Penyebaran akses istimewa

Dokumen ini akan memandu Anda menerapkan komponen teknis dari strategi akses istimewa, termasuk akun aman, stasiun kerja dan perangkat, dan keamanan antarmuka (dengan kebijakan akses bersyarkat).

Ringkasan profil tingkat keamanan

Panduan ini menyiapkan semua profil untuk ketiga tingkat keamanan dan harus diberi peran organisasi Anda berdasarkan panduan tingkat keamanan akses Istimewa . Microsoft merekomendasikan untuk mengonfigurasinya dalam urutan yang dijelaskan dalam rencana modernisasi cepat (RAMP)

Persyaratan lisensi

Konsep yang tercakup dalam panduan ini mengasumsikan Anda memiliki Microsoft 365 Enterprise E5 atau SKU yang setara. Beberapa rekomendasi dalam panduan ini dapat diimplementasikan dengan SKU yang lebih rendah. Untuk informasi selengkapnya, lihat lisensi Microsoft 365 Enterprise.

Untuk mengotomatiskan provisi lisensi, pertimbangkan lisensi berbasis grup untuk pengguna Anda.

Konfigurasi Azure Active Directory

Azure Active Directory (Azure AD) mengelola pengguna, grup, dan perangkat untuk stasiun kerja administrator Anda. Aktifkan layanan dan fitur identitas dengan akun administrator.

Saat membuat akun administrator stasiun kerja aman, Anda mengekspos akun ke stasiun kerja Anda saat ini. Pastikan Anda menggunakan perangkat aman yang diketahui untuk melakukan konfigurasi awal ini dan semua konfigurasi global. Untuk mengurangi paparan serangan untuk pengalaman pertama kali, pertimbangkan untuk mengikuti panduan untuk mencegah infeksi malware.

Memerlukan autentikasi multifaktor, setidaknya untuk administrator Anda. Lihat Akses Bersyarat: Memerlukan MFA untuk administrator untuk panduan implementasi.

Azure AD pengguna dan grup

  1. Dari portal Azure, telusuri penggunaBaruPengguna>Azure Active Directory>.

  2. Buat pengguna perangkat Anda dengan mengikuti langkah-langkah dalam tutorial membuat pengguna.

  3. Masuk:

    • Nama - Administrator Stasiun Kerja Aman
    • Nama pengguna - secure-ws-user@contoso.com
    • Peran direktori - Administrator terbatas dan pilih peran Administrator Intune.
    • Lokasi Penggunaan - Misalnya Inggris Raya, atau lokasi yang Anda inginkan membentuk daftar.
  4. Pilih Buat.

Buat pengguna administrator perangkat Anda.

  1. Masuk:

    • Nama - Administrator Stasiun Kerja Aman
    • Nama pengguna - secure-ws-admin@contoso.com
    • Peran direktori - Administrator terbatas dan pilih peran Administrator Intune.
    • Lokasi Penggunaan - Misalnya Inggris Raya, atau lokasi yang Anda inginkan membentuk daftar.
  2. Pilih Buat.

Selanjutnya, Anda membuat empat grup: Pengguna Stasiun Kerja Aman, Admin Stasiun Kerja Aman, BreakGlass Darurat , dan Perangkat Stasiun Kerja Aman.

Dari portal Azure, telusuri ke Grup Azure Active Directory>Grup>baru.

  1. Untuk grup pengguna stasiun kerja, Anda mungkin ingin mengonfigurasi lisensi berbasis grup untuk mengotomatiskan provisi lisensi kepada pengguna.

  2. Untuk grup pengguna stasiun kerja, masukkan:

    • Jenis grup - Keamanan
    • Nama grup - Pengguna Stasiun Kerja Aman
    • Jenis keanggotaan - Ditetapkan
  3. Tambahkan pengguna stasiun kerja aman Anda: secure-ws-user@contoso.com

  4. Anda dapat menambahkan pengguna lain yang akan menggunakan stasiun kerja yang aman.

  5. Pilih Buat.

  6. Untuk grup Admin Stasiun Kerja Istimewa, masukkan:

    • Jenis grup - Keamanan
    • Nama grup - Admin Stasiun Kerja Aman
    • Jenis keanggotaan - Ditetapkan
  7. Tambahkan pengguna stasiun kerja aman Anda: secure-ws-admin@contoso.com

  8. Anda dapat menambahkan pengguna lain yang akan mengelola stasiun kerja yang aman.

  9. Pilih Buat.

  10. Untuk grup BreakGlass Darurat, masukkan:

    • Jenis grup - Keamanan
    • Nama grup - BreakGlass Darurat
    • Jenis keanggotaan - Ditetapkan
  11. Pilih Buat.

  12. Tambahkan akun Akses Darurat ke grup ini.

  13. Untuk grup perangkat stasiun kerja, masukkan:

    • Jenis grup - Keamanan
    • Nama grup - Stasiun Kerja Aman
    • Jenis keanggotaan - Perangkat Dinamis
    • Aturan Keanggotaan Dinamis - (device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")
  14. Pilih Buat.

Azure AD konfigurasi perangkat

Tentukan siapa yang dapat bergabung dengan perangkat untuk Azure AD

Konfigurasikan pengaturan perangkat Anda di Direktori Aktif untuk memungkinkan grup keamanan administratif Anda bergabung dengan perangkat ke domain Anda. Untuk mengonfigurasi pengaturan ini dari portal Azure:

  1. Buka Azure Active Directory>Perangkat>Pengaturan perangkat.
  2. Pilih Dipilih di bawah Pengguna dapat bergabung dengan perangkat untuk Azure AD, lalu pilih grup "Pengguna Stasiun Kerja Aman".

Menghapus hak admin lokal

Metode ini mengharuskan pengguna stasiun kerja VIP, DevOps, dan Privileged tidak memiliki hak administrator pada komputer mereka. Untuk mengonfigurasi pengaturan ini dari portal Azure:

  1. Buka Azure Active Directory>Perangkat>Pengaturan perangkat.
  2. Pilih Tidak Ada di bawah Administrator lokal tambahan di Azure AD perangkat yang bergabung.

Lihat Cara mengelola grup administrator lokal di Azure AD perangkat yang bergabung untuk detail tentang cara mengelola anggota grup administrator lokal.

Memerlukan autentikasi multifaktor untuk menggabungkan perangkat

Untuk lebih memperkuat proses bergabung dengan perangkat ke Azure AD:

  1. Buka Azure Active Directory>Perangkat>Pengaturan perangkat.
  2. Pilih Ya di bawah Perlu Autentikasi Multifaktor untuk menggabungkan perangkat.
  3. Pilih Simpan.

Mengonfigurasi manajemen perangkat seluler

Dari portal Microsoft Azure:

  1. Telusuri ke Azure Active Directory>Mobility (MDM dan MAM)>Microsoft Intune.
  2. Ubah pengaturan cakupan pengguna MDM ke Semua.
  3. Pilih Simpan.

Langkah-langkah ini memungkinkan Anda mengelola perangkat apa pun dengan Microsoft Endpoint Manager. Untuk informasi selengkapnya, lihat mulai cepat Intune: Menyiapkan pendaftaran otomatis untuk perangkat Windows 10. Anda membuat kebijakan konfigurasi dan kepatuhan Intune di langkah mendatang.

Akses Bersyarat Azure AD

Azure AD Akses Bersyarkat dapat membantu membatasi tugas administratif istimewa ke perangkat yang sesuai. Anggota grup Pengguna Stasiun Kerja Aman yang telah ditentukan sebelumnya diperlukan untuk melakukan autentikasi multifaktor saat masuk ke aplikasi cloud. Praktik terbaik adalah mengecualikan akun akses darurat dari kebijakan. Untuk informasi selengkapnya, lihat Mengelola akun akses darurat di Azure AD.

Akses Bersyarkat hanya memungkinkan kemampuan stasiun kerja aman untuk mengakses portal Azure

Organisasi harus memblokir Pengguna Istimewa agar tidak dapat terhubung ke antarmuka manajemen cloud, portal, dan PowerShell, dari perangkat non-PAW.

Untuk memblokir perangkat yang tidak sah agar tidak dapat mengakses antarmuka manajemen cloud, ikuti panduan dalam artikel Akses Bersyarah: Filter untuk Perangkat (pratinjau). Sangat penting bahwa saat menyebarkan fitur ini, Anda mempertimbangkan, fungsionalitas akun akses darurat . Akun-akun ini harus digunakan hanya untuk kasus ekstrem dan akun yang dikelola melalui kebijakan.

Catatan

Anda harus membuat grup pengguna, dan menyertakan pengguna darurat Anda yang dapat melewati kebijakan Akses Bersyarah. Untuk contoh kami, kami memiliki kelompok keamanan yang disebut Emergency BreakGlass

Kumpulan kebijakan ini akan memastikan bahwa Administrator Anda harus menggunakan perangkat yang dapat menyajikan nilai atribut perangkat tertentu, bahwa MFA terpenuhi, dan perangkat ditandai sebagai sesuai oleh Microsoft Endpoint Manager dan Pertahanan Microsoft untuk Titik Akhir.

Organisasi juga harus mempertimbangkan untuk memblokir protokol autentikasi warisan di lingkungan mereka. Ada beberapa cara untuk menyelesaikan tugas ini, untuk informasi selengkapnya tentang memblokir protokol autentikasi warisan, lihat artikel, Cara: Memblokir autentikasi warisan untuk Azure AD dengan Akses Bersyarah.

Konfigurasi Microsoft Intune

Pendaftaran perangkat menolak BYOD

Dalam sampel kami, sebaiknya perangkat BYOD tidak diizinkan. Menggunakan pendaftaran Intune BYOD memungkinkan pengguna untuk mendaftarkan perangkat yang kurang, atau tidak tepercaya. Namun penting untuk dicatat bahwa dalam organisasi yang memiliki anggaran terbatas untuk membeli perangkat baru, ingin menggunakan armada perangkat keras yang ada, atau mempertimbangkan perangkat non-windows, mungkin mempertimbangkan kemampuan BYOD di Intune untuk menyebarkan profil Enterprise.

Panduan berikut akan mengonfigurasi Pendaftaran untuk penyebaran yang akan menolak akses BYOD.

Mengatur pembatasan pendaftaran yang mencegah BYOD

  1. Di pusat admin Microsoft Endpoint Manager, pilih >Pembatasan> Pendaftaran Perangkat> pilih pembatasan default Semua Pengguna
  2. Pilih Pengaturan Platform Properti>Edit
  3. Pilih Blokir untuk Semua jenis, kecuali Windows MDM.
  4. Pilih Blokir untuk semua item milik pribadi.

Membuat profil penyebaran Autopilot

Setelah membuat grup perangkat, Anda harus membuat profil penyebaran untuk mengonfigurasi perangkat Autopilot.

  1. Di pusat admin Microsoft Endpoint Manager, pilihProfil> Penyebaranpendaftaran> Windows pendaftaran> perangkatBuat Profil.

  2. Masuk:

    • Nama - Profil penyebaran stasiun kerja yang aman.
    • Deskripsi - Penyebaran stasiun kerja yang aman.
    • Atur Konversi semua perangkat yang ditargetkan ke Autopilot ke Ya. Pengaturan ini memastikan bahwa semua perangkat dalam daftar terdaftar dengan layanan penyebaran Autopilot. Tunggu 48 jam agar pendaftaran diproses.
  3. Pilih Selanjutnya.

    • Untuk Mode penyebaran, pilih Penyebaran Mandiri (Pratinjau). Perangkat dengan profil ini dikaitkan dengan pengguna yang mendaftarkan perangkat. Selama penyebaran, disarankan untuk menggunakan fitur mode Self-Deployment untuk menyertakan:
      • Mendaftarkan perangkat dalam pendaftaran MDM otomatis Intune Azure AD, dan hanya memungkinkan perangkat diakses hingga semua kebijakan, aplikasi, sertifikat, dan profil jaringan disediakan di perangkat.
      • Kredensial pengguna diperlukan untuk mendaftarkan perangkat. Penting untuk dicatat bahwa menyebarkan perangkat dalam mode Penyebaran Mandiri akan memungkinkan Anda untuk menyebarkan laptop dalam model bersama. Tidak ada penugasan pengguna yang akan terjadi sampai perangkat ditetapkan ke pengguna untuk pertama kalinya. Akibatnya, setiap kebijakan pengguna seperti BitLocker tidak akan diaktifkan sampai penetapan pengguna selesai. Untuk informasi selengkapnya tentang cara masuk ke perangkat aman, lihat profil yang dipilih.
    • Pilih Bahasa (Wilayah) Anda, Standar jenis akun pengguna.
  4. Pilih Selanjutnya.

    • Pilih tag cakupan jika Anda telah mengonfigurasinya sebelumnya.
  5. Pilih Selanjutnya.

  6. Pilih Penetapan>Tetapkan ke>Grup yang Dipilih. Di Pilih grup untuk disertakan, pilih Stasiun Kerja Aman.

  7. Pilih Selanjutnya.

  8. Pilih Buat untuk membuat profil. Profil penyebaran Autopilot sekarang tersedia untuk ditetapkan ke perangkat.

Pendaftaran perangkat di Autopilot memberikan pengalaman pengguna yang berbeda berdasarkan jenis dan peran perangkat. Dalam contoh penyebaran kami, kami mengilustrasikan model di mana perangkat aman disebarkan secara massal dan dapat dibagikan, tetapi ketika digunakan untuk pertama kalinya, perangkat ditetapkan untuk pengguna. Untuk informasi selengkapnya, lihat Intune pendaftaran perangkat Autopilot.

Halaman Status Pendaftaran

Halaman Status Pendaftaran (ESP) menampilkan kemajuan provisi setelah perangkat baru terdaftar. Untuk memastikan bahwa perangkat dikonfigurasi sepenuhnya sebelum digunakan, Intune menyediakan sarana untuk Memblokir penggunaan perangkat hingga semua aplikasi dan profil diinstal.

Membuat dan menetapkan profil halaman status pendaftaran

  1. Di pusat admin Microsoft Endpoint Manager, pilihProfil BuatHalaman> Status Pendaftaran PendaftaranWindowsPerangkat>Windows>>.
  2. Berikan Nama dan Deskripsi.
  3. Pilih Buat.
  4. Pilih profil baru di daftar Halaman Status Pendaftaran .
  5. Atur Tampilkan kemajuan penginstalan profil aplikasi ke Ya.
  6. Atur Blokir penggunaan perangkat hingga semua aplikasi dan profil diinstal ke Ya.
  7. Pilih Penugasan>Pilih grup> pilih Secure Workstation grup >Pilih>Simpan.
  8. Pilih Pengaturan> pilih pengaturan yang ingin Anda terapkan ke profil > ini Simpan.

Mengonfigurasi Windows Update

Menjaga Windows 10 terbaru adalah salah satu hal terpenting yang dapat Anda lakukan. Untuk mempertahankan Windows dalam status aman, Anda menyebarkan cincin pembaruan untuk mengelola kecepatan pembaruan diterapkan ke stasiun kerja.

Panduan ini merekomendasikan agar Anda membuat cincin pembaruan baru dan mengubah pengaturan default berikut:

  1. Di pusat admin Microsoft Endpoint Manager, pilihPembaruan>Perangkat Lunak Windows 10>Perbarui Cincin.

  2. Masuk:

    • Nama - Pembaruan stasiun kerja yang dikelola Azure
    • Saluran layanan - Saluran semi-tahunan
    • Penangguhan pembaruan kualitas (hari) - 3
    • Periode penahanan pembaruan fitur (hari) - 3
    • Perilaku pembaruan otomatis - Penginstalan dan reboot otomatis tanpa kontrol pengguna akhir
    • Memblokir pengguna menjeda pembaruan Windows - Blokir
    • Mewajibkan persetujuan pengguna untuk memulai ulang di luar jam kerja - Diperlukan
    • Izinkan pengguna untuk menghidupkan ulang (memulai ulang yang terlibat) - Diperlukan
    • Transisi pengguna ke mulai ulang yang terlibat setelah hidupkan ulang otomatis (hari) - 3
    • Tunda pengingat hidupkan ulang yang terlibat (hari) - 3
    • Atur tenggat waktu untuk mulai ulang tertunda (hari) - 3
  3. Pilih Buat.

  4. Pada tab Penugasan , tambahkan grup Stasiun Kerja Aman .

Untuk informasi selengkapnya tentang kebijakan Windows Update, lihat Kebijakan CSP - Pembaruan.

integrasi Pertahanan Microsoft untuk Titik Akhir Intune

Pertahanan Microsoft untuk Titik Akhir dan Microsoft Intune bekerja sama untuk membantu mencegah pelanggaran keamanan. Mereka juga dapat membatasi dampak pelanggaran. Kemampuan ATP menyediakan deteksi ancaman real-time serta memungkinkan audit dan pengelogan ekstensif perangkat titik akhir.

Untuk mengonfigurasi integrasi Pertahanan Windows untuk Titik Akhir dan Microsoft Endpoint Manager:

  1. Di pusat admin Microsoft Endpoint Manager, pilih Keamanan> Titik AkhirMICROSOFT Defender ATP.

  2. Di langkah 1 di bawah Mengonfigurasi Pertahanan Windows ATP, pilih Sambungkan Pertahanan Windows ATP untuk Microsoft Intune di Pertahanan Windows Security Center.

  3. Di Pertahanan Windows Security Center:

    1. Pilih Pengaturan>Fitur tingkat lanjut.
    2. Untuk koneksi Microsoft Intune, pilih Aktif.
    3. Pilih Simpan preferensi.
  4. Setelah koneksi dibuat, kembali ke Microsoft Endpoint Manager dan pilih Refresh di bagian atas.

  5. Atur Sambungkan perangkat Windows versi (20H2) 19042.450 ke atas ke Pertahanan Windows ATP ke Aktif.

  6. Pilih Simpan.

Membuat profil konfigurasi perangkat untuk onboarding perangkat Windows

  1. Masuk ke pusat admin Microsoft Endpoint Manager, pilihDeteksi dan respons> Titik akhir keamanan> Titik akhirBuat profil.

  2. Untuk Platform, pilih Windows 10 dan Kemudian.

  3. Untuk Jenis profil, pilih Deteksi dan respons titik akhir, lalu pilih Buat.

  4. Pada halaman Dasar , masukkan PAW - Pertahanan untuk Titik Akhir di bidang Nama dan Deskripsi (opsional) untuk profil, lalu pilih Berikutnya.

  5. Pada halaman Pengaturan konfigurasi , konfigurasikan opsi berikut ini di Deteksi dan Respons Titik Akhir:

  6. Pilih Berikutnya untuk membuka halaman Tag cakupan . Tag cakupan bersifat opsional. Pilih Berikutnya untuk melanjutkan.

  7. Pada halaman Penugasan , pilih Grup Stasiun Kerja Aman . Untuk informasi selengkapnya tentang menetapkan profil, lihat Menetapkan profil pengguna dan perangkat.

    Pilih Selanjutnya.

  8. Pada halaman Tinjau + buat , setelah selesai, pilih Buat. Profil baru ditampilkan dalam daftar saat Anda memilih jenis kebijakan untuk profil yang Anda buat. OK, lalu Buat untuk menyimpan perubahan Anda, yang membuat profil.

Untuk informasi selengkapnya, lihat Pertahanan Windows Perlindungan Ancaman Tingkat Lanjut.

Menyelesaikan pengerasan profil stasiun kerja

Agar berhasil menyelesaikan pengerasan solusi, unduh dan jalankan skrip yang sesuai. Temukan tautan unduhan untuk tingkat profil yang Anda inginkan:

Profil Lokasi unduhan Filename
Perusahaan https://aka.ms/securedworkstationgit Enterprise-Workstation-Windows10-(20H2).ps1
Khusus https://aka.ms/securedworkstationgit Khusus - Windows10-(20H2).ps1
Istimewa https://aka.ms/securedworkstationgit Privileged-Windows10-(20H2).ps1

Catatan

Penghapusan hak dan akses admin, serta kontrol eksekusi Aplikasi (AppLocker) dikelola oleh profil kebijakan yang disebarkan.

Setelah skrip berhasil dijalankan, Anda dapat membuat pembaruan pada profil dan kebijakan di Intune. Skrip akan membuat kebijakan dan profil untuk Anda, tetapi Anda harus menetapkan kebijakan ke grup perangkat Secure Workstations Anda.

  • Di sinilah Anda dapat menemukan profil konfigurasi perangkat Intune yang dibuat oleh skrip: portal Azure>Microsoft Intune>Profilkonfigurasi> perangkat.
  • Di sinilah Anda dapat menemukan kebijakan kepatuhan perangkat Intune yang dibuat oleh skrip: portal Azure>Microsoft Intune>Keamanan> Perangkat.

Jalankan skrip DeviceConfiguration_Export.ps1 ekspor data Intune dari repositori GitHub DeviceConfiguration untuk mengekspor semua profil Intune saat ini untuk perbandingan, dan evaluasi profil.

Menetapkan aturan di Profil Konfigurasi Perlindungan Titik Akhir untuk Microsoft Defender Firewall

Pertahanan Windows Pengaturan kebijakan Firewall disertakan dalam Profil Konfigurasi Perlindungan Titik Akhir. Perilaku kebijakan yang diterapkan dalam dijelaskan dalam tabel di bawah ini.

Profil Aturan Masuk Aturan Keluar Perilaku gabungan
Perusahaan Blokir Izinkan Izinkan
Khusus Blokir Izinkan Blokir
Istimewa Blokir Blokir Blokir

Perusahaan: Konfigurasi ini adalah yang paling permisif karena mencerminkan perilaku default Penginstalan Windows. Semua lalu lintas masuk diblokir kecuali untuk aturan yang secara eksplisit didefinisikan dalam aturan kebijakan lokal karena penggabungan aturan lokal diatur ke diizinkan. Semua lalu lintas keluar diizinkan.

Khusus: Konfigurasi ini lebih ketat karena mengabaikan semua aturan yang ditentukan secara lokal pada perangkat. Semua lalu lintas masuk diblokir termasuk aturan yang ditentukan secara lokal, kebijakan mencakup dua aturan untuk memungkinkan Pengoptimalan Pengiriman berfungsi seperti yang dirancang. Semua lalu lintas keluar diizinkan.

Istimewa: Semua lalu lintas masuk diblokir termasuk aturan yang ditentukan secara lokal, kebijakan mencakup dua aturan untuk memungkinkan Pengoptimalan Pengiriman berfungsi seperti yang dirancang. Lalu lintas keluar juga diblokir selain dari aturan eksplisit yang memungkinkan lalu lintas DNS, DHCP, NTP, NSCI, HTTP, dan HTTPS. Konfigurasi ini tidak hanya mengurangi permukaan serangan yang disajikan oleh perangkat ke jaringan yang membatasi koneksi keluar yang dapat dibuat perangkat hanya untuk koneksi yang diperlukan untuk mengelola layanan cloud.

Aturan Arah Tindakan Aplikasi /Layanan Protokol Port Lokal Port Jarak Jauh
World Wide Web Services (HTTP Traffic-out) Keluar Izinkan Semua TCP Semua port 80
Layanan World Wide Web (Lalu Lintas HTTPS Habis) Keluar Izinkan Semua TCP Semua port 443
Jaringan Inti - Protokol Konfigurasi Host Dinamis untuk IPv6(DHCPV6-Out) Keluar Izinkan %SystemRoot%\system32\svchost.exe TCP 546 547
Jaringan Inti - Protokol Konfigurasi Host Dinamis untuk IPv6(DHCPV6-Out) Keluar Izinkan Dhcp TCP 546 547
Jaringan Inti - Protokol Konfigurasi Host Dinamis untuk IPv6(DHCP-Out) Keluar Izinkan %SystemRoot%\system32\svchost.exe TCP 68 67
Jaringan Inti - Protokol Konfigurasi Host Dinamis untuk IPv6(DHCP-Out) Keluar Izinkan Dhcp TCP 68 67
Jaringan Inti - DNS (UDP-Out) Keluar Izinkan %SystemRoot%\system32\svchost.exe UDP Semua Port 53
Jaringan Inti - DNS (UDP-Out) Keluar Izinkan Dnscache UDP Semua Port 53
Jaringan Inti - DNS (TCP-Out) Keluar Izinkan %SystemRoot%\system32\svchost.exe TCP Semua Port 53
Jaringan Inti - DNS (TCP-Out) Keluar Izinkan Dnscache TCP Semua Port 53
Pemeriksaan NSCI (TCP-Out) Keluar Izinkan %SystemRoot%\system32\svchost.exe TCP Semua port 80
Probe NSCI - DNS (TCP-Out) Keluar Izinkan NlaSvc TCP Semua port 80
Waktu Windows (UDP-Out) Keluar Izinkan %SystemRoot%\system32\svchost.exe TCP Semua port 80
Windows Time Probe - DNS (UDP-Out) Keluar Izinkan W32Time UDP Semua port 123
Pengoptimalan Pengiriman (TCP-In) Masuk Bolehkan %SystemRoot%\system32\svchost.exe TCP 7680 Semua port
Pengoptimalan Pengiriman (TCP-In) Masuk Bolehkan DoSvc TCP 7680 Semua port
Pengoptimalan Pengiriman (UDP-In) Masuk Bolehkan %SystemRoot%\system32\svchost.exe UDP 7680 Semua port
Pengoptimalan Pengiriman (UDP-In) Masuk Bolehkan DoSvc UDP 7680 Semua port

Catatan

Ada dua aturan yang ditentukan untuk setiap aturan dalam konfigurasi Microsoft Defender Firewall. Untuk membatasi aturan masuk dan keluar ke Layanan Windows, misalnya Klien DNS, baik nama layanan, DNSCache, dan jalur yang dapat dieksekusi, C:\Windows\System32\svchost.exe, perlu didefinisikan sebagai aturan terpisah daripada satu aturan yang dimungkinkan menggunakan Kebijakan Grup.

Anda dapat membuat perubahan tambahan pada manajemen aturan masuk dan keluar sesuai kebutuhan untuk layanan yang diizinkan dan diblokir. Untuk informasi selengkapnya, lihat Layanan konfigurasi firewall.

Proksi kunci URL

Manajemen lalu lintas URL pembatasan meliputi:

  • Tolak Semua lalu lintas keluar kecuali layanan Azure dan Microsoft yang dipilih termasuk Azure Cloud Shell dan kemampuan untuk memungkinkan pengaturan ulang kata sandi mandiri.
  • Profil Istimewa membatasi titik akhir di internet yang dapat disambungkan perangkat menggunakan konfigurasi Proksi Kunci URL berikut.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

Titik akhir yang tercantum dalam daftar ProxyOverride terbatas pada titik akhir yang diperlukan untuk mengautentikasi ke Azure AD dan mengakses antarmuka manajemen Azure atau Office 365. Untuk memperluas ke layanan cloud lainnya, tambahkan URL administrasi mereka ke daftar. Pendekatan ini dirancang untuk membatasi akses ke internet yang lebih luas untuk melindungi pengguna istimewa dari serangan berbasis internet. Jika pendekatan ini dianggap terlalu ketat, maka pertimbangkan untuk menggunakan pendekatan yang dijelaskan di bawah ini untuk peran istimewa.

Aktifkan Microsoft Cloud Application Security, daftar URL yang dibatasi untuk URL yang disetujui (Izinkan sebagian besar)

Dalam penyebaran peran kami, disarankan agar untuk penyebaran Enterprise, dan Specialized, di mana penolakan ketat semua penjelajahan web tidak diinginkan, yang menggunakan kemampuan broker keamanan akses cloud (CASB) seperti Microsoft Defender for Cloud Apps digunakan untuk memblokir akses ke situs web yang berisiko, dan dipertanyakan. Solusi ini membahas cara sederhana untuk memblokir aplikasi dan situs web yang telah dikumpulkan. Solusi ini mirip dengan mendapatkan akses ke daftar blokir dari situs seperti Proyek Spamhaus yang mempertahankan Daftar BlokIr Domain (DBL): sumber daya yang baik untuk digunakan sebagai sekumpulan aturan lanjutan yang akan diterapkan untuk memblokir situs.

Solusinya akan memberi Anda:

  • Visibilitas: mendeteksi semua layanan cloud; menetapkan setiap peringkat risiko; mengidentifikasi semua pengguna dan aplikasi pihak ketiga yang dapat masuk
  • Keamanan data: mengidentifikasi dan mengontrol informasi sensitif (DLP); menanggapi label klasifikasi pada konten
  • Perlindungan ancaman: menawarkan kontrol akses adaptif (AAC); memberikan analisis perilaku pengguna dan entitas (UEBA); mengurangi malware
  • Kepatuhan: menyediakan laporan dan dasbor untuk menunjukkan tata kelola cloud; membantu upaya untuk menyesuaikan dengan persyaratan residensi data dan kepatuhan terhadap peraturan

Aktifkan Aplikasi Defender for Cloud dan sambungkan ke Defender ATP untuk memblokir akses URL berisiko:

  • Di pengaturan> Pusat Keamanan Pertahanan Microsoft > Fitur lanjutan, atur integrasi > Microsoft Defender for Cloud Apps AKTIF
  • Di pengaturan> Pusat Keamanan Pertahanan Microsoft > Fitur tingkat lanjut, atur Indikator > jaringan kustom AKTIF
  • Di portal> Microsoft Defender for Cloud Apps Pengaturan > integrasi > ATP Pertahanan Microsoft Pilih Blokir aplikasi yang tidak disanksi

Mengelola aplikasi lokal

Stasiun kerja yang aman berpindah ke keadaan yang benar-benar mengeras ketika aplikasi lokal dihapus, termasuk aplikasi produktivitas. Di sini, Anda menambahkan Visual Studio Code untuk mengizinkan koneksi ke Azure DevOps for GitHub untuk mengelola repositori kode.

Mengonfigurasi Company Portal untuk aplikasi kustom Anda

Salinan Company Portal yang dikelola Intune memberi Anda akses sesuai permintaan ke alat tambahan yang dapat Anda dorong ke pengguna stasiun kerja aman.

Dalam mode aman, penginstalan aplikasi dibatasi untuk aplikasi terkelola yang dikirimkan oleh Company Portal. Namun, menginstal Company Portal memerlukan akses ke Microsoft Store. Dalam solusi aman, Anda menambahkan dan menetapkan aplikasi Windows 10 Company Portal untuk perangkat yang disediakan Autopilot.

Catatan

Pastikan Anda menetapkan aplikasi Company Portal ke grup Tag Perangkat Stasiun Kerja Aman yang digunakan untuk menetapkan profil Autopilot.

Menyebarkan aplikasi menggunakan Intune

Dalam beberapa situasi, aplikasi seperti Microsoft Visual Studio Code diperlukan di stasiun kerja yang aman. Contoh berikut ini menyediakan instruksi untuk menginstal Microsoft Visual Studio Code kepada pengguna di grup keamanan Pengguna Stasiun Kerja Aman.

Visual Studio Code disediakan sebagai paket EXE sehingga perlu dikemas sebagai .intunewin file format untuk penyebaran menggunakan Microsoft Endpoint Manager menggunakan Alat Persiapan Konten Microsoft Win32.

Unduh Alat Persiapan Konten Microsoft Win32 secara lokal ke stasiun kerja dan salin ke direktori untuk pengemasan, misalnya, C:\Packages. Kemudian buat direktori Sumber dan Output di bawah C:\Packages.

Paket microsoft Visual Studio Code

  1. Unduh Visual Studio Code penginstal offline untuk Windows 64-bit.
  2. Salin file exe Visual Studio Code yang diunduh keC:\Packages\Source
  3. Buka konsol PowerShell dan navigasi ke C:\Packages
  4. Ketikkan .\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1
  5. Ketik Y untuk membuat folder output baru. File intunewin untuk Visual Studio Code akan dibuat di folder ini.

Unggah Visual Studio Code ke Microsoft Endpoint Manager

  1. Di pusat admin Microsoft Endpoint Manager, telusuri Aplikasi> yangDitambahkanWindows>
  2. Di bawah Pilih jenis aplikasi, pilih aplikasi Windows (Win32)
  3. Klik Pilih file paket aplikasi, klik Pilih file, lalu pilih VSCodeUserSetup-x64-1.51.1.intunewin dari C:\Packages\Output\VSCodeUserSetup-x64-1.51.1. Klik OK
  4. Masukkan Visual Studio Code 1.51.1 di bidang Nama
  5. Masukkan deskripsi untuk Visual Studio Code di bidang Deskripsi
  6. Masukkan Microsoft Corporation di Bidang Penerbit
  7. Unduh https://jsarray.com/images/page-icons/visual-studio-code.png dan pilih gambar untuk logo. Pilih Selanjutnya
  8. Masukkan VSCodeSetup-x64-1.51.1.exe /SILENT di bidang perintah Instal
  9. Masukkan C:\Program Files\Microsoft VS Code\unins000.exe di bidang perintah Hapus instalan
  10. Pilih Tentukan perilaku berdasarkan kode pengembalian dari daftar dropdown Perilaku hidupkan ulang perangkat . Pilih Selanjutnya
  11. Pilih 64-bit dari dropdown kotak centang Arsitektur sistem operasi
  12. Pilih Windows 10 1903 dari menu dropdown Kotak centang sistem operasi minimum. Pilih Selanjutnya
  13. Pilih Konfigurasi aturan deteksi secara manual dari daftar dropdown Format aturan
  14. Klik Tambahkan lalu pilih File dari dropdown Jenis aturan
  15. Masukkan C:\Program Files\Microsoft VS Code di bidang Jalur
  16. Masukkan unins000.exe di bidang File atau folder
  17. Pilih File atau folder ada dari daftar dropdown, Pilih OK lalu pilih Berikutnya
  18. Pilih Berikutnya karena tidak ada dependensi pada paket ini
  19. Pilih Tambahkan Grup di bawah Tersedia untuk perangkat terdaftar, tambahkan grup Pengguna Istimewa. Klik Pilih untuk mengonfirmasi grup. Pilih Selanjutnya
  20. Klik Buat

Menggunakan PowerShell untuk membuat aplikasi dan pengaturan kustom

Ada beberapa pengaturan konfigurasi yang kami sarankan, termasuk dua rekomendasi Defender for Endpoint, yang harus diatur menggunakan PowerShell. Perubahan konfigurasi ini tidak dapat diatur melalui kebijakan dalam Intune.

Anda juga dapat menggunakan PowerShell untuk memperluas kemampuan manajemen host. Skrip PAW-DeviceConfig.ps1 dari GitHub adalah contoh skrip yang mengonfigurasi pengaturan berikut:

  • Menghapus Internet Explorer
  • Menghapus PowerShell 2.0
  • Menghapus Pemutar Media Windows
  • Menghapus Klien Folder Kerja
  • Menghapus Pencetakan XPS
  • Mengaktifkan dan mengonfigurasi Hibernate
  • Menerapkan perbaikan registri untuk mengaktifkan pemrosesan aturan DLL AppLocker
  • Menerapkan pengaturan registri untuk dua rekomendasi Pertahanan Microsoft untuk Titik Akhir yang tidak dapat diatur menggunakan Endpoint Manager.
    • Mengharuskan pengguna untuk meningkatkan saat mengatur lokasi jaringan
    • Mencegah penyimpanan kredensial jaringan
  • Nonaktifkan Wizard Lokasi Jaringan - mencegah pengguna mengatur lokasi jaringan sebagai Privat dan karenanya meningkatkan permukaan serangan yang terekspos di Windows Firewall
  • Mengonfigurasi Waktu Windows untuk menggunakan NTP dan mengatur layanan Waktu Otomatis ke Otomatis
  • Mengunduh dan mengatur latar belakang desktop ke gambar tertentu untuk dengan mudah mengidentifikasi perangkat sebagai stasiun kerja yang siap digunakan dan istimewa.

Skrip PAW-DeviceConfig.ps1 dari GitHub.

  1. Unduh skrip [PAW-DeviceConfig.ps1] ke perangkat lokal.
  2. Telusuri ke portal Azure>Microsoft Intune>Tambahkan skrip >PowerShellkonfigurasi > Perangkat. vProvide Nama untuk skrip dan tentukan lokasi Skrip.
  3. Pilih Konfigurasikan.
    1. Atur Jalankan skrip ini menggunakan kredensial yang masuk ke Tidak.
    2. PilihOK.
  4. Pilih Buat.
  5. Pilih Penugasan>Pilih grup.
    1. Tambahkan grup keamanan Secure Workstations.
    2. Pilih Simpan.

Memvalidasi dan menguji penyebaran Anda dengan perangkat pertama Anda

Pendaftaran ini mengasumsikan bahwa Anda akan menggunakan perangkat komputasi fisik. Disarankan agar sebagai bagian dari proses pengadaan bahwa OEM, Reseller, distributor, atau mitra mendaftarkan perangkat di Windows Autopilot.

Namun untuk pengujian dimungkinkan untuk berdiri Virtual Machines sebagai skenario pengujian. Namun, perhatikan pendaftaran perangkat yang bergabung secara pribadi perlu direvisi untuk memungkinkan metode bergabung dengan klien ini.

Metode ini berfungsi untuk Virtual Machines atau perangkat fisik yang sebelumnya belum terdaftar.

  1. Mulai perangkat dan tunggu dialog nama pengguna disajikan
  2. Tekan SHIFT + F10 untuk menampilkan perintah
  3. Ketik PowerShell, tekan Enter
  4. Ketik Set-ExecutionPolicy RemoteSigned, tekan Enter
  5. Ketik Install-Script GetWindowsAutopilotInfo, tekan Enter
  6. Ketik Y dan klik Enter untuk menerima perubahan lingkungan PATH
  7. Ketik Y dan klik Enter untuk menginstal penyedia NuGet
  8. Ketik Y untuk mempercayai repositori
  9. Ketik Jalankan Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv
  10. Menyalin CSV dari Komputer Virtual atau perangkat Fisik

Mengimpor perangkat ke Autopilot

  1. Di pusat admin Microsoft Endpoint Manager, buka Perangkat>Windows Devices>Windows enrollment>Devices

  2. Pilih Impor dan pilih file CSV Anda.

  3. Tunggu hingga diperbarui Group Tag ke PAW dan untuk Profile Status berubah menjadi Assigned.

    Catatan

    Tag Grup digunakan oleh grup dinamis Stasiun Kerja Aman untuk menjadikan perangkat sebagai anggota grupnya,

  4. Tambahkan perangkat ke grup keamanan Secure Workstations .

  5. Pada perangkat Windows 10 yang ingin Anda konfigurasi, buka PemulihanKeamanan Pembaruan & Pengaturan>Windows.>

    1. Pilih Mulai di bawah Reset PC ini.
    2. Ikuti perintah untuk mengatur ulang dan mengonfigurasi ulang perangkat dengan kebijakan profil dan kepatuhan yang dikonfigurasi.

Setelah Anda mengonfigurasi perangkat, selesaikan tinjauan dan periksa konfigurasinya. Konfirmasikan bahwa perangkat pertama dikonfigurasi dengan benar sebelum melanjutkan penyebaran Anda.

Menetapkan perangkat

Untuk menetapkan perangkat dan pengguna, Anda perlu memetakan profil yang dipilih ke grup keamanan Anda. Semua pengguna baru yang memerlukan izin ke layanan juga harus ditambahkan ke grup keamanan.

Menggunakan Pertahanan Microsoft untuk Titik Akhir untuk memantau dan merespons insiden keamanan

  • Terus mengamati dan memantau kerentanan dan kesalahan konfigurasi
  • Memanfaatkan Pertahanan Microsoft untuk Titik Akhir untuk memprioritaskan ancaman dinamis di alam liar
  • Mendorong korelasi kerentanan dengan pemberitahuan deteksi dan respons titik akhir (EDR)
  • Gunakan dasbor untuk mengidentifikasi kerentanan tingkat komputer selama penyelidikan
  • Mendorong remediasi ke Intune

Konfigurasikan Pusat Keamanan Pertahanan Microsoft Anda. Menggunakan panduan di ringkasan dasbor Manajemen Kerentanan Ancaman&.

Memantau aktivitas aplikasi menggunakan Perburuan Ancaman Tingkat Lanjut

Mulai dari stasiun kerja Khusus, AppLocker diaktifkan untuk pemantauan aktivitas aplikasi di stasiun kerja. Secara default Pertahanan untuk Titik Akhir menangkap peristiwa AppLocker dan Kueri Perburuan Tingkat Lanjut dapat digunakan untuk menentukan aplikasi, skrip, file DLL apa yang diblokir oleh AppLocker.

Catatan

Profil stasiun kerja Khusus dan Istimewa berisi kebijakan AppLocker. Penyebaran kebijakan diperlukan untuk memantau aktivitas aplikasi pada klien.

Dari panel Pusat Keamanan Pertahanan Microsoft Perburuan Tingkat Lanjut, gunakan kueri berikut untuk mengembalikan peristiwa AppLocker

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

Pemantauan

Langkah berikutnya