Skep sekuriteitsbeleide in Intune om Windows-toestelle te beskerm

Skep sekuriteitsbeleide in Intune om Windows-toestelle te beskerm

01/08/2024

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die skep en implementering van robuuste sekuriteitsbeleide in Microsoft Intune om Windows-toestelle te beskerm. Microsoft Intune, deel van Microsoft Endpoint Manager, bied 'n omvattende oplossing vir verenigde eindpuntbestuur, wat organisasies in staat stel om toestelle te bestuur, data te beskerm en voldoening aan sekuriteitsbeleide te verseker, ongeag waar toestelle geleë is [1].

Inleiding

In 'n moderne werkplek, waar toestelle in maatskappybesit of persoonlik (BYOD) kan wees en toegang tot korporatiewe hulpbronne vanaf enige plek kan kry, is eindpuntsekuriteit meer krities as ooit tevore. Microsoft Intune vereenvoudig die bestuur en afdwinging van sekuriteitsbeleide op Windows-toestelle, om te verseker dat hulle aan korporatiewe standaarde voldoen voordat hulle toegang tot sensitiewe data verkry [2].

Hierdie praktiese gids sal die skep van verskillende tipes sekuriteitsbeleide in Intune dek, soos voldoeningsbeleide en toestelkonfigurasieprofiele, fokus op werklike scenario's en die verskaffing van stap-vir-stap-instruksies, voorbeeldkonfigurasies en valideringsmetodes. Die doel is om die leser in staat te stel om hierdie beleide effektief te implementeer en hul organisasie se sekuriteitsposisie te verbeter.

Waarom Intune vir sekuriteitsbeleide gebruik?

Intune bied verskeie voordele vir die bestuur van Windows-toestelsekuriteit:

  • Verenigde bestuur: Bestuur Windows-, macOS-, iOS/iPadOS- en Android-toestelle vanaf 'n enkele konsole.
  • Deurlopende voldoening: Verseker dat toestelle aan sekuriteitsvereistes voldoen voordat hulle toegang tot korporatiewe hulpbronne kry.
  • Outomatisering: Outomatiseer die ontplooiing van sekuriteitsinstellings, opdaterings en toepassings.
  • Integrasie: Integreer met ander Microsoft-oplossings, soos Azure AD (Microsoft Entra ID) vir voorwaardelike toegang en Microsoft Defender vir Endpoint vir gevorderde bedreigingsbeskerming.
  • Buigsaamheid: Ondersteun uiteenlopende scenario's, van volledig bestuurde korporatiewe toestelle tot BYOD.

Voorvereistes

Om hierdie tutoriaal te volg, sal jy die volgende items benodig:

  1. Lisensiëring: 'n Geldige lisensie vir Microsoft Intune. Dikwels ingesluit in pakkette soos Microsoft 365 E3, E5, F1, F3, of Enterprise Mobility + Security (EMS) selfstandige lisensies [3].
  2. Administratiewe toegang: 'n Rekening met Global Administrator- of Intune Administrator-toestemmings in die Microsoft Endpoint Manager-administrasiesentrum (https://endpoint.microsoft.com).
  3. Geregistreerde Windows-toestelle: Windows 10/11-toestelle wat reeds by Microsoft Intune geregistreer is. Registrasie kan gedoen word via Azure AD Join, Hybrid Azure AD Join, of handregistrasie vir BYOD.
  4. Gebruikers- en Toestelgroepe: Sekuriteitsgroepe in Azure AD om beleide op 'n georganiseerde manier toe te wys.

Stap vir stap: Skep sekuriteitsbeleide in Intune

Ons sal verskillende soorte beleide skep om die omvattendheid van Intune te demonstreer.

1. Skep 'n Toestelnakomingsbeleid

Voldoeningsbeleide definieer die vereistes waaraan 'n toestel moet voldoen om as "voldoen" beskou te word. Nie-voldoenende toestelle kan geblokkeer word om toegang tot korporatiewe hulpbronne te kry deur middel van voorwaardelike toegang-beleide.

Stappe:

  1. Gaan na Microsoft Endpoint Manager admin sentrum.
  2. Gaan na Toestelle > Voldoeningsbeleide.
  3. Klik Skep beleid.
  4. Kies die platform Windows 10 en later en klik Skep.
  5. Basies: Gee die polis 'n naam (bv.: Windows - Standaardnakomingsbeleid) en 'n beskrywing. Klik op Volgende.
  6. Voldoeningsinstellings: Hier definieer jy die reëls. Voorbeelde van belangrike instellings: Toestelintegriteit: * Vereis BitLocker: 'Vereis'. Verseker dat die stelselaandrywing geïnkripteer is. * Vereis dat Secure Boot op die toestel geaktiveer moet wees: Vereis. Beskerm teen rootkits in die opstartproses. ** Toesteleienskappe: * Minimum OS-weergawe: Stel die minimum Windows-weergawe op garaMaak seker dat slegs ondersteunde en bygewerkte bedryfstelsels gebruik word. Stelselsekuriteit: * Vereis 'n wagwoord om mobiele toestelle te ontsluit: 'Vereis'. * Firewall: 'Vereis'. Maak seker dat Microsoft Defender Firewall aktief is. * Antivirus**: 'Vereis'. Verseker dat 'n antivirusoplossing wat by Windows Sekuriteitsentrum geregistreer is, aktief is.
  7. Optrede vir nie-nakoming: Definieer wat gebeur as 'n toestel nie voldoen nie. Die verstekaksie is om toestel onmiddellik as ongesteun te merk**. Jy kan ander handelinge byvoeg, soos om 'n e-pos aan die gebruiker te stuur.
  8. Opdragte: Ken die beleid toe aan 'n groep Azure AD-toestelle of gebruikers.
  9. Hersien + skep: Gaan die instellings na en klik Skep.

2. Skep 'n Toestelkonfigurasieprofiel

Konfigurasieprofiele word gebruik om meer gedetailleerde sekuriteitinstellings op toestelle toe te pas.

Stappe:

  1. In Microsoft Endpoint Manager admin sentrum, gaan na Toestelle > Konfigurasieprofiele.
  2. Klik Skep profiel.
  3. Kies die platform Windows 10 en later en die profieltipe Instellingskatalogus. Klik op Skep.
  4. Basies: Gee die profiel 'n naam (bv.: Windows - Defender Security Settings) en 'n beskrywing.
  5. Konfigurasie-instellings: Klik Voeg instellings by. Gebruik die instellingskieser om die beleide te vind en te stel wat jy wil hê. Byvoorbeeld, om Microsoft Defender op te stel:
    • Soek vir "Microsoft Defender".
    • Kies kategorieë soos Microsoft Defender Antivirus en Real-time Protection.
    • Aktiveer instellings soos:
      • Aktiveer intydse beskerming: 'Aktiveer'.
      • Aktiveer wolk-afgelewerde beskerming: Aktiveer.
      • Beskermingsvlak verskaf in die wolk: Hoë blokkeervlak.
  6. Opdragte: Ken die profiel toe aan 'n groep toestelle.
  7. Hersien + skep: Hersien en skep die profiel.

3. Pas 'n sekuriteitsbasislyn toe

Basislyne is stelle voorafgekonfigureerde sekuriteitsinstellings wat deur Microsoft aanbeveel word. Dit is die vinnigste manier om 'n robuuste sekuriteitsposisie af te dwing.

Stappe:

  1. Gaan na Eindpuntsekuriteit > Sekuriteitsbasislyne.
  2. Kies die basislyn wat jy wil gebruik, byvoorbeeld Sekuriteitsbasislyn vir Windows 10 en later.
  3. Klik Skep profiel.
  4. Gee 'n naam en beskrywing.
  5. Konfigurasie-instellings: Gaan die verstekinstellings na. Jy kan hulle aanpas soos nodig, maar ideaal gesproke wil jy by Microsoft se aanbevelings hou.
  6. Opdragte: Ken die basislyn toe aan 'n groep toestelle.
  7. Hersien + skep: Skep die profiel.

Bekragtiging en monitering

Nadat beleid geskep en toegewys is, is dit van kardinale belang om die toepassing daarvan en toestelnakoming te monitor.

  • Vir Voldoeningsbeleide: Gaan na Toestelle > Voldoeningsbeleide, kies die beleid, en gaan die Toestelstatus en Status volgens opstelling na om te sien watter toestelle voldoen of nie en hoekom.
  • Vir konfigurasieprofiele: Gaan na Toestelle > Konfigurasieprofiele, kies die profiel en gaan die statusverslae na om te sien of die instellings suksesvol toegepas is.

Gevolgtrekking

Microsoft Intune is 'n kragtige hulpmiddel om die sekuriteit van Windows-toestelle in korporatiewe omgewings te versterk. Deur voldoeningsbeleide, konfigurasieprofiele en sekuriteitsbasislyne te kombineer, kan administrateurs verseker dat toestelle aan 'n hoë standaard van sekuriteit voldoen, wat die organisasie se data teen bedreigings beskerm. Die korrekte implementering van hierdie beleide is 'n fundamentele stap op die reis na 'n Zero Trust-sekuriteitsargitektuur.

Verwysings

[1] Microsoft. (2023). Wat is Microsoft Intune? [2] Microsoft. (2023). Beveilig data en toestelle met Microsoft Intune. [3] Microsoft. (2023). Lisensies beskikbaar vir Microsoft Intune.