Развертывание с привилегированным доступом

Этот документ поможет вам реализовать технические компоненты стратегии привилегированного доступа, включая защищенные учетные записи, рабочие станции и устройства, а также безопасность интерфейса (с политикой условного доступа).

Сводка по профилям уровня безопасности

Это руководство содержит инструкции по установлению всех профилей на всех трех уровнях безопасности с назначением для них ролей в организации в соответствии с рекомендациями по уровням безопасности привилегированного доступа. Корпорация Майкрософт рекомендует настраивать их в порядке, описанном в плане быстрой модернизации (RAMP).

Требования лицензий

В концепциях, описанных в этом руководстве, предполагается, что у вас есть Microsoft 365 корпоративный E5 или эквивалентной ценовой категории. Некоторые из рекомендаций, приведенных в этом руководстве, могут быть реализованы при низшей ценовой категории. Дополнительные сведения см. в разделе Лицензирование Microsoft 365 корпоративный.

Чтобы автоматизировать подготовку лицензий, рассмотрите возможность лицензирования пользователей на основе групп.

Настройка Azure Active Directory

Azure Active Directory (Azure AD) управляет пользователями, группами и устройствами для рабочих станций администраторов. Включите службы идентификации и функции, используя учетную запись администратора.

При создании защищенной учетной записи администратора рабочей станции эта учетная запись предоставляется для текущей рабочей станции. Убедитесь, что вы используете заведомо безопасное устройство для выполнения начальной настройки и всех глобальных настроек. Чтобы снизить вероятность атаки при первом запуске, рассмотрите рекомендации по предотвращению заражения вредоносным ПО.

Требуйте прохождения многофакторной проверки подлинности по крайней мере для администраторов. Дополнительные сведения о реализации см. в статье Условный доступ: обязательная многофакторная проверка подлинности для администраторов.

Пользователи и группы Azure AD

  1. На портале Azure перейдите в Azure Active Directory>Пользователи>Новый пользователь.

  2. Создайте пользователя устройства, выполнив действия, описанные в учебнике по созданию пользователя.

  3. Введите:

    • Имя — администратор защищенной рабочей станции
    • Имя пользователя - secure-ws-user@contoso.com
    • Роль каталога - Администратор с ограниченными правами и выберите роль Администратор Intune.
    • Расположение использования — например , Соединенное Королевство или нужное расположение образуют список.
  4. Щелкните Создать.

Создайте пользователя с правами администратора устройства.

  1. Введите:

    • Имя — администратор защищенной рабочей станции
    • Имя пользователя - secure-ws-admin@contoso.com
    • Роль каталога - Администратор с ограниченными правами и выберите роль Администратор Intune.
    • Расположение использования — например , Соединенное Королевство или нужное расположение образуют список.
  2. Щелкните Создать.

Далее вы создадите четыре группы: Пользователи защищенной рабочей станции, Администраторы защищенной рабочей станции, В экстренных случаях и Устройства защищенной рабочей станции.

На портале Azure перейдите в Azure Active Directory>Группы>Новая группа.

  1. Для группы пользователей рабочей станции может потребоваться настроить лицензирование на основе групп, чтобы автоматизировать подготовку лицензий для пользователей.

  2. Для группы пользователей рабочей станции введите:

    • Тип группы — "Безопасность"
    • Имя группы — "Пользователи защищенной рабочей станции"
    • Тип членства — "Назначено"
  3. Добавьте пользователя защищенной рабочей станции: secure-ws-user@contoso.com

  4. Можно добавить других пользователей, которые будут использовать защищенные рабочие станции.

  5. Щелкните Создать.

  6. Для группы "Администраторы привилегированной рабочей станции" введите:

    • Тип группы — "Безопасность"
    • Имя группы — "Администраторы защищенной рабочей станции"
    • Тип членства — "Назначено"
  7. Добавьте пользователя защищенной рабочей станции: secure-ws-admin@contoso.com

  8. Вы можете добавить других пользователей, которые будут управлять защищенными рабочими станциями.

  9. Щелкните Создать.

  10. Для группы "В экстренных случаях" введите:

    • Тип группы — "Безопасность"
    • Имя группы — "В экстренных случаях"
    • Тип членства — "Назначено"
  11. Щелкните Создать.

  12. Добавление учетных записей аварийного доступа в эту группу.

  13. В поле "Группа устройств рабочей станции" введите:

    • Тип группы — "Безопасность"
    • Имя группы — "Защищенные рабочие станции"
    • Тип членства — "Динамическое устройство"
    • Правила динамического членства - (device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")
  14. Щелкните Создать.

Конфигурация устройства Azure AD

Укажите, кто может присоединять устройства к Azure AD

Настройте параметры устройств в Active Directory, чтобы разрешить административной группе безопасности присоединять устройства к домену. Чтобы настроить этот параметр с портала Azure:

  1. Перейдите в раздел Azure Active Directory>Устройства>Параметры устройства.
  2. Выберите Выбрано в пункте Пользователи могут присоединять устройства к Azure AD, а затем выберите группу "Пользователи защищенной рабочей станции".

Удаление прав локального администратора

Этот метод требует, чтобы пользователи виртуального IP-адреса, DevOps и привилегированных рабочих станций не имели прав администратора на своих компьютерах. Чтобы настроить этот параметр с портала Azure:

  1. Перейдите в раздел Azure Active Directory>Устройства>Параметры устройства.
  2. Выберите Отсутствуют в пункте Дополнительные локальные администраторы на устройствах, присоединенных к Azure AD.

Дополнительные сведения об управлении членами группы локальных администраторов см. в статье Управление группой локальных администраторов на устройствах, присоединенных к Azure AD.

Чтобы присоединить устройства, требуется многофакторная проверка подлинности

Чтобы усилить процесс присоединения устройств к Azure AD:

  1. Перейдите в раздел Azure Active Directory>Устройства>Параметры устройства.
  2. Задайте для параметра Обязательная многофакторная проверка подлинности для присоединения устройств значение Нет.
  3. Нажмите кнопку Сохранить.

Настройка управления мобильными устройствами

На портале Azure выполните следующие действия.

  1. Перейдите в Azure Active Directory>Мобильность (MDM и MAM)>Microsoft Intune.
  2. Измените значение параметра Область пользователя MDM на Все.
  3. Нажмите кнопку Сохранить.

Эти действия позволяют управлять любым устройством с помощью Microsoft Endpoint Manager. Дополнительные сведения см. в статье Краткое руководство по Intune. Настройка автоматической регистрации устройств Windows 10. На следующем шаге создается политика конфигурации и соответствия нормативным требованиям Intune.

Условный доступ Azure AD

Условный доступ Azure AD помогает ограничить задачи привилегированных администраторов соответствующими устройствами. Предопределенные члены группы Пользователи защищенной рабочей станции при входе в облачные приложения должны выполнять многофакторную проверку подлинности. Рекомендуется исключить из политики учетные записи аварийного доступа. Дополнительные сведения см. в статье Управление учетными записями для аварийного доступа в Azure AD.

Условный доступ, разрешающий доступ к порталу Azure только защищенной рабочей станции

Организации должны запретить привилегированным пользователям подключаться к интерфейсам управления облаком, порталам и PowerShell с устройств, отличных от станций c привилегированным доступом.

Чтобы запретить неавторизованным устройствам доступ к интерфейсам управления облаком, следуйте указаниям в статье Условный доступ: фильтры для устройств (предварительная версия). При развертывании этой функции необходимо обеспечить наличие учетной записи для аварийного доступа. Эти учетные записи следует использовать только в чрезвычайных ситуациях. Управление этими учетными записями должно осуществляться с помощью политики.

Примечание

Вам потребуется создать группу пользователей и включить в нее пользователя для аварийных случаев, который сможет обходить политику условного доступа. В нашем примере у нас есть группа безопасности под названием В экстренных случаях

Этот набор политик гарантирует, что администраторы должны использовать устройство, которое может представить определенное значение атрибута устройства, что MFA удовлетворяется, и устройство помечается как соответствующее требованиям Корпорацией Майкрософт Endpoint Manager и Microsoft Defender для конечной точки.

Организациям следует также рассмотреть возможность блокировки устаревших протоколов проверки подлинности в своих средах. Существует несколько способов выполнения этой задачи. Дополнительные сведения о блокировании устаревших протоколов проверки подлинности см. в статье Блокирование устаревших методов проверки подлинности в Azure AD с помощью условного доступа.

Конфигурация Microsoft Intune

Отказ в регистрации устройств BYOD

В нашем примере мы рекомендуем не разрешать использование устройств BYOD. Использование Регистрации BYOD в Intune позволяет пользователям регистрировать устройства, которые не являются доверенными или надежными. Однако важно отметить, что организации с ограниченным бюджетом на покупку новых устройств, желающие использовать существующие аппаратные средства или, как вариант, устройства, отличные от Windows, могут рассмотреть возможность использования BYOD в Intune для развертывания профиля "Корпоративный".

В следующих руководствах мы покажем, как настроить регистрацию для развертываний, которые будут блокировать доступ к BYOD.

Настройка ограничений на регистрацию, предотвращающих BYOD

  1. В Центре администрирования Microsoft Endpoint Manager выберите >ограничения> регистрации устройств>, чтобы выбрать ограничение по умолчанию для всех пользователей.
  2. Выбор параметров платформысвойств>
  3. Выберите Блокировать для всех типов, кроме Windows MDM.
  4. Выберите Блокировать для всех элементов, находящихся в личной собственности.

Создание профиля развертывания Autopilot.

Создав группу устройств, необходимо создать профиль развертывания, чтобы настроить устройства Autopilot.

  1. В центре администрирования Microsoft Endpoint Manager щелкните Регистрация устройства>Регистрация Windows>Профили развертывания>Создать профиль.

  2. Введите:

    • Имя — Профиль развертывания защищенной рабочей станции.
    • Описание — Развертывание защищенных рабочих станций.
    • Для параметра Convert all targeted devices to Autopilot (Преобразовать все целевые устройства в Autopilot) выберите вариант Да. Этот параметр гарантирует, что все устройства из списка будут зарегистрированы в службе развертывания Autopilot. Регистрация завершится в течение 48 часов.
  3. Выберите Далее.

    • Для Режима развертывания выберите Самостоятельное развертывание (предварительная версия). Устройства с таким профилем связываются с пользователем, регистрирующим устройство. Во время развертывания рекомендуется использовать функции режима "Самостоятельное развертывание", чтобы включить:
      • регистрацию устройства в Intune Azure AD с автоматической регистрацией MDM и предоставление доступа к устройству только до тех пор, пока на устройстве не будут подготовлены все политики, приложения, сертификаты и сетевые профили.
      • Для регистрации устройства нужны учетные данные пользователя. Важно отметить, что развертывание устройства в режиме Самостоятельное развертывание позволит развернуть ноутбуки в общей модели. Для пользователя не произойдет никаких назначений, пока устройство не будет ему назначено в первый раз. В результате любые пользовательские политики, такие как BitLocker, не будут разрешены до тех пор, пока не будет выполнено назначение пользователя. Дополнительные сведения о том, как войти в систему на защищенном устройстве, см. в статье о выбранных профилях.
    • Выберите язык (регион), стандартный тип учетной записи пользователя.
  4. Выберите Далее.

    • Выберите тег области, если он предварительно настроен.
  5. Выберите Далее.

  6. Выберите Назначения>Назначить>Выбранные группы. В пункте Выбрать группы для включения выберите Защищенные рабочие станции.

  7. Выберите Далее.

  8. Нажмите кнопку Создать, чтобы создать профиль. Теперь профиль развертывания Autopilot можно назначать устройствам.

Регистрация устройств в Autopilot обеспечивает различные возможности взаимодействия с пользователем на основе типа и роли устройства. В нашем примере развертывания мы продемонстрируем модель, в которой защищенные устройства массово развертываются и их можно использовать совместно, однако при первом использовании устройство назначается конкретному пользователю. Дополнительные сведения см. в статье о регистрации устройств Autopilot в Intune.

Страница состояния регистрации

На странице состояния регистрации (ESP) отображается ход подготовки после регистрации нового устройства. Чтобы гарантировать, что устройства полностью настроены перед использованием, Intune предоставляет возможность Заблокировать использование устройства до тех пор, пока не будут установлены все приложения и профили.

Создание и назначение профиля страницы состояния регистрации

  1. В Центре администрирования Microsoft Endpoint Manager выберите Устройства>Windows>Регистрация Windows>Страница состояния регистрации>Создать профиль.
  2. Укажите имя и описание.
  3. Выберите команду Создать.
  4. Выберите новый профиль в списке страниц состояния регистрации.
  5. Для параметра Показывать ход установки профиля приложения выберите значение Да.
  6. Для параметра Заблокировать использование устройства до тех пор, пока не будут установлены все приложения и профили выберите значение Да.
  7. Выбор назначений>выбор групп> выберите группу> "Secure WorkstationСохранить>".
  8. Выберите параметры> , которые вы хотите применить к этому профилю >save.

Настройка клиентского компонента Центра обновления Windows

Обновление Windows 10 до актуального состояния является одной из наиболее важных вещей, которые можно выполнить. Чтобы поддерживать Windows в безопасном состоянии, необходимо развернуть круг обновления, чтобы управлять скоростью, с которой обновления применяются к рабочим станциям.

В этом руководстве рекомендуется создать новый круг обновления и изменить следующие параметры по умолчанию.

  1. В центре администрирования Microsoft Endpoint Manager выберите Устройства>Обновление программного обеспечения>Круги обновления Windows 10.

  2. Введите:

    • Имя — Обновления рабочей станции под управлением Azure
    • Канал обслуживания — Полугодовой канал
    • Отсрочка обновления качества (в днях) — 3
    • Период отсрочки для обновлений компонентов (в днях) — 3
    • Поведение автоматического обновления — Автоматическая установка и перезагрузка без управления конечным пользователем
    • Запретить пользователю приостанавливать обновления Windows — Запретить
    • От пользователя требуется утверждение на перезапуск вне рабочего времени — Требуется
    • Разрешить пользователю выполнять перезапуск (запланированный перезапуск) — Требуется
    • Переход пользователей к запланированному запуску после автоматического перезапуска (в днях) — 3
    • Напоминание об отложенном перезапуске (в днях) — 3
    • Задать крайний срок для ожидающих перезапусков (в днях) — 3
  3. Щелкните Создать.

  4. На вкладке Назначения добавьте группу Защищенные рабочие станции.

Дополнительные сведения о политиках клиентского компонента Центра обновления Windows см. в статье CSP политики — обновление.

Интеграция Intune Microsoft Defender для конечной точки

Microsoft Defender для конечной точки и Microsoft Intune взаимодействуют друг с другом, чтобы помочь предотвратить нарушение безопасности. Они также могут ограничить последствия возникновения брешей. Возможности ATP обеспечивают обнаружение угроз в реальном времени, а также расширенный аудит и ведение журнала конечных устройств.

Чтобы настроить интеграцию Windows Defender для конечной точки и Microsoft Endpoint Manager, выполните следующие действия.

  1. В центре администрирования Microsoft Endpoint Manager выберите Безопасность конечной точки>ATP в Microsoft Defender.

  2. На шаге 1 в разделе "Настройка Защитник Windows ATP" выберите "Подключить Защитник Windows ATP", чтобы Microsoft Intune в центре безопасности Защитник Windows.

  3. В центре безопасности Защитника Windows:

    1. Выберите Параметры>Дополнительные параметры.
    2. Для подключения Microsoft Intune выберите Вкл.
    3. Выберите Сохранить параметры.
  4. После установки подключения вернитесь в Microsoft Endpoint Manager и выберите Обновить в верхней части.

  5. Установите для параметра Подключение устройств Windows версии (20H2) 19042.450 и выше к ATP в Windows Defender значение Вкл.

  6. Нажмите кнопку Сохранить.

Создание профиля конфигурации устройства для подключения устройств Windows

  1. Войдите в центр администрирования Microsoft Endpoint Manager, выберите Безопасность конечной точки>Обнаружение конечной точки и ответ>Создать профиль.

  2. В поле Платформа выберите Windows 10 и более поздние версии.

  3. В поле Тип профиля выберите Обнаружение и нейтрализация атак на конечные точки, а затем — Создать.

  4. На странице Основные сведения введите Рабочие станции с привилегированным доступом — Defender для коечной точки в поле имени и Описание (необязательно) для профиля, а затем нажмите кнопку Далее.

  5. На странице Параметры конфигурации настройте следующий параметр в разделе Обнаружение и нейтрализация атак на конечные точки.

  6. Нажмите Далее, чтобы открыть страницу Теги области. Теги области являются необязательными. Нажмите кнопку Далее, чтобы продолжить.

  7. На странице Назначения выберите группу Безопасная рабочая станция. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

    Выберите Далее.

  8. На странице Проверка и создание после завершения нажмите Создать. Выбрав тип политики для созданного профиля, вы увидите новый профиль в списке. Нажмите OK и Создать, чтобы сохранить изменения и создать профиль.

Дополнительные сведения см. в статье Advanced Threat Protection в Защитнике Windows.

Завершение усиления защиты профиля рабочей станции

Чтобы успешно завершить усиление защиты решения, скачайте и выполните соответствующий сценарий. Найдите ссылки для скачивания требуемого уровня профиля:

Профиль Расположение для скачивания Имя файла
Предприятие https://aka.ms/securedworkstationgit Enterprise-Workstation-Windows10-(20H2).ps1
Специализированный https://aka.ms/securedworkstationgit Specialized-Windows10-(20H2).ps1
Привилегированная https://aka.ms/securedworkstationgit Privileged-Windows10-(20H2).ps1

Примечание

Удалением прав администратора и доступа, а также управлением выполнения приложений (AppLocker) управляют развернутые профили политики.

После успешного выполнения сценария можно вносить обновления в профили и политики Intune. Сценарии создадут политики и профили за вас, но вы должны назначить политики группе устройств Защищенные рабочие станции.

  • Здесь можно найти профили конфигурации устройств Intune, созданные с помощью сценариев: портал Azure>Microsoft Intune>Конфигурация устройств>Профили.
  • Здесь можно найти политики соответствия устройств Intune, созданные с помощью сценариев: портал Azure>Microsoft Intune>Соответствие устройств>Политики.

Запустите сценарий экспорта данных Intune DeviceConfiguration_Export.ps1 из Репозитория GitHub DeviceConfiguration, чтобы экспортировать все текущие профили Intune для сравнения и оценки профилей.

Настройка правил в профиле конфигурации защиты конечных точек для брандмауэра Microsoft Defender

Параметры политики брандмауэра Windows Defender включены в профиль конфигурации защиты конечных точек. Поведение применяемой политики описано в таблице ниже.

Профиль Правила для входящих соединений Правила для исходящих подключений Поведение объединения
Предприятие Блокировать Allow Allow
Специализированный Блокировать Allow Блокировать
Привилегированная Блокировать Блокировать Блокировать

Корпоративный. Эта конфигурация является наименее строгой, поскольку она отражает поведение по умолчанию при установке Windows. Весь входящий трафик блокируется, за исключением правил, которые явно определены в правилах локальной политики, поскольку объединение локальных правил разрешено. Весь исходящий трафик разрешен.

Специализированный. Эта конфигурация является более ограничительной, поскольку игнорирует все локально определенные правила на устройстве. Весь входящий трафик блокируется, включая локально определенные правила, политика содержит два правила, позволяющие оптимизации доставки функционировать так, как задумано. Весь исходящий трафик разрешен.

Привилегированный. Весь входящий трафик блокируется, включая локально определенные правила, политика содержит два правила, позволяющие оптимизации доставки функционировать так, как задумано. Исходящий трафик также блокируется отдельно от явных правил, разрешающих трафик DNS, DHCP, NTP, NSCI, HTTP и HTTPS. Такая конфигурация не только уменьшает уязвимую зону, представленную устройством в сети, но и ограничивает исходящие соединения, которые может устанавливать устройство, только теми соединениями, которые необходимы для администрирования облачных служб.

Правило Направление Действие Приложение или служба Протокол Локальные порты Удаленные порты
Службы Интернета (исходящий трафик HTTP) Исходящие Allow Все TCP Все порты 80
Службы Интернета (исходящий трафик HTTPS) Исходящие Allow Все TCP Все порты 443
Основы сетей — протокол DHCP для IPv6 (DHCPV6-Out) Исходящие Allow %SystemRoot%\system32\svchost.exe TCP 546 547
Основы сетей — протокол DHCP для IPv6 (DHCPV6-Out) Исходящие Allow Dhcp TCP 546 547
Основы сетей — протокол DHCP для IP версии 6 (DHCP-Out) Исходящие Allow %SystemRoot%\system32\svchost.exe TCP 68 67
Основы сетей — протокол DHCP для IP версии 6 (DHCP-Out) Исходящие Allow Dhcp TCP 68 67
Основы сетей — DNS (UDP-Out) Исходящие Allow %SystemRoot%\system32\svchost.exe UDP Все порты 53
Основы сетей — DNS (UDP-Out) Исходящие Allow Dnscache UDP Все порты 53
Основы сетей — DNS (TCP-Out) Исходящие Allow %SystemRoot%\system32\svchost.exe TCP Все порты 53
Основы сетей — DNS (TCP-Out) Исходящие Allow Dnscache TCP Все порты 53
Проба NSCI (TCP-Out) Исходящие Allow %SystemRoot%\system32\svchost.exe TCP Все порты 80
Проба NSCI — (TCP-Out) Исходящие Allow NlaSvc TCP Все порты 80
Служба времени Windows (UDP-Out) Исходящие Allow %SystemRoot%\system32\svchost.exe TCP Все порты 80
Проба службы времени Windows — DNS (UDP-Out) Исходящие Allow W32Time UDP Все порты 123
Оптимизация доставки (TCP-In) Входящий трафик Allow %SystemRoot%\system32\svchost.exe TCP 7680 Все порты
Оптимизация доставки (TCP-In) Входящий трафик Allow DoSvc TCP 7680 Все порты
Оптимизация доставки (UDP-In) Входящий трафик Allow %SystemRoot%\system32\svchost.exe UDP 7680 Все порты
Оптимизация доставки (UDP-In) Входящий трафик Allow DoSvc UDP 7680 Все порты

Примечание

Для каждого правила в конфигурации брандмауэра Microsoft Defender определено два правила. Чтобы ограничить правила для входящего и исходящего трафика для служб Windows, нужно, например, определить клиент DNS, вместе имя службы (DNSCache) и путь к исполняемому файлу (C:\Windows\System32\svchost.exe) как отдельное правило, а не как одно правило, которое можно использовать для групповой политики.

Вы можете внести дополнительные изменения в управление правилами для входящего и исходящего трафика по мере необходимости для разрешенных и заблокированных служб. Дополнительные сведения см. в статье о службе настройки брандмауэра.

Прокси-сервер блокировки URL-адресов

Существуют следующие задачи управления трафиком URL-адресов.

  • Запретите весь исходящий трафик, за исключением выбранных служб Azure и Майкрософт, включая Azure Cloud Shell и возможность самостоятельного сброса пароля.
  • Привилегированный профиль позволяет ограничивать конечные точки в Интернете, к которым может подключаться устройство, используя следующую конфигурацию прокси-сервера блокировки URL.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

Конечные точки, перечисленные в списке ProxyOverride, ограничиваются только теми конечными точками, которые необходимы для проверки подлинности в Azure AD и доступа к интерфейсам управления Azure или Office 365. Чтобы расширить возможности других облачных служб, добавьте в список их URL-адрес администрирования. Этот подход предназначен для ограничения доступа к расширенному Интернету для защиты привилегированных пользователей от атак через Интернет. Если вы считаете этот подход слишком ограничительным, рассмотрите возможность использования подхода, описанного ниже, для привилегированной роли.

Включение Microsoft Cloud Application Security, список ограниченных URL-адресов для утвержденных URL-адресов (максимально допустимое значение)

В развертывании ролей рекомендуется использовать для корпоративных и специализированных развертываний, где строго запретить весь веб-просмотр нежелательно, что использование возможностей брокера безопасности доступа к облаку (CASB), например, Microsoft Defender for Cloud Apps использоваться для блокировки доступа к рискованным и сомнительным веб-сайтам. Решение представляет собой простой способ блокировки проверенных приложений и веб-сайтов. Это решение похоже на получение доступа к списку блокировки с таких сайтов, как Spamhaus Project, который поддерживает список блокировки доменов (DBL). Это хороший ресурс для использования в качестве расширенного набора правил для блокировки сайтов.

Решение предоставит следующие действия:

  • Видимость: обнаружение всех облачных служб, назначение каждой из них уровня риска, выявление всех пользователей и сторонних приложений, которые могут войти в систему.
  • Безопасность данных: выявление и контроль использования конфиденциальных сведений (DLP), применение мер в соответствии с метками классификации содержимого.
  • Защита от угроз: обеспечение адаптивного контроля доступа (AAC), анализ поведения пользователей и сущностей (UEBA), устранение вредоносных программ.
  • Соответствие требованиям: предоставление отчетов и панелей мониторинга для демонстрации управления облаком, помощь в обеспечении соответствия нормативным требованиям и требованиям к месту расположения данных.

Включите Defender для облачных приложений и подключитесь к ATP в Defender, чтобы заблокировать доступ к url-адресам рисков:

Управление локальными приложениями

Безопасная рабочая станция переходит в состояние "Действительно защищенная", когда удаляются локальные приложения, в том числе приложения для повышения производительности. Здесь вы добавляете Visual Studio Code, чтобы разрешить подключение к Azure DevOps для GitHub для управления репозиториями кода.

Настройка Корпоративного портала для настраиваемых приложений

Управляемая Intune копия Корпоративного портала предоставляет доступ по запросу к дополнительным средствам, которые можно отправить пользователям защищенных рабочих станций.

В безопасном режиме установка приложения ограничена управляемыми приложениями, которые доставляются с помощью Корпоративного портала. Однако для установки Корпоративному порталу требуется доступ к Microsoft Store. В своем защищенном решении вы добавите и назначите приложение Корпоративного портала Windows 10 для устройств, подготовленных Autopilot.

Примечание

Убедитесь, что вы назначили приложение Корпоративного портала группе Тег устройства защищенной рабочей станции, используемой для назначения профиля Autopilot.

Развертывание приложений с помощью Intune

В некоторых ситуациях на защищенной рабочей станции требуются такие приложения, как Microsoft Visual Studio Code. В следующем примере приведены инструкции по установке Microsoft Visual Studio Code пользователям в группе безопасности Пользователи защищенной рабочей станции.

Visual Studio Code поставляется в виде пакета EXE, поэтому его необходимо упаковать в файл формата .intunewin для развертывания с помощью Microsoft Endpoint Manager с использованием средства подготовки файлов Win32 корпорации Майкрософт.

Скачайте средство подготовки файлов Win32 корпорации Майкрософт локально на рабочую станцию и скопируйте его в каталог для упаковки, например C:\Packages. Затем создайте исходный и выходной каталог в разделе C:\Packages.

Упаковка Microsoft Visual Studio Code

  1. Скачайте автономный установщик Visual Studio Code для 64-разрядной версии Windows.
  2. Скопируйте скачанный exe-файл Visual Studio Code в C:\Packages\Source.
  3. Откройте консоль PowerShell и перейдите к C:\Packages.
  4. Введите .\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1
  5. Введите Y, чтобы создать новую выходную папку. В этой папке будет создан файл intunewin для Visual Studio Code.

Передача VS Code в Microsoft Endpoint Manager

  1. В центре администрирования Microsoft Endpoint Manager перейдите к области Приложения>Windows>Добавить.
  2. В разделе Выбор типа приложения выберите Приложение для Windows (Win32) .
  3. Щелкните Выбрать файл пакета приложения, щелкните Выбрать файл, а затем выберите VSCodeUserSetup-x64-1.51.1.intunewin из C:\Packages\Output\VSCodeUserSetup-x64-1.51.1. Нажмите кнопку ОК.
  4. Введите Visual Studio Code 1.51.1 в поле "Имя".
  5. Введите описание Visual Studio Code в поле Описание.
  6. Введите Microsoft Corporation в поле Издатель.
  7. Скачайте https://jsarray.com/images/page-icons/visual-studio-code.png и выберите изображение для логотипа. Щелкните Далее.
  8. Введите VSCodeSetup-x64-1.51.1.exe /SILENT в поле Команда установки.
  9. Введите C:\Program Files\Microsoft VS Code\unins000.exe в поле Команда удаления.
  10. Выберите Определить поведение на основе кодов возврата из раскрывающегося списка Поведение при перезапуске устройства. Щелкните Далее.
  11. Выберите 64-бит из раскрывающегося списка Архитектура операционной системы.
  12. Выберите Windows 10 1903 из раскрывающегося списка Минимальная версия операционной системы. Щелкните Далее.
  13. Выберите Ручная настройка правил обнаружения из раскрывающегося списка Формат правила.
  14. Нажмите кнопку Добавить, а затем выберите Файл из раскрывающегося списка Тип правила.
  15. Введите C:\Program Files\Microsoft VS Code в поле Путь.
  16. Введите unins000.exe в поле Файл или папка.
  17. В раскрывающемся списке выберите Существует файл или папка, выберите ОК, а затем выберите Далее.
  18. Нажмите кнопку Далее, так как для этого пакета нет зависимостей.
  19. Выберите Добавить группу в разделе Доступно для зарегистрированных устройств, добавьте группу Привилегированные пользователи. Нажмите Выбрать для подтверждения выбора группы. Щелкните Далее.
  20. Нажмите кнопку Создать.

Создание настраиваемых приложений и параметров с помощью PowerShell

Мы рекомендуем использовать некоторые параметры конфигурации, например две рекомендации Defender для конечных точек, которые необходимо задать с помощью PowerShell. Эти изменения конфигурации нельзя задать с помощью политик в Intune.

Вы также можете использовать PowerShell для расширения возможностей управления узлами. Сценарий PAW-DeviceConfig.ps1 из GitHub является примером сценария, который настраивает следующие параметры:

  • Удаляет Internet Explorer.
  • Удаляет PowerShell версии 2.0.
  • Удаляет Проигрыватель мультимедиа Windows.
  • Удаляет Клиент рабочих папок.
  • Удаляет печать XPS.
  • Включает и настраивает режим гибернации.
  • Реализует исправление реестра для включения обработки правил DLL AppLocker.
  • Реализует параметры реестра для двух рекомендаций Microsoft Defender для конечной точки, которые нельзя установить с помощью Endpoint Manager.
    • Требует, чтобы при настройке расположения сети повышался уровень прав пользователей.
    • Предотвращает сохранение сетевых учетных данных.
  • Отключает мастер определения местоположения сети. Не позволяет пользователям устанавливать местоположение сети как частное и тем самым увеличивать уязвимую зону, подверженную воздействию брандмауэра Windows.
  • Настраивает для службы времени Windows использование NTP и задает автоматический режим для службы времени.
  • Загружает и устанавливает для фона рабочего стола конкретный образ, чтобы легко опознать устройство в качестве готовой к использованию привилегированной рабочей станции.

Сценарий PAW-DeviceConfig.ps1 из GitHub.

  1. Скачайте сценарий [PAW-DeviceConfig.ps1] на локальное устройство.
  2. Перейдите в портал Azure>Microsoft Intune>Конфигурация устройства>Сценарии PowerShell>Добавить. Задайте Имя для сценария и укажите Расположение сценария.
  3. Нажмите кнопку Настроить.
    1. Установите для параметра Запуск сценария с использованием учетных данных входа значение Нет.
    2. Нажмите кнопку ОК.
  4. Щелкните Создать.
  5. Выберите пункты Назначения>Выбрать группу.
    1. Добавьте группу безопасности Защищенные рабочие станции.
    2. Нажмите кнопку Сохранить.

Проверка и тестирование развертывания с помощью первого устройства

Эта регистрация предполагает, что вы будете использовать физическое вычислительное устройство. В рамках процесса закупки рекомендуется, чтобы поставщик вычислительной техники, торговый посредник, распространитель или партнер зарегистрировал устройства в Windows Autopilot.

Однако для тестирования можно создать Виртуальные машины в качестве тестового сценария. Обратите внимание, что регистрацию подключенных устройств необходимо изменить, чтобы разрешить этот метод присоединения клиента.

Этот метод работает для Виртуальных машин или физических устройств, которые не были зарегистрированы ранее.

  1. Запустите устройство и дождитесь появления диалогового окна имени пользователя.
  2. Нажмите SHIFT + F10, чтобы отобразить командную строку.
  3. Введите PowerShell, нажмите "Ввод".
  4. Введите Set-ExecutionPolicy RemoteSigned, нажмите "Ввод".
  5. Введите Install-Script GetWindowsAutopilotInfo, нажмите "Ввод".
  6. Введите Y и нажмите клавишу "Ввод", чтобы принять изменение среды PATH.
  7. Введите Y и нажмите клавишу "Ввод", чтобы установить поставщик NuGet.
  8. Введите Y, чтобы установить доверие к хранилищу.
  9. Введите "Запустить Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv".
  10. Скопируйте CSV-файл с виртуальной машины или физического устройства.

Импорт устройств в Autopilot

  1. В центре администрирования Microsoft Endpoint Manager перейдите к элементу Устройства>Устройства Windows>Регистрация Windows>Устройства.

  2. Выберите Импорт и выберите CSV-файл.

  3. Дождитесь обновления Group Tag до PAW и измените Profile Status на Assigned.

    Примечание

    Тег группы используется динамической группой защищенной рабочей станции, чтобы сделать устройство элементом своей группы.

  4. Добавьте устройство в группу безопасности Защищенные рабочие станции.

  5. На Windows 10 устройстве, которое вы хотите настроить, перейдите к разделу >"Параметры Windows Update Security &>Recovery".

    1. Выберите Начать работу в меню Вернуть компьютер в исходное состояние.
    2. Следуйте инструкциям на экране, чтобы вернуть устройство в исходное состояние и перенастроить его с настроенными политиками профиля и соответствия.

После настройки устройства выполните проверку и проверьте конфигурацию. Прежде чем продолжить развертывание, убедитесь, что первое устройство настроено правильно.

Назначение устройств

Чтобы назначить устройства и пользователей, необходимо сопоставить выбранные профили с группой безопасности. Все новые пользователи, которым требуются разрешения для службы, также должны быть добавлены в группу безопасности.

Использование Microsoft Defender для конечной точки для отслеживания инцидентов безопасности и реагирования на них

  • Постоянное наблюдение и контроль уязвимостей и неправильной конфигурации
  • Использование Microsoft Defender для конечной точки для определения приоритетов динамических угроз от вредоносного ПО
  • Управление корреляций уязвимостей с оповещениями об обнаружении конечных точек и ответов (EDR)
  • Использование панели мониторинга для обнаружения уязвимостей на уровне компьютера во время исследования
  • Отправка исправлений в Intune

Настройте Центр безопасности в Microsoft Defender. Общие сведения об использовании рекомендаций на панели мониторинга управления уязвимостями угроз&.

Мониторинг действий приложений с помощью Расширенного поиска угроз

Начиная со специализированной рабочей станции, AppLocker разрешен для мониторинга действий приложений на рабочей станции. По умолчанию Defender для конечных точек перехватывает события AppLocker. Расширенные запросы на поиск можно использовать для определения того, какие приложения, сценарии или DLL-файлы блокируются AppLocker.

Примечание

Специализированные и привилегированные профили рабочей станции содержат политики AppLocker. Развертывание политик требуется для мониторинга активности приложений на клиенте.

На панели Расширенного поиска Центра безопасности Microsoft Defender используйте следующий запрос для возврата событий AppLocker.

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

Наблюдение

Дальнейшие действия