通过

在 Windows 上运行Microsoft Teams 会议室的 Surface Hub 的安全最佳做法

  • 项目

范围

本文适用于新的 Surface Hub 3 设备、使用 Surface Hub 3 计算盒和 Surface Hub 2S 设备软件迁移到 Windows 平台上Teams 会议室的 Surface Hub 2S 设备。

简介

根据组织的安全状况,你可能希望采取其他安全措施,如本文所述。 建议至少采取以下措施:

提示

在开始之前,请查看Microsoft Teams 会议室安全性指南,其中主要侧重于桌面会议设备的安全性:Teams 会议室认证系统。 Windows 11 IoT 企业版操作系统为 IT 管理员提供了一系列集中式配置和管理选项。

更改默认本地管理员密码

默认本地管理员帐户是恶意参与者的已知入口点。 如果在首次设置后默认管理员密码保持不变,则设备可能容易受到数据泄露、系统操纵或其他未经授权的访问的影响。

更改 Surface Hub 上的本地管理员密码

  1. 使用管理员凭据登录,然后转到 “设置 > 帐户 > ”登录选项 > “”密码 > 更改”。
  2. 输入当前默认 password:sfb
  3. 创建新密码、确认密码并添加提示。 若要了解详细信息,请参阅 更改或重置 Windows 密码

显示更改密码的屏幕截图。

提示

加入 Microsoft Entra ID (Azure AD) 后,可以使用 Windows LAPS (本地管理员密码解决方案) 。 尽管 LAPS 不会删除本地管理员帐户,但它会自动管理本地管理员密码,确保这些密码随机化并安全地存储在 AD 中。 这可以降低与过时或广为人知的管理员密码相关的风险。 若要了解详细信息,请参阅 windows LAPS Microsoft Intune支持

设置 UEFI 密码

统一可扩展固件接口 (UEFI) 是一种高级固件接口,旨在取代传统的 BIOS (基本输入/输出系统) ,提供增强的功能,例如改进的安全性、更快的启动时间,并支持现代 Windows 操作系统中更大的硬盘驱动器。 通过设置 UEFI 密码,可以添加额外的安全层,防止未经授权的用户更改设备的固件设置。 设置强 UEFI 密码并将其存储在安全位置。

使用 Surface IT 工具包 通过 Surface Enterprise Management Mode (SEMM) 设置 UEFI 密码。

在 SEMM 中注册 Surface Hub

需要具有至少 50 MB 存储空间的专用 U 盘。

  1. 打开 IT 工具包,选择 “UEFI 配置器>配置设备”。

    Surface Hub 的 UEFI 配置器的屏幕截图。

  2. “选择部署生成”下,选择“ DFI”。

    选择 Surface Hub 的“部署生成”的屏幕截图。

  3. “导入证书保护”下, (PFE) 证书添加组织个人信息交换

    导入证书保护的屏幕截图。

    注意

    本文假设你要么从第三方提供商处获得证书,要么已经具备 PKI 证书服务方面的专业知识,并且知道如何创建自己的证书。 若要了解详细信息,请参阅 SEMM 证书要求证书服务体系结构 文档。

  4. “DFI 包类型”下,选择“ 配置包”。 对于 “设备”,选择“ Surface Hub>Surface Hub 3 ”,然后选择“ 下一步”。

    显示“配置包”选择的屏幕截图。

  5. “UEFI 密码 ”下,选择“ 设置或修改密码” ,然后输入并确认密码。 选择“ 下一步”。

    为 Surface Hub 设置 UEFI 密码的屏幕截图。

  6. (可选)可以配置组件和高级设置,如此页上 使用 SEMM 管理 UEFI 设置部分中所述。 否则,请选择“ 下一步”。

  7. 选择 U 盘,然后选择 “创建”。

    显示生成 UEFI DFI 包的屏幕的屏幕截图。

  8. 成功创建包后,配置器会显示证书指纹的最后两个字符。 将配置导入到 Surface Hub 时,需要这些字符。

物理保护 Surface Hub

物理安全与数字安全一样重要。 公共会议室中的 Surface Hub 等设备可能会受到物理损坏或篡改。 若要保护 Surface Hub,请考虑以下步骤:

  • 防篡改密封: 在设备上使用防篡改密封。 如果有人尝试打开设备,封条会显示篡改的迹象。
  • 安全电缆和锁: 使用安全电缆和锁将设备固定在沉重或不可移动的物体上,使某人难以带着它走开。
  • 监视: 根据工作场所环境,可以选择在会议室中安装监控摄像头。 仅仅存在摄像头就能阻止潜在的不法分子。

Surface Hub & Surface Hub 2S 上Windows 10 协同版的差异

在 Windows 上运行 Teams 会议室 的 Surface Hub 上,默认情况下不再启用以下安全功能:

BitLocker

加入 Microsoft Entra ID (Azure AD) 后,可以通过 Intune 启用 BitLocker。 有关详细信息,请参阅在 Intune 中使用 BitLocker 加密 Windows 设备

在 Windows 上运行Teams 会议室的独立 Surface Hub 上启用 BitLocker

  1. 使用管理员凭据登录到 Surface Hub。

  2. 选择“开始”,输入“控制”,然后打开控制面板

  3. 选择“ 系统 & 安全>BitLocker 驱动器加密>”,打开 BitLocker。

    [显示如何通过控制面板打开 BitLocker 的屏幕截图。

用户模式代码完整性 (UMCI)

UMCI 强制实施代码完整性策略,并确保只有受信任的代码在用户模式下运行,从而帮助防止恶意或不受信任的代码的执行。 在中心 3 加入Microsoft Entra域时,可以通过组策略或使用 PowerShell cmdlet 配置 UMCI。 UMCI 是可使用 Windows Defender 应用程序控制 (WDAC) 管理的功能集的一部分,其中还包括可配置的代码完整性策略。 若要了解详细信息,请参阅 了解 Windows Defender 应用程序控制 (WDAC) 策略规则和文件规则

Microsoft Teams 会议室专业版管理

强烈建议使用 Microsoft Teams 会议室专业版 管理门户许可证。 此基于云的管理平台旨在通过为Microsoft Teams 会议室设备及其外围设备提供主动监视和更新来提升会议室体验。 此服务适用于希望优化其会议环境的组织,可确保实时监督和管理Microsoft Teams 会议室设备,包括 Surface Hub。 通过采用此解决方案,组织可以显著提高最终用户的可用性和可靠性,确保无缝的会议体验。

  • 智能操作:利用软件和机器学习来自动生成更新、检测问题并解决Microsoft Teams 会议室问题。
  • 及时安全更新:自动更新管理可确保安全修补程序在可用时立即应用这些修补程序,最大程度地减少漏洞窗口并保护设备免受已知安全威胁的影响。
  • 更新管理:根据客户可配置的部署圈自动协调会议应用程序和 Windows 更新。

若要了解详细信息,请参阅Microsoft Teams 会议室专业版管理。

在 Windows 上运行Teams 会议室的 Surface Hub 的企业管理

建议加入 Surface Hub 以Microsoft Entra ID (Azure AD) ,并使用Microsoft Intune或等效的移动设备管理 (MDM) 解决方案来管理设备。 下表介绍了Intune的配置管理选项。

功能 说明 了解详细信息
设备配置文件 使用 Intune 的终结点保护设置配置 Windows Defender、防火墙设置和其他安全功能,以保护设备免受潜在威胁。 在 Microsoft Intune 中创建设备配置文件
设备符合性策略 确保设备符合组织的安全标准。 例如,如果设备不符合 (,如果未) 安装所需的更新,则可以配置自动修正操作或通知。 在 Microsoft Intune 中创建设备符合性策略
更新管理 使用默认更新管理设置在夜间维护时段内自动安装更新。 Intune提供了更多用于自定义的选项(如果需要)。 可以使用 Windows 10/11 设备的Intune更新通道策略管理Windows 更新设置。
应用管理 使用 Intune 管理 Windows Teams 会议室 Surface Hub 上安装的应用。 确保仅安装与Teams 会议室功能相关的必要应用并定期更新。 在 Intune 中管理和保护应用
BitLocker 加密 确保使用 BitLocker 加密设备的存储。 这可以保护数据免受未经授权的访问或设备盗窃。 与 Surface Hub 2S 不同,默认情况下不安装 BitLocker。 在 Intune 中使用 BitLocker 加密 Windows 设备
WindowsLocal 管理员密码解决方案 Windows LAPS 自动管理本地管理员密码,确保这些密码随机且安全地存储在 Microsoft Entra ID (Azure AD) 中。 这可以降低与过时或广为人知的管理员密码相关的风险。 Microsoft Intune对 Windows LAPS 的支持
条件访问 设置条件访问策略,确保设备仅在满足特定条件(例如符合安全策略)时才能访问公司资源。 将条件访问与Microsoft Intune合规性策略配合使用
网络安全 确保设备已连接到安全网段。 使用Intune配置 Wi-Fi 设置、VPN 或其他网络配置,以保护传输中的数据。 为Microsoft Intune中的设备创建 Wi-Fi 配置文件

Microsoft Intune 网络终结点
远程擦除和锁定 发生安全事件时,请确保可以使用Intune远程锁定或擦除设备。 使用Microsoft Intune停用或擦除设备
审核和监视 定期查看审核日志,并为可疑活动设置警报。 Intune与 Microsoft Endpoint Manager 和其他Microsoft安全解决方案集成,提供设备安全性的整体视图。 审核Microsoft Intune中的更改和事件
用户培训 告知用户不要在屏幕上显示敏感信息。

如果组织Microsoft Purview 数据丢失防护 (DLP) ,则可以定义策略来阻止用户在Microsoft Teams 频道或聊天会话中共享敏感信息。		 数据丢失防护和Microsoft Teams

在已加入域的方案中管理组策略设置

将Teams 会议室与域集成时,必须专门为Teams 会议室建立单独的专用组织单位 (OU) 。 此方法允许将 组策略 对象 (GPO) 排除直接应用到此 OU,确保仅相关策略影响Teams 会议室对象。

  • 禁用 GPO 继承。 必须禁用此 OU 中的所有 GPO 继承,以防止将不支持或不相关的组策略设置应用到Teams 会议室。

  • 在加入域之前将 GPO 应用到 OU。 确保在加入域之前在此特定 OU 中创建Teams 会议室的计算机对象。 此步骤对于避免无意中应用默认计算机 OU 策略以Teams 会议室和维护预期的配置和安全态势至关重要。

若要详细了解如何在已加入域的方案中配置组策略,请参阅以下资源:

使用 SEMM 管理 UEFI 设置

SEMM 使 IT 管理员能够根据环境的安全状况,锁定你可能希望实现的固件级别的功能。 如前所述,打开 Surface UEFI 配置器,然后转到以下屏幕:

显示要打开或关闭的“组件”和“高级设置”的屏幕截图。

有关设置说明,请参阅 SEMM UEFI 设置参考

同步多线程 (SMT)

在 Intel 处理器中通常称为超线程处理,SMT 允许单个物理 CPU 核心同时执行多个线程。 这可以提高多线程应用程序中的性能。 但是,在某些情况下,你可能想要控制 SMT 设置。 某些漏洞(如推理执行侧通道攻击 (例如 L1 终端故障、MDS 漏洞) )可能会利用 SMT 访问敏感数据。 禁用 SMT 可以降低与这些漏洞相关的风险,但代价是一些性能。 默认情况下,SMT 处于启用状态。

用于 PXE 启动的 IPv6

如果网络基础结构和安全控制主要围绕 IPv4 进行设计,并且仍需要配备完善的设备来安全地处理 IPv6 流量,则为 PXE 启动启用 IPv6 可能会引入漏洞。 这是因为 IPv6 可能会绕过 IPv4 的某些现有安全控制。

虽然为 PXE 启动启用 IPv6 符合更广泛的行业采用 IPv6 的举措,但必须确保网络基础结构、安全控制和操作实践都能够安全地处理 IPv6。 否则,在这些措施到位之前,禁用 IPv6 for PXE 启动可能会更安全。

备用启动 & USB 启动

从其他源(如 USB 或以太网设备)启动的功能为系统恢复提供了灵活性,但也可能会引入漏洞:

  • 未经授权的操作系统:如果启用了备用启动,对设备具有物理访问权限的攻击者可能会从 U 盘使用未经授权的操作系统启动系统。 这可能会绕过主 OS 的安全控制。
  • 数据提取:攻击者可以从外部设备启动到允许直接访问内部存储的系统,从而提取敏感数据。
  • 恶意软件安装:从不受信任的源启动可能会在系统级别引入恶意软件、rootkit 或其他恶意软件。

鉴于这些影响,高度安全工作区环境中的组织可能会选择禁用备用启动和 USB 启动,以降低未经授权的访问或篡改的风险。

启动顺序锁

启用“启动顺序锁”可确保它仅从授权的源启动,从而增强安全态势。 默认情况下,启动顺序锁定处于关闭状态。

了解详细信息