Criando políticas de segurança no Intune para proteger dispositivos Windows

Criando políticas de segurança no Intune para proteger dispositivos Windows

08/01/2024

Este artigo técnico e educativo tem como objetivo guiar analistas de segurança, administradores de TI e engenheiros de sistemas na criação e implementação de políticas de segurança robustas no Microsoft Intune para proteger dispositivos Windows. O Microsoft Intune, parte do Microsoft Endpoint Manager, oferece uma solução abrangente para gerenciamento unificado de endpoints, permitindo que as organizações gerenciem dispositivos, protejam dados e garantam a conformidade com políticas de segurança, independentemente de onde os dispositivos estejam localizados [1].

Introdução

Em um ambiente de trabalho moderno, onde os dispositivos podem ser de propriedade da empresa ou pessoais (BYOD - Bring Your Own Device) e acessam recursos corporativos de qualquer lugar, a segurança dos endpoints é mais crítica do que nunca. O Microsoft Intune simplifica o gerenciamento e a imposição de políticas de segurança em dispositivos Windows, garantindo que eles atendam aos padrões corporativos antes de acessar dados sensíveis [2].

Este guia prático abordará a criação de diferentes tipos de políticas de segurança no Intune, como políticas de conformidade e perfis de configuração de dispositivo, focando em cenários reais e fornecendo instruções passo a passo, exemplos de configurações e métodos de validação. O objetivo é capacitar o leitor a implementar essas políticas de forma eficaz e aprimorar a postura de segurança de sua organização.

Por que usar o Intune para políticas de segurança?

O Intune oferece vários benefícios para o gerenciamento de segurança de dispositivos Windows:

  • Gerenciamento Unificado: Gerencia dispositivos Windows, macOS, iOS/iPadOS e Android a partir de um único console.
  • Conformidade Contínua: Garante que os dispositivos atendam aos requisitos de segurança antes de acessar recursos corporativos.
  • Automação: Automatiza a implantação de configurações de segurança, atualizações e aplicativos.
  • Integração: Integra-se com outras soluções Microsoft, como Azure AD (Microsoft Entra ID) para Acesso Condicional e Microsoft Defender for Endpoint para proteção avançada contra ameaças.
  • Flexibilidade: Suporta diversos cenários, desde dispositivos corporativos totalmente gerenciados até BYOD.

Pré-requisitos

Para seguir este tutorial, você precisará dos seguintes itens:

  1. Licenciamento: Uma licença válida para Microsoft Intune. Geralmente incluída em pacotes como Microsoft 365 E3, E5, F1, F3, ou licenças autônomas de Enterprise Mobility + Security (EMS) [3].
  2. Acesso Administrativo: Uma conta com permissões de Administrador Global ou Administrador de Intune no Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com).
  3. Dispositivos Windows Registrados: Dispositivos Windows 10/11 já registrados no Microsoft Intune. O registro pode ser feito via Azure AD Join, Hybrid Azure AD Join, ou registro manual para BYOD.
  4. Grupos de Usuários e Dispositivos: Grupos de segurança no Azure AD para atribuir políticas de forma organizada.

Passo a Passo: Criando Políticas de Segurança no Intune

Vamos criar diferentes tipos de políticas para demonstrar a abrangência do Intune.

1. Criando uma Política de Conformidade de Dispositivo

Políticas de conformidade definem os requisitos que um dispositivo deve atender para ser considerado "conforme". Dispositivos não conformes podem ser bloqueados de acessar recursos corporativos através de políticas de Acesso Condicional.

Passos:

  1. Acesse o Microsoft Endpoint Manager admin center.
  2. Navegue até Dispositivos > Políticas de conformidade.
  3. Clique em Criar política.
  4. Selecione a Plataforma Windows 10 e posterior e clique em Criar.
  5. Básico: Dê um nome à política (ex: Windows - Política de Conformidade Padrão) e uma descrição. Clique em Avançar.
  6. Configurações de conformidade: Aqui você define as regras. Exemplos de configurações importantes:
    • Integridade do Dispositivo:
      • Exigir BitLocker: Exigir. Garante que a unidade do sistema esteja criptografada.
      • Exigir a Inicialização Segura a ser habilitada no dispositivo: Exigir. Protege contra rootkits no processo de inicialização.
    • Propriedades do Dispositivo:
      • Versão Mínima do SO: Defina a versão mínima do Windows para garantir que apenas sistemas operacionais suportados e atualizados sejam usados.
    • Segurança do sistema:
      • Exigir uma senha para desbloquear dispositivos móveis: Exigir.
      • Firewall: Exigir. Garante que o Microsoft Defender Firewall esteja ativo.
      • Antivírus: Exigir. Garante que uma solução de antivírus registrada com a Central de Segurança do Windows esteja ativa.
  7. Ações para não conformidade: Defina o que acontece se um dispositivo não estiver conforme. A ação padrão é Marcar dispositivo como não compatível imediatamente. Você pode adicionar outras ações, como enviar um e-mail para o usuário.
  8. Atribuições: Atribua a política a um grupo de dispositivos ou usuários do Azure AD.
  9. Revisar + criar: Revise as configurações e clique em Criar.

2. Criando um Perfil de Configuração de Dispositivo

Perfis de configuração são usados para aplicar configurações de segurança mais detalhadas nos dispositivos.

Passos:

  1. No Microsoft Endpoint Manager admin center, vá para Dispositivos > Perfis de configuração.
  2. Clique em Criar perfil.
  3. Selecione a Plataforma Windows 10 e posterior e o Tipo de perfil Catálogo de configurações. Clique em Criar.
  4. Básico: Dê um nome ao perfil (ex: Windows - Configurações de Segurança do Defender) e uma descrição.
  5. Definições de configuração: Clique em Adicionar configurações. Use o seletor de configurações para encontrar e definir as políticas desejadas. Por exemplo, para configurar o Microsoft Defender:
    • Procure por "Microsoft Defender".
    • Selecione categorias como Microsoft Defender Antivirus e Proteção em tempo real.
    • Habilite configurações como:
      • Ativar a proteção em tempo real: Habilitado.
      • Ativar a proteção fornecida na nuvem: Habilitado.
      • Nível de proteção fornecido na nuvem: Nível de bloqueio alto.
  6. Atribuições: Atribua o perfil a um grupo de dispositivos.
  7. Revisar + criar: Revise e crie o perfil.

3. Aplicando uma Linha de Base de Segurança (Security Baseline)

Linhas de base são conjuntos de configurações de segurança pré-configuradas e recomendadas pela Microsoft. É a maneira mais rápida de aplicar uma postura de segurança robusta.

Passos:

  1. Vá para Segurança de ponto de extremidade > Linhas de base de segurança.
  2. Selecione a linha de base que deseja usar, por exemplo, Linha de Base de Segurança para Windows 10 e posterior.
  3. Clique em Criar perfil.
  4. Dê um nome e uma descrição.
  5. Definições de configuração: Revise as configurações padrão. Você pode personalizá-las conforme necessário, mas o ideal é manter as recomendações da Microsoft.
  6. Atribuições: Atribua a linha de base a um grupo de dispositivos.
  7. Revisar + criar: Crie o perfil.

Validação e Monitoramento

Após a criação e atribuição das políticas, é crucial monitorar sua aplicação e a conformidade dos dispositivos.

  • Para Políticas de Conformidade: Vá para Dispositivos > Políticas de conformidade, selecione a política e verifique o Status do dispositivo e o Status por configuração para ver quais dispositivos estão conformes ou não e por quê.
  • Para Perfis de Configuração: Vá para Dispositivos > Perfis de configuração, selecione o perfil e verifique os relatórios de status para ver se as configurações foram aplicadas com sucesso.

Conclusão

O Microsoft Intune é uma ferramenta poderosa para fortalecer a segurança de dispositivos Windows em ambientes corporativos. Ao combinar políticas de conformidade, perfis de configuração e linhas de base de segurança, os administradores podem garantir que os dispositivos atendam a um alto padrão de segurança, protegendo os dados da organização contra ameaças. A implementação correta dessas políticas é um passo fundamental na jornada para uma arquitetura de segurança Zero Trust.

Referências

[1] Microsoft. (2023). O que é o Microsoft Intune? [2] Microsoft. (2023). Proteger dados e dispositivos com o Microsoft Intune. [3] Microsoft. (2023). Licenças disponíveis para o Microsoft Intune.