Emelt szintű hozzáférés üzembe helyezése

Ez a dokumentum végigvezeti a kiemelt hozzáférési stratégia technikai összetevőinek implementálásán, beleértve a biztonságos fiókokat, munkaállomásokat és eszközöket, valamint az interfészek biztonságát (feltételes hozzáférési szabályzattal).

Biztonsági szintű profilok összegzése

Ez az útmutató mindhárom biztonsági szinthez beállítja az összes profilt, és a privileged access biztonsági szintekre vonatkozó útmutatás alapján hozzá kell rendelnie a szervezeti szerepköröket. A Microsoft azt javasolja, hogy ezeket a gyors modernizációs tervben (RAMP) leírt sorrendben konfigurálja.

Licenckövetelmények

Az útmutatóban ismertetett fogalmak feltételezik, hogy Microsoft 365 Nagyvállalati verzió E5 vagy azzal egyenértékű termékváltozata van. Az útmutatóban szereplő javaslatok némelyike alacsonyabb termékváltozatokkal valósítható meg. További információ: Microsoft 365 Nagyvállalati verzió licencelés.

A licencek kiépítésének automatizálásához fontolja meg a csoportalapú licencelést a felhasználók számára.

Az Azure Active Directory konfigurálása

Az Azure Active Directory (Azure AD) felügyeli a rendszergazdai munkaállomások felhasználóit, csoportjait és eszközeit. Identitásszolgáltatások és szolgáltatások engedélyezése rendszergazdai fiókkal.

A biztonságos munkaállomás-rendszergazdai fiók létrehozásakor elérhetővé teszi a fiókot az aktuális munkaállomáson. Győződjön meg arról, hogy egy ismert biztonságos eszközt használ a kezdeti és az összes globális konfiguráció végrehajtásához. Az első alkalommal tapasztalt támadások kockázatának csökkentése érdekében fontolja meg az útmutató követését a kártevőfertőzések megelőzéséhez.

Többtényezős hitelesítés megkövetelése, legalábbis a rendszergazdák számára. Lásd : Feltételes hozzáférés: MFA megkövetelése a rendszergazdák számára a megvalósítási útmutatóhoz.

Azure AD-felhasználók és -csoportok

  1. A Azure Portal keresse meg az Azure Active Directory>Új felhasználója> elemet.

  2. Hozza létre az eszközfelhasználót a felhasználó létrehozása oktatóanyag lépéseit követve.

  3. Adja meg a következőt:

    • Név – Biztonságos munkaállomás-rendszergazda
    • Felhasználónév - secure-ws-user@contoso.com
    • Címtárszerepkör - Korlátozott rendszergazda, és válassza a Intune Rendszergazda szerepkört.
    • Használati hely – Például Egyesült Királyság, vagy a kívánt hely alkotja a listát.
  4. Válassza a Létrehozás lehetőséget.

Hozza létre az eszközadminisztrátor felhasználóját.

  1. Adja meg a következőt:

    • Név – Biztonságos munkaállomás-rendszergazda
    • Felhasználónév - secure-ws-admin@contoso.com
    • Címtárszerepkör - Korlátozott rendszergazda, és válassza a Intune Rendszergazda szerepkört.
    • Használati hely – Például Egyesült Királyság, vagy a kívánt hely alkotja a listát.
  2. Válassza a Létrehozás lehetőséget.

Ezután négy csoportot hoz létre: Biztonságos munkaállomás-felhasználók, Biztonságos munkaállomás-rendszergazdák, Vészhelyzeti törésüveg és Biztonságos munkaállomás-eszközök.

A Azure Portal keresse meg az Azure Active Directory>Groups>Új csoportot.

  1. A munkaállomás felhasználói csoport esetében érdemes lehet csoportalapú licencelést konfigurálni a licencek felhasználók számára történő kiépítésének automatizálásához.

  2. A munkaállomás felhasználói csoportjához írja be a következőt:

    • Csoport típusa – Biztonság
    • Csoport neve – Biztonságos munkaállomás-felhasználók
    • Tagság típusa – Hozzárendelve
  3. Adja hozzá a biztonságos munkaállomás felhasználóját: secure-ws-user@contoso.com

  4. Hozzáadhat minden más felhasználót, aki biztonságos munkaállomásokat fog használni.

  5. Válassza a Létrehozás lehetőséget.

  6. A Privileged Workstation Admins csoporthoz írja be a következőt:

    • Csoport típusa – Biztonság
    • Csoportnév – Biztonságos munkaállomás-rendszergazdák
    • Tagság típusa – Hozzárendelve
  7. Adja hozzá a biztonságos munkaállomás felhasználóját: secure-ws-admin@contoso.com

  8. Hozzáadhat minden olyan felhasználót, aki biztonságos munkaállomásokat fog kezelni.

  9. Válassza a Létrehozás lehetőséget.

  10. A Vészhelyzeti törésüveg csoporthoz írja be a következőt:

    • Csoport típusa – Biztonság
    • Csoport neve – Vészhelyzeti törésüveg
    • Tagság típusa – Hozzárendelve
  11. Válassza a Létrehozás lehetőséget.

  12. Adjon hozzá segélyhívási fiókokat ehhez a csoporthoz.

  13. A munkaállomás-eszközök csoportjához írja be a következőt:

    • Csoport típusa – Biztonság
    • Csoport neve – Biztonságos munkaállomások
    • Tagság típusa – Dinamikus eszköz
    • Dinamikus tagsági szabályok - (device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")
  14. Válassza a Létrehozás lehetőséget.

Azure AD eszközkonfiguráció

Annak megadása, hogy ki csatlakoztathat eszközöket a Azure AD

Konfigurálja az eszközbeállítást az Active Directoryban, hogy a felügyeleti biztonsági csoport csatlakoztathassa az eszközöket a tartományához. A beállítás konfigurálása a Azure Portal:

  1. Nyissa meg az Azure Active Directory>Eszközök>Eszközbeállítások panelt.
  2. Válassza a Felhasználók csoportban aFelhasználók eszközillesztés Azure AD lehetőséget, majd válassza a "Munkaállomás-felhasználók védelme" csoportot.

Helyi rendszergazdai jogosultságok eltávolítása

Ehhez a módszerhez a VIRTUÁLIS IP-cím, a DevOps és a Privileged munkaállomás felhasználóinak nem kell rendszergazdai jogosultságokkal rendelkezniük a gépükön. A beállítás konfigurálása a Azure Portal:

  1. Nyissa meg az Azure Active Directory>Eszközök>Eszközbeállítások panelt.
  2. Válassza a Nincs lehetőségeta További helyi rendszergazdák csoportban Azure AD csatlakoztatott eszközökön.

A helyi rendszergazdák csoport tagjainak kezelésével kapcsolatos részletekért tekintse meg a helyi rendszergazdák csoport kezelését Azure AD csatlakoztatott eszközökön.

Többtényezős hitelesítés megkövetelése az eszközök csatlakoztatásához

Az eszközök Azure AD való csatlakoztatásának további megerősítése:

  1. Nyissa meg az Azure Active Directory>Eszközök>Eszközbeállítások panelt.
  2. Az eszközök csatlakoztatásához válassza az Igen lehetőséget a Multi-Factor Auth megkövetelése területen.
  3. Válassza a Mentés lehetőséget.

Mobileszköz-kezelés konfigurálása

Az Azure Portalon:

  1. Keresse meg az Azure Active Directory>Mobility (MDM és MAM)>Microsoft Intune.
  2. Módosítsa az MDM felhasználói hatókörének beállítását a Mind értékre.
  3. Válassza a Mentés lehetőséget.

Ezekkel a lépésekkel bármilyen eszközt felügyelhet a Microsoft Endpoint Manager. További információ: Intune rövid útmutató: Automatikus regisztráció beállítása Windows 10 eszközökhöz. A Intune konfigurációs és megfelelőségi szabályzatokat egy későbbi lépésben hozhatja létre.

Azure AD-beli feltételes hozzáférés

Azure AD feltételes hozzáférés segíthet az emelt szintű rendszergazdai feladatok megfelelő eszközökre való korlátozásában. A Biztonságos munkaállomás felhasználói csoport előre meghatározott tagjainak többtényezős hitelesítésre van szükség a felhőalapú alkalmazásokba való bejelentkezéskor. Az ajánlott eljárás a vészhelyzeti hozzáférési fiókok kizárása a szabályzatból. További információ: Segélyhívási fiókok kezelése Azure AD.

A feltételes hozzáférés csak a biztonságos munkaállomások hozzáférését teszi lehetővé Azure Portal

A szervezeteknek meg kell akadályozni, hogy a kiemelt felhasználók nem emelt hozzáférési szintű eszközökről csatlakozhassanak a felhőfelügyeleti felületekhez, portálokhoz és PowerShellhez.

Ha meg szeretné akadályozni, hogy jogosulatlan eszközök hozzáférjenek a felhőfelügyeleti felületekhez, kövesse a Feltételes hozzáférés: Eszközök szűrői (előzetes verzió) című cikkben található útmutatást. Fontos, hogy a szolgáltatás üzembe helyezésekor a vészhozzáférési fiók funkcióit is használnia kell. Ezeket a fiókokat csak szélsőséges esetekhez és szabályzattal kezelt fiókokhoz szabad használni.

Megjegyzés

Létre kell hoznia egy felhasználói csoportot, és be kell vonnia a vészhelyzeti felhasználót, aki megkerülheti a feltételes hozzáférési szabályzatot. Példánkban egy vészhelyzeti törésüveg nevű biztonsági csoportunk van

Ez a szabályzatkészlet biztosítja, hogy a rendszergazdáknak olyan eszközt kell használniuk, amely képes egy adott eszközattribútum-érték bemutatására, az MFA megfelelőségének biztosítására, és az eszközt a Microsoft Endpoint Manager és Végponthoz készült Microsoft Defender megfelelőként jelöli meg.

A szervezeteknek érdemes megfontolniuk az örökölt hitelesítési protokollok letiltását is a környezetükben. Ezt a feladatot többféleképpen is elvégezhet. Az örökölt hitelesítési protokollok blokkolásáról további információt a Következő útmutató: Az örökölt hitelesítés letiltása feltételes hozzáféréssel Azure AD.

Microsoft Intune konfiguráció

Eszközregisztráció megtagadása BYOD

A mintában azt javasoljuk, hogy a BYOD-eszközök ne legyenek engedélyezve. A Intune BYOD-regisztráció használata lehetővé teszi a felhasználók számára a kevésbé vagy nem megbízható eszközök regisztrálását. Fontos azonban megjegyezni, hogy azokban a szervezetekben, amelyek korlátozott költségvetéssel rendelkeznek az új eszközök vásárlására, meglévő hardverflotta használatára, vagy nem Windows rendszerű eszközökre kíváncsiak, fontolóra vehetik a BYOD funkciót Intune a vállalati profil üzembe helyezéséhez.

Az alábbi útmutató konfigurálja a regisztrációt olyan üzemelő példányokhoz, amelyek megtagadják a BYOD-hozzáférést.

A BYOD-t megakadályozó regisztrációs korlátozások beállítása

  1. A Microsoft Endpoint Manager Felügyeleti központban válassza > az Eszközök>regisztrálási korlátozásai> lehetőséget, és válassza ki az alapértelmezett korlátozást Minden felhasználó
  2. Válassza a Tulajdonságok> platform beállításainak szerkesztése lehetőséget
  3. A Windows MDM kivételével válassza a Blokkolás minden típushoz lehetőséget.
  4. Válassza a Letiltás lehetőséget az összes személyes tulajdonú elemnél.

AutoPilot üzembehelyezési profil létrehozása

Eszközcsoport létrehozása után létre kell hoznia egy üzembe helyezési profilt az Autopilot-eszközök konfigurálásához.

  1. A Microsoft Endpoint Manager Felügyeleti központban válassza az Eszközregisztráció>Windows-regisztráció üzembehelyezési>profilok>– Profil létrehozása lehetőséget.

  2. Adja meg a következőt:

    • Név – Biztonságos munkaállomás-telepítési profil.
    • Leírás – Biztonságos munkaállomások üzembe helyezése.
    • Állítsa a Minden megcélzott eszköz átalakítása az Autopilotra beállítást Igen értékre. Ez a beállítás biztosítja, hogy a listában lévő összes eszköz regisztrálva legyen az Autopilot üzembehelyezési szolgáltatásban. A regisztráció feldolgozása 48 órát is igénybe vehet.
  3. Kattintson a Tovább gombra.

    • Üzembe helyezési mód esetén válassza az Öntelepítés (előzetes verzió) lehetőséget. Az ezzel a profillal rendelkező eszközök az eszközt regisztráló felhasználóhoz vannak társítva. Az üzembe helyezés során tanácsos a Self-Deployment mód funkcióit használni, hogy tartalmazzák a következőket:
      • Regisztrálja az eszközt Intune Azure AD automatikus MDM-regisztrációban, és csak akkor engedélyezi az eszköz elérését, ha minden szabályzat, alkalmazás, tanúsítvány és hálózati profil ki nem van építve az eszközön.
      • Az eszköz regisztrálásához felhasználói hitelesítő adatokra van szükség. Fontos megjegyezni, hogy az eszközök öntelepítési módban történő üzembe helyezése lehetővé teszi laptopok megosztott modellben való üzembe helyezését. Addig nem történik felhasználó-hozzárendelés, amíg az eszközt első alkalommal nem rendeli hozzá egy felhasználóhoz. Ennek eredményeképpen az olyan felhasználói házirendek, mint a BitLocker, nem lesznek engedélyezve, amíg a felhasználó-hozzárendelés be nem fejeződik. A biztonságos eszközökre való bejelentkezéssel kapcsolatos további információkért tekintse meg a kiválasztott profilokat.
    • Válassza ki a nyelvet (régiót), a felhasználói fiók típusának szabványát.
  4. Kattintson a Tovább gombra.

    • Ha előre konfigurált egy hatókörcímkét, válasszon egy hatókörcímkét.
  5. Kattintson a Tovább gombra.

  6. Válassza aKijelölt csoportokhoz>rendelthozzárendelések> lehetőséget. A Felvenni kívánt csoportok kiválasztása területen válassza a Biztonságos munkaállomások lehetőséget.

  7. Kattintson a Tovább gombra.

  8. Válassza a Létrehozás gombot a profil létrehozásához. Az AutoPilot üzembehelyezési profil most már hozzárendelhető az eszközökhöz.

Az Autopilot eszközregisztrációja az eszköz típusa és szerepköre alapján más felhasználói élményt nyújt. Az üzembe helyezési példában egy olyan modellt mutatunk be, amelyben a biztonságos eszközök tömegesen vannak üzembe helyezve, és megoszthatóak, de amikor első alkalommal használják, az eszköz hozzá van rendelve egy felhasználóhoz. További információ: Intune Autopilot-eszközök regisztrálása.

Regisztrálás állapotának oldala

A regisztrációs állapotlap (ESP) megjeleníti a kiépítési folyamatot egy új eszköz regisztrálása után. Annak érdekében, hogy az eszközök használat előtt teljes mértékben konfigurálva legyenek, Intune eszközhasználat letiltását teszi lehetővé, amíg az összes alkalmazás és profil telepítve nem lesz.

Regisztrációs állapotlapprofil létrehozása és hozzárendelése

  1. A Microsoft Endpoint Manager Felügyeleti központban válassza az Eszközök>Windows-regisztráció>>regisztrációs állapotlapJánakProfil létrehozása parancsát>.
  2. Adjon meg egy nevet és egy leírást.
  3. Válassza a Létrehozás lehetőséget.
  4. A Regisztráció állapota oldal listájában válassza ki az új profilt.
  5. Állítsa az alkalmazásprofil telepítési folyamatának megjelenítéseigen értékre.
  6. Állítsa be a Letiltás eszközhasználatot, amíg az összes alkalmazás és profiligen értékűre nem lesz telepítve.
  7. Válassza a Hozzárendelések>Csoport kiválasztása csoport>>kiválasztásaSecure Workstation Mentés gombot>.
  8. Válassza a Beállítások lehetőséget> , és válassza ki a profil >mentésére alkalmazni kívánt beállításokat.

Windows Update konfigurálása

A Windows 10 naprakészen tartása az egyik legfontosabb lehetőség. A Windows biztonságos állapotban tartásához egy frissítési kört kell üzembe helyeznie, amely felügyeli a frissítések munkaállomásokra való alkalmazásának ütemét.

Ez az útmutató azt javasolja, hogy hozzon létre egy új frissítési kört, és módosítsa az alábbi alapértelmezett beállításokat:

  1. A Microsoft Endpoint Manager Felügyeleti központban válassza az Eszközök>szoftverfrissítései>Windows 10 frissítési körök lehetőséget.

  2. Adja meg a következőt:

    • Név – Az Azure által felügyelt munkaállomás frissítései
    • Karbantartási csatorna – Féléves csatorna
    • Minőségi frissítés halasztás (nap) – 3
    • Funkciófrissítés halasztási időszaka (nap) – 3
    • Automatikus frissítési viselkedés – Automatikus telepítés és újraindítás végfelhasználói vezérlés nélkül
    • Windows-frissítések szüneteltetésének letiltása a felhasználó számára – Letiltás
    • A felhasználó jóváhagyásának megkövetelése a munkaidőn kívül történő újraindításhoz – Kötelező
    • A felhasználó újraindításának engedélyezése (aktív újraindítás) – Kötelező
    • A felhasználók aktív újraindításra váltása automatikus újraindítás után (nap) – 3
    • Értesítés az aktív újraindításról (nap) – 3
    • Függőben lévő újraindítások határidejének beállítása (nap) – 3
  3. Válassza a Létrehozás lehetőséget.

  4. A Hozzárendelések lapon adja hozzá a Biztonságos munkaállomások csoportot.

A Windows Update szabályzatokkal kapcsolatos további információkért lásd a Házirend csp – Frissítés című témakört.

Végponthoz készült Microsoft Defender Intune integráció

Végponthoz készült Microsoft Defender és Microsoft Intune együttműködve segítenek megelőzni a biztonsági incidenseket. A biztonsági incidensek hatását is korlátozhatják. Az ATP-képességek valós idejű fenyegetésészlelést, valamint a végponti eszközök kiterjedt naplózását és naplózását teszik lehetővé.

Az endpoint és a Microsoft Endpoint Manager Windows Defender integrációjának konfigurálása:

  1. A Microsoft Endpoint Manager Felügyeleti központban válassza az Endpoint Security>Microsoft Defender ATP lehetőséget.

  2. A Windows Defender ATP konfigurálása területen, az 1. lépésben válassza a Csatlakozás Windows Defender ATP-hez Microsoft Intune lehetőséget a Windows Defender Security Centerben.

  3. A Windows Defender biztonsági központban:

    1. Válassza a Beállítások>speciális funkciói lehetőséget.
    2. Microsoft Intune kapcsolathoz válassza a Be lehetőséget.
    3. Válassza a Beállítások mentése lehetőséget.
  4. Miután létrejött a kapcsolat, térjen vissza a Microsoft Endpoint Manager, és válassza a felül található Frissítés lehetőséget.

  5. Állítsa a Windows-eszközök csatlakoztatása (20H2) 19042.450-es vagy újabb verzióját az ATP bekapcsoltra Windows Defender.

  6. Válassza a Mentés lehetőséget.

Az eszközkonfigurációs profil létrehozása Windows-eszközök előkészítéséhez

  1. Jelentkezzen be a Microsoft Endpoint Manager Felügyeleti központba, és válassza a Végpontbiztonsági>végpont észlelése és válasz>létrehozása profilt.

  2. Platform esetén válassza a Windows 10 és az újabb lehetőséget.

  3. Profiltípus esetén válassza a Végpontészlelés és -válasz lehetőséget, majd válassza a Létrehozás lehetőséget.

  4. Az Alapvető beállítások lapon adjon meg egy PAW - Defender for Endpoint értéket a Név mezőben és a leírást (nem kötelező), majd válassza a Tovább gombot.

  5. A Konfigurációs beállítások lapon konfigurálja a következő beállítást a Végpontészlelés és -válasz területen:

  6. Válassza a Tovább gombot a Hatókörcímkék lap megnyitásához. A hatókörcímkék megadása nem kötelező. A folytatáshoz válassza a Tovább gombot.

  7. A Hozzárendelések lapon válassza a Biztonságos munkaállomás csoportot. További információ a profilok hozzárendeléséről: Felhasználói és eszközprofilok hozzárendelése.

    Kattintson a Tovább gombra.

  8. Amikor elkészült, a Véleményezés + létrehozás lapon válassza a Létrehozás lehetőséget. Az új profil akkor jelenik meg a listában, amikor kiválasztja a létrehozott profil házirendtípusát. OK, majd a Létrehozás parancsot a módosítások mentéséhez, amely létrehozza a profilt.

További információ: Windows Defender Advanced Threat Protection.

A munkaállomásprofilok megkeményítésének befejezése

A megoldás keményítésének sikeres befejezéséhez töltse le és hajtsa végre a megfelelő szkriptet. Keresse meg a kívánt profilszinthez tartozó letöltési hivatkozásokat:

Profil Letöltési hely Fájlnév
Enterprise https://aka.ms/securedworkstationgit Enterprise-Workstation-Windows10-(20H2).ps1
Specializált https://aka.ms/securedworkstationgit Specializált – Windows10-(20H2).ps1
Rendszerjogosultságú https://aka.ms/securedworkstationgit Privileged-Windows10-(20H2).ps1

Megjegyzés

A rendszergazdai jogosultságok és hozzáférések eltávolítását, valamint az alkalmazásvégrehajtás vezérlését (AppLocker) az üzembe helyezett szabályzatprofilok kezelik.

A szkript sikeres végrehajtása után frissítheti a profilokat és szabályzatokat Intune. A szkriptek szabályzatokat és profilokat hoznak létre Önnek, de a szabályzatokat hozzá kell rendelnie a Biztonságos munkaállomások eszközcsoporthoz.

  • Itt találja a szkriptek által létrehozott Intune eszközkonfigurációs profilokat: Azure Portal>Microsoft Intune>Konfigurációs>profilok kiürítése.
  • Itt találja a szkriptek által létrehozott Intune eszközmegfelelési szabályzatokat: Azure Portal>Microsoft Intune>A megfelelőségi>szabályzatok kizárása.

Futtassa a Intune DeviceConfiguration GitHub-adattárból származó adatexportálási szkriptet DeviceConfiguration_Export.ps1 az összes jelenlegi Intune profil összehasonlításához és kiértékeléséhez.

Szabályok beállítása a Microsoft Defender tűzfal Endpoint Protection konfigurációs profiljában

Windows Defender tűzfalszabályzat-beállításokat az Endpoint Protection konfigurációs profilja tartalmazza. Az alábbi táblázatban ismertetett szabályzat viselkedése.

Profil Bejövő szabályok Kimenő szabályok Egyesítési viselkedés
Enterprise Letiltás Engedélyezés Engedélyezés
Specializált Letiltás Engedélyezés Letiltás
Rendszerjogosultságú Letiltás Letiltás Letiltás

Vállalati: Ez a konfiguráció a legmegbékélőbb, mivel tükrözi a Windows-telepítés alapértelmezett viselkedését. Minden bejövő forgalom le van tiltva, kivéve a helyi házirendszabályokban explicit módon meghatározott szabályokat, mivel a helyi szabályok egyesítése engedélyezett. Minden kimenő forgalom engedélyezett.

Specializált: Ez a konfiguráció szigorúbb, mivel figyelmen kívül hagyja az eszközön lévő összes helyileg meghatározott szabályt. Minden bejövő forgalom le van tiltva, beleértve a helyileg meghatározott szabályokat is. A szabályzat két szabályt tartalmaz, amelyek lehetővé teszik, hogy a kézbesítésoptimalizálás a tervezett módon működjön. Minden kimenő forgalom engedélyezett.

Emelt szintű: Minden bejövő forgalom le van tiltva, beleértve a helyileg meghatározott szabályokat is. A szabályzat két szabályt tartalmaz, amelyek lehetővé teszik, hogy a kézbesítésoptimalizálás a tervezett módon működjön. A kimenő forgalom a DNS- , DHCP-, NTP-, NSCI-, HTTP- és HTTPS-forgalmat engedélyező explicit szabályoktól eltekintve is le van tiltva. Ez a konfiguráció nem csupán csökkenti az eszköz által a hálózatra megjelenített támadási felületet, hanem korlátozza az eszköz által létesíthető kimenő kapcsolatokat csak a felhőszolgáltatások felügyeletéhez szükséges kapcsolatokra.

Szabály Irány Művelet Alkalmazás/szolgáltatás Protokoll Helyi portok Távoli portok
World Wide Web Services (HTTP Traffic-out) Kimenő Engedélyezés Mind TCP Minden port 80
World Wide Web Services (HTTPS Traffic-out) Kimenő Engedélyezés Mind TCP Minden port 443
Core Networking – Dynamic Host Configuration Protocol for IPv6 (DHCPV6-Out) Kimenő Engedélyezés %SystemRoot%\system32\svchost.exe TCP 546 547
Core Networking – Dynamic Host Configuration Protocol for IPv6 (DHCPV6-Out) Kimenő Engedélyezés Dhcp TCP 546 547
Alapvető hálózatkezelés – Dinamikus gazdakonfigurációs protokoll IPv6-hoz (DHCP-out) Kimenő Engedélyezés %SystemRoot%\system32\svchost.exe TCP 68 67
Alapvető hálózatkezelés – Dynamic Host Configuration Protocol for IPv6 (DHCP-out) Kimenő Engedélyezés Dhcp TCP 68 67
Alapvető hálózatkezelés – DNS (UDP-out) Kimenő Engedélyezés %SystemRoot%\system32\svchost.exe UDP Minden port 53
Alapvető hálózatkezelés – DNS (UDP-out) Kimenő Engedélyezés Dnscache UDP Minden port 53
Alapvető hálózatkezelés – DNS (TCP-out) Kimenő Engedélyezés %SystemRoot%\system32\svchost.exe TCP Minden port 53
Alapvető hálózatkezelés – DNS (TCP-out) Kimenő Engedélyezés Dnscache TCP Minden port 53
NSCI-mintavétel (TCP-out) Kimenő Engedélyezés %SystemRoot%\system32\svchost.exe TCP Minden port 80
NSCI-mintavétel – DNS (TCP-out) Kimenő Engedélyezés NlaSvc TCP Minden port 80
Windows-idő (UDP-out) Kimenő Engedélyezés %SystemRoot%\system32\svchost.exe TCP Minden port 80
Windows időminta – DNS (UDP-out) Kimenő Engedélyezés W32Time UDP Minden port 123
Kézbesítésoptimalizálás (TCP-In) Bejövő Engedélyezés %SystemRoot%\system32\svchost.exe TCP 7680 Minden port
Kézbesítésoptimalizálás (TCP-In) Bejövő Engedélyezés DoSvc TCP 7680 Minden port
Kézbesítésoptimalizálás (UDP-in) Bejövő Engedélyezés %SystemRoot%\system32\svchost.exe UDP 7680 Minden port
Kézbesítésoptimalizálás (UDP-in) Bejövő Engedélyezés DoSvc UDP 7680 Minden port

Megjegyzés

A Microsoft Defender tűzfal konfigurációjában minden szabályhoz két szabály van definiálva. A bejövő és kimenő szabályok Windows-szolgáltatásokra való korlátozásához( például a DNS-ügyfélhez, a szolgáltatásnévhez, a DNSCache-hez és a végrehajtható elérési úthoz C:\Windows\System32\svchost.exe) külön szabályként kell definiálni, nem pedig egyetlen, Csoportházirend használatával lehetséges szabályként.

Az engedélyezett és a letiltott szolgáltatásokhoz szükséges további módosításokat is végezhet a bejövő és a kimenő szabályok kezelésében. További információ: Tűzfalkonfigurációs szolgáltatás.

URL-zárolási proxy

A korlátozó URL-forgalomkezelés a következőket foglalja magában:

  • Tiltsa le az összes kimenő forgalmat, kivéve a kiválasztott Azure- és Microsoft-szolgáltatásokat, köztük az Azure Cloud Shell és az önkiszolgáló jelszóátállítás lehetőségét.
  • A Privileged profil korlátozza azokat a végpontokat az interneten, amelyekhez az eszköz a következő URL-zárolási proxykonfigurációval tud csatlakozni.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

A ProxyOverride listában felsorolt végpontok csak azokra a végpontokra korlátozódnak, amelyek az Azure- vagy Office 365 felügyeleti felületek Azure AD és eléréséhez szükséges hitelesítéshez szükségesek. Ha más felhőszolgáltatásokra is ki szeretne terjedni, adja hozzá a felügyeleti URL-címüket a listához. Ez a megközelítés úgy lett kialakítva, hogy korlátozza a szélesebb internethez való hozzáférést, hogy megvédje a kiemelt felhasználókat az internetes támadásoktól. Ha ez a megközelítés túl korlátozónak minősül, fontolja meg az alább ismertetett megközelítés használatát a kiemelt szerepkörhöz.

A Microsoft Cloud Application Security engedélyezése, a jóváhagyott URL-címekre korlátozott URL-címek listája (a legtöbb engedélyezése)

A szerepkörök üzembe helyezésénél ajánlott a nagyvállalati és a specializált üzemelő példányok esetében, ahol nem kívánatos minden webböngészés szigorú tiltása, hogy a felhőelérési biztonsági közvetítő (CASB) képességeinek , például Microsoft Defender for Cloud Apps a kockázatos és a megkérdőjelezhető webhelyekhez való hozzáférés letiltására legyenek használva. A megoldás egy egyszerű módszert alkalmaz a válogatott alkalmazások és webhelyek blokkolására. Ez a megoldás hasonló ahhoz, mint amikor hozzáférést kap a blokklistához olyan webhelyekről, mint például a Domain Block List (DBL)-t karbantartó Spamhaus-projekt: ez egy jó erőforrás, amelyet speciális szabálykészletként használhat a blokkolási webhelyek megvalósításához.

A megoldás a következőket biztosítja:

  • Láthatóság: az összes felhőszolgáltatás észlelése; minden egyes kockázati rangsor hozzárendelése; minden olyan felhasználó és külső alkalmazás azonosítása, amely képes bejelentkezni
  • Adatbiztonság: bizalmas adatok azonosítása és szabályozása (DLP); válasz a tartalom besorolási címkéire
  • Veszélyforrások elleni védelem: adaptív hozzáférés-vezérlés (AAC) biztosítása; felhasználói és entitási viselkedéselemzés (UEBA) biztosítása; kártevőirtó
  • Megfelelőség: jelentések és irányítópultok biztosítása a felhőszabályozás bemutatásához; az adatok tárolási és jogszabályi megfelelőségi követelményeinek való megfelelés érdekében tett erőfeszítések elősegítése

Engedélyezze a Defender for Cloud Appst, és csatlakozzon a Defender ATP-hez a kockázatos URL-címek elérésének letiltásához:

Helyi alkalmazások kezelése

A biztonságos munkaállomás valóban megerősített állapotba kerül a helyi alkalmazások eltávolításakor, beleértve a hatékonyságnövelő alkalmazásokat is. Itt hozzáadja a Visual Studio Code-ot, hogy engedélyezze a kapcsolatot a GitHubhoz készült Azure DevOpsszal a kódtárak kezeléséhez.

A Céges portál konfigurálása egyéni alkalmazásokhoz

A Céges portál Intune által felügyelt példánya igény szerinti hozzáférést biztosít további eszközökhöz, amelyeket leküldhet a biztonságos munkaállomások felhasználóinak.

Biztonságos módban az alkalmazástelepítés az Céges portál által biztosított felügyelt alkalmazásokra korlátozódik. A Céges portál telepítéséhez azonban hozzá kell férni a Microsoft Store-hoz. A biztonságos megoldásban hozzáadhatja és hozzárendelheti a Windows 10 Céges portál alkalmazást az Autopilot által kiépített eszközökhöz.

Megjegyzés

Győződjön meg arról, hogy a Céges portál alkalmazást az Autopilot-profil hozzárendeléséhez használt Biztonságos munkaállomás eszközcímkéje csoporthoz rendeli.

Alkalmazások üzembe helyezése Intune használatával

Bizonyos esetekben a biztonságos munkaállomáson olyan alkalmazásokra van szükség, mint a Microsoft Visual Studio Code. Az alábbi példa útmutatást nyújt a Microsoft Visual Studio Code biztonságos munkaállomás-felhasználók biztonsági csoport felhasználói számára történő telepítéséhez.

A Visual Studio Code EXE-csomagként érhető el, ezért a Microsoft Endpoint Manager a Microsoft Win32 Content Prep eszközzel történő üzembe helyezéshez formázott fájlként .intunewin kell csomagolni.

Töltse le a Microsoft Win32 Tartalom-előkészítési eszközt helyileg egy munkaállomásra, és másolja egy könyvtárba a csomagoláshoz, például: C:\Packages. Ezután hozzon létre egy forrás- és kimeneti könyvtárat a C:\Packages alatt.

A Microsoft Visual Studio Code csomagolása

  1. Töltse le a Windows 64 bites Visual Studio Code offline telepítőt.
  2. Másolja a letöltött Visual Studio Code exe fájlt a következőre: C:\Packages\Source
  3. Nyisson meg egy PowerShell-konzolt, és navigáljon a következőre: C:\Packages
  4. Írja be a következőt: .\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1
  5. Írja be Y az új kimeneti mappa létrehozását. Ebben a mappában jön létre a Visual Studio Code intunewin-fájlja.

VS Code feltöltése a Microsoft Endpoint Manager

  1. A Microsoft Endpoint Manager Felügyeleti központban tallózással keresse meg aWindows>Addalkalmazásokat>
  2. Az Alkalmazástípus kiválasztása területen válassza a Windows-alkalmazás (Win32) lehetőséget
  3. Kattintson a Select app package file (Alkalmazáscsomag kiválasztása) elemre, majd a Select a file (Fájl kiválasztása) elemre, majd válassza ki a VSCodeUserSetup-x64-1.51.1.intunewin következőt C:\Packages\Output\VSCodeUserSetup-x64-1.51.1. Kattintson az OK gombra
  4. Írja be Visual Studio Code 1.51.1 a Név mezőbe
  5. Adja meg a Visual Studio Code leírását a Leírás mezőben
  6. Írja be Microsoft Corporation a Közzétevő mezőbe
  7. Töltse le https://jsarray.com/images/page-icons/visual-studio-code.png és válassza ki az emblémához tartozó képet. Kattintson a Tovább gombra.
  8. Adja meg VSCodeSetup-x64-1.51.1.exe /SILENT a Telepítés parancsmezőt
  9. Adja meg C:\Program Files\Microsoft VS Code\unins000.exe az Eltávolítás parancsmezőt
  10. Válassza a Viselkedés meghatározása lehetőséget az Eszköz újraindítása viselkedésének legördülő listájában szereplő visszatérési kódok alapján. Kattintson a Tovább gombra.
  11. Válassza a 64 bites elemet az Operációs rendszer architektúrája jelölőnégyzet legördülő listájából
  12. Válassza Windows 10 1903-at az operációs rendszer minimális jelölőnégyzetének legördülő listájából. Kattintson a Tovább gombra.
  13. Válassza ki az észlelési szabályok manuális konfigurálását a Szabályok formátum legördülő listából
  14. Kattintson a Hozzáadás gombra, majd válassza a Szabálytípus legördülő lista Fájl űrlapja elemét
  15. Írja be C:\Program Files\Microsoft VS Code az Elérési út mezőbe
  16. Írja be unins000.exe a Fájl vagy mappa mezőbe
  17. Válassza a Fájl vagy mappa lehetőséget a legördülő listából, válassza az OK gombot, majd válassza a Tovább gombot
  18. Válassza a Tovább gombot, mert nincsenek függőségek a csomagban
  19. Válassza az Elérhető csoport hozzáadásaa regisztrált eszközökhöz lehetőséget, és adja hozzá a Kiemelt felhasználók csoportot. Kattintson a Kijelölés gombra a csoport megerősítéséhez. Kattintson a Tovább gombra.
  20. Kattintson a Létrehozás gombra

Egyéni alkalmazások és beállítások létrehozása a PowerShell használatával

Ajánlott néhány konfigurációs beállítás, köztük két Végponthoz készült Defender-javaslat, amelyeket a PowerShell használatával kell beállítani. Ezek a konfigurációs módosítások nem állíthatók be a Intune házirendjeiben.

A PowerShell használatával kiterjesztheti a gazdagépek felügyeleti képességeit is. A GitHubról származóPAW-DeviceConfig.ps1 szkript egy példaszkript, amely a következő beállításokat konfigurálja:

  • Az Internet Explorer eltávolítása
  • A PowerShell 2.0 eltávolítása
  • Eltávolítja a Windows Médialejátszó
  • Eltávolítja a Munkahelyi mappák ügyfelet
  • XPS-nyomtatás eltávolítása
  • Hibernálás engedélyezése és konfigurálása
  • A beállításjegyzék-javítás implementálása az AppLocker DLL-szabályok feldolgozásának engedélyezéséhez
  • Két olyan Végponthoz készült Microsoft Defender javaslat beállításjegyzék-beállításait valósítja meg, amelyek nem állíthatók be Endpoint Manager használatával.
    • A felhasználók megemelése a hálózat helyének beállításakor
    • Hálózati hitelesítő adatok mentésének megakadályozása
  • A Hálózati hely varázsló letiltása – megakadályozza, hogy a felhasználók privátként beállítják a hálózati helyet, és ezáltal növelve a Windows tűzfalon elérhető támadási felületet
  • Konfigurálja a Windows időt az NTP használatára, és automatikusra állítja az automatikus időszolgáltatást
  • Letölti és beállítja az asztali hátteret egy adott képre, hogy könnyen azonosítható legyen az eszköz használatra kész, emelt szintű munkaállomásként.

A GitHubPAW-DeviceConfig.ps1 szkriptje.

  1. Töltse le a szkriptet [PAW-DeviceConfig.ps1] egy helyi eszközre.
  2. Keresse meg a Azure Portal>Microsoft Intune>Konfigurációs>PowerShell-szkriptek>hozzáadása. vProvide a szkript nevét , és adja meg a szkript helyét.
  3. Válassza a Konfigurálás lehetőséget.
    1. Állítsa a szkript futtatását a bejelentkezett hitelesítő adatokkala Nem értékre.
    2. Válassza az OK lehetőséget.
  4. Válassza a Létrehozás lehetőséget.
  5. Jelölje ki a Hozzárendelések>csoportokat.
    1. Adja hozzá a Biztonságos munkaállomások biztonsági csoportot.
    2. Válassza a Mentés lehetőséget.

Az üzembe helyezés ellenőrzése és tesztelése az első eszközzel

Ez a regisztráció feltételezi, hogy egy fizikai számítástechnikai eszközt fog használni. Javasoljuk, hogy a beszerzési folyamat részeként az OEM, a reseller, a forgalmazó vagy a partner regisztrálja az eszközöket a Windows Autopilotban.

A teszteléshez azonban Virtual Machines tesztelési forgatókönyvként is ki lehet állni. A személyes csatlakozású eszközök regisztrációját azonban módosítani kell, hogy lehetővé tegye az ügyfélhez való csatlakozásnak ezt a módját.

Ez a módszer olyan Virtual Machines vagy fizikai eszközök esetében működik, amelyek korábban még nem lettek regisztrálva.

  1. Indítsa el az eszközt, és várja meg, amíg megjelenik a felhasználónév párbeszédpanel
  2. Nyomja le SHIFT + F10 a parancssor megjelenítéséhez
  3. Írja be PowerShell, nyomja le az Enter billentyűt
  4. Írja be Set-ExecutionPolicy RemoteSigned, nyomja le az Enter billentyűt
  5. Írja be Install-Script GetWindowsAutopilotInfo, nyomja le az Enter billentyűt
  6. Írja be Y , majd kattintson az Enter gombra a PATH-környezet módosításának elfogadásához
  7. Írja be Y , majd kattintson az Enter gombra a NuGet-szolgáltató telepítéséhez
  8. Írja be Y , hogy megbízik-e az adattárban
  9. Írja be a Futtatás parancsot Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv
  10. A CSV másolása a virtuális gépről vagy fizikai eszközről

Eszközök importálása az Autopilotba

  1. A Microsoft Endpoint Manager Felügyeleti központbannyissa meg a>Windows-eszközök>windowsos regisztrációs>eszközeit

  2. Válassza az Importálás lehetőséget , és válassza ki a CSV-fájlt.

  3. Várja meg, amíg a Group Tag frissítés befejeződik PAW , a Profile Status módosítás pedig a következőre Assigned: .

    Megjegyzés

    A Csoportcímkét a Biztonságos munkaállomás dinamikus csoport használja az eszköz csoporttaggá tételéhez,

  4. Adja hozzá az eszközt a Biztonságos munkaállomások biztonsági csoporthoz.

  5. A konfigurálni kívánt Windows 10 eszközön lépjen a Windows Settings>Update & Security>Recovery helyre.

    1. Válassza a Gép alaphelyzetbe állítása területen az Első lépések lehetőséget.
    2. Az utasításokat követve állítsa alaphelyzetbe és konfigurálja újra az eszközt a konfigurált profil- és megfelelőségi szabályzatokkal.

Miután konfigurálta az eszközt, végezzen el egy felülvizsgálatot, és ellenőrizze a konfigurációt. Az üzembe helyezés folytatása előtt ellenőrizze, hogy az első eszköz megfelelően van-e konfigurálva.

Eszközök hozzárendelése

Eszközök és felhasználók hozzárendeléséhez le kell képeznie a kiválasztott profilokat a biztonsági csoporthoz. A szolgáltatáshoz engedélyeket igénylő összes új felhasználót hozzá kell adni a biztonsági csoporthoz is.

Biztonsági incidensek monitorozása és megválaszolása Végponthoz készült Microsoft Defender használatával

  • Biztonsági rések és helytelen konfigurációk folyamatos megfigyelése és monitorozása
  • A Végponthoz készült Microsoft Defender használata a dinamikus fenyegetések rangsorolásához a vadonban
  • A biztonsági rések korrelációjának keresése végpontészlelési és válaszriasztásokkal
  • Az irányítópult használatával azonosíthatja a gépszintű biztonsági rést a vizsgálatok során
  • Szervizelések leküldése Intune

Konfigurálja a Microsoft Defender biztonsági központ. Útmutató a Veszélyforrások & elleni sebezhetőség-kezelés irányítópult áttekintésében.

Alkalmazástevékenység monitorozása az Advanced Threat Hunting használatával

A specializált munkaállomástól kezdve az AppLocker engedélyezve van a munkaállomáson végzett alkalmazástevékenységek figyeléséhez. Alapértelmezés szerint a Defender for Endpoint rögzíti az AppLocker-eseményeket, a speciális keresési lekérdezések pedig annak meghatározására használhatók, hogy az AppLocker mely alkalmazásokat, szkripteket és DLL-fájlokat blokkolja.

Megjegyzés

A Specializált és Privileged munkaállomás-profilok tartalmazzák az AppLocker-szabályzatokat. A szabályzatok központi telepítése szükséges az alkalmazástevékenységek ügyfélen való figyeléséhez.

A Microsoft Defender biztonsági központ Speciális vadászat panelen az alábbi lekérdezés használatával adja vissza az AppLocker-eseményeket

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

Figyelés

Következő lépések