Erstellen von Sicherheitsrichtlinien in Intune zum Schutz von Windows-Geräten

Erstellen von Sicherheitsrichtlinien in Intune zum Schutz von Windows-Geräten

01.08.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren bei der Erstellung und Implementierung robuster Sicherheitsrichtlinien in Microsoft Intune zum Schutz von Windows-Geräten helfen. Microsoft Intune, Teil von Microsoft Endpoint Manager, bietet eine umfassende Lösung für die einheitliche Endpunktverwaltung, die es Unternehmen ermöglicht, Geräte zu verwalten, Daten zu schützen und die Einhaltung von Sicherheitsrichtlinien sicherzustellen, unabhängig davon, wo sich die Geräte befinden [1].

Einführung

An einem modernen Arbeitsplatz, an dem Geräte unternehmenseigene oder private Geräte sein können (BYOD) und von überall auf Unternehmensressourcen zugreifen können, ist Endpunktsicherheit wichtiger denn je. Microsoft Intune vereinfacht die Verwaltung und Durchsetzung von Sicherheitsrichtlinien auf Windows-Geräten und stellt sicher, dass diese Unternehmensstandards erfüllen, bevor auf vertrauliche Daten zugegriffen wird [2].

Dieser praktische Leitfaden befasst sich mit der Erstellung verschiedener Arten von Sicherheitsrichtlinien in Intune, z. B. Compliance-Richtlinien und Gerätekonfigurationsprofilen, wobei der Schwerpunkt auf realen Szenarien liegt und Schritt-für-Schritt-Anleitungen, Beispielkonfigurationen und Validierungsmethoden bereitgestellt werden. Ziel ist es, den Leser in die Lage zu versetzen, diese Richtlinien effektiv umzusetzen und die Sicherheitslage seines Unternehmens zu verbessern.

Warum Intune für Sicherheitsrichtlinien verwenden?

Intune bietet mehrere Vorteile für die Verwaltung der Windows-Gerätesicherheit:

  • Einheitliche Verwaltung: Verwalten Sie Windows-, macOS-, iOS/iPadOS- und Android-Geräte über eine einzige Konsole.
  • Kontinuierliche Compliance: Stellt sicher, dass Geräte die Sicherheitsanforderungen erfüllen, bevor auf Unternehmensressourcen zugegriffen wird.
  • Automatisierung: Automatisiert die Bereitstellung von Sicherheitseinstellungen, Updates und Anwendungen.
  • Integration: Integriert sich in andere Microsoft-Lösungen, wie Azure AD (Microsoft Entra ID) für bedingten Zugriff und Microsoft Defender für Endpoint für erweiterten Bedrohungsschutz.
  • Flexibilität: Unterstützt verschiedene Szenarien, von vollständig verwalteten Unternehmensgeräten bis hin zu BYOD.

Voraussetzungen

Um diesem Tutorial folgen zu können, benötigen Sie die folgenden Elemente:

  1. Lizenzierung: Eine gültige Lizenz für Microsoft Intune. Oft in Paketen wie Microsoft 365 E3, E5, F1, F3 oder Einzellizenzen für Enterprise Mobility + Security (EMS) enthalten [3].
  2. Administratorzugriff: Ein Konto mit globalen Administrator- oder Intune-Administratorberechtigungen im Microsoft Endpoint Manager Admin Center („https://endpoint.microsoft.com“).
  3. Registrierte Windows-Geräte: Windows 10/11-Geräte, die bereits bei Microsoft Intune registriert sind. Die Registrierung kann über Azure AD Join, Hybrid Azure AD Join oder manuelle Registrierung für BYOD erfolgen.
  4. Benutzer- und Gerätegruppen: Sicherheitsgruppen in Azure AD, um Richtlinien auf organisierte Weise zuzuweisen.

Schritt für Schritt: Sicherheitsrichtlinien in Intune erstellen

Wir erstellen verschiedene Arten von Richtlinien, um die Vollständigkeit von Intune zu demonstrieren.

1. Erstellen einer Geräte-Compliance-Richtlinie

Compliance-Richtlinien definieren die Anforderungen, die ein Gerät erfüllen muss, um als „konform“ zu gelten. Nicht konforme Geräte können durch Richtlinien für bedingten Zugriff daran gehindert werden, auf Unternehmensressourcen zuzugreifen.

Schritte:

  1. Gehen Sie zum Microsoft Endpoint Manager Admin Center.
  2. Navigieren Sie zu Geräte > Compliance-Richtlinien.
  3. Klicken Sie auf Richtlinie erstellen.
  4. Wählen Sie die Plattform Windows 10 und höher und klicken Sie auf Erstellen.
  5. Grundlagen: Geben Sie der Richtlinie einen Namen (z. B. „Windows – Standard-Konformitätsrichtlinie“) und eine Beschreibung. Klicken Sie auf Weiter.
  6. Compliance-Einstellungen: Hier definieren Sie die Regeln. Beispiele für wichtige Einstellungen:
    • Geräteintegrität:
      • BitLocker erforderlich: „Erforderlich“. Stellt sicher, dass das Systemlaufwerk verschlüsselt ist.
      • Erfordert die Aktivierung von Secure Boot auf dem Gerät: „Erforderlich“. Schützt vor Rootkits beim Bootvorgang.
    • Geräteeigenschaften:
      • Mindestversion des Betriebssystems: Stellen Sie die minimale Windows-Version auf gara einStellen Sie sicher, dass nur unterstützte und aktuelle Betriebssysteme verwendet werden.
    • Systemsicherheit:
      • Zum Entsperren mobiler Geräte ist ein Passwort erforderlich: „Erforderlich“.
      • Firewall: „Erforderlich“. Stellt sicher, dass die Microsoft Defender-Firewall aktiv ist.
      • Antivirus: „Erforderlich“. Stellt sicher, dass eine beim Windows-Sicherheitscenter registrierte Antivirenlösung aktiv ist.
  7. Maßnahmen bei Nichtkonformität: Definieren Sie, was passiert, wenn ein Gerät nicht konform ist. Die Standardaktion besteht darin, das Gerät sofort als nicht unterstützt zu markieren. Sie können weitere Aktionen hinzufügen, beispielsweise das Senden einer E-Mail an den Benutzer.
  8. Zuweisungen: Weisen Sie die Richtlinie einer Gruppe von Azure AD-Geräten oder Benutzern zu.
  9. Überprüfen + erstellen: Überprüfen Sie die Einstellungen und klicken Sie auf Erstellen.

2. Erstellen eines Gerätekonfigurationsprofils

Konfigurationsprofile werden verwendet, um detailliertere Sicherheitseinstellungen auf Geräte anzuwenden.

Schritte:

  1. Gehen Sie im Microsoft Endpoint Manager Admin Center zu Geräte > Konfigurationsprofile.
  2. Klicken Sie auf Profil erstellen.
  3. Wählen Sie die Plattform Windows 10 und höher und den Profiltyp Einstellungskatalog aus. Klicken Sie auf Erstellen.
  4. Grundlagen: Geben Sie dem Profil einen Namen (z. B. „Windows – Defender-Sicherheitseinstellungen“) und eine Beschreibung.
  5. Konfigurationseinstellungen: Klicken Sie auf Einstellungen hinzufügen. Verwenden Sie die Einstellungsauswahl, um die gewünschten Richtlinien zu finden und festzulegen. So konfigurieren Sie beispielsweise Microsoft Defender:
    • Suchen Sie nach „Microsoft Defender“.
    • Wählen Sie Kategorien wie „Microsoft Defender Antivirus“ und „Echtzeitschutz“.
    • Aktivieren Sie Einstellungen wie:
      • Echtzeitschutz aktivieren: „Aktiviert“.
      • Über die Cloud bereitgestellten Schutz aktivieren: „Aktiviert“.
      • In der Cloud bereitgestellte Schutzstufe: „Hohe Blockierungsstufe“.
  6. Zuweisungen: Weisen Sie das Profil einer Gerätegruppe zu.
  7. Überprüfen + erstellen: Überprüfen und erstellen Sie das Profil.

3. Anwenden einer Sicherheitsbaseline

Baselines sind Sätze vorkonfigurierter Sicherheitseinstellungen, die von Microsoft empfohlen werden. Dies ist der schnellste Weg, eine robuste Sicherheitslage durchzusetzen.

Schritte:

  1. Gehen Sie zu Endpoint Security > Sicherheitsbaselines.
  2. Wählen Sie die Baseline aus, die Sie verwenden möchten, zum Beispiel Sicherheitsbaseline für Windows 10 und höher.
  3. Klicken Sie auf Profil erstellen.
  4. Geben Sie einen Namen und eine Beschreibung ein.
  5. Konfigurationseinstellungen: Überprüfen Sie die Standardeinstellungen. Sie können sie nach Bedarf anpassen, sollten sich aber idealerweise an die Empfehlungen von Microsoft halten.
  6. Zuweisungen: Weisen Sie die Baseline einer Gruppe von Geräten zu.
  7. Überprüfen + erstellen: Erstellen Sie das Profil.

Validierung und Überwachung

Nachdem Richtlinien erstellt und zugewiesen wurden, ist es wichtig, deren Durchsetzung und Gerätekonformität zu überwachen.

  • Für Konformitätsrichtlinien: Gehen Sie zu Geräte > Konformitätsrichtlinien, wählen Sie die Richtlinie aus und überprüfen Sie den Gerätestatus und den Status nach Konfiguration, um zu sehen, welche Geräte konform sind oder nicht und warum.
  • Für Konfigurationsprofile: Gehen Sie zu Geräte > Konfigurationsprofile, wählen Sie das Profil aus und überprüfen Sie die Statusberichte, um zu sehen, ob die Einstellungen erfolgreich angewendet wurden.

Fazit

Microsoft Intune ist ein leistungsstarkes Tool zur Stärkung der Sicherheit von Windows-Geräten in Unternehmensumgebungen. Durch die Kombination von Compliance-Richtlinien, Konfigurationsprofilen und Sicherheitsgrundsätzen können Administratoren sicherstellen, dass Geräte einen hohen Sicherheitsstandard erfüllen und so die Daten des Unternehmens vor Bedrohungen schützen. Die korrekte Umsetzung dieser Richtlinien ist ein grundlegender Schritt auf dem Weg zu einer Zero-Trust-Sicherheitsarchitektur.

Referenzen

[1] Microsoft. (2023). Was ist Microsoft Intune? [2] Microsoft. (2023). Sichere Daten und Geräte mit Microsoft Intune. [3] Microsoft. (2023). Lizenzen verfügbar für Microsoft Intune.