Emelt szintű hozzáférés üzembe helyezése

  • Cikk

Ez a dokumentum végigvezeti a kiemelt hozzáférési stratégia technikai összetevőinek implementálásán, beleértve a biztonságos fiókokat, munkaállomásokat és eszközöket, valamint a felület biztonságát (feltételes hozzáférési szabályzattal).

Summary of security level profiles

Ez az útmutató mindhárom biztonsági szinthez beállítja az összes profilt, és a privileged hozzáférési biztonsági szintekre vonatkozó útmutatás alapján kell hozzárendelnie a szervezeti szerepköröket. A Microsoft azt javasolja, hogy a gyors modernizációs tervben (RAMP) leírt sorrendben konfigurálja őket .

Licenckövetelmények

Az ebben az útmutatóban ismertetett fogalmak feltételezik, hogy Microsoft 365 Nagyvállalati verzió E5 vagy azzal egyenértékű termékváltozata van. Az útmutatóban szereplő javaslatok némelyike alacsonyabb termékváltozatokkal valósítható meg. További információ: Microsoft 365 Nagyvállalati verzió licencelés.

A licencek kiépítésének automatizálásához fontolja meg a csoportalapú licencelést a felhasználók számára.

Microsoft Entra konfiguráció

A Microsoft Entra ID kezeli a rendszergazdai munkaállomások felhasználóit, csoportjait és eszközeit. Identitásszolgáltatások és szolgáltatások engedélyezése rendszergazdai fiókkal.

A biztonságos munkaállomás-rendszergazdai fiók létrehozásakor elérhetővé teszi a fiókot az aktuális munkaállomáson. Győződjön meg arról, hogy egy ismert biztonságos eszköz használatával hajtja végre ezt a kezdeti konfigurációt és az összes globális konfigurációt. Az első alkalommal tapasztalt támadási kitettség csökkentése érdekében fontolja meg a kártevő-fertőzések megelőzésére vonatkozó útmutatás követését.

Többtényezős hitelesítést igényel, legalábbis a rendszergazdák számára. Lásd: Feltételes hozzáférés: MFA megkövetelése a rendszergazdák számára a megvalósítási útmutatóhoz.

Microsoft Entra-felhasználók és -csoportok

  1. Az Azure Portalon keresse meg a Microsoft Entra ID Users>New felhasználót.>

  2. Hozza létre az eszközfelhasználót a felhasználói létrehozási oktatóanyag lépéseit követve.

  3. Adja meg a következőt:

    • Név – Biztonságos munkaállomás Rendszergazda istrator
    • Felhasználónév - secure-ws-user@contoso.com
    • Címtárszerepkör - Korlátozott rendszergazda, és válassza az Intune Rendszergazda istrator szerepkört.
    • Használati hely – Például Egyesült Királyság, vagy a kívánt hely alkotja a listát.

  4. Válassza a Létrehozás lehetőséget.

Hozza létre az eszközadminisztrátor felhasználóját.

  1. Adja meg a következőt:

    • Név – Biztonságos munkaállomás Rendszergazda istrator
    • Felhasználónév - secure-ws-admin@contoso.com
    • Címtárszerepkör - Korlátozott rendszergazda, és válassza az Intune Rendszergazda istrator szerepkört.
    • Használati hely – Például Egyesült Királyság, vagy a kívánt hely alkotja a listát.

  2. Válassza a Létrehozás lehetőséget.

Ezután négy csoportot hoz létre: Biztonságos munkaállomás-felhasználók, Biztonságos munkaállomás Rendszergazda, Vésztörési szemüveg és Biztonságos munkaállomás-eszközök.

Az Azure Portalon keresse meg a Microsoft Entra ID>Groups>Új csoportját.

  1. A munkaállomás felhasználói csoportjában érdemes lehet csoportalapú licencelést konfigurálni a licencek felhasználók számára történő kiépítésének automatizálásához.

  2. A munkaállomás felhasználói csoportjához írja be a következőt:

    • Csoport típusa – Biztonság
    • Csoportnév – Biztonságos munkaállomás-felhasználók
    • Tagság típusa – Hozzárendelve

  3. Adja hozzá a biztonságos munkaállomás felhasználóját: secure-ws-user@contoso.com

  4. Hozzáadhat minden olyan felhasználót, aki biztonságos munkaállomásokat fog használni.

  5. Válassza a Létrehozás lehetőséget.

  6. A Privileged Workstation Rendszergazda s csoporthoz írja be a következőt:

    • Csoport típusa – Biztonság
    • Csoportnév – Biztonságos munkaállomás Rendszergazda
    • Tagság típusa – Hozzárendelve

  7. Adja hozzá a biztonságos munkaállomás felhasználóját: secure-ws-admin@contoso.com

  8. Hozzáadhat minden olyan felhasználót, aki biztonságos munkaállomásokat fog kezelni.

  9. Válassza a Létrehozás lehetőséget.

  10. A Vészhelyzeti törésüveg csoporthoz írja be a következőt:

    • Csoport típusa – Biztonság
    • Csoport neve – Vészhelyzeti törésüveg
    • Tagság típusa – Hozzárendelve

  11. Válassza a Létrehozás lehetőséget.

  12. Adjon hozzá segélyhívási hozzáférési fiókokat ehhez a csoporthoz.

  13. A munkaállomás-eszközök csoportjához írja be a következőt:

    • Csoport típusa – Biztonság
    • Csoportnév – Biztonságos munkaállomások
    • Tagság típusa – Dinamikus eszköz
    • Dinamikus tagsági szabályok - (device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")

  14. Válassza a Létrehozás lehetőséget.

Microsoft Entra eszközkonfiguráció

Annak megadása, hogy kik csatlakozhatnak az eszközökhöz a Microsoft Entra-azonosítóhoz

Konfigurálja az eszközbeállítást az Active Directoryban, hogy a felügyeleti biztonsági csoport csatlakozzon az eszközökhöz a tartományához. A beállítás konfigurálása az Azure Portalról:

  1. Nyissa meg a Microsoft Entra ID-eszközök>>eszközbeállításai lehetőséget.
  2. A Felhasználók csoportban válassza a Felhasználók lehetőséget , és csatlakozzon az eszközökhöz a Microsoft Entra-azonosítóhoz, majd válassza a "Biztonságos munkaállomás-felhasználók" csoportot.

Helyi rendszergazdai jogosultságok eltávolítása

Ez a módszer megköveteli, hogy a VIRTUÁLIS IP-cím, a DevOps és a Privileged munkaállomás felhasználói ne rendelkezzenek rendszergazdai jogosultságokkal a gépükön. A beállítás konfigurálása az Azure Portalról:

  1. Nyissa meg a Microsoft Entra ID-eszközök>>eszközbeállításai lehetőséget.
  2. Válassza a Nincs lehetőséget a További helyi rendszergazdák a Microsoft Entra-hoz csatlakoztatott eszközökön.

A helyi rendszergazdák csoport tagjainak kezelésével kapcsolatos részletekért tekintse meg a Microsoft Entra által csatlakoztatott eszközök helyi rendszergazdák csoportjának kezelését ismertető cikket.

Többtényezős hitelesítés megkövetelése az eszközök csatlakoztatásához

Az eszközök Microsoft Entra-azonosítóhoz való csatlakoztatásának további megerősítése:

  1. Nyissa meg a Microsoft Entra ID-eszközök>>eszközbeállításai lehetőséget.
  2. Az eszközök csatlakoztatásához válassza az Igen lehetőséget a Multi-Factor Auth megkövetelése csoportban.
  3. Válassza a Mentés lehetőséget.

Mobileszköz-kezelés konfigurálása

Az Azure Portalon:

  1. Keresse meg a Microsoft Entra ID>Mobility (MDM és MAM)> Microsoft Intune-t.
  2. Módosítsa az MDM felhasználói hatókörének beállítását a Mind értékre.
  3. Válassza a Mentés lehetőséget.

Ezek a lépések lehetővé teszik bármely eszköz kezelését a Microsoft Endpoint Managerrel. További információ: Intune – Rövid útmutató: Automatikus regisztráció beállítása Windows 10-eszközökhöz. Az Intune konfigurációs és megfelelőségi szabályzatai egy későbbi lépésben hozhatók létre.

Microsoft Entra feltételes hozzáférés

A Microsoft Entra Feltételes hozzáférés segíthet a kiemelt felügyeleti feladatok megfelelő eszközökre való korlátozásában. A Biztonságos munkaállomás felhasználói csoport előre meghatározott tagjainak többtényezős hitelesítésre van szükség a felhőalapú alkalmazásokba való bejelentkezéskor. Ajánlott eljárás a vészhelyzeti hozzáférési fiókok kizárása a szabályzatból. További információ: Segélyhívási fiókok kezelése a Microsoft Entra-azonosítóban.

A feltételes hozzáférés csak biztonságos munkaállomás-hozzáférést tesz lehetővé az Azure Portal eléréséhez

A szervezeteknek meg kell akadályozniuk, hogy a kiemelt felhasználók nem PAW-eszközökről csatlakozhassanak felhőfelügyeleti felületekhez, portálokhoz és PowerShell-hez.

Ha meg szeretné akadályozni, hogy jogosulatlan eszközök hozzáférjenek a felhőfelügyeleti felületekhez, kövesse a Feltételes hozzáférés: Szűrők eszközökhöz (előzetes verzió) című cikkben található útmutatást. Alapvető fontosságú, hogy a megfontolandó funkció üzembe helyezése során a segélyhívási fiók funkciói is elérhetők legyen. Ezeket a fiókokat csak szélsőséges esetekhez és szabályzattal felügyelt fiókhoz szabad használni.

Feljegyzés

Létre kell hoznia egy felhasználói csoportot, és tartalmaznia kell a vészhelyzeti felhasználót, aki megkerülheti a feltételes hozzáférési szabályzatot. Példánkban egy vészhelyzeti törésüveg nevű biztonsági csoportunk van

Ez a szabályzatkészlet biztosítja, hogy a Rendszergazda istratoroknak olyan eszközt kell használniuk, amely képes egy adott eszközattribútum-érték bemutatására, az MFA teljesülésére, és az eszköz a Microsoft Endpoint Manager és Végponthoz készült Microsoft Defender megfelelőként van megjelölve.

A szervezeteknek érdemes megfontolniuk az örökölt hitelesítési protokollok letiltását is a környezetükben. Ennek a feladatnak több módja is van. Az örökölt hitelesítési protokollok letiltásáról további információt a Következő cikk tartalmaz: Az örökölt hitelesítés letiltása a Microsoft Entra-azonosítóra feltételes hozzáféréssel.

Microsoft Intune-konfiguráció

Eszközregisztráció megtagadása BYOD

A mintában azt javasoljuk, hogy a BYOD-eszközök ne legyenek engedélyezve. Az Intune BYOD-regisztrációval a felhasználók kevésbé vagy nem megbízható eszközöket regisztrálhatnak. Fontos azonban megjegyezni, hogy azokban a szervezetekben, amelyek korlátozott költségvetéssel rendelkeznek az új eszközök megvásárlására, a meglévő hardverpark használatára vagy a nem windowsos eszközök használatára, megfontolhatják az Intune BYOD funkcióját a vállalati profil üzembe helyezéséhez.

Az alábbi útmutató konfigurálja a regisztrációt olyan üzemelő példányokhoz, amelyek megtagadják a BYOD-hozzáférést.

A BYOD-t megakadályozó regisztrációs korlátozások beállítása

  1. A Microsoft Endpoint Manager Felügyeleti központban válassza >az Eszközök>regisztrációjának korlátozásai> lehetőséget, és válassza ki az alapértelmezett korlátozást Minden felhasználó
  2. Válassza a Tulajdonságok> platform beállításainak szerkesztése lehetőséget
  3. Válassza a Blokk minden típushoz lehetőséget, kivéve a Windows MDM-et.
  4. Válassza a Blokk lehetőséget az összes személyes tulajdonú elemhez.

Autopilot-telepítési profil létrehozása

Az eszközcsoport létrehozása után létre kell hoznia egy üzembehelyezési profilt az Autopilot-eszközök konfigurálásához.

  1. A Microsoft Endpoint Manager felügyeleti központjában válassza az Eszközregisztráció>Windows-regisztráció üzembehelyezési>profilok>létrehozása profilt.

  2. Adja meg a következőt:

    • Név – Biztonságos munkaállomás üzembehelyezési profilja.
    • Leírás – Biztonságos munkaállomások üzembe helyezése.
    • Állítsa az Összes megcélzott eszköz konvertálása Autopilot értékre Igen értékre. Ez a beállítás biztosítja, hogy a listában szereplő összes eszköz regisztrálva legyen az Autopilot üzembehelyezési szolgáltatásban. A regisztráció feldolgozásának engedélyezése 48 órát.

  3. Válassza a Tovább lehetőséget.

    • Üzembe helyezési mód esetén válassza az Öntelepítés (előzetes verzió) lehetőséget. Az ezzel a profillal rendelkező eszközök az eszközt regisztráló felhasználóhoz vannak társítva. Az üzembe helyezés során ajánlott az öntelepítési mód funkcióit használni a következőkre:
      • Regisztrálja az eszközt az Intune Microsoft Entra automatikus MDM-regisztrációjában, és csak addig engedélyezi az eszköz elérését, amíg az összes szabályzat, alkalmazás, tanúsítvány és hálózati profil ki nem van építve az eszközön.
      • Az eszköz regisztrálásához felhasználói hitelesítő adatokra van szükség. Fontos megjegyezni, hogy az eszközök öntelepítési módban történő üzembe helyezése lehetővé teszi laptopok közös modellben való üzembe helyezését. Nem történik felhasználói hozzárendelés, amíg az eszköz első alkalommal nem lesz hozzárendelve egy felhasználóhoz. Ennek eredményeképpen az olyan felhasználói házirendek, mint a BitLocker, csak akkor lesznek engedélyezve, ha a felhasználó hozzárendelése befejeződött. A biztonságos eszközre való bejelentkezéssel kapcsolatos további információkért tekintse meg a kiválasztott profilokat.
    • Válassza ki a nyelvet (régiót), a felhasználói fiók típusának szabványát.

  4. Válassza a Tovább lehetőséget.

    • Ha előre konfigurált egy hatókörcímkét, válasszon ki egy hatókörcímkét.

  5. Válassza a Tovább lehetőséget.

  6. Válassza a Kijelölt csoportokhoz> rendelt hozzárendelések>lehetőséget. A Felvenni kívánt csoportok kiválasztása területen válassza a Biztonságos munkaállomások lehetőséget.

  7. Válassza a Tovább lehetőséget.

  8. Válassza a Létrehozás gombot a profil létrehozásához. Az Autopilot üzembehelyezési profilja mostantól elérhető az eszközökhöz való hozzárendeléshez.

Az Autopilot eszközregisztrációja más felhasználói élményt biztosít az eszköztípus és a szerepkör alapján. Az üzembe helyezési példánkban egy olyan modellt mutatunk be, amelyben a biztonságos eszközök tömegesen vannak üzembe helyezve, és megoszthatóak, de első használat esetén az eszköz egy felhasználóhoz van rendelve. További információ: Intune Autopilot-eszközregisztráció.

Regisztrációs állapotlap

A regisztrációs állapotlap (ESP) megjeleníti a kiépítési folyamatot egy új eszköz regisztrálása után. Annak érdekében, hogy az eszközök használat előtt teljesen konfigurálva legyenek, az Intune lehetővé teszi az eszközök használatának letiltását mindaddig, amíg az összes alkalmazás és profil telepítve nem lesz.

Regisztrációs állapotlapprofil létrehozása és hozzárendelése

  1. A Microsoft Endpoint Manager Felügyeleti központban válassza az Eszközök>Windows-regisztráció>>regisztrációs állapotlap>létrehozási profilját.
  2. Adjon meg egy nevet és egy leírást.
  3. Válassza a Létrehozás elemet.
  4. Válassza ki az új profilt a Regisztrációs állapot lap listájában.
  5. Állítsa az alkalmazásprofil telepítési folyamatának megjelenítése igen értékre.
  6. Állítsa be a Letiltás eszközhasználatot, amíg az összes alkalmazás és profil telepítve nem lesz az Igen értékre.
  7. Válassza a Hozzárendelések>csoport kiválasztása csoport> kiválasztása Secure Workstation>Mentés gombot.>
  8. Válassza Gépház > válassza ki a profil >mentésére alkalmazni kívánt beállításokat.

A Windows Update konfigurálása

A Windows 10 naprakészen tartása az egyik legfontosabb teendő. A Windows biztonságos állapotban való fenntartásához egy frissítési gyűrűt kell üzembe helyeznie, amely felügyeli a frissítések munkaállomásokra való alkalmazásának ütemét.

Ez az útmutató azt javasolja, hogy hozzon létre egy új frissítési gyűrűt, és módosítsa a következő alapértelmezett beállításokat:

  1. A Microsoft Endpoint Manager felügyeleti központjában válassza az Eszközök>szoftverfrissítései>Windows 10 frissítési körök lehetőséget.

  2. Adja meg a következőt:

    • Név – Azure által felügyelt munkaállomás frissítései
    • Karbantartási csatorna – Féléves csatorna
    • Minőségi frissítési halasztás (nap) – 3
    • Funkciófrissítési halasztási időszak (nap) – 3
    • Automatikus frissítési viselkedés – Automatikus telepítés és újraindítás végfelhasználói vezérlés nélkül
    • Windows-frissítések szüneteltetésének letiltása – Letiltás
    • A felhasználó jóváhagyásának megkövetelése a munkaidőn kívül történő újraindításhoz – Kötelező
    • A felhasználó újraindításának engedélyezése (aktív újraindítás) – Kötelező
    • Áttűnés a felhasználókra az automatikus újraindítás után (napok) – 3
    • Snooze engaged restart reminder (days) – 3
    • Függőben lévő újraindítások (napok) határidejének beállítása – 3

  3. Válassza a Létrehozás lehetőséget.

  4. A Hozzárendelések lapon adja hozzá a Biztonságos munkaállomások csoportot.

A Windows Update-szabályzatokról további információt a Házirend CSP – Update című témakörben talál.

Végponthoz készült Microsoft Defender Intune-integráció

Végponthoz készült Microsoft Defender és a Microsoft Intune együttműködve segít megelőzni a biztonsági incidenseket. Emellett korlátozhatják a szabálysértések hatását is. Az ATP-képességek valós idejű fenyegetésészlelést, valamint a végponti eszközök átfogó naplózását és naplózását teszik lehetővé.

A Windows Defender for Endpoint és a Microsoft Endpoint Manager integrációjának konfigurálása:

  1. A Microsoft Endpoint Manager felügyeleti központban válassza az Endpoint Security>Microsoft Defender ATP lehetőséget.

  2. A Windows Defender ATP konfigurálása 1. lépésében válassza Csatlakozás Windows Defender ATP-t a Microsoft Intune-ba a Windows Defender biztonsági központban.

  3. A Windows Defender biztonsági központban:

    1. Válassza a Gépház> Előzhető funkciók lehetőséget.
    2. Microsoft Intune-kapcsolat esetén válassza a Be lehetőséget.
    3. Válassza a Mentés beállításai lehetőséget.

  4. A kapcsolat létrejötte után térjen vissza a Microsoft Endpoint Managerhez, és válassza felül a Frissítés lehetőséget .

  5. Állítsa be Csatlakozás Windows-eszközök (20H2) 19042.450-es vagy újabb verzióját a Windows Defender ATP-be.

  6. Válassza a Mentés lehetőséget.

Az eszközkonfigurációs profil létrehozása Windows-eszközök előkészítéséhez

  1. Jelentkezzen be a Microsoft Endpoint Manager felügyeleti központjába, és válassza a Végpont biztonsági>végpontészlelés és válasz>létrehozása profilt.

  2. Platform esetén válassza a Windows 10 és újabb verziót.

  3. Profiltípus esetén válassza a Végpontészlelés és -válasz lehetőséget, majd a Létrehozás lehetőséget.

  4. Az Alapszintű beállítások lapon adjon meg egy PAW - Defender for Endpoint értéket a Név mezőben, és adja meg a profil leírását (nem kötelező), majd válassza a Tovább gombot.

  5. A Konfigurációs beállítások lapon konfigurálja a következő beállítást a Végpontészlelés és válasz területen:

    • Mintamegosztás az összes fájlhoz: Visszaadja vagy beállítja a Microsoft Defender Advanced Threat Protection mintamegosztási konfigurációs paraméterét.

      A Windows 10-es gépek Microsoft Endpoint Configuration Managerrel való előkészítése további részleteket tartalmaz ezekről a Microsoft Defender ATP-beállításokról.

  6. Kattintson a Tovább gombra a Hatókörcímkék lap megnyitásához. A hatókörcímkék megadása nem kötelező. A folytatáshoz válassza a Tovább gombra.

  7. A Hozzárendelések lapon válassza a Biztonságos munkaállomás csoportot. További információ a profilok hozzárendeléséről: Felhasználói és eszközprofilok hozzárendelése.

    Válassza a Tovább lehetőséget.

  8. A Véleményezés + létrehozás lapon, ha elkészült, válassza a Létrehozás lehetőséget. Az új profil akkor jelenik meg a listában, amikor kiválasztja a létrehozott profil házirendtípusát. OK, majd létrehozás a módosítások mentéséhez, amely létrehozza a profilt.

További információ: Windows Defender Advanced Threat Protection.

A munkaállomásprofilok megkeményítésének befejezése

A megoldás keményítésének sikeres befejezéséhez töltse le és hajtsa végre a megfelelő szkriptet. Keresse meg a kívánt profilszinthez tartozó letöltési hivatkozásokat:

Profil Letöltési hely Fájlnév
Vállalat https://aka.ms/securedworkstationgit Enterprise-Workstation-Windows10-(20H2).ps1
Specializált https://aka.ms/securedworkstationgit Specializált – Windows10-(20H2).ps1
Rendszerjogosultságú https://aka.ms/securedworkstationgit Privileged-Windows10-(20H2).ps1

Feljegyzés

A rendszergazdai jogosultságok és hozzáférés eltávolítását, valamint az alkalmazásvégrehajtás vezérlését (AppLocker) az üzembe helyezett szabályzatprofilok kezelik.

A szkript sikeres végrehajtása után frissítheti a profilokat és szabályzatokat az Intune-ban. A szkriptek szabályzatokat és profilokat hoznak létre Önnek, de a szabályzatokat hozzá kell rendelnie a Secure Workstations eszközcsoporthoz.

  • Itt találja a szkriptek által létrehozott Intune-eszközkonfigurációs profilokat: Azure Portal>Microsoft Intune>Eszközkonfigurációs>profilok.
  • Itt találja a szkriptek által létrehozott Intune-eszközmegfelelőségi szabályzatokat: Azure Portal>Microsoft Intune>eszközmegfelelőségi>szabályzatok.

Futtassa az Intune adatexportálási szkriptet DeviceConfiguration_Export.ps1 a DeviceConfiguration GitHub-adattárból az összes aktuális Intune-profil összehasonlításához és kiértékeléséhez.

Szabályok beállítása a Microsoft Defender tűzfal Endpoint Protection konfigurációs profiljában

A Windows Defender tűzfalszabályzat-beállításait az Endpoint Protection konfigurációs profilja tartalmazza. Az alábbi táblázatban ismertetett szabályzat viselkedése.

Profil Bejövő szabályok Kimenő szabályok Egyesítési viselkedés
Vállalat Zárolás Engedélyezve Engedélyezve
Specializált Zárolás Engedélyezve Zárolás
Rendszerjogosultságú Zárolás Zárolás Zárolás

Vállalati: Ez a konfiguráció a legmegfelelőbb, mivel tükrözi a Windows-telepítés alapértelmezett viselkedését. Minden bejövő forgalom le van tiltva, kivéve a helyi házirendszabályokban explicit módon definiált szabályokat, mivel a helyi szabályok egyesítése engedélyezett. Minden kimenő forgalom engedélyezett.

Specializált: Ez a konfiguráció szigorúbb, mivel figyelmen kívül hagyja az eszközön lévő összes helyileg meghatározott szabályt. Minden bejövő forgalom le van tiltva, beleértve a helyileg meghatározott szabályokat is. A szabályzat két szabályt tartalmaz, amelyek lehetővé teszik a kézbesítésoptimalizálás működését a tervezett módon. Minden kimenő forgalom engedélyezett.

Privileged: Minden bejövő forgalom le van tiltva, beleértve a helyileg meghatározott szabályokat is. A szabályzat két szabályt tartalmaz, amelyek lehetővé teszik a kézbesítésoptimalizálást a tervezett módon való működéshez. A kimenő forgalom a DNS, DHCP, NTP, NSCI, HTTP és HTTPS forgalmat engedélyező explicit szabályoktól eltekintve is le van tiltva. Ez a konfiguráció nem csak az eszköz által a hálózatra irányuló támadási felületet csökkenti, hanem korlátozza az eszköz által létesíthető kimenő kapcsolatokat csak a felhőszolgáltatások felügyeletéhez szükséges kapcsolatokra.

Szabály Irány Művelet Alkalmazás/szolgáltatás Protokoll Helyi portok Távoli portok
World Wide Web Services (HTTP Traffic-out) Kimenő Engedélyezve Összes TCP Minden port 80
World Wide Web Services (HTTPS Traffic-out) Kimenő Engedélyezve Összes TCP Minden port 443
Alapvető hálózatkezelés – Dinamikus gazdakonfigurációs protokoll IPv6-hoz (DHCPV6-out) Kimenő Engedélyezve %SystemRoot%\system32\svchost.exe TCP 546 547
Alapvető hálózatkezelés – Dinamikus gazdakonfigurációs protokoll IPv6-hoz (DHCPV6-out) Kimenő Engedélyezve Dhcp TCP 546 547
Alapvető hálózatkezelés – Dinamikus gazdagépkonfigurációs protokoll IPv6-hoz (DHCP-out) Kimenő Engedélyezve %SystemRoot%\system32\svchost.exe TCP 68 67
Alapvető hálózatkezelés – Dinamikus gazdagépkonfigurációs protokoll IPv6-hoz (DHCP-out) Kimenő Engedélyezve Dhcp TCP 68 67
Alapvető hálózatkezelés – DNS (UDP-out) Kimenő Engedélyezve %SystemRoot%\system32\svchost.exe UDP Minden port 53
Alapvető hálózatkezelés – DNS (UDP-out) Kimenő Engedélyezve Dnscache UDP Minden port 53
Alapvető hálózatkezelés – DNS (TCP-out) Kimenő Engedélyezve %SystemRoot%\system32\svchost.exe TCP Minden port 53
Alapvető hálózatkezelés – DNS (TCP-out) Kimenő Engedélyezve Dnscache TCP Minden port 53
NSCI-mintavétel (TCP-out) Kimenő Engedélyezve %SystemRoot%\system32\svchost.exe TCP Minden port 80
NSCI-mintavétel – DNS (TCP-out) Kimenő Engedélyezve NlaSvc TCP Minden port 80
Windows-idő (UDP-out) Kimenő Engedélyezve %SystemRoot%\system32\svchost.exe TCP Minden port 80
Windows időminta – DNS (UDP-out) Kimenő Engedélyezve W32Time UDP Minden port 123
Kézbesítésoptimalizálás (TCP-in) Bejövő Engedélyezve %SystemRoot%\system32\svchost.exe TCP 7680 Minden port
Kézbesítésoptimalizálás (TCP-in) Bejövő Engedélyezve DoSvc TCP 7680 Minden port
Kézbesítésoptimalizálás (UDP-in) Bejövő Engedélyezve %SystemRoot%\system32\svchost.exe UDP 7680 Minden port
Kézbesítésoptimalizálás (UDP-in) Bejövő Engedélyezve DoSvc UDP 7680 Minden port

Feljegyzés

A Microsoft Defender tűzfal konfigurációjában minden szabályhoz két szabály van definiálva. Ha a bejövő és kimenő szabályokat a Windows Servicesre szeretné korlátozni, például a DNS-ügyfélt, a szolgáltatásnevet, a DNSCache-t és a végrehajtható elérési utat (C:\Windows\System32\svchost.exe) külön szabályként kell definiálni, nem pedig egyetlen, csoportházirend használatával lehetséges szabályt.

Az engedélyezett és letiltott szolgáltatásokhoz szükséges további módosításokat végezhet a bejövő és a kimenő szabályok kezelésében. További információ: Tűzfalkonfigurációs szolgáltatás.

URL-zárolási proxy

A korlátozó URL-forgalom kezelése a következőket tartalmazza:

  • Tiltsa le az összes kimenő forgalmat, kivéve a kiválasztott Azure-t és Microsoft-szolgáltatások, beleértve az Azure Cloud Shellt, és lehetővé teszi az önkiszolgáló jelszó-visszaállítást.
  • A Privileged profil korlátozza azokat az internetes végpontokat, amelyekhez az eszköz az alábbi URL-zárolási proxykonfigurációval csatlakozhat.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

A ProxyOverride listában felsorolt végpontok a Microsoft Entra-azonosítóval való hitelesítéshez és az Azure- vagy Office 365 felügyeleti felületek eléréséhez szükséges végpontokra korlátozódnak. Ha más felhőszolgáltatásokra is ki szeretne terjedni, adja hozzá a felügyeleti URL-címet a listához. Ez a megközelítés a szélesebb internethez való hozzáférés korlátozására szolgál, hogy megvédje a kiemelt felhasználókat az internetes támadásoktól. Ha ezt a megközelítést túl korlátozónak tekintik, fontolja meg az alábbiakban ismertetett megközelítést a kiemelt szerepkörhöz.

Az Felhőhöz készült Microsoft Defender Alkalmazások és URL-címek korlátozott listájának engedélyezése jóváhagyott URL-címekhez (A legtöbb engedélyezése)

A szerepkörök üzembe helyezésében javasoljuk, hogy nagyvállalati és specializált üzemelő példányok esetében, ahol nem kívánatos minden webböngészés szigorú tiltása, használja a felhőelérési biztonsági közvetítő (CASB) képességeit, például a Felhőhöz készült Microsoft Defender-alkalmazásokat a kockázatos és megkérdőjelezhető webhelyekhez való hozzáférés letiltására. A megoldás egy egyszerű módszert ad a válogatott alkalmazások és webhelyek letiltására. Ez a megoldás hasonló ahhoz, hogy hozzáférést kap a blokklistához olyan webhelyekről, mint például a Domain Block List (DBL)-t karbantartó Spamhaus-projekt: egy jó erőforrás, amely speciális szabálykészletként használható a webhelyek blokkolásához.

A megoldás a következőket nyújtja:

  • Láthatóság: az összes felhőszolgáltatás észlelése; minden egyes kockázati rangsor hozzárendelése; minden olyan felhasználó és külső alkalmazás azonosítása, amely képes bejelentkezni
  • Adatbiztonság: bizalmas adatok azonosítása és szabályozása (DLP); válasz a tartalom besorolási címkéire
  • Veszélyforrások elleni védelem: adaptív hozzáférés-vezérlés (AAC) biztosítása; felhasználói és entitási viselkedéselemzés (UEBA); kártevők enyhítése
  • Megfelelőség: jelentések és irányítópultok biztosítása a felhőszabályozás bemutatásához; segítségnyújtás az adattárolási és jogszabályi megfelelőségi követelményeknek való megfelelés érdekében

Engedélyezze az Felhőhöz készült Defender-alkalmazásokat, és csatlakozzon a Defender ATP-hez a kockázatos URL-címek elérésének letiltásához:

Helyi alkalmazások kezelése

A biztonságos munkaállomás a helyi alkalmazások eltávolításakor valóban megerősített állapotba kerül, beleértve a hatékonyságnövelő alkalmazásokat is. Itt hozzáadja a Visual Studio Code-ot, hogy lehetővé tegye az Azure DevOps for GitHubhoz való csatlakozást a kódtárak kezeléséhez.

A Céges portál konfigurálása egyéni alkalmazásokhoz

A Céges portál Intune által felügyelt példánya igény szerint hozzáférést biztosít további eszközökhöz, amelyeket leküldhet a biztonságos munkaállomások felhasználóinak.

Biztonságos módban az alkalmazás telepítése a Céges portál által szállított felügyelt alkalmazásokra korlátozódik. A Céges portál telepítéséhez azonban hozzá kell férnie a Microsoft Store-hoz. A biztonságos megoldásban hozzáadhatja és hozzárendelheti a Windows 10 Céges portál alkalmazást az Autopilot által kiépített eszközökhöz.

Feljegyzés

Győződjön meg arról, hogy a Céges portál alkalmazást az Autopilot-profil hozzárendeléséhez használt Biztonságos munkaállomás eszközcímkéje csoporthoz rendeli.

Alkalmazások üzembe helyezése az Intune használatával

Bizonyos esetekben a biztonságos munkaállomáson olyan alkalmazásokra van szükség, mint a Microsoft Visual Studio Code. Az alábbi példa útmutatást nyújt a Microsoft Visual Studio Code biztonságos munkaállomás-felhasználók biztonsági csoportjának felhasználói számára történő telepítéséhez.

A Visual Studio Code EXE-csomagként érhető el, ezért a Microsoft Endpoint Managerrel a Microsoft Win32 Content Prep eszközzel üzembe helyezéshez formázott fájlként .intunewin kell csomagolni.

Töltse le a Microsoft Win32 Content Prep eszközt helyileg egy munkaállomásra, és másolja egy könyvtárba csomagolás céljából, például C:\Packages. Ezután hozzon létre egy forrás- és kimeneti könyvtárat a C:\Packages területen.

A Microsoft Visual Studio Code csomagja

  1. Töltse le a Windows 64 bites Visual Studio Code offline telepítőt.
  2. Másolja a letöltött Visual Studio Code exe fájlt a következőre: C:\Packages\Source
  3. Nyisson meg egy PowerShell-konzolt, és lépjen a következőre: C:\Packages
  4. Írja be a következőt: .\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1
  5. Írja be Y az új kimeneti mappa létrehozását. Ebben a mappában jön létre a Visual Studio Code intunewin-fájlja.

VS Code feltöltése a Microsoft Endpoint Managerbe

  1. A Microsoft Endpoint Manager Felügyeleti központban keresse meg a Windows>Add alkalmazásokat>
  2. Az Alkalmazástípus kiválasztása csoportban válassza a Windows-alkalmazás (Win32) lehetőséget
  3. Kattintson az Alkalmazáscsomag kiválasztása elemre, kattintson a Fájl kijelölése elemre, majd válassza ki a VSCodeUserSetup-x64-1.51.1.intunewin kívánt fájlt C:\Packages\Output\VSCodeUserSetup-x64-1.51.1. Kattintson az OK gombra
  4. Adja meg Visual Studio Code 1.51.1 a Név mezőt
  5. Adja meg a Visual Studio Code leírását a Leírás mezőben
  6. Enter Microsoft Corporation in the Publisher Field
  7. Töltse le https://jsarray.com/images/page-icons/visual-studio-code.png és válassza ki az emblémához tartozó képet. Válassza a Tovább lehetőséget
  8. Adja meg VSCodeSetup-x64-1.51.1.exe /SILENT a Telepítés parancsmezőt
  9. Adja meg C:\Program Files\Microsoft VS Code\unins000.exe az Eltávolítás parancsmezőt
  10. Válassza az Eszköz-újraindítási viselkedés legördülő lista visszatérési kódjai alapján a viselkedés meghatározása lehetőséget. Válassza a Tovább lehetőséget
  11. Válassza a 64 bites elemet az Operációs rendszer architektúrája jelölőnégyzet legördülő listájából
  12. Válassza a Windows 10 1903-at az operációs rendszer minimális jelölőnégyzetének legördülő listájából. Válassza a Tovább lehetőséget
  13. Válassza az Észlelési szabályok manuális konfigurálása lehetőséget a Szabályok formátum legördülő listából
  14. Kattintson a Hozzáadás gombra, majd válassza a Szabálytípus legördülő lista Fájl űrlapja elemét
  15. Enter C:\Program Files\Microsoft VS Code in the Path field
  16. Adja meg unins000.exe a Fájl vagy mappa mezőt
  17. Válassza ki a Fájl vagy mappa lehetőséget a legördülő listából, válassza az OK gombot, majd válassza a Tovább gombot
  18. Válassza a Tovább gombot, mert nincs függőség a csomagban
  19. Válassza az Elérhető csoport hozzáadása a regisztrált eszközökhöz lehetőséget, és adja hozzá a Kiemelt felhasználók csoportot. Kattintson a Kijelölés gombra a csoport megerősítéséhez. Válassza a Tovább lehetőséget
  20. Kattintson a Létrehozás gombra

Egyéni alkalmazások és beállítások létrehozása a PowerShell használatával

Ajánlott néhány konfigurációs beállítás, köztük két Végponthoz készült Defender-javaslat, amelyeket a PowerShell használatával kell beállítani. Ezek a konfigurációs módosítások nem állíthatók be az Intune szabályzatai alapján.

A PowerShell használatával bővítheti a gazdagépek felügyeleti képességeit. A GitHub PAW-DeviceConfig.ps1 szkriptje egy példaszkript, amely a következő beállításokat konfigurálja:

  • Eltávolítja az Internet Explorert
  • A PowerShell 2.0 eltávolítása
  • Eltávolítja a Windows Médialejátszó
  • Eltávolítja a Munkahelyi mappák ügyfelet
  • XpS-nyomtatás eltávolítása
  • Hibernálás engedélyezése és konfigurálása
  • A beállításjegyzék-javítás implementálása az AppLocker DLL-szabályfeldolgozás engedélyezéséhez
  • A beállításjegyzék beállításait két olyan Végponthoz készült Microsoft Defender javaslathoz implementálja, amelyek nem állíthatók be az Endpoint Managerrel.
    • A hálózat helyének beállításakor a felhasználóknak emelniük kell az emelést
    • Hálózati hitelesítő adatok mentésének megakadályozása
  • A Hálózati hely varázsló letiltása – megakadályozza, hogy a felhasználók privátként beállítják a hálózati helyet, és ezáltal növelve a Windows tűzfalon elérhető támadási felületet
  • Konfigurálja a Windows időt az NTP használatára, és automatikusra állítja az automatikus időszolgáltatást
  • Letölti és beállítja az asztali hátteret egy adott képre, hogy könnyen azonosítható legyen az eszköz használatra kész, kiemelt munkaállomásként.

A PAW-DeviceConfig.ps1 szkript a GitHubról.

  1. Töltse le a szkriptet [PAW-DeviceConfig.ps1] egy helyi eszközre.
  2. Keresse meg az Azure Portal>Microsoft Intune>Eszközkonfigurációs>PowerShell-szkriptjeinek>hozzáadását. vProvide a szkript nevét , és adja meg a szkript helyét.
  3. Válassza a Konfigurálás lehetőséget.
    1. Állítsa a szkript futtatását a bejelentkezett hitelesítő adatokkal a Nem értékre.
    2. Kattintson az OK gombra.
  4. Válassza a Létrehozás lehetőséget.
  5. Hozzárendelések>kijelölése Csoportok kijelölése.
    1. Adja hozzá a Biztonságos munkaállomások biztonsági csoportot.
    2. Válassza a Mentés lehetőséget.

Az üzembe helyezés ellenőrzése és tesztelése az első eszközzel

Ez a regisztráció feltételezi, hogy fizikai számítástechnikai eszközt fog használni. Javasoljuk, hogy a beszerzési folyamat részeként az OEM, viszonteladó, forgalmazó vagy partner regisztrálja az eszközöket a Windows Autopilotban.

A teszteléshez azonban tesztforgatókönyvként felállhat a virtuális gépek . A személyes csatlakozású eszközök regisztrálását azonban felül kell vizsgálni, hogy lehetővé tegye az ügyfélhez való csatlakozást.

Ez a módszer olyan virtuális gépeken vagy fizikai eszközökön működik, amelyek korábban még nem lettek regisztrálva.

  1. Indítsa el az eszközt, és várja meg, amíg megjelenik a felhasználónév párbeszédpanel
  2. Nyomja le SHIFT + F10 a parancssor megjelenítéséhez
  3. Írja be PowerShell, nyomja le az Enter billentyűt
  4. Írja be Set-ExecutionPolicy RemoteSigned, nyomja le az Enter billentyűt
  5. Írja be Install-Script GetWindowsAutopilotInfo, nyomja le az Enter billentyűt
  6. Írja be Y és kattintson az Enter gombra a PATH-környezet módosításának elfogadásához
  7. Írja be Y és kattintson az Enter gombra a NuGet-szolgáltató telepítéséhez
  8. Írja be Y az adattár megbízhatóságát
  9. Írja be a Futtatás parancsot Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv
  10. A CSV másolása a virtuális gépről vagy fizikai eszközről

Eszközök importálása az Autopilotba

  1. A Microsoft Endpoint Manager felügyeleti központjában nyissa meg a> Windows-eszközök>windowsos regisztrációs>eszközeit

  2. Válassza az Importálás lehetőséget , és válassza ki a CSV-fájlt.

  3. Várja meg, amíg a Group Tag frissítés PAW megtörtént, a módosítás pedig a következőreAssigned: .Profile Status>

    Feljegyzés

    A Csoportcímkét a Biztonságos munkaállomás dinamikus csoport használja az eszköz csoporttagságához,

  4. Adja hozzá az eszközt a Biztonságos munkaállomások biztonsági csoporthoz.

  5. A konfigurálni kívánt Windows 10-eszközön nyissa meg a Windows Gépház> Update & Security>Recovery lehetőséget.

    1. Válassza az Első lépések lehetőséget a Számítógép alaphelyzetbe állítása területen.
    2. Kövesse az utasításokat az eszköz alaphelyzetbe állításához és újrakonfigurálásához a konfigurált profil- és megfelelőségi szabályzatokkal.

Miután konfigurálta az eszközt, végezzen el egy felülvizsgálatot, és ellenőrizze a konfigurációt. Az üzembe helyezés folytatása előtt győződjön meg arról, hogy az első eszköz megfelelően van konfigurálva.

Eszközök hozzárendelése

Eszközök és felhasználók hozzárendeléséhez le kell képeznie a kiválasztott profilokat a biztonsági csoporthoz. A szolgáltatás engedélyét igénylő összes új felhasználót hozzá kell adni a biztonsági csoporthoz is.

Biztonsági incidensek monitorozása és megválaszolása Végponthoz készült Microsoft Defender használatával

  • Biztonsági rések és helytelen konfigurációk folyamatos megfigyelése és monitorozása
  • A Végponthoz készült Microsoft Defender használatával rangsorolhatja a vadon élő dinamikus fenyegetéseket
  • Biztonsági rések korrelációjának keresése végponti észlelés és reagálás (Végponti észlelés és reagálás) riasztásokkal
  • Az irányítópult használatával azonosíthatja a gépszintű biztonsági réseket a vizsgálatok során
  • Szervizelések leküldése az Intune-ba

Konfigurálja a Microsoft Defender biztonsági központ. Útmutató a Fenyegetés és sebezhetőség kezelése irányítópult áttekintésében.

Alkalmazástevékenység figyelése az Advanced Threat Hunting használatával

A specializált munkaállomástól kezdve az AppLocker engedélyezve van az alkalmazástevékenységek monitorozására egy munkaállomáson. Alapértelmezés szerint a Defender for Endpoint rögzíti az AppLocker-eseményeket, és a speciális keresési lekérdezések segítségével meghatározhatja, hogy az AppLocker mely alkalmazásokat, szkripteket és DLL-fájlokat blokkolja.

Feljegyzés

A Special és Privileged munkaállomásprofilok tartalmazzák az AppLocker-szabályzatokat. A szabályzatok üzembe helyezése szükséges az alkalmazástevékenységek ügyfélen történő monitorozásához.

A Microsoft Defender biztonsági központ Speciális keresés panelen az alábbi lekérdezés használatával adja vissza az AppLocker-eseményeket

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

Figyelés

Következő lépések