Biztonsági alapkonfigurációk használata a Microsoft Intune-nal felügyelt Windows-eszközök biztonságossá tételéhez
A Microsoft Intune biztonsági alapkonfigurációinak segítségével gyorsan üzembe helyezhet egy ajánlott biztonsági állapotot a felügyelt Windows-eszközökön a Windows biztonsági alapkonfigurációihoz, így biztonságossá teheti és megvédheti a felhasználókat és az eszközöket.
Annak ellenére, hogy a Windows és a Windows Server beépített biztonságra van tervezve, sok szervezet még mindig részletesebb vezérlést szeretne a biztonsági konfigurációk felett. A nagy számú vezérlő között való navigáláshoz a szervezetek gyakran útmutatást keresnek a különböző biztonsági funkciók konfigurálásához. A Microsoft biztonsági alapkonfigurációk formájában nyújtja ezt az útmutatót.
Ez a funkció az alábbiakra vonatkozik:
- A Windows 10 1809-es és újabb verziói
- Windows 11
Az Intune biztonsági alapkonfiguráció áttekintése
Minden biztonsági alapkonfiguráció előre konfigurált Windows-beállítások csoportja, amelyek segítenek a vonatkozó biztonsági csapatok által ajánlott részletes biztonsági beállítások alkalmazásában és betartatásában. Az üzembe helyezett alapterveket testre is szabhatja, hogy csak a szükséges beállításokat és értékeket kényszerítse ki. Amikor biztonsági alapkonfigurációs profilt hoz létre az Intune-ban, egy több eszközkonfigurációs profilból álló sablont hoz létre.
Az egyes alapkonfigurációk beállításai olyan eszközkonfigurációs beállítások, mint amelyek a különböző Intune-szabályzatokban találhatók. Az alapkonfiguráció egyes beállításai együttműködnek a konfigurációs szolgáltatóval a felügyelt Windows-eszközön található megfelelő termékhez.
Ha többet szeretne megtudni arról, hogy miért és mikor érdemes biztonsági alapkonfigurációkat telepíteni, tekintse meg a Windows biztonsági alapkonfigurációit a Windows biztonsági dokumentációjában.
Biztonsági alapkonfigurációkat telepíthet felhasználók vagy eszközök csoportjaira az Intune-ban, és a beállítások a Windows 10-et vagy 11-et futtató eszközökre vonatkoznak. Például a Windows 10 és újabb rendszerek biztonsági alapkonfigurációjának alapértelmezett konfigurációja automatikusan engedélyezi a BitLockert a cserélhető meghajtókhoz, automatikusan jelszóra van szükség az eszköz zárolásának feloldásához, automatikusan letiltja az alapszintű hitelesítést stb. Ha egy alapértelmezett érték nem működik a környezetében, testre szabhatja az alaptervet a szükséges beállítások alkalmazásához.
Megjegyzés:
2023 májusában az Intune minden új alapkonfiguráció-kiadáshoz vagy verziófrissítéshez új biztonsági alapkonfiguráció-formátumot kezdett el kiadni. Az új formátum frissíti az alapkonfiguráció beállításait, hogy azok neve és konfigurációs beállításai közvetlenül az alapkonfiguráció-beállítás által kezelt konfigurációs szolgáltatótól (CSP) származhassanak.
Az Intune egy új folyamatot is bevezetett, amellyel egy meglévő biztonsági alapkonfiguráció-profilt migrálhat az újabb alapkonfigurációs verzióra. Ez az új viselkedés egy egyszeri folyamat, amely felváltja a normál frissítési viselkedést, amikor egy régebbi profil legújabb verziójáról egy újabb verzióra vált, amely 2023 májusában vagy később vált elérhetővé.
Az alapkonfigurációk használatának előnyei:
A biztonsági alapkonfigurációk segítségével teljes körű biztonságos munkafolyamatot hozhat létre a Microsoft 365 használata során. Az előnyök közé tartoznak többek között a következők:
- Alapértelmezés szerint az egyes biztonsági alapkonfigurációk úgy vannak konfigurálva, hogy megfeleljenek a biztonságot befolyásoló beállításokra vonatkozó ajánlott eljárásoknak és javaslatoknak. Az Intune-partnerek ugyanazzal a Windows biztonsági csapattal, amely csoportszabályzat-biztonsági alapkonfigurációkat hoz létre. Ezek a javaslatok útmutatáson és széles körű tapasztalaton alapulnak.
- Ha még nem használta az Intune-t, és nem tudja, hol kezdje, a biztonsági alapkonfigurációk előnyt biztosítanak. Gyorsan létrehozhat és üzembe helyezhet egy biztonságos profilt, tudva, hogy segít megvédeni a szervezet erőforrásait és adatait.
- Ha jelenleg csoportházirendet használ, ezekkel az alapkonfigurációkkal egyszerűbben migrálhat az Intune-ba felügyelet céljából. Ezek az alapkonfigurációk natív módon vannak beépítve az Intune-ba, és modern felügyeleti élményt tartalmaznak.
Alapértelmezett beállítások több alapkonfigurációban:
A különálló alapkonfigurációtípusok, például a Windows MDM biztonsági alapkonfigurációja és a Microsoft Defender alapkonfigurációja ugyanazokat a beállításokat tartalmazhatják, és különböző alapértelmezett értékeket használhatnak ezekhez a beállításokhoz. Az Intune nem tudja meghatározni, hogy melyik konfiguráció a legmegfelelőbb Önnek, vagy hogy melyik környezetben vagy forgatókönyvben szeretné használni az egyik alapterv alapértelmezett javaslatát egy másikhoz képest:
- Fontos tisztában lenni a használt alapkonfigurációk alapértelmezett értékével, majd módosítani az egyes alapterveket a szervezeti igényeknek megfelelően.
- Alapértelmezés szerint minden alapterv előre konfigurálva van az adott termékre vonatkozó javaslatok alapján.
- Bizonyos esetekben előfordulhat, hogy a Microsoft Defender által javasolt konfiguráció nem az alapértelmezett konfiguráció a hasonló beállításokhoz, ha a Windows ezt javasolja. Ilyen esetekben fontos áttekinteni az egyes beállításokat, hogy a konfigurációs szolgáltató adatai és a két termék nagyobb hatóköre alapján megérthesse a célját.
Szinte minden esetben a biztonsági alapkonfigurációk alapértelmezett beállításai a legszigorúbbak. Győződjön meg arról, hogy ezek a beállítások nem ütköznek a környezet más szabályzatbeállításaival vagy funkcióival.
Előfordulhat például, hogy a tűzfal-konfiguráció alapértelmezett beállításai nem egyesítik a kapcsolatbiztonsági szabályokat és a helyi házirendszabályokat az MDM-szabályokkal. Ha tehát kézbesítésoptimalizálást használ, akkor a biztonsági alapkonfiguráció hozzárendelése előtt ellenőriznie kell ezeket a konfigurációkat.
Megjegyzés:
A Microsoft nem javasolja a biztonsági alapkonfigurációk előzetes verzióinak használatát éles környezetben. Az előzetes verzió alapkonfigurációjának beállításai az előnézet során változhatnak.
Elérhető biztonsági alapkonfigurációk
Az alábbi alapkonfigurációs biztonsági példányok használhatók az Intune-nal. A hivatkozások segítségével megtekintheti az egyes alaptervek legutóbbi példányainak beállításait.
- Biztonsági alapkonfiguráció Windows 10 és újabb rendszerekhez:
Végponthoz készült Microsoft Defender alapkonfigurációja:
(Az alapkonfiguráció használatához a környezetnek meg kell felelnie a Végponthoz készült Microsoft Defender használatának előfeltételeinek.)Megjegyzés:
A Végponthoz készült Microsoft Defender biztonsági alapkonfigurációja fizikai eszközökhöz lett optimalizálva, és jelenleg nem ajánlott virtuális gépeken vagy VDI-végpontokon való használatra. Bizonyos alapkonfiguráció-beállítások hatással lehetnek a távoli interaktív munkamenetekre a virtualizált környezetekben. További információ: A Végponthoz készült Microsoft Defender biztonsági alapkonfigurációjának megfelelőségének növelése a Windows dokumentációjában.
Nagyvállalati Microsoft 365-alkalmazások:
- 2306-os verzió (Office alapkonfiguráció)Kiadás dátuma: 2023. november
- 2023. május (Office alapkonfiguráció)
Microsoft Edge alapkonfiguráció:
- Microsoft Edge 117-es verzió – 2023. november
- Microsoft Edge 112-es és újabb verzió – 2023. május
- Microsoft Edge 85-ös és újabb verzió – 2020. szeptember
- Microsoft Edge 80-es és újabb verziói – 2020. április
- Előzetes verzió: Microsoft Edge 77-es vagy újabb verzió – 2019. október
Windows 365 biztonsági alapkonfiguráció:
Amikor elérhetővé válik egy profil új verziója, a profilok régebbi verziókon alapuló beállításai írásvédettekké válnak. Továbbra is használhatja ezeket a régebbi profilokat. A profilneveket, a leírásokat és a hozzárendeléseket is szerkesztheti, de nem támogatják a beállítások konfigurációjának módosítását, és nem hozhat létre új profilokat a régebbi verziók alapján.
Ha készen áll a legújabb alapverzió használatára, létrehozhat új profilokat, vagy frissítheti a meglévő profilokat az új verzióra. Lásd : Profil alapkonfiguráció-verziójának módosítása a Biztonsági alapkonfiguráció-profilok kezelése című cikkben.
Az alapverziók és példányok ismertetése
Az alapkonfiguráció minden új verziópéldánya hozzáadhat vagy eltávolíthat beállításokat, vagy egyéb módosításokat vezethet be. Ha például új Windows-beállítások válnak elérhetővé a Windows 10/11 új verzióival, a Windows 10 és újabb verziók biztonsági alapkonfigurációja egy új verziópéldányt kaphat, amely a legújabb beállításokat tartalmazza.
Az elérhető alapkonfigurációk listáját a Microsoft Intune Felügyeleti központban, a Végpontbiztonsági>biztonsági alapkonfigurációk területen tekintheti meg. A lista a következőket tartalmazza:
- Az egyes biztonsági alapkonfiguráció-sablonok neve.
- Hány profilja van, amelyek ezt az alaptervtípust használják.
- Az alaptervtípus hány különálló példánya (verziója) érhető el.
- Az utolsó közzététel dátuma, amely azt jelzi, hogy mikor vált elérhetővé az alaptervsablon legújabb verziója.
A használt alapverziókkal kapcsolatos további információk megtekintéséhez válasszon ki egy alaptervtípust, például a Windows 10 és újabb verziók biztonsági alapkonfigurációját a Profilok panel megnyitásához, majd válassza a Verziók lehetőséget. Az Intune megjeleníti az alapkonfiguráció profilok által használt verzióinak részleteit. A részletek között szerepel a legújabb és az aktuális alapkonfiguráció verziója. Egyetlen verziót kiválasztva részletesebb információkat tekinthet meg az adott verziót használó profilokról.
Dönthet úgy, hogy módosítja egy adott profillal használt alapterv verzióját. A verzió módosításakor nem kell új alapprofilt létrehoznia a frissített verziók előnyeinek kihasználásához. Ehelyett kiválaszthat egy alapprofilt, és a beépített lehetőséggel módosíthatja a profil példányverzióját egy új profilra.
Ütközések elkerülése
Az Intune-környezetben egyszerre egy vagy több elérhető alaptervet is használhat. Ugyanazon biztonsági alapkonfigurációk több példányát is használhatja, amelyek különböző testreszabásokkal rendelkeznek.
Ha több biztonsági alapkonfigurációt használ, tekintse át az egyes beállításokat annak megállapításához, hogy a különböző alapkonfigurációk mikor vezetnek be ütköző értékeket ugyanahhoz a beállításhoz. Mivel különböző szándékokhoz tervezett biztonsági alapkonfigurációkat telepíthet, és ugyanazon alapkonfiguráció több példányát is üzembe helyezheti, amelyek egyéni beállításokat tartalmaznak, konfigurációs ütközéseket hozhat létre olyan eszközökhöz, amelyeket ki kell vizsgálni és fel kell oldani.
Emellett a biztonsági alapkonfigurációk gyakran ugyanazokat a beállításokat kezelik, mint az eszközkonfigurációs profilokkal vagy más típusú szabályzatokkal. Ezért az ütközések elkerülése vagy megoldása érdekében tartsa szem előtt a többi szabályzatot és profilt, és vegye figyelembe a beállításokat.
Az ütközések azonosítását és megoldását segítő információkért lásd:
Q & A
Miért ezek a beállítások?
A Microsoft biztonsági csapata több éves tapasztalattal rendelkezik, és közvetlenül a Windows-fejlesztőkkel és a biztonsági közösséggel együttműködve hozza létre ezeket a javaslatokat. Az alapkonfiguráció beállításai a biztonsággal kapcsolatos legrelevánsabb konfigurációs beállítások. A Windows minden új buildjében a csapat az újonnan kiadott funkciók alapján módosítja a javaslatait.
Van különbség a windowsos biztonsági alapkonfigurációkra vonatkozó javaslatokban a csoportházirend és az Intune esetében?
Ugyanaz a Microsoft biztonsági csapat választotta ki és rendszerezte az egyes alapkonfigurációk beállításait. Az Intune az Intune biztonsági alapkonfigurációjának összes vonatkozó beállítását tartalmazza. A csoportházirend alapkonfigurációjában vannak olyan beállítások, amelyek egy helyszíni tartományvezérlőre vonatkoznak. Ezek a beállítások nem szerepelnek az Intune javaslataiban. Minden más beállítás megegyezik.
Az Intune biztonsági alapkonfigurációi megfelelnek a CIS-nek vagy az NIST-nek?
Szigorúan véve, nem. A Microsoft biztonsági csapata egyezteti a szervezeteket, például a CIS-t, hogy összeállítsa javaslatait. A "CIS-kompatibilis" és a Microsoft alapkonfigurációi között azonban nincs egy-az-egyhez leképezés.
Milyen minősítésekkel rendelkezik a Microsoft biztonsági alapkonfigurációi?
A Microsoft továbbra is közzéteszi a csoportházirendek (GPO-k) és a Biztonsági megfelelőségi eszközkészlet biztonsági alapkonfigurációit, ahogy azt már sok éve teszi. Ezeket az alapterveket számos szervezet használja. Az ezekben az alapkonfigurációkban szereplő javaslatok a Microsoft biztonsági csapatának vállalati ügyfelekkel és külső ügynökségekkel való együttműködéséből származnak, beleértve a Védelmi Minisztériumot (DoD), a National Institute of Standards and Technology (NIST) és egyebeket. Javaslatainkat és alapterveinket ezekkel a szervezetekkel osztjuk meg. Ezek a szervezetek saját javaslatokkal is rendelkeznek, amelyek szorosan tükrözik a Microsoft javaslatait. Ahogy a mobileszköz-kezelés (MDM) egyre nő a felhőben, a Microsoft egyenértékű MDM-javaslatokat hozott létre ezekről a csoportházirend-alapkonfigurációkról. Ezen alapkonfigurációk közül sok be van építve a Microsoft Intune-ba, és megfelelőségi jelentéseket tartalmaz az alapkonfigurációt követő (vagy nem követő) felhasználókról, csoportokról és eszközökről.
Számos ügyfél kiindulási pontként használja az Intune alapkonfigurációs javaslatait, majd testre szabja őket az informatikai és biztonsági igényeknek megfelelően. A Microsoft Windows 10-es és újabb alapkonfigurációs sablonja volt az első kiadási alapkonfiguráció. Ez az alapkonfiguráció általános infrastruktúraként készült, amely lehetővé teszi az ügyfelek számára, hogy végül más biztonsági alapkonfigurációkat importáljanak a CIS, a NIST és más szabványok alapján.
A helyszíni Active Directory-csoportszabályzatokból a Microsoft Entra ID és a Microsoft Intune használatával történő tiszta felhőmegoldásba való migrálás egy folyamat. Ennek érdekében használja a Security Compliance Toolkit különböző eszközeit, amelyek segítségével azonosíthatja a felhőalapú beállításokat a biztonsági alapkonfigurációkból, amelyek lecserélhetik a helyszíni GPO-konfigurációkat.
Hol találhatok részleteket a biztonsági alapkonfigurációban elérhető beállítások használatáról vagy konfigurálásáról?
Minden biztonsági alapkonfiguráció úgy kezeli az eszközkonfigurációkat, hogy a konfigurációs szolgáltatóban található beállításokat alkalmazza az eszközön. A Microsoft Defenderre vonatkozó beállítások például a Microsoft Defender CSP-ből származnak. Mivel az Intune ezen lehetőségek konfigurációs eszköze, és nem határozza meg azok funkcióit vagy hatókörét, a CSP dokumentációja tartalmazza az egyes beállítások konfigurálásának módját.
Az Intune biztonsági alapkonfigurációs szabályzatának felhasználói felületén az Intune a forrás CSP-ből származó információs szöveget, valamint az adott CSP-re mutató hivatkozást biztosít. Bizonyos esetekben a CSP egy nagyobb tartalomkészlet része lehet, amely proaktív útmutatást tartalmaz, amely túlmutat az Intune hatókörén, hogy belefoglaljon vagy duplikáljon a tartalomba. Az Intune azonban dokumentálja a biztonsági alapkonfiguráció egyes verzióinak és alapértelmezett konfigurációjának beállításait.
Következő lépések
Ellenőrizze az állapotot, és figyelje az alaptervet és a profilt
Tekintse meg a beállításokat az elérhető alapkonfigurációk legújabb verzióiban: