Использование базовых конфигураций безопасности для настройки устройств Windows в Intune

Intune упрощает развертывание базовых конфигураций Windows для защиты пользователей и устройств.

Хотя Windows и Windows Server обеспечивают защиту по умолчанию, многие организации по-прежнему предпочитают более детальное управление своими конфигурациями безопасности. Чтобы ориентироваться в большом количестве элементов управления, организации часто ищут рекомендации по настройке различных функций безопасности. Корпорация Майкрософт предоставляет эти рекомендации в виде базовых конфигураций безопасности.

Базовые конфигурации безопасности — это группы предварительно настроенных параметров Windows, помогающие применять детальные параметры безопасности, рекомендуемые соответствующими командами безопасности. Вы также можете настроить каждую базовую конфигурацию для развертывания, чтобы применять только необходимые вам параметры и значения. При создании профиля базовой конфигурации безопасности в Intune создается шаблон, состоящий из нескольких профилей конфигурации устройства.

Чтобы узнать больше о том, зачем и когда вы можете развернуть базовые конфигурации безопасности, см. статью Базовые конфигурации безопасности Windows в документации по безопасности Windows.

Данная функция применяется к:

  • Windows 10 версии 1809 и более поздних версий
  • Windows 11

Развертывание базовых конфигураций безопасности выполняется в Intune для групп пользователей или устройств, а параметры применяются к устройствам под управлением Windows 10 и Windows 11. Так, базовая конфигурация безопасности MDM предусматривает автоматическое включение BitLocker для всех съемных накопителей, автоматический запрос пароля для разблокировки устройства, автоматической отключение обычной проверки подлинности и т. д. Если значение по умолчанию не подходит для вашей среды, выполните настройку базовой конфигурации, чтобы применить нужные параметры.

Отдельные базовые типы могут включать одинаковые параметры и использовать разные значения по умолчанию для этих параметров. Важно понимать значения по умолчанию в выбранных базовых конфигурациях, чтобы впоследствии корректировать их в соответствии с требованиями вашей организации.

Почти во всех сценариях параметры по умолчанию в базовых конфигурациях безопасности являются наиболее строгими. Убедитесь, что эти параметры не конфликтуют с другими параметрами политики или функциями в вашей среде.

Например, параметры по умолчанию для конфигурации брандмауэра могут не объединять правила безопасности подключения и правила локальной политики с правилами MDM. Таким образом, если вы используете оптимизацию доставки, необходимо проверить эти конфигурации перед назначением базовых показателей безопасности.

Примечание

Майкрософт не рекомендует использовать предварительные версии базовых конфигураций безопасности в рабочей среде. Параметры предварительной версии базовой конфигурации могут меняться в ходе жизненного цикла этой версии.

Базовые показатели безопасности могут помочь обеспечить сквозной безопасный рабочий процесс при работе с Microsoft 365. Ниже перечислены некоторые преимущества.

  • Базовые показатели безопасности включают лучшие практики и рекомендации по настройкам, влияющим на безопасность. Intune сотрудничает с той же группой безопасности Windows, которая создает базовые показатели безопасности групповой политики. Эти рекомендации основаны на руководстве и обширном опыте.
  • Если вы незнакомы с Intune и не знаете, с чего начать, базовые конфигурации безопасности помогут вам освоиться. Вы можете быстро создавать и развертывать профиль безопасности, зная, что ресурсы и данные вашей организации защищены.
  • Если вы сейчас используете групповую политику, с этими базовыми показателями перейти на Intune для управления будет намного проще. Базовые показатели изначально встроены в Intune, а также включают современные принципы управления.

Доступные базовые показатели безопасности

В Intune доступны следующие экземпляры базовых конфигураций безопасности. Перейдя по ссылкам, можно ознакомится с параметрами последних экземпляров каждой базовой конфигурации.

После выпуска новой версии профиля параметры в профилях на базе предыдущих версий становятся доступными только для чтения. Вы можете продолжать использовать эти старые профили, в том числе изменять их имена, описания и назначения, но не сможете изменять в них параметры или создавать новые профили на основе предыдущих версий.

Когда вы будете готовы использовать новую версию базовой конфигурации, можете создать новые профили или обновить существующие профили до новой версии. См. раздел Изменение версии базовой конфигурации для профиля в статье Управление профилями базовых конфигураций безопасности.

Сведения о версиях и экземплярах базовых показателей

В каждом новом экземпляре версии могут добавляться или удаляться параметры или присутствовать другие изменения. Так, с выходом новых версий Windows 10 и Windows 11, в которых доступны новые параметры, могут появляться новые базовые конфигурации безопасности MDM, использующие эти параметры.

Список доступных базовых показателей см. в Центре администрирования Microsoft Endpoint Manager в разделе Безопасность конечных точек > Базовые показатели безопасности. Список содержит следующие компоненты:

  • имя шаблона базовых показателей;
  • число профилей, использующих этот тип базовой конфигурации;
  • число доступных отдельных экземпляров (версий) типа базовых показателей;
  • дата последней публикации, которая определяет выход последней версии шаблона базовых показателей.

Для просмотра дополнительных сведений об используемых версиях базовых показателей выберите тип базовых показателей, например Базовые показатели безопасность MDM, чтобы открыть панель Профили, а затем выберите Версии. В Intune отобразятся сведения об используемых в ваших профилях версиях базовых показателей. Сведения включают последнюю и текущую версии базовых показателей. Выберите версию, чтобы получить подробные сведения о профилях, в которых используется эта версия.

Вы можете изменить версию базового показателя, используемую в конкретном профиле. При изменении версии вам не нужно создавать профиль базового показателя, чтобы использовать эту обновленную версию. Достаточно выбрать профиль базового показателя и воспользоваться встроенной функцией для замены версии экземпляра для профиля на новую.

Сравнение базовых версий

В области Версии для базовых показателей безопасности находится список всех версий этих базовых показателей, которые вы развернули. Этот список также включает последнюю и активную версии базовых показателей. При создании нового профиля базовых показателей безопасности профиль использует последнюю версию базовых показателей безопасности. Вы можете продолжать использовать профили на базе предыдущих версий, в том числе изменять их имена, описания и назначения, но не сможете изменять параметры в этих старых версиях профилей.

Чтобы понять различия между версиями, установите флажки для двух версий, а затем выберите Сравнить базовые показатели. Затем вам будет предложено скачать CSV-файл, в котором подробно описаны эти различия.

Загрузка определяет каждый параметр в двух версиях базовых показателей и отмечает, изменился этот параметр (notEqual) или остался прежним (equal). Сведения также включают значение по умолчанию для параметра в каждой версии и тот факт, что параметр был добавлен в более позднюю версию или удален из нее.

Сравнение базовых конфигураций безопасности

Устранение конфликтов

Вы можете одновременно использовать один или несколько доступных базовых показателей в среде Intune. Можно также использовать несколько экземпляров одних и тех же базовых показателей безопасности с различными настройками.

При использовании нескольких базовых показателей безопасности проверьте параметры в каждом из них, чтобы определить, в каких базовых конфигурациях присутствуют конфликтующие значения для одного и того же параметра. Так как можно развернуть базовые показатели безопасности, предназначенные для разных целей, и несколько экземпляров одного и того же базового показателя, которые включают в себя настраиваемые параметры, существует вероятность возникновения конфликтов конфигурации для устройств, которые необходимо исследовать и устранить.

Кроме того, базовые показатели безопасности часто управляют теми же параметрами, которые можно задать с помощью профилей конфигурации устройств или политик других типов. Поэтому учитывайте влияние таких политик и профилей на настройки при поиске причин конфликтов и их устранении.

Следующие статьи помогут вам обнаружить и устранить конфликты:

Вопросы и ответы

Почему именно эти параметры?

Группа безопасности Майкрософт имеет многолетний опыт работы с разработчиками Windows и сообществом по безопасности для создания этих рекомендаций. Параметры этих базовых показателей считаются наиболее важными параметрами конфигурации, связанными с безопасностью. В каждой новой сборке Windows команда корректирует свои рекомендации на основе новых функций.

Есть ли разница в рекомендациях для базовых показателей системы безопасности Windows для групповой политики и Intune?

Та же группа безопасности Майкрософт выбрала и настроила параметры для каждого базового показателя. Intune включает все соответствующие параметры в базовых показателях системы безопасности Intune. В базовых показателях групповой политики есть некоторые параметры, характерные для локального контроллера домена. Эти параметры исключены из рекомендаций Intune. Все остальные параметры одинаковы.

Соответствуют ли базовые конфигурации безопасности Intune требованиям CIS или NIST?

Строго говоря, нет. Чтобы составить свои рекомендации, группа безопасности Майкрософт консультируется с организациями, например с CIS. Но не существует однозначного сопоставления между базовыми показателями "CIS-совместимыми" и Майкрософт.

Какие сертификаты имеют базовые показатели безопасности Майкрософт?

  • Корпорация Майкрософт продолжает публиковать базовые показатели безопасности для объектов групповой политики и средств соответствия безопасности на протяжении уже многих лет. Эти базовые показатели используются многими организациями. Рекомендации в этих базовых показателях основаны на взаимодействии группы безопасности Майкрософт с корпоративными клиентами и внешними агентствами, включая Министерство обороны (DoD), Национальный институт стандартов и технологий (NIST) и другие. Мы делимся нашими рекомендациями и базовыми показателями с этими организациями. Эти организации также имеют свои собственные рекомендации, которые очень похожи на рекомендации Майкрософт. Поскольку управление мобильными устройствами продолжает расти в облаке, корпорация Майкрософт разработала эквивалентные рекомендации MDM этих базовых показателей групповой политики. Эти дополнительные базовые показатели встроены в Microsoft Intune и включают отчеты о соответствии для пользователей, групп и устройств, которые соответствуют (или не соответствуют) базовым показателям.

  • Многие клиенты используют рекомендации базовых показателей Intune в качестве отправной точки, а затем настраивают их в соответствии со своими требованиями к ИТ и безопасности. Базовые показатели безопасности MDM Microsoft Windows 10 RS5 являются первым выпуском. Эти базовые показатели созданы в качестве общей инфраструктуры, которая позволяет клиентам в конечном итоге импортировать другие базовые показатели безопасности на основе CIS, NIST и других стандартов. Сейчас она доступна для Windows и в конечном итоге и для iOS/iPadOS и Android.

  • Переход от локальных групповых политик Active Directory к чисто облачному решению с использованием Azure Active Directory (AD) с Microsoft Intune является циклом. Различные средства из набора средств для обеспечения соответствия требованиям безопасности могут помочь определить облачные параметры на основе базовых показателей безопасности, которые могут заменять локальные конфигурации объектов групповой политики.

Дальнейшие действия