Biztonsági alapkonfigurációk használata a Microsoft Intune-nal felügyelt Windows-eszközök biztonságossá tételéhez

A Microsoft Intune biztonsági alapkonfigurációinak használatával gyorsan üzembe helyezhet egy ajánlott biztonsági állapotot a felügyelt Windows-eszközökön a Windows biztonsági alapkonfigurációihoz a felhasználók és eszközök védelme és védelme érdekében.

Annak ellenére, hogy a Windows és a Windows Server beépített biztonságra van tervezve, sok szervezet még mindig részletesebb vezérlést szeretne a biztonsági konfigurációk felett. A nagy számú vezérlő között való navigáláshoz a szervezetek gyakran útmutatást keresnek a különböző biztonsági funkciók konfigurálásához. A Microsoft biztonsági alapkonfigurációk formájában nyújtja ezt az útmutatót.

Ez a funkció az alábbiakra vonatkozik:

• Windows 10 1809-es és újabb verziói
• Windows 11

Intune biztonsági alapkonfiguráció áttekintése

Minden biztonsági alapkonfiguráció előre konfigurált Windows-beállítások csoportja, amelyek segítenek a vonatkozó biztonsági csapatok által ajánlott részletes biztonsági beállítások alkalmazásában és betartatásában. Az üzembe helyezett alapterveket testre is szabhatja, hogy csak a szükséges beállításokat és értékeket kényszerítse ki. Amikor biztonsági alapkonfigurációs profilt hoz létre Intune, egy több eszközkonfigurációs profilból álló sablont hoz létre.

Az egyes alapkonfigurációk beállításai olyan eszközkonfigurációs beállítások, mint amelyek a különböző Intune szabályzatokban találhatók. Az alapkonfiguráció egyes beállításai együttműködnek a konfigurációs szolgáltatóval a felügyelt Windows-eszközön található megfelelő termékhez.

Ha többet szeretne megtudni arról, hogy miért és mikor érdemes biztonsági alapkonfigurációkat telepíteni, tekintse meg a Windows biztonsági alapkonfigurációit a Windows biztonsági dokumentációjában.

Biztonsági alapkonfigurációkat telepíthet a Intune felhasználói vagy eszközcsoportjaira, és a beállítások a Windows 10 vagy 11-et futtató eszközökre vonatkoznak. Például a biztonsági alapkonfiguráció alapértelmezett konfigurációja Windows 10 és később automatikusan engedélyezi a BitLockert a cserélhető meghajtókhoz, automatikusan jelszóra van szükség az eszköz zárolásának feloldásához, automatikusan letiltja az alapszintű hitelesítést stb. Ha egy alapértelmezett érték nem működik a környezetében, testre szabhatja az alaptervet a szükséges beállítások alkalmazásához.

Megjegyzés:

2023 májusában Intune megkezdődött egy új biztonsági alapkonfiguráció-formátum bevezetése minden egyes új alapkonfiguráció-kiadáshoz vagy verziófrissítéshez. Az új formátum frissíti az alapkonfiguráció beállításait, hogy azok neve és konfigurációs beállításai közvetlenül az alapkonfiguráció-beállítás által kezelt konfigurációs szolgáltatótól (CSP) származhassanak.

Intune bevezetett egy új folyamatot is, amellyel egy meglévő biztonsági alapkonfiguráció-profilt migrálhat az újabb alapkonfigurációs verzióra. Ez az új viselkedés egy egyszeri folyamat, amely felváltja a normál frissítési viselkedést, amikor egy régebbi profil legújabb verziójáról egy újabb verzióra vált, amely 2023 májusában vagy később vált elérhetővé.

Az alapkonfigurációk használatának előnyei:
A biztonsági alapkonfigurációk segítségével teljes körű biztonságos munkafolyamatot hozhat létre a Microsoft 365 használata során. Az előnyök közé tartoznak többek között a következők:

• Alapértelmezés szerint az egyes biztonsági alapkonfigurációk úgy vannak konfigurálva, hogy megfeleljenek a biztonságot befolyásoló beállításokra vonatkozó ajánlott eljárásoknak és javaslatoknak. Intune a csoportszabályzat biztonsági alapkonfigurációit létrehozó windowsos biztonsági csapattal rendelkező partnereket. Ezek a javaslatok útmutatáson és széles körű tapasztalaton alapulnak.
• Ha még nem használta a Intune, és nem tudja, hol kezdje, a biztonsági alapkonfigurációk előnyt biztosítanak. Gyorsan létrehozhat és üzembe helyezhet egy biztonságos profilt, tudva, hogy segít megvédeni a szervezet erőforrásait és adatait.
• Ha jelenleg csoportházirendet használ, ezekkel az alapkonfigurációkkal egyszerűbben Intune migrálni a felügyelethez. Ezek az alapkonfigurációk natív módon vannak beépítve a Intune, és modern felügyeleti élményt tartalmaznak.

Alapértelmezett beállítások több alapkonfigurációban:
A különböző alapkonfiguráció-típusok, például a Windows MDM biztonsági alapkonfigurációja és a Microsoft Defender alapkonfigurációja, ugyanazokat a beállításokat tartalmazhatják, és eltérő alapértelmezett értékeket használhatnak ezekhez a beállításokhoz. Intune nem tudja meghatározni, hogy melyik konfiguráció a legmegfelelőbb Önnek, vagy hogy melyik környezetben vagy forgatókönyvben szeretné használni az egyik alapterv alapértelmezett javaslatát egy másikhoz:

• Fontos tisztában lenni a használt alapkonfigurációk alapértelmezett értékével, majd módosítani az egyes alapterveket a szervezeti igényeknek megfelelően.
• Alapértelmezés szerint minden alapterv előre konfigurálva van az adott termékre vonatkozó javaslatok alapján.
• Bizonyos esetekben előfordulhat, hogy a Windows által javasolt, hasonló beállításokhoz Microsoft Defender konfiguráció nem az alapértelmezett konfiguráció. Ilyen esetekben fontos áttekinteni az egyes beállításokat, hogy a konfigurációs szolgáltató adatai és a két termék nagyobb hatóköre alapján megérthesse a célját.

Szinte minden esetben a biztonsági alapkonfigurációk alapértelmezett beállításai a legszigorúbbak. Győződjön meg arról, hogy ezek a beállítások nem ütköznek a környezet más szabályzatbeállításaival vagy funkcióival.

Előfordulhat például, hogy a tűzfal-konfiguráció alapértelmezett beállításai nem egyesítik a kapcsolatbiztonsági szabályokat és a helyi házirendszabályokat az MDM-szabályokkal. Ha tehát kézbesítésoptimalizálást használ, akkor a biztonsági alapkonfiguráció hozzárendelése előtt ellenőriznie kell ezeket a konfigurációkat.

Megjegyzés:

A Microsoft nem javasolja a biztonsági alapkonfigurációk előzetes verzióinak használatát éles környezetben. Az előzetes verzió alapkonfigurációjának beállításai az előnézet során változhatnak.

Elérhető biztonsági alapkonfigurációk

Az alábbi alapkonfigurációs biztonsági példányok használhatók Intune. A hivatkozások segítségével megtekintheti az egyes alaptervek legutóbbi példányainak beállításait.

• Biztonsági alapkonfiguráció Windows 10 és újabb verziókhoz:
  • 23H2-es verzió
  • 2021. november
  • 2020. december
  • 2020. augusztus

• Végponthoz készült Microsoft Defender alapkonfiguráció:
  (Az alapkonfiguráció használatához a környezetnek meg kell felelnie a Végponthoz készült Microsoft Defender használatának előfeltételeinek.)

  • 6-os verzió
  • 5-ös verzió
  • 4-es verzió
  • 3-es verzió

  Megjegyzés:

  A Végponthoz készült Microsoft Defender biztonsági alapkonfiguráció fizikai eszközökhöz lett optimalizálva, és jelenleg nem ajánlott virtuális gépeken vagy VDI-végpontokon való használatra. Bizonyos alapkonfiguráció-beállítások hatással lehetnek a távoli interaktív munkamenetekre a virtualizált környezetekben. További információ: A windowsos dokumentáció Végponthoz készült Microsoft Defender biztonsági alapkonfigurációnak való megfelelőség növelése.

• nagyvállalati Microsoft 365-alkalmazások:

  • 2306-os verzió (Office alapkonfiguráció)Kiadás dátuma: 2023. november
  • 2023. május (Office alapkonfiguráció)

• Microsoft Edge alapkonfiguráció:

  • 2023. május (Microsoft Edge 112-es vagy újabb verzió)
  • 2020. szeptember (Microsoft Edge 85-ös vagy újabb verzió)
  • 2020. április (Microsoft Edge 80-es vagy újabb verzió)
  • Előzetes verzió: 2019. október (Microsoft Edge 77-es vagy újabb verzió)

• Windows 365 biztonsági alapkonfiguráció:

  • 2021. október

Amikor elérhetővé válik egy profil új verziója, a profilok régebbi verziókon alapuló beállításai írásvédettekké válnak. Továbbra is használhatja ezeket a régebbi profilokat. A profilneveket, a leírásokat és a hozzárendeléseket is szerkesztheti, de nem támogatják a beállítások konfigurációjának módosítását, és nem hozhat létre új profilokat a régebbi verziók alapján.

Ha készen áll a legújabb alapverzió használatára, létrehozhat új profilokat, vagy frissítheti a meglévő profilokat az új verzióra. Lásd : Profil alapkonfiguráció-verziójának módosítása a Biztonsági alapkonfiguráció-profilok kezelése című cikkben.

Az alapverziók és példányok ismertetése

Az alapkonfiguráció minden új verziópéldánya hozzáadhat vagy eltávolíthat beállításokat, vagy egyéb módosításokat vezethet be. Ha például az új Windows-beállítások elérhetővé válnak a Windows 10/11 új verzióival, a biztonsági alapkonfiguráció Windows 10 és újabb verziókhoz egy új verziópéldányt kaphat, amely tartalmazza a legújabb beállításokat.

Az elérhető alapkonfigurációk listáját az Microsoft Intune Felügyeleti központban, a Végpontbiztonsági>biztonsági alapkonfigurációk területen tekintheti meg. A lista a következőket tartalmazza:

• Az egyes biztonsági alapkonfiguráció-sablonok neve.
• Hány profilja van, amelyek ezt az alaptervtípust használják.
• Az alaptervtípus hány különálló példánya (verziója) érhető el.
• Az utolsó közzététel dátuma, amely azt jelzi, hogy mikor vált elérhetővé az alaptervsablon legújabb verziója.

A használt alaptervverziókkal kapcsolatos további információk megtekintéséhez válasszon ki egy alaptervtípust, például biztonsági alaptervet Windows 10 és újabb verziókhoz a Profilok panel megnyitásához, majd válassza a Verziók lehetőséget. Intune megjeleníti az alapkonfiguráció profilok által használt verzióinak részleteit. A részletek között szerepel a legújabb és az aktuális alapkonfiguráció verziója. Egyetlen verziót kiválasztva részletesebb információkat tekinthet meg az adott verziót használó profilokról.

Dönthet úgy, hogy módosítja egy adott profillal használt alapterv verzióját. A verzió módosításakor nem kell új alapprofilt létrehoznia a frissített verziók előnyeinek kihasználásához. Ehelyett kiválaszthat egy alapprofilt, és a beépített lehetőséggel módosíthatja a profil példányverzióját egy új profilra.

Ütközések elkerülése

A Intune környezetben egyszerre egy vagy több elérhető alaptervet is használhat. Ugyanazon biztonsági alapkonfigurációk több példányát is használhatja, amelyek különböző testreszabásokkal rendelkeznek.

Ha több biztonsági alapkonfigurációt használ, tekintse át az egyes beállításokat annak megállapításához, hogy a különböző alapkonfigurációk mikor vezetnek be ütköző értékeket ugyanahhoz a beállításhoz. Mivel különböző szándékokhoz tervezett biztonsági alapkonfigurációkat telepíthet, és ugyanazon alapkonfiguráció több példányát is üzembe helyezheti, amelyek egyéni beállításokat tartalmaznak, konfigurációs ütközéseket hozhat létre olyan eszközökhöz, amelyeket ki kell vizsgálni és fel kell oldani.

Emellett a biztonsági alapkonfigurációk gyakran ugyanazokat a beállításokat kezelik, mint az eszközkonfigurációs profilokkal vagy más típusú szabályzatokkal. Ezért az ütközések elkerülése vagy megoldása érdekében tartsa szem előtt a többi szabályzatot és profilt, és vegye figyelembe a beállításokat.

Az ütközések azonosítását és megoldását segítő információkért lásd:

• Szabályzatok és profilok hibaelhárítása a Intune
• A biztonsági alapkonfigurációk monitorozása

Q & A

Miért ezek a beállítások?

A Microsoft biztonsági csapata több éves tapasztalattal rendelkezik, és közvetlenül a Windows-fejlesztőkkel és a biztonsági közösséggel együttműködve hozza létre ezeket a javaslatokat. Az alapkonfiguráció beállításai a biztonsággal kapcsolatos legrelevánsabb konfigurációs beállítások. A Windows minden új buildjében a csapat az újonnan kiadott funkciók alapján módosítja a javaslatait.

Van különbség a windowsos biztonsági alapkonfigurációkra vonatkozó javaslatokban a csoportházirend és a Intune esetében?

Ugyanaz a Microsoft biztonsági csapat választotta ki és rendszerezte az egyes alapkonfigurációk beállításait. Intune tartalmazza az Intune biztonsági alapkonfiguráció összes vonatkozó beállítását. A csoportházirend alapkonfigurációjában vannak olyan beállítások, amelyek egy helyszíni tartományvezérlőre vonatkoznak. Ezek a beállítások nem szerepelnek Intune javaslatai között. Minden más beállítás megegyezik.

A Intune biztonsági alapkonfigurációk megfelelnek a CIS-nek vagy az NIST-nek?

Szigorúan véve, nem. A Microsoft biztonsági csapata egyezteti a szervezeteket, például a CIS-t, hogy összeállítsa javaslatait. A "CIS-kompatibilis" és a Microsoft alapkonfigurációi között azonban nincs egy-az-egyhez leképezés.

Milyen minősítésekkel rendelkezik a Microsoft biztonsági alapkonfigurációi?

A Microsoft továbbra is közzéteszi a csoportházirendek (GPO-k) és a Biztonsági megfelelőségi eszközkészlet biztonsági alapkonfigurációit, ahogy azt már sok éve teszi. Ezeket az alapterveket számos szervezet használja. Az ezekben az alapkonfigurációkban szereplő javaslatok a Microsoft biztonsági csapatának vállalati ügyfelekkel és külső ügynökségekkel való együttműködéséből származnak, beleértve a Védelmi Minisztériumot (DoD), a National Institute of Standards and Technology (NIST) és egyebeket. Javaslatainkat és alapterveinket ezekkel a szervezetekkel osztjuk meg. Ezek a szervezetek saját javaslatokkal is rendelkeznek, amelyek szorosan tükrözik a Microsoft javaslatait. Ahogy a mobileszköz-kezelés (MDM) egyre nő a felhőben, a Microsoft egyenértékű MDM-javaslatokat hozott létre ezekről a csoportházirend-alapkonfigurációkról. Ezen alapkonfigurációk nagy része beépített Microsoft Intune, és megfelelőségi jelentéseket tartalmaz az alapkonfigurációt követő (vagy nem követő) felhasználókról, csoportokról és eszközökről.

Számos ügyfél kiindulási pontként használja az Intune alapkonfigurációra vonatkozó javaslatokat, majd testre szabja őket az informatikai és biztonsági igényeknek megfelelően. A Microsoft Windows 10 és újabb alapkonfigurációsablonja volt az első alapkonfiguráció. Ez az alapkonfiguráció általános infrastruktúraként készült, amely lehetővé teszi az ügyfelek számára, hogy végül más biztonsági alapkonfigurációkat importáljanak a CIS, a NIST és más szabványok alapján.

A helyi Active Directory csoportszabályzatokból a Microsoft Entra ID és a Microsoft Intune használatával történő tiszta felhőmegoldásba való migrálás egy folyamat. Ennek érdekében használja a Security Compliance Toolkit különböző eszközeit, amelyek segítségével azonosíthatja a felhőalapú beállításokat a biztonsági alapkonfigurációkból, amelyek lecserélhetik a helyszíni GPO-konfigurációkat.

Hol találhatok részleteket a biztonsági alapkonfigurációban elérhető beállítások használatáról vagy konfigurálásáról?

Minden biztonsági alapkonfiguráció úgy kezeli az eszközkonfigurációkat, hogy a konfigurációs szolgáltatóban található beállításokat alkalmazza az eszközön. A Microsoft Defender vonatkozó beállítások például Microsoft Defender CSP-ből származnak. Mivel a Intune a beállítások konfigurációs eszköze, és nem határozza meg a funkciójukat vagy a hatókörüket, a CSP dokumentációja tartalmazza az egyes beállítások konfigurálásának módját.

Az Intune biztonsági alapkonfigurációs házirend felhasználói felületén Intune a forrás CSP-ből származó információs szöveget, valamint az adott CSP-hez mutató hivatkozást biztosít. Bizonyos esetekben a CSP egy nagyobb tartalomkészlet része lehet, amely proaktív útmutatást tartalmaz, amely túlmutat a tartalomban Intune hatókörén. A Intune azonban dokumentálja az egyes alapkonfigurációs verziókban és az alapértelmezett konfigurációban található beállítások listáját.

Következő lépések

• Biztonsági alapkonfiguráció-profilok létrehozása

• Ellenőrizze az állapotot, és figyelje az alaptervet és a profilt

• Tekintse meg a beállításokat az elérhető alapkonfigurációk legújabb verzióiban:

  • Windows 10 és újabb verziók – MDM biztonsági alapkonfiguráció
  • Végponthoz készült Microsoft Defender alapkonfiguráció
  • Microsoft 365-alkalmazások vállalati biztonsági alapkonfigurációhoz (Office)
  • A Microsoft Edge biztonsági alapkonfigurációja
  • biztonsági alapkonfiguráció Windows 365