Use linhas de base de segurança para ajudar a proteger dispositivos Windows que você gerencia com Microsoft Intune

Com as linhas de base de segurança do Microsoft Intune, você pode implantar rapidamente uma postura de segurança recomendada em seus dispositivos Windows gerenciados para linhas de base de segurança do Windows para ajudá-lo a proteger e proteger seus usuários e dispositivos.

Embora o Windows e o Windows Server tenham sido projetados para serem seguros e prontos para uso, muitas organizações ainda desejam um controle mais granular sobre suas configurações de segurança. Para navegar pelo número grande de controles, as organizações geralmente buscam diretrizes sobre a como configurar vários recursos de segurança. A Microsoft fornece esta diretrizes na forma de linhas de base de segurança.

Esse recurso aplica-se a:

• Windows 10 versão 1809 e posterior
• Windows 11

Intune visão geral da linha de base de segurança

Cada linha de base de segurança é um grupo de configurações pré-configuradas do Windows que ajudam você a aplicar e impor configurações de segurança granulares recomendadas pelas equipes de segurança relevantes. Você também pode personalizar cada linha de base implantada para impor somente as configurações e os valores necessários. Ao criar um perfil de linha de base de segurança no Intune, você está criando um modelo que consiste em vários perfis de configuração de dispositivo.

As configurações em cada linha de base são configurações de configuração de dispositivo como as encontradas em várias políticas de Intune. Cada configuração em uma linha de base funciona com o provedor de serviços de configuração para o produto relevante que está presente em um dispositivo windows gerenciado.

Para saber mais sobre por que e quando você pode querer implantar linhas de base de segurança, consulte Linhas de base de segurança do Windows na documentação de segurança do Windows.

Você implanta linhas de base de segurança em grupos de usuários ou dispositivos em Intune e as configurações se aplicam a dispositivos que executam Windows 10 ou 11. Por exemplo, a configuração padrão da Linha de Base de Segurança para Windows 10 e posterior habilita automaticamente o BitLocker para unidades removíveis, requer automaticamente uma senha para desbloquear um dispositivo, desabilita automaticamente a autenticação básica e muito mais. Quando um valor padrão não funcionar para o seu ambiente, personalize a linha de base para aplicar as configurações necessárias.

Observação

Em maio de 2023, Intune iniciou a implantação de um novo formato de linha de base de segurança para cada nova versão de linha de base ou atualização de versão. O novo formato atualiza as configurações de linha de base para tirar diretamente o nome e as opções de configuração do CSP (provedor de serviços de configuração) que a configuração de linha de base gerencia.

Intune também introduziu um novo processo para ajudar você a migrar um perfil de linha de base de segurança existente para a versão mais recente da linha de base. Esse novo comportamento é um processo único que substitui o comportamento de atualização normal quando você passa da versão mais recente de um perfil mais antigo para uma versão mais recente que ficou disponível em maio de 2023 ou posterior.

Benefícios do uso de linhas de base:
As linhas de base de segurança podem ajudar você a ter um fluxo de trabalho seguro de ponta a ponta ao trabalhar com o Microsoft 365. Alguns do benefícios incluem:

• Por padrão, cada linha de base de segurança é configurada para atender às melhores práticas e recomendações para as configurações que afetam a segurança. O Intune tem uma parceria com a mesma equipe de segurança do Windows que cria linhas de base de segurança de política grupo. Essas recomendações tem base em orientações e numa ampla experiência.
• Se você é novo em Intune e não sabe por onde começar, as linhas de base de segurança lhe dão uma vantagem. Você pode criar e implantar rapidamente um perfil de seguro, sabendo que está ajudando a proteger os recursos e dados da sua organização.
• Se você usa atualmente a política de grupo, migrar para Intune para gerenciamento é mais fácil com essas linhas de base. Essas linhas de base são criadas nativamente em Intune e incluem uma experiência de gerenciamento moderna.

Configurações padrão em várias linhas de base:
Tipos de linha de base separados, como a linha de base de segurança MDM para Windows e a linha de base para Microsoft Defender, podem incluir as mesmas configurações e usar valores padrão diferentes para essas configurações. Intune não pode determinar qual configuração é melhor para você ou mesmo em qual ambiente ou cenário você pode querer usar uma recomendação padrão de linhas de base sobre outra:

• É importante entender os padrões nas linhas de base que você usa e modificar cada linha de base para atender às suas necessidades organizacionais.
• Por padrão, cada linha de base é pré-configurada usando as recomendações específicas para o produto ao qual se aplica.
• Em alguns casos, uma configuração que Microsoft Defender recomenda pode não ser a configuração padrão para configurações semelhantes quando recomendada pelo Windows. Nessas situações, é importante examinar cada configuração para que você possa entender sua intenção com base nos detalhes do provedor de serviços de configuração e no escopo maior dos dois produtos.

Em quase todos os cenários, as configurações padrão nas linhas de base de segurança são as mais restritivas. Você deve confirmar que essas configurações não entram em conflito com outras configurações de política ou recursos em seu ambiente.

Por exemplo, as configurações padrão para configuração de firewall podem não mesclar regras de segurança de conexão e regras de política local com regras de MDM. Portanto, se você estiver usando a otimização de entrega, deve validar essas configurações antes de atribuir a linha de base de segurança.

Observação

A Microsoft não recomenda o uso de versões prévias de linhas de base de segurança em um ambiente de produção. As configurações em uma linha de base prévia podem mudar ao longo da versão prévia.

Escopos de segurança disponíveis

As instâncias de linhas de base de segurança a seguir estão disponíveis para uso com o Intune. Use os links para exibir as configurações de instância recentes de cada linha de base.

• Linha de base de segurança para Windows 10 e posterior:
  • Versão 23H2
  • 2021 de novembro de 2021
  • Dezembro de 2020
  • Agosto de 2020

• Microsoft Defender para Ponto de Extremidade linha de base:
  (Para usar essa linha de base, seu ambiente precisa atender aos pré-requisitos de uso do Microsoft Defender para Ponto de Extremidade).

  • Versão 6
  • Versão 5
  • Versão 4
  • Versão 3

  Observação

  A linha de base de segurança do Microsoft Defender para Ponto de Extremidade foi otimizada para dispositivos físicos e, atualmente, não é recomendada para uso em VMs (máquinas virtuais) ou pontos de extremidade VDI. Algumas configurações de linha de base podem afetar as sessões interativas remotas em ambientes virtualizados. Para obter mais informações, confira Aumentar a conformidade com a linha de base de segurança do Microsoft Defender para Ponto de Extremidade na documentação do Windows.

• Microsoft 365 Apps para Enterprise:

  • Versão 2306 (linha de base do Office)Lançada em novembro de 2023
  • Maio de 2023 (linha de base do Office)

• Linha de Base do Microsoft Edge:

  • Maio de 2023 (Microsoft Edge Versão 112 e posterior)
  • Setembro de 2020 (Microsoft Edge versão 85 e posterior)
  • Abril de 2020 (Microsoft Edge versão 80 e posterior)
  • Versão prévia: outubro de 2019 (Versão 77 e posterior do Microsoft Edge)

• linha de base de segurança Windows 365:

  • Outubro de 2021

Quando uma nova versão para um perfil fica disponível, as configurações em perfis com base nas versões mais antigas tornam-se somente leitura. Você pode continuar a usar esses perfis mais antigos. Você também pode editar os nomes de perfil, descrição e atribuições, mas eles não dão suporte a uma alteração na configuração de configurações e você não pode criar novos perfis com base nas versões mais antigas.

Quando estiver pronto para usar a versão mais recente da linha de base, você pode criar novos perfis ou atualizar seus perfis existentes para a nova versão. Confira Alterar a versão de linha de base para um perfil no artigo Gerenciar perfis de linha de base de segurança.

Sobre as versões e instâncias de linha de base de segurança

Cada nova instância de versão de uma linha de base pode adicionar ou remover configurações ou introduzir outras alterações. Por exemplo, à medida que novas configurações do Windows se tornam disponíveis com novas versões de Windows 10/11, a Linha de Base de Segurança para Windows 10 e posteriores pode receber uma nova instância de versão que inclui as configurações mais recentes.

Você pode exibir a lista de linhas de base disponíveis no centro de administração Microsoft Intune, emLinhas de base desegurança> do Ponto de Extremidade. A lista inclui:

• O nome de cada modelo de linha de base de segurança.
• Quantos perfis você tem que usam esse tipo de linha de base.
• Quantas instâncias (versões) separadas do tipo de linha de base estão disponíveis.
• Uma data da Última Publicação que identifica quando a versão mais recente do modelo de linha de base ficou disponível.

Para exibir mais informações sobre as versões de linha de base que você usa, selecione um tipo de linha de base, como Linha de Base de Segurança para Windows 10 e posterior para abrir seu painel Perfis e selecione Versões. O Intune exibe detalhes sobre as versões da linha de base que estão sendo usadas pelos seus perfis. Os detalhes incluem a versão de linha de base mais recente e atual. Escolha uma só versão para ver mais detalhes sobre os perfis que a utilizam.

Você pode optar por alterar a versão de uma linha de base em uso com um determinado perfil. Quando você altera a versão, não precisa criar um perfil de linha de base para aproveitar as versões atualizadas. Em vez disso, você pode selecionar um perfil de linha de base e usar a opção interna para alterar a versão da instância desse perfil para um novo.

Evitar conflitos

Você pode usar ao mesmo tempo uma ou mais das linhas de base disponíveis no ambiente do Intune. Também pode usar várias instâncias das mesmas linhas de base de segurança com diferentes personalizações.

Ao usar várias linhas de base de segurança, examine as configurações em cada uma para identificar quando suas configurações de linhas de base diferentes apresentam valores conflitantes para uma mesma configuração. Como é possível implantar linhas de base de segurança projetadas para diferentes intenções e implantar várias instâncias da mesma linha de base que inclui configurações personalizadas, você pode criar conflitos de configuração de dispositivos que precisam ser investigados e resolvidos.

Além disso, as linhas de base de segurança normalmente gerenciam as mesmas configurações que você pode definir nos Perfis de configuração de dispositivo ou em outros tipos de política. Portanto, mantenha-se ciente e considere suas outras políticas e perfis para configurações ao tentar evitar ou resolve conflitos.

Para obter informações que possam ajudá-lo a identificar e resolve conflitos, confira:

• Solucionar problemas de políticas e perfis no Intune
• Monitorar suas linhas de base de segurança

Perguntas e Respostas

Por que essas configurações?

A equipe de segurança da Microsoft tem anos de experiência trabalhando diretamente com os desenvolvedores do Windows e com a comunidade de segurança para criar essas recomendações. As configurações nessa linha de base são consideradas as opções de configuração de segurança mais relevantes. Em cada novo build do Windows, a equipe ajusta suas recomendações com base em recursos lançados recentemente.

Há alguma diferença nas recomendações para linhas de base de segurança de Windows para política de grupo versus Intune?

A mesma equipe de segurança da Microsoft escolheu e organizou as configurações para cada linha de base. O Intune inclui todas as configurações relevantes na linha de base de segurança do Intune. Há algumas configurações na linha de base de política de grupo que são específicas a um controlador de domínio local. Essas configurações são excluídas das recomendações do Intune. Todas as outras configurações são iguais.

As linhas de base de segurança do Intune são compatíveis com CIS ou NIST?

Estritamente falando, não. A equipe de segurança da Microsoft consulta organizações, como a CIS, para compilar suas recomendações. No entanto, não há um mapeamento um para um entre as linhas de base "compatíveis com CIS" e a Microsoft.

Quais certificações as linhas de base de segurança da Microsoft têm?

A Microsoft continua a publicar linhas de base de segurança para políticas de grupo (GPOs) e o Kit de Ferramentas de Conformidade de Segurança, como faz há muitos anos. Essas linhas de base são usadas por muitas organizações. As recomendações nessas linhas de base são provenientes do envolvimento da equipe de segurança da Microsoft com clientes corporativos e órgãos externos, incluindo o DoD (Departamento de Defesa), NIST (Instituto Nacional de Padrões e Tecnologia) e muito mais. Compartilhamos nossas recomendações e linhas de base com essas organizações. Essas organizações também têm suas próprias recomendações que refletem com maior exatidão as recomendações da Microsoft. À medida que o MDM (gerenciamento de dispositivo móvel) continua a evoluir para a nuvem, a Microsoft criou recomendações de MDM equivalentes dessas linhas de base de política de grupo. Muitas dessas linhas de base são incorporadas a Microsoft Intune e incluem relatórios de conformidade em usuários, grupos e dispositivos que seguem (ou não seguem) a linha de base.

Muitos clientes usam as recomendações de linha de base Intune como ponto de partida e, em seguida, personalizam-nas para atender às suas demandas de TI e segurança. O modelo de linha de base Windows 10 e posterior da Microsoft foi a primeira linha de base a ser lançada. Esta linha de base é compilada como uma infraestrutura genérica que permite aos clientes importar eventualmente outras linhas de base de segurança com base no CIS, NIST e outros padrões.

Migrar de políticas de grupo Active Directory local para uma solução de nuvem pura usando Microsoft Entra ID com Microsoft Intune é uma jornada. Para obter ajuda, use as várias ferramentas do Kit de Ferramentas de Conformidade de Segurança que podem ajudar você a identificar opções baseadas em nuvem de linhas de base de segurança que podem substituir suas configurações de GPO local.

Onde posso encontrar detalhes sobre como usar ou configurar as configurações disponíveis em uma linha de base de segurança?

Cada linha de base de segurança gerencia as configurações do dispositivo aplicando as opções encontradas em um provedor de serviços de configuração em um dispositivo. Por exemplo, as configurações que se aplicam a Microsoft Defender são retiradas do th Microsoft Defender CSP. Como Intune é um veículo de configuração para essas opções e não determina sua funcionalidade ou escopo, a documentação CSP possui o conteúdo de como configurar cada opção.

Na interface do usuário Intune política de linha de base de segurança, Intune fornece um texto de informações que é retirado do CSP de origem e fornece um link para esse CSP. Em alguns casos, o CSP pode fazer parte de um conjunto de conteúdo maior que inclui diretrizes proativas que permanecem além do escopo de Intune para incluir ou duplicar em nosso conteúdo. No entanto, Intune documenta a lista de configurações em cada versão da linha de base de segurança e sua configuração padrão.

Próximas etapas

• Criar perfis de linha de base de segurança

• Verifique o status e monitore a linha de base e o perfil

• Veja as configurações nas versões mais recentes das linhas de base disponíveis:

  • Windows 10 e posterior - Linha de base de segurança MDM
  • Linha de base do Microsoft Defender para Ponto de Extremidade
  • Microsoft 365 Apps para a linha de base de segurança enterprise (Office)
  • Linha de base de segurança do Microsoft Edge
  • Linha de Base de Segurança do Windows 365