Linhas de base de segurança
Usando linhas de base de segurança em sua organização
A Microsoft se dedica a fornecer aos seus clientes sistemas operacionais seguros, como Windows e Windows Server, e aplicativos seguros, como aplicativos microsoft 365 para empresas e Microsoft Edge. Além da garantia de segurança de seus produtos, a Microsoft também fornece vários recursos de configuração para permitir que você tenha o controle preciso dos seus ambientes.
Mesmo que o Windows e Windows Server sejam projetados para oferecer segurança integrada, muitas organizações ainda querem um controle mais granular de suas configurações de segurança. Para navegar por esse grande número de controles, as organizações precisam de diretrizes para configurar vários recursos de segurança. A Microsoft fornece essas diretrizes na forma de linhas de base de segurança.
É recomendável implementar uma configuração padrão do setor que seja amplamente conhecida e testada, como a linha de base de segurança da Microsoft, em vez de criar uma por conta própria. Essa configuração padrão do setor ajuda a aumentar a flexibilidade e reduzir custos.
Para obter mais informações, confira a seguinte postagem no blog: Aderindo a soluções conhecidas e comprovadas.
O que são linhas de base de segurança?
Todas as organizações enfrentam ameaças à segurança. No entanto, os tipos de ameaças à segurança que são mais preocupantes para uma organização podem ser diferentes de outra organização. Por exemplo, uma empresa de comércio eletrônico pode se concentrar na proteção de seus aplicativos Web voltados para a Internet, enquanto um hospital pode se concentrar na proteção de informações confidenciais do paciente. O único aspecto que todas as organizações têm em comum é a necessidade de manter seus aplicativos e dispositivos seguros. Esses dispositivos devem ser compatíveis com os padrões de segurança (ou linhas de base de segurança) definidos pela organização.
Uma linha de base de segurança é um grupo de configurações recomendadas pela Microsoft que explica sua implicação de segurança. Essas configurações são baseadas nos comentários de equipes de engenharia de segurança, grupos de produtos, parceiros e clientes da Microsoft.
Por que as linhas de base de segurança são necessárias?
As linhas de base de segurança são um benefício essencial para os clientes porque reúnem o conhecimento especializado de parceiros e clientes da Microsoft.
Por exemplo, há mais de 3.000 configurações de política de grupo para Windows 10, o que não inclui mais de 1.800 configurações de Internet Explorer 11. Dessas 4.800 configurações, apenas algumas são relacionadas à segurança. Embora a Microsoft ofereça extensas diretrizes sobre diferentes recursos de segurança, explorar cada uma pode levar muito tempo. Você teria que determinar a implicação de segurança de cada configuração por conta própria. Em seguida, você ainda precisará determinar o valor apropriado para cada configuração.
Nas organizações modernas, o cenário de ameaças à segurança está em constante evolução, e profissionais de TI e formuladores de políticas devem acompanhar as ameaças à segurança e fazer alterações necessárias nas configurações de segurança para ajudar a mitigar essas ameaças. Para habilitar implantações mais rápidas e facilitar o gerenciamento de produtos da Microsoft, a Microsoft fornece aos clientes linhas de base de segurança disponíveis em formatos consumíveis, como backups de objeto de política de grupo.
Edição do Windows e requisitos de licenciamento
A tabela a seguir lista as edições do Windows que dão suporte a linhas de base de segurança:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Sim | Sim | Sim | Sim |
Os direitos de licença das linhas de base de segurança são concedidos pelas seguintes licenças:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Sim | Sim | Sim | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.
Princípios de linha de base
Nossas recomendações seguem uma abordagem simplificada e eficiente para definições de linha de base. A base dessa abordagem é essencialmente:
- As linhas de base são projetadas para organizações bem gerenciadas e conscientes da segurança, nas quais os usuários finais padrão não têm direitos administrativos.
- Uma linha de base só impõe uma configuração se atenua uma ameaça à segurança contemporânea e não causa problemas operacionais piores do que os riscos que eles atenuam.
- Uma linha de base só impõe um padrão se for provável que ele seja definido como um estado inseguro por um usuário autorizado:
- Se um não administrador puder definir um estado inseguro, imponha o padrão.
- Se a definição de um estado inseguro exigir direitos administrativos, aplique o padrão somente se for provável que um administrador mal informado escolha mal.
Como você pode usar linhas de base de segurança?
Você pode usar linhas de base de segurança para:
- Garantir que as definições de configuração de usuários e dispositivos sejam compatíveis com a linha de base.
- Definir configurações. Por exemplo, você pode usar a política de grupo, Microsoft Configuration Manager ou Microsoft Intune para configurar um dispositivo com os valores de configuração especificados na linha de base.
Onde posso obter as linhas de base de segurança?
Há várias maneiras de obter e usar linhas de base de segurança:
As diretrizes de segurança podem ser baixadas no Centro de Download da Microsoft. Esta página de download é para o SCT (Security Compliance Toolkit), que compreende ferramentas que podem ajudar os administradores no gerenciamento de linhas de base, além das linhas de base de segurança. O SCT também inclui ferramentas para ajudar você a gerenciar as linhas de base de segurança. Você também pode obter suporte para as linhas de base de segurança
As linhas de base de segurança do MDM (gerenciamento de dispositivo móvel) funcionam como as linhas de base de segurança baseadas em política de grupo da Microsoft e podem facilmente integrar essas linhas de base a uma ferramenta de gerenciamento de MDM existente.
As linhas de base de segurança do MDM podem ser facilmente configuradas em Microsoft Intune em dispositivos que executam Windows 10 e Windows 11. Para obter mais informações, consulte Lista das configurações na linha de base de segurança de MDM Windows 10/11 no Intune.
Artigos relacionados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de