Utilizar linhas de base de segurança para ajudar a proteger os dispositivos Windows que gere com o Microsoft Intune

Com as linhas de base de segurança do Microsoft Intune, pode implementar rapidamente uma postura de segurança recomendada nos seus dispositivos Windows geridos para linhas de base de segurança do Windows para o ajudar a proteger e proteger os seus utilizadores e dispositivos.

Embora o Windows e o Windows Server tenham sido projetados para serem seguros e prontos para uso, muitas organizações ainda desejam um controle mais granular sobre suas configurações de segurança. Para navegar pelo número grande de controles, as organizações geralmente buscam diretrizes sobre a como configurar vários recursos de segurança. A Microsoft fornece esta diretrizes na forma de linhas de base de segurança.

Esse recurso aplica-se a:

• Windows 10 versão 1809 e posterior
• Windows 11

Descrição geral da linha de base de segurança do Intune

Cada linha de base de segurança é um grupo de definições pré-configuradas do Windows que o ajudam a aplicar e impor definições de segurança granulares recomendadas pelas equipas de segurança relevantes. Você também pode personalizar cada linha de base implantada para impor somente as configurações e os valores necessários. Ao criar um perfil de linha de base de segurança no Intune, você está criando um modelo que consiste em vários perfis de configuração de dispositivo.

As definições em cada linha de base são definições de configuração de dispositivos, como as encontradas em várias políticas do Intune. Cada definição numa linha de base funciona com o fornecedor de serviços de configuração para o produto relevante que está presente num dispositivo Windows gerido.

Para saber mais sobre por que e quando você pode querer implantar linhas de base de segurança, consulte Linhas de base de segurança do Windows na documentação de segurança do Windows.

Implementa linhas de base de segurança em grupos de utilizadores ou dispositivos no Intune e as definições aplicam-se a dispositivos com o Windows 10 ou 11. Por exemplo, a configuração predefinida da Linha de Base de Segurança para Windows 10 e posterior ativa automaticamente o BitLocker para unidades amovíveis, requer automaticamente uma palavra-passe para desbloquear um dispositivo, desativa automaticamente a autenticação básica, etc. Quando um valor padrão não funcionar para o seu ambiente, personalize a linha de base para aplicar as configurações necessárias.

Observação

Em maio de 2023, o Intune iniciou a implementação de um novo formato de linha de base de segurança para cada nova versão de linha de base ou atualização de versão. O novo formato atualiza as definições de linha de base para tirar diretamente o nome e as opções de configuração do fornecedor de serviços de configuração (CSP) que a definição de linha de base gere.

O Intune também introduziu um novo processo para o ajudar a migrar um perfil de linha de base de segurança existente para a versão de linha de base mais recente. Este novo comportamento é um processo único que substitui o comportamento de atualização normal quando passa da versão mais recente de um perfil mais antigo para uma versão mais recente que ficou disponível em maio de 2023 ou posterior.

Vantagens da utilização de linhas de base:
As linhas de base de segurança podem ajudar você a ter um fluxo de trabalho seguro de ponta a ponta ao trabalhar com o Microsoft 365. Alguns do benefícios incluem:

• Por predefinição, cada linha de base de segurança está configurada para cumprir as melhores práticas e recomendações para as definições que afetam a segurança. O Intune tem uma parceria com a mesma equipe de segurança do Windows que cria linhas de base de segurança de política grupo. Essas recomendações tem base em orientações e numa ampla experiência.
• Se não estiver familiarizado com o Intune e não sabe por onde começar, as linhas de base de segurança dão-lhe uma vantagem. Você pode criar e implantar rapidamente um perfil de seguro, sabendo que está ajudando a proteger os recursos e dados da sua organização.
• Se utilizar atualmente a política de grupo, a migração para o Intune para gestão é mais fácil com estas linhas de base. Estas linhas de base estão incorporadas nativamente no Intune e incluem uma experiência de gestão moderna.

Predefinições em várias linhas de base:
Tipos de linha de base separados, como a linha de base de segurança mdm para Windows e a linha de base do Microsoft Defender, podem incluir as mesmas definições e utilizar valores predefinidos diferentes para essas definições. O Intune não consegue determinar qual é a melhor configuração para si ou mesmo em que ambiente ou cenário poderá querer utilizar uma recomendação predefinida de linhas de base em vez de outra:

• É importante compreender as predefinições nas linhas de base que utiliza e, em seguida, modificar cada linha de base de acordo com as suas necessidades organizacionais.
• Por predefinição, cada linha de base é pré-configurada com as recomendações específicas do produto a que se aplica.
• Em alguns casos, uma configuração que o Microsoft Defender recomenda pode não ser a configuração predefinida para definições semelhantes quando recomendada pelo Windows. Nestas situações, é importante rever cada definição para que possa compreender a sua intenção com base nos detalhes do fornecedor de serviços de configuração e no âmbito maior dos dois produtos.

Em quase todos os cenários, as predefinições nas linhas de base de segurança são as mais restritivas. Deve confirmar que estas definições não entram em conflito com outras definições de política ou funcionalidades no seu ambiente.

Por exemplo, as predefinições para a configuração da firewall podem não unir regras de segurança de ligação e regras de política local com regras de MDM. Por isso, se estiver a utilizar a otimização da entrega, deve validar estas configurações antes de atribuir a linha de base de segurança.

Observação

A Microsoft não recomenda o uso de versões prévias de linhas de base de segurança em um ambiente de produção. As configurações em uma linha de base prévia podem mudar ao longo da versão prévia.

Escopos de segurança disponíveis

As instâncias de linhas de base de segurança a seguir estão disponíveis para uso com o Intune. Use os links para exibir as configurações de instância recentes de cada linha de base.

• Linha de Base de Segurança para Windows 10 e posterior:
  • Versão 23H2
  • 2021 de novembro de 2021
  • Dezembro de 2020
  • Agosto de 2020

• Linha de base do Microsoft Defender para Endpoint:
  (Para usar essa linha de base, seu ambiente precisa atender aos pré-requisitos de uso do Microsoft Defender para Ponto de Extremidade).

  • Versão 24H1
  • Versão 6
  • Versão 5
  • Versão 4
  • Versão 3

  Observação

  A linha de base de segurança do Microsoft Defender para Ponto de Extremidade foi otimizada para dispositivos físicos e, atualmente, não é recomendada para uso em VMs (máquinas virtuais) ou pontos de extremidade VDI. Algumas configurações de linha de base podem afetar as sessões interativas remotas em ambientes virtualizados. Para obter mais informações, confira Aumentar a conformidade com a linha de base de segurança do Microsoft Defender para Ponto de Extremidade na documentação do Windows.

• Microsoft 365 Apps para Empresas:

  • Versão 2306 (linha de base do Office)Lançada em novembro de 2023
  • Maio de 2023 (linha de base do Office)

• Linha de Base do Microsoft Edge:

  • Microsoft Edge versão 117 - novembro de 2023
  • Microsoft Edge versão 112 e posterior – maio de 2023
  • Microsoft Edge versão 85 e posterior – setembro de 2020
  • Microsoft Edge versão 80 e posterior – abril de 2020
  • Pré-visualização: Microsoft Edge versão 77 e posterior - outubro de 2019

• Linha de Base de Segurança do Windows 365:

  • Versão 24H1
  • 2021 de novembro de 2021

Quando uma nova versão de um perfil fica disponível, as definições nos perfis com base nas versões mais antigas tornam-se só de leitura. Pode continuar a utilizar esses perfis mais antigos. Também pode editar os nomes de perfil, a descrição e as atribuições, mas não suportam uma alteração à configuração das definições e não pode criar novos perfis com base nas versões mais antigas.

Quando estiver pronto para utilizar a versão de linha de base mais recente, pode criar novos perfis ou atualizar os perfis existentes para a nova versão. Confira Alterar a versão de linha de base para um perfil no artigo Gerenciar perfis de linha de base de segurança.

Sobre as versões e instâncias de linha de base de segurança

Cada nova instância de versão de uma linha de base pode adicionar ou remover configurações ou introduzir outras alterações. Por exemplo, à medida que as novas definições do Windows ficam disponíveis com as novas versões do Windows 10/11, a Linha de Base de Segurança para Windows 10 e posterior poderá receber uma nova instância de versão que inclui as definições mais recentes.

Pode ver a lista de linhas de base disponíveis no centro de administração do Microsoft Intune, emLinhas de base de Segurança de Ponto> Final. A lista inclui:

• O nome de cada modelo de linha de base de segurança.
• Quantos perfis você tem que usam esse tipo de linha de base.
• Quantas instâncias (versões) separadas do tipo de linha de base estão disponíveis.
• Uma data da Última Publicação que identifica quando a versão mais recente do modelo de linha de base ficou disponível.

Para ver mais informações sobre as versões de linha de base que utiliza, selecione um tipo de linha de base, como Linha de Base de Segurança para Windows 10 e posterior , para abrir o painel Perfis e, em seguida, selecione Versões. O Intune exibe detalhes sobre as versões da linha de base que estão sendo usadas pelos seus perfis. Os detalhes incluem a versão de linha de base mais recente e atual. Escolha uma só versão para ver mais detalhes sobre os perfis que a utilizam.

Você pode optar por alterar a versão de uma linha de base em uso com um determinado perfil. Quando você altera a versão, não precisa criar um perfil de linha de base para aproveitar as versões atualizadas. Em vez disso, você pode selecionar um perfil de linha de base e usar a opção interna para alterar a versão da instância desse perfil para um novo.

Evitar conflitos

Você pode usar ao mesmo tempo uma ou mais das linhas de base disponíveis no ambiente do Intune. Também pode usar várias instâncias das mesmas linhas de base de segurança com diferentes personalizações.

Ao usar várias linhas de base de segurança, examine as configurações em cada uma para identificar quando suas configurações de linhas de base diferentes apresentam valores conflitantes para uma mesma configuração. Como é possível implantar linhas de base de segurança projetadas para diferentes intenções e implantar várias instâncias da mesma linha de base que inclui configurações personalizadas, você pode criar conflitos de configuração de dispositivos que precisam ser investigados e resolvidos.

Além disso, as linhas de base de segurança normalmente gerenciam as mesmas configurações que você pode definir nos Perfis de configuração de dispositivo ou em outros tipos de política. Por conseguinte, mantenha-se ciente e considere as suas outras políticas e perfis para definições ao procurar evitar ou resolver conflitos.

Para obter informações que o possam ajudar a identificar e resolver conflitos, consulte:

• Solucionar problemas de políticas e perfis no Intune
• Monitorar suas linhas de base de segurança

Perguntas e Respostas

Por que essas configurações?

A equipe de segurança da Microsoft tem anos de experiência trabalhando diretamente com os desenvolvedores do Windows e com a comunidade de segurança para criar essas recomendações. As configurações nessa linha de base são consideradas as opções de configuração de segurança mais relevantes. Em cada novo build do Windows, a equipe ajusta suas recomendações com base em recursos lançados recentemente.

Há alguma diferença nas recomendações para linhas de base de segurança de Windows para política de grupo versus Intune?

A mesma equipe de segurança da Microsoft escolheu e organizou as configurações para cada linha de base. O Intune inclui todas as configurações relevantes na linha de base de segurança do Intune. Há algumas configurações na linha de base de política de grupo que são específicas a um controlador de domínio local. Essas configurações são excluídas das recomendações do Intune. Todas as outras configurações são iguais.

As linhas de base de segurança do Intune são compatíveis com CIS ou NIST?

Estritamente falando, não. A equipe de segurança da Microsoft consulta organizações, como a CIS, para compilar suas recomendações. No entanto, não existe um mapeamento um-para-um entre as linhas de base "compatíveis com CIS" e a Microsoft.

Que certificações têm as linhas de base de segurança da Microsoft?

A Microsoft continua a publicar linhas de base de segurança para políticas de grupo (GPOs) e o Kit de Ferramentas de Conformidade de Segurança, como faz há muitos anos. Essas linhas de base são usadas por muitas organizações. As recomendações nessas linhas de base são provenientes do envolvimento da equipe de segurança da Microsoft com clientes corporativos e órgãos externos, incluindo o DoD (Departamento de Defesa), NIST (Instituto Nacional de Padrões e Tecnologia) e muito mais. Compartilhamos nossas recomendações e linhas de base com essas organizações. Essas organizações também têm suas próprias recomendações que refletem com maior exatidão as recomendações da Microsoft. À medida que o MDM (gerenciamento de dispositivo móvel) continua a evoluir para a nuvem, a Microsoft criou recomendações de MDM equivalentes dessas linhas de base de política de grupo. Muitas destas linhas de base estão incorporadas no Microsoft Intune e incluem relatórios de conformidade sobre utilizadores, grupos e dispositivos que seguem (ou não seguem) a linha de base.

Muitos clientes utilizam as recomendações de linha de base do Intune como ponto de partida e, em seguida, personalizam-nas para satisfazer as respetivas exigências de TI e segurança. O modelo de linha de base windows 10 e posterior da Microsoft foi a primeira linha de base a ser lançada. Esta linha de base é compilada como uma infraestrutura genérica que permite aos clientes importar eventualmente outras linhas de base de segurança com base no CIS, NIST e outros padrões.

Migrar de políticas de grupo do Active Directory no local para uma solução de cloud pura com o Microsoft Entra ID com o Microsoft Intune é um percurso. Para obter ajuda, use as várias ferramentas do Kit de Ferramentas de Conformidade de Segurança que podem ajudar você a identificar opções baseadas em nuvem de linhas de base de segurança que podem substituir suas configurações de GPO local.

Onde posso encontrar detalhes sobre como utilizar ou configurar as definições que estão disponíveis numa linha de base de segurança?

Cada linha de base de segurança gere as configurações de dispositivos ao aplicar as opções encontradas num fornecedor de serviços de configuração num dispositivo. Por exemplo, as definições que se aplicam ao Microsoft Defender são retiradas do th Microsoft Defender CSP. Uma vez que o Intune é um veículo de configuração para essas opções e não determina a respetiva funcionalidade ou âmbito, a documentação do CSP detém o conteúdo para saber como configurar cada opção.

Na IU da política de linha de base de segurança do Intune, o Intune fornece texto de informações que é retirado do CSP de origem e fornece uma ligação para esse CSP. Em alguns casos, o CSP pode fazer parte de um conjunto de conteúdos maior que inclui orientações proativas que permanecem fora do âmbito do Intune para incluir ou duplicar nos nossos conteúdos. No entanto, o Intune documenta a lista de definições em cada versão de linha de base de segurança e a configuração predefinida.

Próximas etapas

• Criar perfis de linha de base de segurança

• Verifique o status e monitore a linha de base e o perfil

• Veja as configurações nas versões mais recentes das linhas de base disponíveis:

  • Windows 10 e posterior - Linha de base de segurança mdm
  • Linha de base do Microsoft Defender para Ponto de Extremidade
  • Linha de base de segurança do Microsoft 365 Apps para Enterprise (Office)
  • Linha de base de segurança do Microsoft Edge
  • Linha de Base de Segurança do Windows 365