Vytváření zásad zabezpečení v Intune pro ochranu zařízení Windows

Vytváření zásad zabezpečení v Intune pro ochranu zařízení Windows

01/08/2024

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při vytváření a implementaci robustních zásad zabezpečení v Microsoft Intune pro ochranu zařízení Windows. Microsoft Intune, součást Microsoft Endpoint Manager, poskytuje komplexní řešení pro jednotnou správu koncových bodů, které organizacím umožňuje spravovat zařízení, chránit data a zajišťovat soulad se zásadami zabezpečení bez ohledu na to, kde se zařízení nacházejí [1].

Úvod

Na moderním pracovišti, kde mohou být zařízení vlastněná společností nebo osobní (BYOD) a přistupovat k firemním zdrojům odkudkoli, je zabezpečení koncových bodů důležitější než kdy jindy. Microsoft Intune zjednodušuje správu a prosazování zásad zabezpečení na zařízeních s Windows a zajišťuje, že splňují podnikové standardy ještě před přístupem k citlivým datům [2].

Tato praktická příručka se bude zabývat vytvářením různých typů zásad zabezpečení v Intune, jako jsou zásady dodržování předpisů a profily konfigurace zařízení, se zaměřením na scénáře v reálném světě a poskytující pokyny krok za krokem, příklady konfigurací a metody ověřování. Cílem je umožnit čtenáři efektivně implementovat tyto zásady a zlepšit bezpečnostní pozici své organizace.

Proč používat Intune pro zásady zabezpečení?

Intune poskytuje několik výhod pro správu zabezpečení zařízení Windows:

  • Sjednocená správa: Spravujte zařízení Windows, macOS, iOS/iPadOS a Android z jediné konzole.
  • Nepřetržitá kompatibilita: Zajišťuje, aby zařízení splňovala bezpečnostní požadavky před přístupem k podnikovým zdrojům.
  • Automatizace: Automatizuje nasazení nastavení zabezpečení, aktualizací a aplikací.
  • Integrace: Integruje se s dalšími řešeními společnosti Microsoft, jako je Azure AD (Microsoft Entra ID) pro podmíněný přístup a Microsoft Defender pro koncový bod pro pokročilou ochranu před hrozbami.
  • Flexibilita: Podporuje různé scénáře, od plně spravovaných podnikových zařízení až po BYOD.

Předpoklady

Abyste mohli postupovat podle tohoto návodu, budete potřebovat následující položky:

  1. Licencování: Platná licence pro Microsoft Intune. Často zahrnuto v balíčcích, jako jsou samostatné licence Microsoft 365 E3, E5, F1, F3 nebo Enterprise Mobility + Security (EMS) [3].
  2. Administrativní přístup: Účet s oprávněními Global Administrator nebo Intune Administrator v centru pro správu Microsoft Endpoint Manager (https://endpoint.microsoft.com).
  3. Registrovaná zařízení Windows: Zařízení s Windows 10/11 již registrovaná v Microsoft Intune. Registraci lze provést prostřednictvím Azure AD Join, Hybrid Azure AD Join nebo ruční registrace pro BYOD.
  4. Skupiny uživatelů a zařízení: Skupiny zabezpečení ve službě Azure AD k přiřazování zásad organizovaným způsobem.

Krok za krokem: Vytváření zásad zabezpečení v Intune

Vytvoříme různé typy zásad, abychom demonstrovali komplexnost Intune.

1. Vytvoření zásad shody zařízení

Zásady souladu definují požadavky, které musí zařízení splňovat, aby bylo považováno za „vyhovující“. Nekompatibilním zařízením lze zablokovat přístup k podnikovým zdrojům prostřednictvím zásad podmíněného přístupu.

Kroky:

  1. Přejděte na [Centrum pro správu Microsoft Endpoint Manager] (https://endpoint.microsoft.com).
  2. Přejděte na Zařízení > Zásady dodržování předpisů.
  3. Klikněte na Vytvořit zásady.
  4. Vyberte platformu Windows 10 a novější a klikněte na Vytvořit.
  5. Základy: Pojmenujte zásadu (např.: Windows – Výchozí zásada souladu) a popis. Klikněte na Další.
  6. Nastavení shody: Zde definujete pravidla. Příklady důležitých nastavení:
    • ** Integrita zařízení**:
      • Vyžadovat BitLocker: „Vyžadovat“. Zajišťuje, že je systémový disk zašifrován.
      • Vyžadovat, aby bylo na zařízení povoleno Secure Boot: Vyžadovat. Chrání před rootkity v procesu bootování.
    • Vlastnosti zařízení:
      • Minimální verze OS: Nastavte minimální verzi Windows na garaUjistěte se, že používáte pouze podporované a aktuální operační systémy.
    • Zabezpečení systému:
      • Vyžadovat heslo k odemykání mobilních zařízení: Vyžadovat.
      • Firewall: „Vyžadovat“. Zajistí, že je aktivní brána Microsoft Defender Firewall.
      • Antivirus: "Vyžadovat". Zajišťuje, že je aktivní antivirové řešení registrované v Centru zabezpečení systému Windows.
  7. Akce v případě neshody: Definujte, co se stane, když zařízení nebude v souladu. Výchozí akcí je okamžité Označit zařízení jako nepodporované. Můžete přidat další akce, jako je odeslání e-mailu uživateli.
  8. Přiřazení: Přiřaďte zásady skupině zařízení nebo uživatelů Azure AD.
  9. Zkontrolovat + vytvořit: Zkontrolujte nastavení a klikněte na Vytvořit.

2. Vytvoření profilu konfigurace zařízení

Konfigurační profily se používají k aplikaci podrobnějších nastavení zabezpečení na zařízení.

Kroky:

  1. V [Centru pro správu Microsoft Endpoint Manager] (https://endpoint.microsoft.com) přejděte na Zařízení > Profily konfigurace.
  2. Klikněte na Vytvořit profil.
  3. Vyberte Platformu Windows 10 a novější a Typ profilu Katalog nastavení. Klikněte na Vytvořit.
  4. Základy: Zadejte název profilu (např.: Windows - Defender Security Settings) a popis.
  5. Nastavení konfigurace: Klikněte na Přidat nastavení. Pomocí voliče nastavení vyhledejte a nastavte požadované zásady. Chcete-li například nakonfigurovat Microsoft Defender:
    • Vyhledejte "Microsoft Defender".
    • Vyberte kategorie jako „Microsoft Defender Antivirus“ a „Ochrana v reálném čase“.
    • Povolit nastavení jako:
      • Povolit ochranu v reálném čase: Povoleno.
      • Povolit ochranu poskytovanou cloudem: „Povoleno“.
      • Úroveň ochrany poskytovaná v cloudu: „Vysoká úroveň blokování“.
  6. Přiřazení: Přiřaďte profil skupině zařízení.
  7. Review + create: Kontrola a vytvoření profilu.

3. Použití základní linie zabezpečení

Základní linie jsou sady předkonfigurovaných nastavení zabezpečení doporučených společností Microsoft. Je to nejrychlejší způsob, jak prosadit robustní bezpečnostní pozici.

Kroky:

  1. Přejděte na Zabezpečení koncového bodu > Základní linie zabezpečení.
  2. Vyberte základní linii, kterou chcete použít, například Bezpečnostní základní linie pro Windows 10 a novější.
  3. Klikněte na Vytvořit profil.
  4. Uveďte název a popis.
  5. Nastavení konfigurace: Zkontrolujte výchozí nastavení. Můžete si je přizpůsobit podle potřeby, ale v ideálním případě se chcete držet doporučení Microsoftu.
  6. Přiřazení: Přiřaďte základní linii skupině zařízení.
  7. Zkontrolovat + vytvořit: Vytvořte profil.

Validace a monitorování

Po vytvoření a přiřazení zásad je klíčové sledovat jejich vynucování a shodu zařízení.

  • Zásady souladu: Přejděte do části Zařízení > Zásady souladu, vyberte zásadu a zkontrolujte Stav zařízení a Stav podle konfigurace, abyste viděli, která zařízení vyhovují nebo ne a proč.
  • Pro konfigurační profily: Přejděte na Zařízení > Profily konfigurace, vyberte profil a ve zprávách o stavu zkontrolujte, zda byla nastavení úspěšně použita.

Závěr

Microsoft Intune je výkonný nástroj pro posílení zabezpečení Windows zařízení v podnikovém prostředí. Kombinací zásad dodržování předpisů, konfiguračních profilů a základních linií zabezpečení mohou správci zajistit, že zařízení splňují vysoký standard zabezpečení a chrání data organizace před hrozbami. Správná implementace těchto zásad je základním krokem na cestě k bezpečnostní architektuře Zero Trust.

Reference

[1] Microsoft. (2023). Co je Microsoft Intune? [2] Microsoft. (2023). Zabezpečte data a zařízení pomocí Microsoft Intune. [3] Microsoft. (2023). Licence dostupné pro Microsoft Intune.