Korzystanie z punktów odniesienia zabezpieczeń w celu zabezpieczenia urządzeń z systemem Windows zarządzanych za pomocą Microsoft Intune
Dzięki punktom odniesienia zabezpieczeń Microsoft Intune można szybko wdrożyć zalecaną postawę zabezpieczeń na zarządzanych urządzeniach z systemem Windows dla punktów odniesienia zabezpieczeń systemu Windows, aby ułatwić zabezpieczanie i ochronę użytkowników i urządzeń.
Mimo że systemy Windows i Windows Server zostały zaprojektowane tak, aby były bezpieczne, wiele organizacji nadal chce bardziej szczegółowej kontroli nad konfiguracjami zabezpieczeń. Aby nawigować po dużej liczbie kontrolek, organizacje często szukają wskazówek dotyczących konfigurowania różnych funkcji zabezpieczeń. Firma Microsoft udostępnia te wskazówki w postaci punktów odniesienia zabezpieczeń.
Ta funkcja ma zastosowanie do:
- Windows 10 wersji 1809 lub nowszej
- System Windows 11
Omówienie punktu odniesienia zabezpieczeń Intune
Każdy punkt odniesienia zabezpieczeń to grupa wstępnie skonfigurowanych ustawień systemu Windows, które ułatwiają stosowanie i wymuszanie szczegółowych ustawień zabezpieczeń zalecanych przez odpowiednie zespoły zabezpieczeń. Można również dostosować każdą wdrożoną linię bazową, aby wymusić tylko te ustawienia i wartości, których potrzebujesz. Podczas tworzenia profilu punktu odniesienia zabezpieczeń w Intune tworzysz szablon, który składa się z wielu profilów konfiguracji urządzeń.
Ustawienia w każdym punkcie odniesienia to ustawienia konfiguracji urządzenia, takie jak te, które można znaleźć w różnych zasadach Intune. Każde ustawienie w punkcie odniesienia współpracuje z dostawcą usług konfiguracji dla odpowiedniego produktu, który znajduje się na zarządzanym urządzeniu z systemem Windows.
Aby dowiedzieć się więcej o tym, dlaczego i kiedy warto wdrożyć punkty odniesienia zabezpieczeń, zobacz Punkty odniesienia zabezpieczeń systemu Windows w dokumentacji zabezpieczeń systemu Windows.
Punkty odniesienia zabezpieczeń są wdrażane w grupach użytkowników lub urządzeń w Intune, a ustawienia dotyczą urządzeń z systemem Windows 10 lub 11. Na przykład domyślna konfiguracja punktu odniesienia zabezpieczeń dla Windows 10 i później automatycznie włącza funkcję BitLocker dla dysków wymiennych, automatycznie wymaga hasła do odblokowania urządzenia, automatycznie wyłącza uwierzytelnianie podstawowe i nie tylko. Jeśli wartość domyślna nie działa w twoim środowisku, dostosuj punkt odniesienia, aby zastosować potrzebne ustawienia.
Uwaga
W maju 2023 r. Intune rozpoczął wdrażanie nowego formatu punktu odniesienia zabezpieczeń dla każdej nowej wersji lub aktualizacji wersji punktu odniesienia. Nowy format aktualizuje ustawienia punktu odniesienia, aby bezpośrednio przyjmować ich opcje nazwy i konfiguracji od dostawcy usług konfiguracji (CSP) zarządzanego przez ustawienie punktu odniesienia.
Intune również wprowadzono nowy proces ułatwiający migrowanie istniejącego profilu punktu odniesienia zabezpieczeń do nowszej wersji punktu odniesienia. To nowe zachowanie jest jednorazowym procesem, który zastępuje normalne zachowanie aktualizacji po przejściu z najnowszej wersji starszego profilu do nowszej wersji, która stała się dostępna w maju 2023 r. lub nowszym.
Zalety korzystania z punktów odniesienia:
Punkty odniesienia zabezpieczeń mogą pomóc w zapewnieniu kompleksowego bezpiecznego przepływu pracy podczas pracy z platformą Microsoft 365. Niektóre korzyści obejmują:
- Domyślnie każdy punkt odniesienia zabezpieczeń jest skonfigurowany tak, aby spełniał najlepsze rozwiązania i zalecenia dotyczące ustawień wpływających na zabezpieczenia. Intune partnerów z tym samym zespołem ds. zabezpieczeń systemu Windows, który tworzy punkty odniesienia zabezpieczeń zasad grupy. Te zalecenia są oparte na wskazówkach i rozbudowanych doświadczeniach.
- Jeśli dopiero zaczynasz Intune i nie wiesz, od czego zacząć, punkty odniesienia zabezpieczeń zapewniają przewagę. Możesz szybko utworzyć i wdrożyć bezpieczny profil, wiedząc, że pomagasz chronić zasoby i dane organizacji.
- Jeśli obecnie używasz zasad grupy, migracja do Intune na potrzeby zarządzania jest łatwiejsza dzięki tym punktom odniesienia. Te punkty odniesienia są natywnie wbudowane w Intune i obejmują nowoczesne środowisko zarządzania.
Ustawienia domyślne w wielu punktach odniesienia:
Oddzielne typy punktów odniesienia, takie jak punkt odniesienia zabezpieczeń mdm dla systemu Windows i punkt odniesienia dla Microsoft Defender, mogą zawierać te same ustawienia i używać różnych wartości domyślnych dla tych ustawień. Intune nie może określić, która konfiguracja jest najlepsza dla Ciebie, a nawet w którym środowisku lub scenariuszu można użyć jednego domyślnego zalecenia punktu odniesienia w stosunku do innego:
- Ważne jest, aby zrozumieć wartości domyślne w używanych punktach odniesienia, a następnie zmodyfikować każdy punkt odniesienia zgodnie z potrzebami organizacji.
- Domyślnie każdy punkt odniesienia jest wstępnie skonfigurowany przy użyciu zaleceń specyficznych dla produktu, do których ma zastosowanie.
- W niektórych przypadkach konfiguracja zalecana przez Microsoft Defender może nie być domyślną konfiguracją podobnych ustawień, jeśli jest zalecana przez system Windows. W takich sytuacjach ważne jest, aby przejrzeć każde ustawienie, aby zrozumieć jego intencję na podstawie szczegółów dostawcy usług konfiguracji i większego zakresu tych dwóch produktów.
W prawie wszystkich scenariuszach ustawienia domyślne w punktach odniesienia zabezpieczeń są najbardziej restrykcyjne. Upewnij się, że te ustawienia nie powodują konfliktu z innymi ustawieniami zasad ani funkcjami w środowisku.
Na przykład domyślne ustawienia konfiguracji zapory mogą nie scalać reguł zabezpieczeń połączeń i reguł zasad lokalnych z regułami mdm. Dlatego jeśli używasz optymalizacji dostarczania, przed przypisaniem punktu odniesienia zabezpieczeń należy zweryfikować te konfiguracje.
Uwaga
Firma Microsoft nie zaleca używania wersji zapoznawczej punktów odniesienia zabezpieczeń w środowisku produkcyjnym. Ustawienia w punkcie odniesienia wersji zapoznawczej mogą ulec zmianie w trakcie obowiązywania wersji zapoznawczej.
Dostępne punkty odniesienia zabezpieczeń
Następujące wystąpienia punktu odniesienia zabezpieczeń są dostępne do użycia z Intune. Użyj linków, aby wyświetlić ustawienia dla ostatnich wystąpień każdego punktu odniesienia.
- Punkt odniesienia zabezpieczeń dla Windows 10 i nowszych:
Ochrona punktu końcowego w usłudze Microsoft Defender punkt odniesienia:
(Aby użyć tego punktu odniesienia, środowisko musi spełniać wymagania wstępne dotyczące używania Ochrona punktu końcowego w usłudze Microsoft Defender).Uwaga
Punkt odniesienia zabezpieczeń Ochrona punktu końcowego w usłudze Microsoft Defender został zoptymalizowany pod kątem urządzeń fizycznych i obecnie nie jest zalecany do użycia na maszynach wirtualnych lub punktach końcowych VDI. Niektóre ustawienia punktu odniesienia mogą mieć wpływ na zdalne sesje interaktywne w środowiskach zwirtualizowanych. Aby uzyskać więcej informacji, zobacz Zwiększanie zgodności z punktem odniesienia zabezpieczeń Ochrona punktu końcowego w usłudze Microsoft Defender w dokumentacji systemu Windows.
Aplikacje Microsoft 365 dla przedsiębiorstw:
- Wersja 2306 (punkt odniesienia pakietu Office)wydana w listopadzie 2023 r.
- Maj 2023 r. (punkt odniesienia pakietu Office)
Punkt odniesienia przeglądarki Microsoft Edge:
- Microsoft Edge w wersji 117 — listopad 2023 r.
- Microsoft Edge w wersji 112 lub nowszej — maj 2023 r.
- Microsoft Edge w wersji 85 lub nowszej — wrzesień 2020 r.
- Microsoft Edge w wersji 80 lub nowszej — kwiecień 2020 r.
- Wersja zapoznawcza: Microsoft Edge w wersji 77 lub nowszej — październik 2019 r.
Windows 365 punkt odniesienia zabezpieczeń:
Gdy nowa wersja profilu stanie się dostępna, ustawienia w profilach na podstawie starszych wersji staną się tylko do odczytu. Możesz nadal używać tych starszych profilów. Można również edytować nazwy profilów, opisy i przypisania, ale nie obsługują one zmiany konfiguracji ustawień i nie można tworzyć nowych profilów na podstawie starszych wersji.
Gdy wszystko będzie gotowe do użycia nowszej wersji punktu odniesienia, możesz utworzyć nowe profile lub zaktualizować istniejące profile do nowej wersji. Zobacz Artykuł Manage security baseline profiles ( Zmienianie wersji punktu odniesienia dla profilu ) w artykule Zarządzanie profilami punktów odniesienia zabezpieczeń .
Informacje o wersjach i wystąpieniach punktu odniesienia
Każde nowe wystąpienie wersji punktu odniesienia może dodawać lub usuwać ustawienia lub wprowadzać inne zmiany. Na przykład gdy nowe ustawienia systemu Windows staną się dostępne w nowych wersjach Windows 10/11, punkt odniesienia zabezpieczeń dla Windows 10 i nowszych wersji może otrzymać nowe wystąpienie wersji zawierające najnowsze ustawienia.
Listę dostępnych punktów odniesienia można wyświetlić w centrum administracyjnym Microsoft Intune w obszarzePunkty odniesienia zabezpieczeń>punktu końcowego. Lista zawiera następujące elementy:
- Nazwa każdego szablonu punktu odniesienia zabezpieczeń.
- Ile masz profilów korzystających z tego typu punktu odniesienia.
- Ile jest dostępnych oddzielnych wystąpień (wersji) typu punktu odniesienia.
- Data ostatniej publikacji określająca, kiedy stała się dostępna najnowsza wersja szablonu punktu odniesienia.
Aby wyświetlić więcej informacji o używanych wersjach punktu odniesienia, wybierz typ punktu odniesienia, taki jak Punkt odniesienia zabezpieczeń dla Windows 10, a następnie otwórz okienko Profile, a następnie wybierz pozycję Wersje. Intune wyświetla szczegółowe informacje o wersjach tego punktu odniesienia, które są używane przez profile. Szczegóły obejmują najnowszą i bieżącą wersję punktu odniesienia. Możesz wybrać pojedynczą wersję, aby wyświetlić bardziej szczegółowe informacje o profilach korzystających z tej wersji.
Możesz zmienić wersję punktu odniesienia, która jest używana z danym profilem. Po zmianie wersji nie trzeba tworzyć nowego profilu punktu odniesienia, aby korzystać ze zaktualizowanych wersji. Zamiast tego można wybrać profil punktu odniesienia i użyć wbudowanej opcji, aby zmienić wersję wystąpienia dla tego profilu na nową.
Unikaj konfliktów
Jednocześnie możesz użyć co najmniej jednego z dostępnych punktów odniesienia w środowisku Intune. Można również użyć wielu wystąpień tych samych punktów odniesienia zabezpieczeń, które mają różne dostosowania.
Jeśli używasz wielu punktów odniesienia zabezpieczeń, przejrzyj ustawienia w każdym z nich, aby określić, kiedy różne konfiguracje punktu odniesienia wprowadzają sprzeczne wartości dla tego samego ustawienia. Ponieważ można wdrożyć punkty odniesienia zabezpieczeń przeznaczone dla różnych intencji i wdrożyć wiele wystąpień tego samego punktu odniesienia, które zawierają dostosowane ustawienia, można tworzyć konflikty konfiguracji dla urządzeń, które muszą zostać zbadane i rozwiązane.
Ponadto punkty odniesienia zabezpieczeń często zarządzają tymi samymi ustawieniami, które można ustawić przy użyciu profilów konfiguracji urządzeń lub innych typów zasad. W związku z tym należy pamiętać o innych zasadach i profilach oraz ich uwzględniać w przypadku ustawień, gdy chcesz uniknąć konfliktów lub rozwiązać je.
Aby uzyskać informacje, które mogą pomóc w identyfikowaniu i rozwiązywaniu konfliktów, zobacz:
- Rozwiązywanie problemów z zasadami i profilami w Intune
- Monitorowanie punktów odniesienia zabezpieczeń
Q & A
Dlaczego te ustawienia?
Zespół ds. zabezpieczeń firmy Microsoft ma wieloletnie doświadczenie w pracy bezpośrednio z deweloperami systemu Windows i społecznością zabezpieczeń w celu utworzenia tych zaleceń. Ustawienia w tym punkcie odniesienia są uważane za najbardziej odpowiednie opcje konfiguracji związane z zabezpieczeniami. W każdej nowej kompilacji systemu Windows zespół dostosowuje swoje zalecenia na podstawie nowo wydanych funkcji.
Czy istnieją różnice w zaleceniach dotyczących punktów odniesienia zabezpieczeń systemu Windows dla zasad grupy w porównaniu z Intune?
Ten sam zespół ds. zabezpieczeń firmy Microsoft wybrał i zorganizował ustawienia dla każdego punktu odniesienia. Intune zawiera wszystkie odpowiednie ustawienia w punkcie odniesienia zabezpieczeń Intune. W punkcie odniesienia zasad grupy istnieją pewne ustawienia specyficzne dla lokalnego kontrolera domeny. Te ustawienia są wykluczone z zaleceń Intune. Wszystkie inne ustawienia są takie same.
Czy Intune punkty odniesienia zabezpieczeń cis lub NIST są zgodne?
Ściśle rzecz biorąc, nie. Zespół ds. zabezpieczeń firmy Microsoft konsultuje się z organizacjami, takimi jak CIS, w celu skompilowania zaleceń. Nie ma jednak mapowania jeden do jednego między punktami odniesienia "zgodnymi z cisem" a punktami odniesienia firmy Microsoft.
Jakie certyfikaty mają punkty odniesienia zabezpieczeń firmy Microsoft?
Firma Microsoft nadal publikuje punkty odniesienia zabezpieczeń dla zasad grupy (GPO) i zestawu narzędzi do zgodności z zabezpieczeniami, tak jak to działa od wielu lat. Te punkty odniesienia są używane przez wiele organizacji. Zalecenia zawarte w tych punktach odniesienia pochodzą z zaangażowania zespołu ds. zabezpieczeń firmy Microsoft w kontakty z klientami korporacyjnymi i agencjami zewnętrznymi, w tym z Departamentem Obrony (DoD), Narodowym Instytutem Standardów i Technologii (NIST) i nie tylko. Udostępniamy nasze zalecenia i plany bazowe tym organizacjom. Te organizacje mają również własne zalecenia, które ściśle odzwierciedlają zalecenia firmy Microsoft. Ponieważ zarządzanie urządzeniami przenośnymi (MDM) nadal rośnie w chmurze, firma Microsoft utworzyła równoważne zalecenia dotyczące zarządzania urządzeniami przenośnymi dla tych punktów odniesienia zasad grupy. Wiele z tych punktów odniesienia jest wbudowanych w Microsoft Intune i obejmuje raporty zgodności dotyczące użytkowników, grup i urządzeń, które są zgodne (lub nie są zgodne) z punktem odniesienia.
Wielu klientów używa Intune rekomendacji bazowych jako punktu początkowego, a następnie dostosowuje je w celu spełnienia wymagań it i zabezpieczeń. Szablon Windows 10 i nowszej linii bazowej firmy Microsoft był pierwszym punktem odniesienia do wydania. Ten punkt odniesienia jest zbudowany jako ogólna infrastruktura, która umożliwia klientom ostatecznie importowanie innych punktów odniesienia zabezpieczeń na podstawie cis, NIST i innych standardów.
Migracja z zasad grupy lokalna usługa Active Directory do czystego rozwiązania w chmurze przy użyciu Tożsamość Microsoft Entra z Microsoft Intune jest podróżą. Aby uzyskać pomoc, skorzystaj z różnych narzędzi z zestawu narzędzi do zgodności zabezpieczeń , które mogą ułatwić identyfikowanie opcji opartych na chmurze z punktów odniesienia zabezpieczeń, które mogą zastąpić lokalne konfiguracje obiektów zasad grupy.
Gdzie można znaleźć szczegółowe informacje na temat używania lub konfigurowania ustawień dostępnych w punkcie odniesienia zabezpieczeń?
Każdy punkt odniesienia zabezpieczeń zarządza konfiguracjami urządzeń, stosując opcje znalezione w dostawcy usług konfiguracji na urządzeniu. Na przykład ustawienia, które mają zastosowanie do Microsoft Defender, są pobierane z dostawcy CSP Microsoft Defender. Ponieważ Intune jest pojazdem konfiguracyjnym dla tych opcji i nie określa ich funkcjonalności ani zakresu, dokumentacja dostawcy CSP jest właścicielem zawartości umożliwiającej konfigurowanie poszczególnych opcji.
W interfejsie użytkownika zasad punktu odniesienia zabezpieczeń Intune Intune udostępnia tekst informacji pobrany ze źródłowego dostawcy usług kryptograficznych i udostępnia link do tego dostawcy CSP. W niektórych przypadkach dostawca CSP może być częścią większego zestawu zawartości, który zawiera proaktywne wskazówki wykraczające poza zakres Intune do uwzględnienia lub zduplikowania w naszej zawartości. Jednak Intune dokumentuje listę ustawień w każdej wersji punktu odniesienia zabezpieczeń i jego konfigurację domyślną.
Następne kroki
Sprawdzanie stanu i monitorowanie punktu odniesienia i profilu
Wyświetl ustawienia w najnowszych wersjach dostępnych punktów odniesienia:
- Windows 10 i nowsze — punkt odniesienia zabezpieczeń rozwiązania MDM
- punkt odniesienia Ochrona punktu końcowego w usłudze Microsoft Defender
- Aplikacje Microsoft 365 dla punktu odniesienia zabezpieczeń przedsiębiorstwa (Office)
- Punkt odniesienia zabezpieczeń przeglądarki Microsoft Edge
- punkt odniesienia zabezpieczeń Windows 365