Use líneas base de seguridad para ayudar a proteger los dispositivos Windows que administra con Microsoft Intune

Con las líneas base de seguridad de Microsoft Intune, puede implementar rápidamente una posición de seguridad recomendada en los dispositivos Windows administrados para líneas base de seguridad de Windows para ayudarle a proteger y proteger a los usuarios y dispositivos.

Aunque Windows y Windows Server están diseñados para ser seguros de fábrica, muchas organizaciones aún quieren un control más pormenorizado sobre sus configuraciones de seguridad. Para navegar por el gran número de controles, las organizaciones a menudo buscan instrucciones sobre la configuración de varias características de seguridad. Microsoft proporciona esta guía en forma de líneas base de seguridad.

Esta característica se aplica a:

• Windows 10, versión 1809 y posteriores
• Windows 11

introducción a Intune línea base de seguridad

Cada línea base de seguridad es un grupo de configuraciones preconfiguradas de Windows que le ayudan a aplicar y aplicar la configuración de seguridad pormenorizada que recomiendan los equipos de seguridad pertinentes. También puede personalizar cada línea base que implemente para aplicar solo la configuración y los valores que necesite. Al crear un perfil de líneas de base de seguridad en Intune, está creando una plantilla que consta de varios perfiles de configuración de dispositivos.

Los valores de cada línea base son valores de configuración de dispositivo como los que se encuentran en varias directivas de Intune. Cada configuración de una línea base funciona con el proveedor de servicios de configuración para el producto pertinente que está presente en un dispositivo Windows administrado.

Para obtener más información sobre por qué y cuándo es posible que quiera implementar líneas base de seguridad, consulte Líneas base de seguridad de Windows en la documentación de seguridad de Windows.

Las líneas base de seguridad se implementan en grupos de usuarios o dispositivos en Intune y la configuración se aplica a los dispositivos que ejecutan Windows 10 o 11. Por ejemplo, la configuración predeterminada de la línea base de seguridad para Windows 10 y versiones posteriores habilita automáticamente BitLocker para las unidades extraíbles, requiere automáticamente una contraseña para desbloquear un dispositivo, deshabilita automáticamente la autenticación básica y mucho más. Si un valor predeterminado no funciona para su entorno, personalice la línea de base para aplicar la configuración que necesita.

Nota:

En mayo de 2023, Intune comenzó a implementar un nuevo formato de línea base de seguridad para cada nueva versión de línea base o actualización de versión. El nuevo formato actualiza la configuración de línea base para tomar directamente sus opciones de nombre y configuración del proveedor de servicios de configuración (CSP) que administra la configuración de línea base.

Intune también introdujo un nuevo proceso para ayudarle a migrar un perfil de línea base de seguridad existente a la versión de línea base más reciente. Este nuevo comportamiento es un proceso único que reemplaza el comportamiento de actualización normal al pasar de la versión más reciente de un perfil anterior a una versión más reciente que estaba disponible en mayo de 2023 o posterior.

Ventajas del uso de líneas base:
Las líneas de base de seguridad es poder ayudarlo a tener un flujo de trabajo seguro de un extremo a otro cuando trabaja con Microsoft 365. Estas son algunas de las ventajas:

• De forma predeterminada, cada línea base de seguridad está configurada para cumplir los procedimientos recomendados y las recomendaciones de la configuración que afectan a la seguridad. Intune se asocia con el mismo equipo de seguridad de Windows que crea las líneas de base de seguridad de directiva de grupo. Estas recomendaciones se basan en la orientación y en una amplia experiencia.
• Si no está familiarizado con Intune y no está seguro de dónde empezar, las líneas base de seguridad le ofrecen una ventaja. Puede crear e implementar rápidamente un perfil seguro, sabiendo que ayuda a proteger los recursos y datos de su organización.
• Si actualmente usa la directiva de grupo, la migración a Intune para la administración es más fácil con estas líneas base. Estas líneas base se integran de forma nativa en Intune e incluyen una experiencia de administración moderna.

Configuración predeterminada en varias líneas base:
Los tipos de línea de base independientes, como la línea de base de seguridad mdm para Windows y la línea de base para Microsoft Defender, pueden incluir la misma configuración y usar valores predeterminados diferentes para esa configuración. Intune no puede determinar qué configuración es mejor para usted, o incluso en qué entorno o escenario es posible que quiera usar una recomendación predeterminada de líneas base sobre otra:

• Es importante comprender los valores predeterminados de las líneas base que se usan y, a continuación, modificar cada línea base para satisfacer las necesidades de la organización.
• De forma predeterminada, cada línea base se preconfigura mediante las recomendaciones específicas del producto al que se aplica.
• En algunos casos, es posible que una configuración que Microsoft Defender recomienda no sea la configuración predeterminada para valores similares cuando lo recomienda Windows. En tales situaciones, es importante revisar cada configuración para que pueda comprender su intención en función de los detalles del proveedor de servicios de configuración y un ámbito mayor de los dos productos.

En casi todos los escenarios, la configuración predeterminada de las líneas base de seguridad es la más restrictiva. Debe confirmar que esta configuración no entra en conflicto con otras características o configuraciones de directiva del entorno.

Por ejemplo, es posible que la configuración predeterminada para la configuración del firewall no combine reglas de seguridad de conexión y reglas de directiva local con reglas MDM. Por lo tanto, si usa la optimización de entrega, debe validar estas configuraciones antes de asignar la línea de base de seguridad.

Nota:

Microsoft no recomienda usar versiones preliminares de líneas de base de seguridad en un entorno de producción. La configuración de una línea de base en versión preliminar podría cambiar en el transcurso de la versión preliminar.

Líneas de base de seguridad disponibles

Las instancias de línea de base de seguridad siguientes están disponibles para usarlas con Intune. Use los vínculos para ver la configuración de las instancias recientes de cada línea de base.

• Línea base de seguridad para Windows 10 y versiones posteriores:
  • Versión 23H2
  • Noviembre de 2021
  • Diciembre de 2020
  • Agosto de 2020

• Microsoft Defender para punto de conexión línea base:
  (Para usar esta línea de base, su entorno debe cumplir con los requisitos previos para usar Microsoft Defender para punto de conexión).

  • Versión 6
  • Versión 5
  • Versión 4
  • Versión 3

  Nota:

  La base de referencia de seguridad de Microsoft Defender para punto de conexión se ha optimizado para dispositivos físicos y actualmente no se recomienda su uso en máquinas virtuales (VM) ni puntos de conexión de VDI. Ciertas configuraciones de base de referencia pueden afectar a las sesiones interactivas remotas en entornos virtualizados. Para más información, consulte el artículo sobre el aumento del cumplimiento de la línea de base de seguridad de Microsoft Defender for Endpoint en la documentación de Windows.

• Aplicaciones Microsoft 365 para empresas:

  • Versión 2306 (línea base de Office)Publicada en noviembre de 2023
  • Mayo de 2023 (línea base de Office)

• Línea base de Microsoft Edge:

  • Mayo de 2023 (Microsoft Edge, versión 112 y posteriores)
  • Septiembre de 2020 (Microsoft Edge, versión 85 y posteriores)
  • Abril de 2020 (Microsoft Edge, versión 80 y posteriores)
  • Versión preliminar: octubre de 2019 (Microsoft Edge, versión 77 y posteriores)

• Windows 365 línea base de seguridad:

  • Octubre de 2021

Cuando una nueva versión de un perfil está disponible, la configuración de los perfiles basada en las versiones anteriores se convierte en de solo lectura. Puede seguir usando esos perfiles anteriores. También puede editar los nombres de perfil, la descripción y las asignaciones, pero no admiten un cambio en su configuración de configuración y no se pueden crear perfiles nuevos en función de las versiones anteriores.

Cuando esté listo para usar la versión de línea base más reciente, puede crear nuevos perfiles o actualizar los perfiles existentes a la nueva versión. Vea Cambio de la versión de línea de base de un perfil en el artículo Administración de perfiles de línea de base de seguridad.

A cerca de las instancias y versiones de línea de base

Cada nueva instancia de versión de una línea de base puede agregar o quitar la configuración, o aplicar otros cambios. Por ejemplo, a medida que la nueva configuración de Windows esté disponible con nuevas versiones de Windows 10/11, la línea base de seguridad para Windows 10 y versiones posteriores podría recibir una nueva instancia de versión que incluya la configuración más reciente.

Puede ver la lista de líneas base disponibles en el centro de administración de Microsoft Intune, enLíneas base de seguridad> de punto de conexión. La lista incluye:

• Nombre de cada plantilla de línea base de seguridad.
• Cuántos perfiles tiene en los que se use ese tipo de línea de base.
• Cuántas instancias independientes (versiones) del tipo base hay disponibles.
• Fecha de Última publicación que identifica cuándo estuvo disponible la versión más reciente de la plantilla de línea base.

Para ver más información sobre las versiones de línea base que usa, seleccione un tipo de línea base, como Línea base de seguridad para Windows 10 y versiones posteriores, para abrir su panel Perfiles y, a continuación, seleccione Versiones. Intune muestra detalles sobre las versiones de esa línea de base que se encuentran en uso por parte de sus perfiles. Los detalles incluyen la versión de línea base más reciente y actual. Puede seleccionar una sola versión para ver más detalles sobre los perfiles en los que se usa.

Puede optar por cambiar la versión de una línea de base que está en uso con un perfil determinado. Al cambiar de versión, no es necesario crear un nuevo perfil de línea base para aprovechar las versiones actualizadas, sino que se puede seleccionar un perfil de línea base y usar la opción integrada para cambiar la versión de la instancia de ese perfil por una nueva.

Evitación de conflictos

Puede usar una o varias de las líneas de base disponibles en su entorno de Intune al mismo tiempo. También puede usar varias instancias de las mismas líneas de base de seguridad con diversas personalizaciones.

Al usar varias líneas de base de seguridad, revise la configuración en cada una para identificar los casos en los que diferentes configuraciones de líneas de base presentan valores en conflicto del mismo ajuste. Dado que puede implementar líneas de base de seguridad diseñadas para diversas intenciones e implementar varias instancias de la misma línea de base que incluye la configuración personalizada, es posible que cree conflictos de configuración para dispositivos que deben investigarse y resolverse.

Además, las líneas de base de seguridad suelen administrar la misma configuración que se puede establecer con perfiles de configuración de dispositivos u otros tipos de directivas. Por lo tanto, tenga en cuenta y tenga en cuenta las demás directivas y perfiles para la configuración al intentar evitar o resolver conflictos.

Para obtener información que pueda ayudarle a identificar y resolver conflictos, consulte:

• Solucionar problemas de directivas y perfiles en Intune
• Supervisión de las líneas de base de seguridad

Preguntas y respuestas

¿Por qué esta configuración?

El grupo de seguridad de Microsoft acumula muchos años de experiencia trabajando directamente con los desarrolladores de Windows y la comunidad de seguridad para crear estas recomendaciones. Las configuraciones de esta línea de base se consideran las opciones de configuración relacionadas con la seguridad más pertinentes. En cada nueva compilación de Windows, el equipo ajusta sus recomendaciones basándose en las características lanzadas recientemente.

¿Hay alguna diferencia en las recomendaciones para las líneas de base de seguridad de Windows para la directiva de grupo respecto a Intune?

El mismo equipo de seguridad de Microsoft eligió y organizó la configuración para cada línea de base. Intune incluye todas las configuración pertinentes en la línea de base de seguridad de Intune. Hay algunas configuraciones en la línea de base de la directiva de grupo que son específicas de un controlador de dominio local. Estas opciones se excluyen de las recomendaciones de Intune. Todas las demás configuraciones son las mismas.

¿Son compatibles las líneas de base de seguridad CIS o NIST de Intune?

Estrictamente hablando, no. El equipo de seguridad de Microsoft consulta a las organizaciones, como CIS, para recopilar sus recomendaciones. Sin embargo, no hay una asignación uno a uno entre "compatible con CIS" y las líneas base de Microsoft.

¿Qué certificaciones tienen las líneas base de seguridad de Microsoft?

Microsoft continúa publicando líneas de base de seguridad para directivas de grupo (GPO) y el Security Compliance Toolkit, como ha hecho durante muchos años. Muchas organizaciones usan estas líneas de base. Las recomendaciones que figuran en estas líneas de base provienen del compromiso del equipo de seguridad de Microsoft con clientes empresariales y agencias externas, incluido el Departamento de Defensa (DoD), el Instituto Nacional de Estándares y Tecnología (NIST), etc. Compartimos nuestras recomendaciones y líneas de base con estas organizaciones. Estas organizaciones también tienen sus propias recomendaciones que reflejan fielmente las recomendaciones de Microsoft. Dado que la administración de dispositivos móviles (MDM) continúa creciendo en la nube, Microsoft ha creado recomendaciones de MDM equivalentes de estas líneas de base de directivas de grupo. Muchas de estas líneas base están integradas en Microsoft Intune e incluyen informes de cumplimiento de usuarios, grupos y dispositivos que siguen (o no siguen) la línea base.

Muchos clientes usan las recomendaciones de línea base de Intune como punto de partida y, a continuación, las personalizan para satisfacer sus demandas de TI y seguridad. La plantilla de línea base Windows 10 y posterior de Microsoft fue la primera línea base en publicarse. Esta línea de base se construye como una infraestructura genérica que permite a los clientes eventualmente importar otras líneas de base de seguridad basadas en CIS, NIST y otros estándares.

Migrar de directivas de grupo de Active Directory local a una solución de nube pura mediante Microsoft Entra ID con Microsoft Intune es un recorrido. Como ayuda, use las diversas herramientas del kit de herramientas para el cumplimiento de la seguridad para identificar las opciones basadas en la nube de las líneas base de seguridad que pueden reemplazar las configuraciones de GPO locales.

¿Dónde puedo encontrar detalles sobre cómo usar o configurar los valores que están disponibles en una línea base de seguridad?

Cada línea base de seguridad administra las configuraciones de dispositivo aplicando las opciones que se encuentran en un proveedor de servicios de configuración en un dispositivo. Por ejemplo, la configuración que se aplica a Microsoft Defender se toma de Microsoft Defender CSP. Dado que Intune es un vehículo de configuración para esas opciones y no determina su funcionalidad o ámbito, la documentación de CSP es propietaria del contenido para configurar cada opción.

Dentro de la interfaz de usuario de la directiva de base de referencia de seguridad de Intune, Intune proporciona texto de información que se toma del CSP de origen y proporciona un vínculo a ese CSP. En algunos casos, el CSP podría formar parte de un conjunto de contenido más grande que incluye instrucciones proactivas que permanecen fuera del ámbito de Intune para incluir o duplicar en nuestro contenido. Sin embargo, Intune documenta la lista de valores de cada versión de línea base de seguridad y su configuración predeterminada.

Siguientes pasos

• Creación de perfiles de línea de base de seguridad

• Comprobación del estado y supervisión de la base de referencia y el perfil

• Consulte la configuración en las versiones más recientes de las líneas de base disponibles:

  • Windows 10 y versiones posteriores: línea base de seguridad de MDM
  • Línea base de Microsoft Defender para punto de conexión
  • Aplicaciones Microsoft 365 para línea base de seguridad empresarial (Office)
  • Línea base de seguridad de Microsoft Edge
  • Línea base de seguridad de Windows 365