppe.

  1. Für die Gruppe der Arbeitsstationsbenutzer können Sie eine gruppenbasierte Lizenzierung konfigurieren, um die Bereitstellung von Lizenzen für Benutzer zu automatisieren.

  2. Geben Sie für die Gruppe der Arbeitsstationsbenutzer Folgendes ein:

    • Gruppentyp: Sicherheit
    • Gruppenname: Benutzer der sicheren Arbeitsstation
    • Mitgliedschaftstyp: Zugewiesen
  3. Fügen Sie Ihren Benutzer sicherer Arbeitsstationen hinzu: secure-ws-user@contoso.com

  4. Sie können alle anderen Benutzer hinzufügen, die sichere Arbeitsstationen verwenden werden.

  5. Klicken Sie auf Erstellen.

  6. Geben Sie für die Gruppe „Administratoren für privilegierte Arbeitsstationen“ Folgendes ein:

    • Gruppentyp: Sicherheit
    • Gruppenname: Administratoren sicherer Arbeitsstationen
    • Mitgliedschaftstyp: Zugewiesen
  7. Fügen Sie Ihren Benutzer sicherer Arbeitsstationen hinzu: secure-ws-admin@contoso.com

  8. Sie können alle anderen Benutzer hinzufügen, die sichere Arbeitsstationen verwalten.

  9. Klicken Sie auf Erstellen.

  10. Geben Sie für die Gruppe „Emergency BreakGlass“ Folgendes ein:

    • Gruppentyp: Sicherheit
    • Gruppenname: Emergency BreakGlass
    • Mitgliedschaftstyp: Zugewiesen
  11. Klicken Sie auf Erstellen.

  12. Fügen Sie dieser Gruppe Konten für den Notfallzugriff hinzu.

  13. Geben Sie für die Gruppe der Gerätegruppe Folgendes ein:

    • Gruppentyp: Sicherheit
    • Gruppenname: Sichere Arbeitsstationen
    • Mitgliedschaftstyp: Dynamisches Gerät
    • Dynamische Mitgliedschaftsregeln - (device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")
  14. Klicken Sie auf Erstellen.

Azure AD-Gerätekonfiguration

Angeben, wer Geräte in Azure AD einbinden darf

Konfigurieren Sie Ihre Geräteeinstellungen in Active Directory, damit Ihre administrative Sicherheitsgruppe die Geräte mit Ihrer Domäne verknüpfen kann. So konfigurieren Sie diese Einstellung über das Azure-Portal:

  1. Öffnen Sie Azure Active Directory>Geräte>Geräteeinstellungen.
  2. Wählen Sie Ausgewählte unter Benutzer können Geräte mit Azure AD verbinden aus, und wählen Sie dann die Gruppe „Benutzer der sicheren Arbeitsstation“ aus.

Entfernen lokaler Administratorrechte

Diese Methode erfordert, dass Benutzer der Arbeitsstationen VIP, DevOps und Privileged keine Administratorrechte auf ihren Computern haben. So konfigurieren Sie diese Einstellung über das Azure-Portal:

  1. Öffnen Sie Azure Active Directory>Geräte>Geräteeinstellungen.
  2. Wählen Sie unter Weitere lokale Administratoren für in Azure AD eingebundene Geräte die Option Keine aus.

Weitere Informationen zum Verwalten von Mitgliedern der Gruppe „Lokale Administratoren“ finden Sie unter Verwalten der lokalen Administratorgruppe auf in Azure AD eingebundenen Geräten.

Voraussetzen der Multi-Factor Authentication für das Einbinden von Geräten

Um den Prozess der Verknüpfung von Geräten mit Azure AD weiter zu verbessern:

  1. Öffnen Sie Azure Active Directory>Geräte>Geräteeinstellungen.
  2. Wählen Sie Ja unter Mehrstufige Authentifizierung zum Hinzufügen von Geräten erforderlich aus.
  3. Wählen Sie Speichern aus.

Konfigurieren der mobilen Geräteverwaltung

Gehen Sie im Azure-Portal so vor:

  1. Navigieren Sie zu Azure Active Directory>Mobility (MDM und MAM)>Microsoft Intune.
  2. Ändern Sie die Einstellung MDM-Benutzerbereich in Alle.
  3. Wählen Sie Speichern aus.

Nach diesen Schritten können Sie jedes Gerät mit Microsoft Endpoint Manager verwalten. Weitere Informationen finden Sie unter Intune-Schnellstart: Einrichten der automatischen Registrierung für Windows 10-Geräte. Sie erstellen in einem späteren Schritt Intune-Konfigurations- und Compliancerichtlinien.

Bedingter Azure AD-Zugriff

Bedingter Azure AD-Zugriff kann helfen, privilegierte administrative Aufgaben auf konforme Geräte zu beschränken. Vordefinierte Mitglieder der Gruppe Benutzer der sicheren Arbeitsstation müssen bei der Anmeldung an Cloudanwendungen eine mehrstufige Authentifizierung durchführen. Eine bewährte Methode ist es, Notfallzugriffskonten von der Richtlinie auszunehmen. Weitere Informationen finden Sie unter Verwalten von Konten für den Notfallzugriff in Azure AD.

Bedingter Zugriff ermöglicht nur gesicherten Arbeitsstationen den Zugriff auf das Azure-Portal

Organisationen sollten privilegierte Benutzer daran hindern, über Nicht-PAW-Geräte eine Verbindung mit Cloudverwaltungsschnittstellen, Portalen und PowerShell herzustellen.

Um zu verhindern, dass nicht autorisierte Geräte auf Cloudverwaltungsschnittstellen zugreifen können, befolgen Sie die Anweisungen im Artikel Bedingter Zugriff: Filter für Geräte (Vorschau). Es ist wichtig, dass Sie bei der Bereitstellung dieses Features die Funktion für das Konto für den Notfallzugriff berücksichtigen. Diese Konten sollten nur in Ausnahmefällen verwendet werden, und das Konto sollte über eine Richtlinie verwaltet werden.

Hinweis

Sie müssen eine Benutzergruppe einschließlich des Notfallbenutzers erstellen, der die Richtlinie für bedingten Zugriff umgehen kann. Die Sicherheitsgruppe in diesem Beispiel heißt Emergency BreakGlass.

Dieser Richtliniensatz stellt sicher, dass Ihre Administratoren ein Gerät verwenden müssen, das einen bestimmten Geräteattributewert darstellen kann, dass MFA erfüllt ist und das Gerät von Microsoft Endpoint Manager und Microsoft Defender for Endpoint als konform gekennzeichnet ist.

Organisationen sollten auch in Erwägung ziehen, Legacy-Authentifizierungsprotokolle in ihrer Umgebung zu blockieren. Es gibt mehrere Möglichkeiten, dies zu erreichen. Weitere Informationen zum Blockieren von Legacyauthentifizierungsprotokollen finden Sie im Artikel Vorgehensweise: Blockieren der Legacyauthentifizierung bei Azure AD mit bedingtem Zugriff.

Microsoft Intune-Konfiguration

Verweigerung von BYOD-Geräteregistrierung

In unserem Beispiel wird empfohlen, BYOD-Geräte nicht zuzulassen. Mithilfe der BYOD-Registrierung in Intune können Benutzer Geräte registrieren, die weniger oder nicht vertrauenswürdig sind. Es ist jedoch wichtig zu beachten, dass in Organisationen mit begrenztem Budget für die Anschaffung neuer Geräte, die eine vorhandene Gerätelandschaft nutzen möchten oder Nicht-Windows-Geräte erwägen, die BYOD-Funktion in Intune in Betracht ziehen könnten, um das Unternehmensprofil bereitzustellen.

Anhand der folgenden Anleitung wird die Registrierung für Bereitstellungen konfiguriert, die den BYOD-Zugriff verweigern.

Festlegen von Registrierungseinschränkungen zum Verhindern von BYOD

  1. Wählen Sie im Microsoft Endpoint Manager Admin Center ">Geräteregistrierungseinschränkungen>" die Standardeinschränkung >"Alle Benutzer" aus.
  2. Eigenschaftenplattformeinstellungen>bearbeiten
  3. Wählen Sie Blockieren für „Alle Typen“ außer „Windows MDM“ aus.
  4. Wählen Sie für alle Objekte im persönlichen Besitz Blockieren aus.

Erstellen eines Autopilot-Bereitstellungsprofils

Nachdem Sie eine Gerätegruppe erstellt haben, müssen Sie ein Bereitstellungsprofil erstellen, um die Autopilot-Geräte zu konfigurieren.

  1. Wählen Sie im Microsoft Endpoint Manager Admin Center die Option Geräteregistrierung>Windows-Registrierung>Bereitstellungsprofile>Profil erstellen aus.

  2. Geben Sie Folgendes ein:

    • Name: Sicheres Bereitstellungsprofil für Arbeitsstation.
    • Beschreibung: Bereitstellung von sicheren Arbeitsstationen.
    • Legen Sie Alle als Ziel angegebenen Geräte in Autopilot konvertieren auf Ja fest. Durch diese Einstellung wird sichergestellt, dass alle Geräte in der Liste beim Autopilot-Bereitstellungsdienst registriert werden. Die Verarbeitung der Registrierung kann 48 Stunden dauern.
  3. Wählen Sie Weiter aus.

    • Wählen Sie für Bereitstellungsmodus die Option Selbstbereitstellung (Vorschau). Geräte mit diesem Profil sind dem Benutzer zugeordnet, der das Gerät registriert. Während der Bereitstellung ist es ratsam, die Funktionen des Modus „Selbstbereitstellung“ zu verwenden:
      • In diesem Modus registriert sich das Gerät in Intune Azure AD für die automatische MDM-Registrierung und erlaubt nur den Zugriff auf ein Gerät, bis alle Richtlinien, Anwendungen, Zertifikate und Netzwerkprofile auf dem Gerät bereitgestellt sind.
      • Für die Registrierung des Geräts sind Benutzeranmeldeinformationen erforderlich. Beachten Sie, dass die Bereitstellung eines Geräts im Selbstbereitstellungsmodus Ihnen die Bereitstellung von Laptops in einem freigegebenen Modell ermöglicht. Es findet keine Benutzerzuweisung statt, bis das Gerät zum ersten Mal einem Benutzer zugewiesen wird. Folglich werden alle Benutzerrichtlinien wie BitLocker erst dann aktiviert, wenn eine Benutzerzuweisung abgeschlossen ist. Weitere Informationen zum Anmelden bei einem gesicherten Gerät finden Sie unter Ausgewählte Profile.
    • Wählen Sie Ihre Sprache (Region) und den Benutzerkontotyp Standard aus.
  4. Wählen Sie Weiter aus.

    • Wählen Sie eine Bereichsmarkierung, wenn Sie eine vorkonfiguriert haben.
  5. Wählen Sie Weiter aus.

  6. Wählen Sie Zuweisungen>Zuweisen zu>Ausgewählte Gruppen aus. Wählen Sie unter Wählen Sie die Gruppen aus, die eingeschlossen werden sollen die Option Sichere Arbeitsstationen aus.

  7. Wählen Sie Weiter aus.

  8. Wählen Sie Erstellen, um das Profil zu erstellen. Das Autopilot-Bereitstellungsprofil steht nun für die Zuweisung von Geräten zur Verfügung.

Die Registrierung von Geräten in Autopilot bietet eine je nach Gerätetyp und Rolle unterschiedliche Benutzererfahrung. In unserem Bereitstellungsbeispiel veranschaulichen wir ein Modell, bei dem die gesicherten Geräte in der Masse bereitgestellt werden und gemeinsam genutzt werden können, aber bei der ersten Verwendung wird das Gerät einem Benutzer zugewiesen. Weitere Informationen finden Sie unter Was ist die Geräteregistrierung?.

Seite zum Registrierungsstatus

Auf der Seite zum Registrierungsstatus wird der Bereitstellungsfortschritt angezeigt, wenn ein neues Gerät registriert wurde. Um sicherzustellen, dass die Geräte vor der Verwendung vollständig konfiguriert sind, bietet Intune die Option Geräteverwendung blockieren, bis alle Apps und Profile installiert sind.

Erstellen und Zuweisen eines Profils für Registrierungsstatusseiten

  1. Klicken Sie im Microsoft Endpoint Manager Admin Center auf Geräte>Windows>Windows-Registrierung>Seite zum Registrierungsstatus>Profil erstellen.
  2. Geben Sie einen Namen und eine Beschreibung an.
  3. Wählen Sie Erstellen aus.
  4. Wählen Sie das neue Profil in der Liste der Seite zum Registrierungsstatus aus.
  5. Setzen Sie Installationsfortschritt für Apps und Profile anzeigen auf Ja.
  6. Setzen Sie Geräteverwendung blockieren, bis alle Apps und Profile installiert sind auf Ja.
  7. Wählen Sie "Aufgaben>auswählen"> die Secure Workstation Gruppe > "Speichern"aus>.
  8. Wählen Sie "Einstellungen> " aus, um die Einstellungen auszuwählen, die Sie auf dieses Profil >speichern möchten.

Konfigurieren des Windows-Updates

Windows 10 auf dem neuesten Stand zu halten, ist eines der wichtigsten Dinge, die Sie tun können. Um Windows in einem sicheren Zustand zu halten, stellen Sie einen Updatering bereit, um das Tempo zu steuern, mit der Updates auf die Arbeitsstationen angewendet werden.

Diese Anleitung empfiehlt, einen neuen Updatering zu erstellen und die folgenden Standardeinstellungen zu ändern:

  1. Wählen Sie im Microsoft Endpoint Manager Admin Center nacheinander Geräte>Softwareupdates>Windows 10-Updateringe aus.

  2. Geben Sie Folgendes ein:

    • Name: Updates für verwaltete Azure-Arbeitsstationen
    • Wartungskanal: Halbjährlicher Kanal
    • Rückstellungszeitraum für Qualitätsupdates (Tage): 3
    • Rückstellungszeitraum für Funktionsupdates (Tage): 3
    • Automatisches Updateverhalten: Ohne Endbenutzersteuerung automatisch installieren und neu starten
    • Anhalten von Windows-Updates durch Benutzer blockieren: Blockieren
    • Genehmigung des Benutzers für Neustart außerhalb der Arbeitszeiten erforderlich: Erforderlich
    • Benutzer (erzwungenen) Neustart ermöglichen: Erforderlich
    • Übergang von Benutzern nach einem automatischen Neustart zum erzwungenen Neustart (Tage) : 3
    • Erinnerung zu engagiertem Neustart zurückstellen (Tage): 3
    • Stichtag für ausstehende Neustarts festlegen (Tage): 3
  3. Klicken Sie auf Erstellen.

  4. Fügen Sie auf der Registerkarte Zuweisungen die Gruppe Sichere Arbeitsstationen hinzu.

Weitere Informationen zu Windows-Updaterichtlinien finden Sie unter Policy CSP – Update (Richtlinien-CSP – Update).

Integration von Microsoft Defender für Endpunkt und Intune

Microsoft Defender für Endpunkt und Microsoft Intune verhindern gemeinsam Sicherheitsverletzungen. Sie können auch die Auswirkungen von Sicherheitsverletzungen einschränken. ATP-Funktionen bieten eine Bedrohungserkennung in Echtzeit und ermöglichen eine umfassende Überprüfung und Protokollierung der Endgeräte.

So konfigurieren Sie die Integration von Microsoft Defender für Endpoint und Microsoft Endpoint Manager:

  1. Wählen Sie im Microsoft Endpoint Manager Admin Center die Option Endpunktsicherheit>Microsoft Defender ATP aus.

  2. Wählen Sie in Schritt 1 unter "Konfigurieren Windows Defender ATP" im Windows Defender Security Center Windows Defender ATP aus, um Microsoft Intune zu Microsoft Intune.

  3. In Windows Defender Security Center:

    1. Wählen Sie Einstellungen>Erweiterte Features aus.
    2. Wählen Sie für Microsoft Intune-Verbindung die Option Ein aus.
    3. Wählen Sie Voreinstellungen speichern aus.
  4. Kehren Sie nach dem Herstellen einer Verbindung zu Microsoft Endpoint Manager zurück, und wählen Sie oben Aktualisieren aus.

  5. Legen Sie Verbindung von Windows-Geräten mit Version (20H2) 19042.450 und höher mit Windows Defender ATP herstellen auf Ein fest.

  6. Wählen Sie Speichern aus.

Erstellen des Gerätekonfigurationsprofils zum Integrieren von Windows-Geräten

  1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an. Wählen Sie Endpunktsicherheit>Endpunkterkennung und -antwort>Profil erstellen aus.

  2. Wählen Sie unter Plattform die Option Windows 10 und höher aus.

  3. Wählen Sie als Profiltyp die Option Endpunkterkennung und -antwort aus, und klicken Sie dann auf Erstellen.

  4. Geben Sie auf der Seite Grundlagen den Namen PAW – Defender für Endpunkt in das Feld „Name“ und Beschreibung (optional) für das Profil ein. Wählen Sie dann Weiter.

  5. Konfigurieren Sie auf der Seite Konfigurationseinstellungen unter Endpunkterkennung und Reaktion die folgende Option:

    • Beispielfreigabe für alle Dateien: Hiermit wird der Konfigurationsparameter für die Microsoft Defender Advanced Threat Protection-Beispielfreigabe zurückgegeben oder festgelegt.

      Onboarding von Windows 10-Computern mit Configuration Manager enthält nähere Informationen zu diesen Microsoft Defender ATP-Einstellungen.

  6. Wählen Sie Weiter aus, um die Seite Bereichstags zu öffnen. Bereichstags sind optional. Wählen Sie Weiter aus, um den Vorgang fortzusetzen.

  7. Wählen Sie auf der Seite Zuweisungen die Gruppe Sichere Arbeitsstation aus. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.

    Wählen Sie Weiter aus.

  8. Klicken Sie, wenn Sie fertig sind, auf der Seite Bewerten + erstellen auf Erstellen. Das neue Profil wird in der Liste angezeigt, wenn Sie den Richtlinientyp für das Profil auswählen, das Sie erstellt haben. OK, und dann Erstellen, um Ihre Änderungen zu speichern. Dadurch wird das Profil erstellt.

Weitere Informationen finden Sie unter Windows Defender Advanced Threat Protection.

Abschließen der Härtung von Arbeitsstationsprofilen

Um die Härtung der Lösung erfolgreich abzuschließen, laden Sie das entsprechende Skript herunter und führen Sie es aus. Hier finden Sie die Downloadlinks für Ihre gewünschte Profilebene:

Profil Downloadspeicherort Dateiname
Enterprise https://aka.ms/securedworkstationgit Enterprise-Workstation-Windows10-(20H2).ps1
Spezialisiert https://aka.ms/securedworkstationgit Specialized - Windows10-(20H2).ps1
Privilegiert https://aka.ms/securedworkstationgit Privileged-Windows10-(20H2).ps1

Hinweis

Das Aufheben von Administratorrechten und Zugriff sowie der Steuerung der Anwendungsausführung (AppLocker) werden mithilfe der bereitgestellten Richtlinienprofile verwaltet.

Nachdem das Skript erfolgreich ausgeführt wurde, können Sie Updates von Profilen und Richtlinien in Intune vornehmen. Die Skripts erstellen Richtlinien und Profile für Sie, aber Sie müssen die Richtlinien Ihrer Gerätegruppe Sichere Arbeitsstationen zuweisen.

  • Hier finden Sie die von den Skripts erstellten Intune-Gerätekonfigurationsprofile: Azure-Portal>Microsoft Intune>Gerätekonfiguration>Profile.
  • Hier finden Sie die von den Skripts erstellten Intune-Gerätekonformitätsrichtlinien: Azure-Portal>Microsoft Intune>Gerätekonfiguration>Profile.

Führen Sie das Intune-Datenexportskript DeviceConfiguration_Export.ps1 im GitHub-Repository „DeviceConfiguration“ aus, um alle aktuellen Intune-Profile zum Vergleichen und Auswerten der Profile zu exportieren.

Festlegen von Regeln im Endpoint Protection-Konfigurationsprofil für Microsoft Defender Firewall

Richtlinieneinstellungen für Microsoft Defender Firewall sind im Endpoint Protection-Konfigurationsprofil enthalten. Das Verhalten der geltenden Richtlinie ist in der folgenden Tabelle beschrieben.

Profil Eingehende Regeln Ausgehende Regeln Zusammenführungsverhalten
Enterprise Blockieren Zulassen Zulassen
Spezialisiert Blockieren Zulassen Blockieren
Privilegiert Blockieren Blockieren Blockieren

Enterprise: Diese Konfiguration ist die uneingeschränkteste, da sie das Standardverhalten einer Windows-Installation widerspiegelt. Der gesamte eingehende Datenverkehr wird mit Ausnahme von Regeln blockiert, die explizit in den lokalen Richtlinienregeln definiert sind, da das Zusammenführen lokaler Regeln auf „Zulässig“ festgelegt ist. Der gesamte ausgehende Datenverkehr ist zugelassen.

Spezialisiert: Diese Konfiguration ist restriktiver, da sie alle lokal auf dem Gerät festgelegten Regeln ignoriert. Der gesamte eingehende Verkehr wird blockiert, einschließlich lokal definierter Regeln. Die Richtlinie enthält zwei Regeln, damit die Übermittlungsoptimierung wie vorgesehen funktionieren kann. Der gesamte ausgehende Datenverkehr ist zugelassen.

Privilegiert: Der gesamte eingehende Verkehr wird blockiert, einschließlich lokal definierter Regeln. Die Richtlinie enthält zwei Regeln, damit die Übermittlungsoptimierung wie vorgesehen funktionieren kann. Ausgehender Datenverkehr wird ebenfalls blockiert, abgesehen von expliziten Regeln, die DNS-, DHCP-, NTP-, NSCI-, HTTP- und HTTPS-Datenverkehr zulassen. Diese Konfiguration reduziert nicht nur die Angriffsfläche, die das Gerät dem Netzwerk bietet, sondern beschränkt die ausgehenden Verbindungen, die das Gerät herstellen kann, auf die Verbindungen, die zur Verwaltung von Clouddiensten erforderlich sind.

Regel Direction Aktion Anwendung/Dienst Protokoll Lokale Ports Remoteports
World Wide Web-Dienste (ausgehender HTTP-Datenverkehr) Ausgehend Allow Alle TCP Alle Ports 80
World Wide Web-Dienste (ausgehender HTTPS-Datenverkehr) Ausgehend Allow Alle TCP Alle Ports 443
Kernnetzwerk: Dynamic Host Configuration Protocol für IPv6(DHCPV6-Out) Ausgehend Allow %SystemRoot%\system32\svchost.exe TCP 546 547
Kernnetzwerk: Dynamic Host Configuration Protocol für IPv6(DHCPV6-Out) Ausgehend Allow Dhcp TCP 546 547
Kernnetzwerk: Dynamic Host Configuration Protocol für IPv6(DHCP-Out) Ausgehend Allow %SystemRoot%\system32\svchost.exe TCP 68 67
Kernnetzwerk: Dynamic Host Configuration Protocol für IPv6(DHCP-Out) Ausgehend Allow Dhcp TCP 68 67
Kernnetzwerk: DNS (UDP-Out) Ausgehend Allow %SystemRoot%\system32\svchost.exe UDP Alle Ports 53
Kernnetzwerk: DNS (UDP-Out) Ausgehend Allow Dnscache UDP Alle Ports 53
Kernnetzwerk: DNS (UDP-Out) Ausgehend Allow %SystemRoot%\system32\svchost.exe TCP Alle Ports 53
Kernnetzwerk: DNS (UDP-Out) Ausgehend Allow Dnscache TCP Alle Ports 53
NSCI-Test (TCP-Out) Ausgehend Allow %SystemRoot%\system32\svchost.exe TCP Alle Ports 80
NSCI-Test – DNS (TCP-Out) Ausgehend Allow NlaSvc TCP Alle Ports 80
Windows-Zeit (UDP-Out) Ausgehend Allow %SystemRoot%\system32\svchost.exe TCP Alle Ports 80
Windows-Zeittest: DNS (UDP-Out) Ausgehend Allow W32Time UDP Alle Ports 123
Übermittlungsoptimierung (TCP-In) Eingehend Allow %SystemRoot%\system32\svchost.exe TCP 7680 Alle Ports
Übermittlungsoptimierung (TCP-In) Eingehend Allow DoSvc TCP 7680 Alle Ports
Übermittlungsoptimierung (TCP-In) Eingehend Allow %SystemRoot%\system32\svchost.exe UDP 7680 Alle Ports
Übermittlungsoptimierung (TCP-In) Eingehend Allow DoSvc UDP 7680 Alle Ports

Hinweis

In der Konfiguration der Microsoft Defender Firewall sind für jede Regel zwei Regeln festgelegt. Um die Ein- und Ausgangsregeln auf Windows-Dienste, z. B. DNS-Client, zu beschränken, müssen sowohl der Dienstname, DNSCache, als auch der Pfad der ausführbaren Datei, C:\Windows\System32\svchost.exe, als separate Regel und nicht als eine einzelne Regel festgelegt werden, wie es mithilfe von Gruppenrichtlinien möglich ist.

Sie können bei Bedarf zusätzliche Änderungen an der Verwaltung der Ein- und Ausgangsregeln für Ihre zulässigen und blockierten Dienste vornehmen. Weitere Informationen finden Sie unter Firewall-Konfigurationsdienst.

URL-Sperrproxy

Eine restriktive Verwaltung des URL-Datenverkehrs umfasst Folgendes:

  • Verweigern des gesamten ausgehenden Datenverkehrs mit Ausnahme ausgewählter Azure- und Microsoft-Dienste wie Azure Cloud Shell und der Option, die Self-Service-Kennwortzurücksetzung zu ermöglichen.
  • Das Profil „Privilegiert“ schränkt die Endpunkte im Internet ein, mit denen sich das Gerät über die folgende URL-Sperrproxykonfiguration verbinden kann.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

Die in der Liste „ProxyOverride“ aufgeführten Endpunkte sind auf diejenigen beschränkt, die für die Authentifizierung bei Azure AD und den Zugriff auf Azure- oder Office 365-Verwaltungsoberflächen erforderlich sind. Zur Erweiterung auf andere Clouddienste fügen Sie deren Verwaltungs-URL in die Liste ein. Dieser Ansatz bezweckt, den Zugriff auf das breitere Internet zu beschränken, um privilegierte Benutzer vor internetbasierten Angriffen zu schützen. Wenn dieser Ansatz als zu restriktiv erachtet wird, erwägen Sie den unten beschriebenen Ansatz für die privilegierte Rolle.

Aktivieren von Microsoft Cloud Application Security und Einschränken der eingeschränkten URL-Liste auf genehmigte URLs (die meisten zulassen)

In unserer Rollenbereitstellung empfiehlt es sich, dass für Enterprise- und Spezialbereitstellungen, bei denen eine strikte Ablehnung aller Webbrowser nicht wünschenswert ist, die Verwendung der Funktionen eines Cloud access Security Broker (CASB) wie z. B. Microsoft Defender for Cloud Apps verwendet werden, um den Zugriff auf riskante Websites zu blockieren und fragwürdige Websites zu blockieren. Die Lösung bietet eine einfache Möglichkeit, zusammengestellte Anwendungen und Websites zu blockieren. Diese Lösung ähnelt dem Einrichten des Zugriffs auf die Sperrliste von Websites wie der von Spamhaus Project, die die Domänensperrliste (Domain Block List, DBL) unterhält: eine empfehlenswerte Ressource, die als fortgeschrittenes Regelwerk für die Umsetzung der Sperrung von Websites verwendet werden kann.

Die Lösung bietet Folgendes:

  • Sichtbarkeit: alle Clouddienste erkennen; jedem eine Risikobewertung zuweisen; alle anmeldeberechtigten Benutzer und Drittanbieter-Apps identifizieren
  • Datensicherheit: sensible Informationen identifizieren und steuern (DLP); auf Klassifizierungsbezeichnungen zum Inhalt reagieren
  • Bedrohungsschutz: adaptive Zugriffssteuerung (Adaptive Access Control, AAC) bieten; Benutzer- und Entitätsverhaltensanalyse (User and Entity Behavior Analysis, UEBA) bereitstellen; Schadsoftware unschädlich machen
  • Compliance: Berichte und Dashboards zur Veranschaulichung der Cloudgovernance bereitstellen; Unterstützung bei der Einhaltung von Data Residency und gesetzlichen Bestimmungen leisten

Aktivieren Sie Defender für Cloud Apps und stellen Sie eine Verbindung mit Defender ATP her, um den Zugriff auf riskante URLs zu blockieren:

Verwalten von lokalen Anwendungen

Die sichere Arbeitsstation befindet sich dann in einem wirklich gehärteten Zustand, wenn lokale Anwendungen, einschließlich Produktivitätsanwendungen, entfernt werden. Hier fügen Sie Visual Studio Code hinzu, um eine Verbindung mit Azure DevOps für GitHub zur Verwaltung von Coderepositorys zu ermöglichen.

Konfigurieren des Unternehmensportals für benutzerdefinierte Apps

Eine in Intune verwaltete Kopie des Unternehmensportals bietet Ihnen bei Bedarf Zugriff auf zusätzliche Tools, die Sie an die Benutzer der gesicherten Arbeitsstationen weiterleiten können.

In einem abgesicherten Modus ist die Anwendungsinstallation auf verwaltete Anwendungen beschränkt, die vom Unternehmensportal bereitgestellt werden. Für die Installation des Unternehmensportals ist jedoch Zugriff auf den Microsoft Store erforderlich. In Ihrer abgesicherten Lösung fügen Sie die Unternehmensportal-App von Windows 10 für mit Autopilot bereitgestellte Geräte hinzu und weisen sie zu.

Hinweis

Stellen Sie sicher, dass Sie die Unternehmensportal-App dem Gruppentag Geräte sicherer Arbeitsstationen zuweisen, das für die Zuweisung des Profils „Autopilot“ verwendet wird.

Bereitstellen von Anwendungen mit Intune

In einigen Fällen sind Anwendungen wie Microsoft Visual Studio Code auf der abgesicherten Arbeitsstation erforderlich. Das folgende Beispiel enthält Anweisungen zum Installieren von Microsoft Visual Studio Code für Benutzer in der Sicherheitsgruppe Benutzer sicherer Arbeitsstationen.

Visual Studio Code wird als EXE-Paket bereitgestellt und muss daher für die Bereitstellung mit dem Microsoft Endpoint Manager mit dem Microsoft Win32 Content Prep Tool als Datei im .intunewin-Format gepackt werden.

Laden Sie das Microsoft Win32 Content Prep Tool lokal auf eine Arbeitsstation herunter, und kopieren Sie es zum Packen in ein Verzeichnis, z. B. C:\Packages. Erstellen Sie dann unter C:\Packages ein Quell- und ein Ausgabeverzeichnis.

Packen von Microsoft Visual Studio Code

  1. Laden Sie das Offlineinstallationsprogramm Visual Studio Code für Windows (64-Bit-Version) herunter.
  2. Kopieren Sie die heruntergeladene EXE-Datei von Visual Studio Code in C:\Packages\Source.
  3. Öffnen Sie eine PowerShell-Konsole, und wechseln Sie zu C:\Packages.
  4. Geben Sie .\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1 ein
  5. Geben Sie Y ein, um den neuen Ausgabeordner zu erstellen. Die Datei „intunewin“ für Visual Studio Code wird in diesem Ordner erstellt.

Hochladen von Visual Studio Code in Microsoft Endpoint Manager

  1. Navigieren Sie im Microsoft Endpoint Manager Admin Center zu Apps>Windows>Hinzufügen.
  2. Wählen Sie unter App-Typ auswählendie Option Windows-App (Win32) aus.
  3. Klicken Sie auf App-Paketdatei auswählen, dann auf Datei auswählen, und wählen Sie VSCodeUserSetup-x64-1.51.1.intunewin in C:\Packages\Output\VSCodeUserSetup-x64-1.51.1 aus. Klicken Sie auf OK
  4. Geben Sie Visual Studio Code 1.51.1 in das Feld „Name“ ein.
  5. Geben Sie in das Feld Beschreibung eine Beschreibung für Visual Studio Code ein.
  6. Geben Sie Microsoft Corporation in das Feld Verleger ein.
  7. Laden Sie https://jsarray.com/images/page-icons/visual-studio-code.png herunter, und wählen Sie ein Bild für das Logo aus. Wählen Sie Weiter aus.
  8. Geben Sie VSCodeSetup-x64-1.51.1.exe /SILENT in das Feld Installationsbefehl ein.
  9. Geben Sie C:\Program Files\Microsoft VS Code\unins000.exe in das Feld Deinstallationsbefehl ein.
  10. Wählen Sie in der Dropdownliste Verhalten beim Geräteneustart die Option Verhalten auf Grundlage von Rückgabecodes bestimmen aus. Wählen Sie Weiter aus.
  11. Wählen Sie in der Dropdownliste Betriebssystemarchitektur die Option 64-Bit aus.
  12. Wählen Sie Windows 10 1903 in der Dropdownliste Mindestbetriebssystem aus. Wählen Sie Weiter aus.
  13. Wählen Sie in der Dropdownliste Regelformat die Option Erkennungsregeln manuell konfigurieren aus.
  14. Klicken Sie auf Hinzufügen, und wählen Sie im Dropdownmenü Regeltyp die Option Datei aus.
  15. Geben Sie C:\Program Files\Microsoft VS Code in das Feld Pfad ein.
  16. Geben Sie unins000.exe in das Feld Datei oder Ordner ein.
  17. Wählen Sie in der Dropdownliste Datei oder Ordner vorhanden, dann OK und danach Weiter aus.
  18. Wählen Sie Weiter aus, da keine Abhängigkeiten von diesem Paket bestehen.
  19. Wählen Sie Gruppe hinzufügen unter Für registrierte Geräte verfügbar aus. Fügen Sie die Gruppe Privilegierte Benutzer hinzu. Klicken Sie auf Auswählen, um die Gruppe zu bestätigen. Wählen Sie Weiter aus.
  20. Klicken Sie auf Erstellen

Erstellen benutzerdefinierter Anwendungen und Einstellungen mit PowerShell

Es gibt einige empfohlene Konfigurationseinstellungen, darunter zwei Empfehlungen für Defender für Endpunkt, die mit PowerShell festgelegt werden müssen. Diese Konfigurationsänderungen können nicht über Richtlinien in Intune festgelegt werden.

Sie können auch PowerShell verwenden, um Hostverwaltungsfunktionen zu erweitern. Das Skript PAW-DeviceConfig.ps1 auf GitHub ist ein Beispielskript, das die folgenden Einstellungen vornimmt:

  • Entfernt Internet Explorer
  • Entfernt PowerShell 2.0
  • Entfernt Windows Media Player
  • Entfernt den Client „Arbeitsordner“
  • Entfernt XPS-Druck
  • Aktiviert und konfiguriert den Ruhezustand
  • Implementiert eine Registrierungskorrektur, um die Verarbeitung von DLL-Regeln für AppLocker zu ermöglichen.
  • Implementiert Registrierungseinstellungen für zwei Empfehlungen von Microsoft Defender für Endpunkt, die nicht mithilfe von Endpoint Manager festgelegt werden können
    • Verlangt von Benutzern höhere Berechtigungen, wenn eine Netzwerkadresse festgelegt wird
    • Verhindert das Speichern von Netzwerkanmeldeinformationen
  • Deaktiviert den Assistenten für Netzwerkadressen und verhindert, dass Benutzer Netzwerkadressen als „Privat“ festlegen und damit die Angriffsfläche in Windows Defender Firewall vergrößern
  • Konfiguriert die Windows-Zeit für die Verwendung von NTP und legt den automatischen Zeitdienst auf „Automatisch“ fest
  • Lädt ein bestimmtes Bild herunter und legt den Desktophintergrund darauf fest, um das Gerät leicht als betriebsbereite, privilegierte Arbeitsstation zu erkennen

Das Skript PAW-DeviceConfig.ps1 auf GitHub.

  1. Laden Sie das Skript [PAW-DeviceConfig.ps1] auf ein lokales Gerät herunter.
  2. Navigieren Sie zum Azure-Portal>Microsoft Intune>Gerätekonfiguration>PowerShell-Skripte>Hinzufügen. Geben Sie einen Namen für das Skript und den Skriptspeicherort an.
  3. Wählen Sie Konfigurierenaus.
    1. Legen Sie Dieses Skript mit den Anmeldeinformationen des angemeldeten Benutzers ausführen auf Nein fest.
    2. Klicken Sie auf OK.
  4. Klicken Sie auf Erstellen.
  5. Wählen Sie Zuordnungen>Gruppen auswählen aus.
    1. Fügen Sie die Sicherheitsgruppe Sichere Arbeitsstationen hinzu.
    2. Wählen Sie Speichern aus.

Überprüfen und Testen Ihrer Bereitstellung mit Ihrem ersten Gerät

Bei dieser Registrierung wird davon ausgegangen, dass Sie ein physisches IT-Gerät verwenden. Als Teil des Beschaffungsprozesses wird empfohlen, dass der OEM, Vertriebspartner, Händler oder Partner Geräte in Windows Autopilot registriert.

Zum Testen ist es jedoch möglich, in einem Testszenario virtuelle Computer einzusetzen. Beachten Sie jedoch, dass die Registrierung von persönlich eingebundenen Geräten überarbeitet werden muss, um diese Methode zur Einbindung eines Clients zu ermöglichen.

Diese Methode funktioniert für virtuelle Computer oder physische Geräte, die zuvor nicht registriert wurden.

  1. Starten Sie das Gerät, und warten Sie, bis das Dialogfeld „Benutzername“ angezeigt wird.
  2. Drücken Sie SHIFT + F10, um die Eingabeaufforderung anzuzeigen.
  3. Geben Sie PowerShell ein, und drücken Sie die EINGABETASTE.
  4. Geben Sie Set-ExecutionPolicy RemoteSigned ein, und drücken Sie die EINGABETASTE.
  5. Geben Sie Install-Script GetWindowsAutopilotInfo ein, und drücken Sie die EINGABETASTE.
  6. Geben Sie Y ein, und drücken Sie die EINGABETASTE, um die Änderung der Umgebungsvariablen PATH zu übernehmen.
  7. Geben Sie Y ein, und drücken Sie die EINGABETASTE, um den NuGet-Anbieter zu installieren.
  8. Geben Sie Y ein, um dem Repository zu vertrauen.
  9. Führen Sie Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv aus.
  10. Kopieren der CSV-Datei vom virtuellen Computer oder physischen Gerät

Importieren von Geräten in Autopilot

  1. Wechseln Sie im Microsoft Endpoint Manager Admin Center zu Geräte>Windows-Geräte>Windows-Registrierung>Geräte.

  2. Wählen Sie Importieren und dann Ihre CSV-Datei aus.

  3. Warten Sie, bis Group Tag in PAW und Profile Status in Assigned geändert wurde.

    Hinweis

    Das Gruppentag wird von der dynamischen Gruppe „Sichere Arbeitsstation“ verwendet, um das Gerät zu einem Mitglied ihrer Gruppe zu machen.

  4. Fügen Sie das Gerät der Sicherheitsgruppe Sichere Arbeitsstationen hinzu.

  5. Wechseln Sie auf dem Windows 10 Gerät, das Sie konfigurieren möchten, zu Windows Settings>Update & Security>Recovery.

    1. Wählen Sie unter Diesen PC zurücksetzen die Option Erste Schritte aus.
    2. Befolgen Sie die Eingabeaufforderungen zum Zurücksetzen und erneuten Konfigurieren des Geräts mithilfe der konfigurierten Profil- und Konformitätsrichtlinien.

Nachdem Sie das Gerät konfiguriert haben, überprüfen Sie die Konfiguration. Vergewissern Sie sich, dass das erste Gerät ordnungsgemäß konfiguriert ist, bevor Sie Ihre Bereitstellung fortsetzen.

Zuweisen von Geräten

Um Geräte und Benutzer zuzuweisen, müssen Sie die ausgewählten Profile Ihrer Sicherheitsgruppe zuordnen. Alle neuen Benutzer, die Berechtigungen für den Dienst benötigen, müssen ebenfalls der Sicherheitsgruppe hinzugefügt werden.

Verwenden von Microsoft Defender für Endpunkt zum Überwachen und Reagieren auf Sicherheitsvorfälle

  • Kontinuierliches Beobachten und Überwachen von Schwachstellen und Fehlkonfigurationen
  • Verwenden von Microsoft Defender für Endpunkt, um dynamische Bedrohungen zu priorisieren
  • Steuern der Korrelation von Sicherheitsrisiken mit Warnungen zu Endpunkterkennung und Reaktion (EDR)
  • Verwenden des Dashboards zur Identifizierung von Sicherheitsrisiken auf Computerebene während Untersuchungen
  • Senden von Korrekturen an Intune

Konfigurieren Sie Ihr Microsoft Defender Security Center. Übersicht über die Übersicht über das Dashboard zur Bedrohungsrisikenverwaltung&.

Überwachen der Anwendungsaktivität mit Advanced Threat Hunting

Ab der Arbeitsstation „Spezialisiert“ ist AppLocker für die Überwachung der Anwendungsaktivität auf einer Arbeitsstation aktiviert. Standardmäßig erfasst Defender für Endpunkt AppLocker-Ereignisse, und mithilfe erweiterter Suchabfragen kann ermittelt werden, welche Anwendungen, Skripts und DLL-Dateien von AppLocker blockiert werden.

Hinweis

Die Arbeitsstationsprofile „Spezialisiert“ und „Privilegiert“ enthalten die AppLocker-Richtlinien. Die Bereitstellung der Richtlinien ist für die Überwachung der Anwendungsaktivität auf einem Client erforderlich.

Verwenden Sie im Microsoft Defender Security Center-Bereich „Erweiterte Suche“ die folgende Abfrage, um AppLocker-Ereignisse zurückzugeben.

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

Überwachung

Nächste Schritte