使用安全基线来帮助保护使用 Microsoft Intune 管理的 Windows 设备

使用 Microsoft Intune 的安全基线,可以快速将建议的安全态势部署到托管的 Windows 设备,以建立 Windows 安全基线,从而帮助你保护用户和设备的安全。

尽管 Windows 和 Windows Server 设计为现成安全,但许多组织仍希望对其安全配置进行更精细的控制。 若要导航大量控制措施,组织通常会寻求有关配置各种安全功能的指导。 Microsoft 以安全基线的形式提供此指南。

此功能适用于:

  • Windows 10 版本 1809 及更高版本
  • Windows 11

Intune 安全基线概述

每个安全基线都是一组预配置的 Windows 设置,可帮助你应用和强制执行相关安全团队建议的精细安全设置。 还可以自定义部署的每个基线,以仅强制执行所需的设置和值。 在 Intune 中创建安全基线配置文件时,将创建一个模板,其中包含多个 设备配置 配置文件。

每个基线中的设置是设备配置设置,类似于各种 Intune 策略中的设置。 基线中的每个设置都适用于托管 Windows 设备上存在的相关产品的配置服务提供商。

若要了解有关部署安全基线的原因和时间的详细信息,请参阅 Windows 安全文档中的Windows 安全基线

在 Intune 中将安全基线部署到用户组或设备组,这些设置适用于运行 Windows 10 或 11 的设备。 例如, Windows 10 及更高版本安全基线 的默认配置会自动为可移动驱动器启用 BitLocker,自动需要密码才能解锁设备,自动禁用基本身份验证等。 如果默认值不适用于你的环境,请自定义基线以应用所需的设置。

注意

2023 年 5 月,Intune 开始为每个新的基线版本或版本更新推出新的安全基线格式。 新格式更新基线设置,以直接从配置服务提供程序获取其名称和配置选项, (由基线设置管理的 CSP) 。

Intune 还引入了一个新过程,可帮助你将现有安全基线配置文件迁移到较新的基线版本。 此新行为是一次性过程,在从较旧配置文件的最新版本移动到 2023 年 5 月或更高版本中可用的较新版本时,将替换正常的更新行为。

使用基线的好处
安全基线可以帮助你在使用 Microsoft 365 时拥有端到端安全工作流。 一些优势包括:

  • 默认情况下,每个安全基线都配置为满足影响安全性的设置的最佳做法和建议。 Intune 与创建组策略安全基线的相同 Windows 安全团队合作。 这些建议是根据指导和广泛经验提出的。
  • 如果你不熟悉 Intune,并且不确定从何处开始,则安全基线可提供优势。 可以快速创建和部署安全配置文件,同时确信自己这样做是在保护组织的资源和数据。
  • 如果当前使用组策略,则使用这些基线可以更轻松地迁移到 Intune 进行管理。 这些基线原生内置于 Intune 中,并包含新式管理体验。

跨多个基线的默认设置
单独的基线类型(例如 Windows 的 MDM 安全基线和 Microsoft Defender 的基线)可能包含相同的设置,并对这些设置使用不同的默认值。 Intune 无法确定哪种配置最适合你,甚至无法在哪个环境或方案中使用一个基线默认建议,而不要使用另一个基线默认建议:

  • 请务必了解使用的基线中的默认值,然后修改每个基线以满足组织需求。
  • 默认情况下,每个基线都使用特定于其应用的产品的建议进行预配置。
  • 在某些情况下,Microsoft Defender 建议的配置可能不是 Windows 推荐的类似设置的默认配置。 在这种情况下,请务必查看每个设置,以便可以根据配置服务提供商详细信息和这两种产品的更大范围了解其意图。

在几乎所有方案中,安全基线中的默认设置都是最严格的。 应确认这些设置不会与环境中的其他策略设置或功能冲突。

例如,防火墙配置的默认设置可能不会将连接安全规则和本地策略规则与 MDM 规则合并。 因此,如果使用传递优化,则应在分配安全基线之前验证这些配置。

注意

Microsoft 不建议在生产环境中使用安全基线的预览版本。 预览版基线中的设置可能会在预览过程中逐渐发生更改。

可用的安全基线

以下安全基线实例可与 Intune 一起使用。 使用链接查看每个基线的最近实例的设置。

当配置文件的新版本可用时,基于旧版本的配置文件中的设置将变为只读。 可以继续使用这些较旧的配置文件。 还可以编辑配置文件名称、说明和分配,但它们不支持更改其设置配置,并且无法基于旧版本创建新的配置文件。

准备好使用较新的基线版本时,可以创建新配置文件或将现有配置文件更新为新版本。 请参阅“管理安全基线配置文件”文章中的更改配置文件的基线版本

关于基线版本和实例

基线的每个新版本实例可以添加或删除设置或引入其他更改。 例如,随着 Windows 10/11 的新版本推出新的 Windows 设置, Windows 10 及更高版本的安全基线 可能会收到包含最新设置的新版本实例。

可以在 Microsoft Intune 管理中心“终结点安全>基线”下查看可用基线列表。 该列表包括:

  • 每个安全基线模板的名称。
  • 具有使用该基线类型的配置文件数。
  • 可用的该基线类型的单独实例(版本)数。
  • “最新发布”日期,用于确定标识基线模板的最新版本何时可用

若要查看有关使用的基线版本的详细信息,请选择基线类型(例如 Windows 10 及更高版本的安全基线 )以打开其 “配置文件 ”窗格,然后选择“ 版本”。 此时,Intune 显示配置文件使用的基线版本的详细信息。 详细信息包括最新和当前的基线版本。 可以选择单个版本以进一步详细了解使用该版本的配置文件。

可以选择更改给定配置文件使用的基线版本。 更改版本时,无需创建新的基线配置文件即可充分利用更新的版本。 相反,可以选择基线配置文件,然后使用内置选项将该配置文件的实例版本更改为新实例版本。

避免冲突

可以同时在 Intune 环境中使用一个或多个可用基线。 还可以使用包含不同自定义项的相同安全基线的多个实例。

使用多个安全基线时,请审阅每个安全基线的设置,以确定不同的基线配置何时会为相同的设置引入冲突值。 由于可以部署用于不同意图的安全基线,并部署包含自定义设置的相同基线的多个实例,因此可能会为设备创建必须调查并解决的配置冲突。

此外,安全基线通常会管理你可能使用设备配置文件或其他类型策略设置的相同设置。 因此,在寻求避免或解决冲突时,请始终注意并考虑设置的其他策略和配置文件。

有关有助于识别和解决冲突的信息,请参阅:

问与答

为什么要使用这些设置?

Microsoft 安全团队多年来一直与 Windows 开发人员以及安全社区直接合作,共同创建这些建议,经验丰富。 此基线中的设置被视为最相关的安全相关配置选项。 在 Windows 的每个新内部版本中,团队都会根据新发布的功能调整自己的建议。

有关组策略与 Intune 的 Windows 安全基线的建议是否存在差异?

为每个基线选择并整理设置的 Microsoft 安全团队不变。 Intune 包含 Intune 安全基线中的所有相关设置。 组策略基线中有一些本地域控制器专用设置。 这些设置被排除在 Intune 建议范围之外。 其他所有设置都是相同的。

Intune 安全基线是否符合 CIS 或 NIST?

严格来讲不符合。 Microsoft 安全团队咨询 CIS 等组织来汇编建议。 但是,“符合 CIS”和Microsoft基线之间没有一对一映射。

Microsoft的安全基线有哪些认证?

Microsoft 多年来一直在发布面向组策略 (GPO) 和安全性符合性工具包的安全基线。 许多组织都使用这些基线。 这些基线中的建议是 Microsoft 安全团队与企业客户及外部机构交流得出,包括美国国防部 (DoD)、美国国家标准技术研究所 (NIST) 等。 我们与这些组织共享建议和基线。 这些组织也有他们自己的建议,这些建议与 Microsoft 的建议非常相似。 随着移动设备管理 (MDM) 继续向云发展,Microsoft 为这些组策略基线创建了等效的 MDM 建议。 其中许多基线内置于 Microsoft Intune 中,并包括遵循 (或不遵循基线) 的用户、组和设备的合规性报告。

许多客户使用 Intune 基线建议作为起点,然后对其进行自定义以满足其 IT 和安全需求。 Microsoft的 Windows 10 及更高版本的基线模板是第一个要发布的基线。 此基线是作为通用基础结构构建,可便于客户最终导入基于 CIS、NIST 和其他标准的其他安全基线。

使用 Microsoft Entra ID 和 Microsoft Intune 从本地 Active Directory 组策略迁移到纯云解决方案是一个旅程。 如需帮助,请使用安全性符合性工具包中的各种工具,这些工具可帮助你识别安全基准中可替代本地 GPO 配置的基于云的选项。

在哪里可以找到有关使用或配置安全基线中可用的设置的详细信息?

每个安全基线通过应用在设备上的配置服务提供程序中找到的选项来管理设备配置。 例如,适用于 Microsoft Defender 的设置取自 Microsoft Defender CSP。 由于 Intune 是这些选项的配置工具,并且不会确定其功能或范围,因此 CSP 文档拥有有关如何配置每个选项的内容。

在 Intune 安全基线策略 UI 中,Intune 提供从源 CSP 获取的信息文本,并提供指向该 CSP 的链接。 在某些情况下,CSP 可能是较大内容集的一部分,其中包括主动指导,这些指导超出了 Intune 的范围,在我们的内容中包括或重复。 但是,Intune 会记录每个安全基线版本及其默认配置中的设置列表。

后续步骤