Crear políticas de seguridad en Intune para proteger dispositivos Windows

Crear políticas de seguridad en Intune para proteger dispositivos Windows

08/01/2024

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en la creación e implementación de políticas de seguridad sólidas en Microsoft Intune para proteger los dispositivos Windows. Microsoft Intune, parte de Microsoft Endpoint Manager, proporciona una solución integral para la administración unificada de puntos finales, que permite a las organizaciones administrar dispositivos, proteger datos y garantizar el cumplimiento de las políticas de seguridad independientemente de dónde se encuentren los dispositivos [1].

Introducción

En un lugar de trabajo moderno, donde los dispositivos pueden ser propiedad de la empresa o personales (BYOD) y acceder a los recursos corporativos desde cualquier lugar, la seguridad de los terminales es más crítica que nunca. Microsoft Intune simplifica la gestión y aplicación de políticas de seguridad en dispositivos Windows, garantizando que cumplan con los estándares corporativos antes de acceder a datos confidenciales [2].

Esta guía práctica cubrirá la creación de diferentes tipos de políticas de seguridad en Intune, como políticas de cumplimiento y perfiles de configuración de dispositivos, centrándose en escenarios del mundo real y proporcionando instrucciones paso a paso, configuraciones de ejemplo y métodos de validación. El objetivo es permitir al lector implementar estas políticas de manera efectiva y mejorar la postura de seguridad de su organización.

¿Por qué utilizar Intune para políticas de seguridad?

Intune ofrece varios beneficios para administrar la seguridad de dispositivos Windows:

  • Administración unificada: administre dispositivos Windows, macOS, iOS/iPadOS y Android desde una única consola.
  • Cumplimiento continuo: garantiza que los dispositivos cumplan con los requisitos de seguridad antes de acceder a los recursos corporativos.
  • Automatización: Automatiza la implementación de configuraciones de seguridad, actualizaciones y aplicaciones.
  • Integración: se integra con otras soluciones de Microsoft, como Azure AD (Microsoft Entra ID) para acceso condicional y Microsoft Defender para endpoint para protección avanzada contra amenazas.
  • Flexibilidad: Admite diversos escenarios, desde dispositivos corporativos totalmente administrados hasta BYOD.

Requisitos previos

Para seguir este tutorial, necesitará los siguientes elementos:

  1. Licencia: una licencia válida para Microsoft Intune. A menudo se incluye en paquetes como licencias independientes de Microsoft 365 E3, E5, F1, F3 o Enterprise Mobility + Security (EMS) [3].
  2. Acceso administrativo: una cuenta con permisos de Administrador global o Administrador de Intune en el centro de administración de Microsoft Endpoint Manager (https://endpoint.microsoft.com).
  3. Dispositivos Windows registrados: dispositivos Windows 10/11 ya registrados con Microsoft Intune. El registro se puede realizar a través de Azure AD Join, Hybrid Azure AD Join o registro manual para BYOD.
  4. Grupos de Usuarios y Dispositivos: Grupos de seguridad en Azure AD para asignar políticas de forma organizada.

Paso a paso: creación de políticas de seguridad en Intune

Crearemos diferentes tipos de políticas para demostrar la amplitud de Intune.

1. Creación de una política de cumplimiento de dispositivos

Las políticas de cumplimiento definen los requisitos que debe cumplir un dispositivo para ser considerado "cumple". Se puede bloquear el acceso de los dispositivos no compatibles a los recursos corporativos mediante políticas de acceso condicional.

Pasos:

  1. Vaya al centro de administración de Microsoft Endpoint Manager.
  2. Vaya a Dispositivos > Políticas de cumplimiento.
  3. Haga clic en Crear política.
  4. Seleccione la Plataforma Windows 10 y posterior y haga clic en Crear.
  5. Conceptos básicos: asigne un nombre a la política (por ejemplo: Windows - Política de cumplimiento predeterminada) y una descripción. Haga clic en Siguiente.
  6. Configuración de cumplimiento: Aquí usted define las reglas. Ejemplos de configuraciones importantes:
    • Integridad del dispositivo:
      • Requerir BitLocker: Requerir. Garantiza que la unidad del sistema esté cifrada.
      • Requerir que el arranque seguro esté habilitado en el dispositivo: Requerir. Protege contra rootkits en el proceso de arranque.
    • Propiedades del dispositivo:
      • Versión mínima del sistema operativo: establezca la versión mínima de Windows en garaAsegúrese de que solo se utilicen sistemas operativos compatibles y actualizados.
    • Seguridad del sistema:
      • Requerir una contraseña para desbloquear dispositivos móviles: Requerir.
      • Firewall: Requerir. Garantiza que Microsoft Defender Firewall esté activo.
      • Antivirus: Requerir. Garantiza que una solución antivirus registrada en el Centro de seguridad de Windows esté activa.
  7. Acciones por incumplimiento: Defina qué sucede si un dispositivo no cumple. La acción predeterminada es Marcar el dispositivo como no compatible inmediatamente. Puedes agregar otras acciones, como enviar un correo electrónico al usuario.
  8. Asignaciones: asigne la política a un grupo de dispositivos o usuarios de Azure AD.
  9. Revisar + crear: revise la configuración y haga clic en Crear.

2. Creación de un perfil de configuración del dispositivo

Los perfiles de configuración se utilizan para aplicar configuraciones de seguridad más detalladas a los dispositivos.

Pasos:

  1. En el Centro de administración de Microsoft Endpoint Manager, vaya a Dispositivos > Perfiles de configuración.
  2. Haga clic en Crear perfil.
  3. Seleccione la Plataforma Windows 10 y versiones posteriores y el Tipo de perfil Catálogo de configuración. Haga clic en Crear.
  4. Conceptos básicos: asigne un nombre al perfil (por ejemplo: Windows - Configuración de seguridad de Defender) y una descripción.
  5. Ajustes de configuración: Haga clic en Agregar ajustes. Utilice el selector de configuración para buscar y configurar las políticas que desee. Por ejemplo, para configurar Microsoft Defender:
    • Busque "Microsoft Defender".
    • Seleccione categorías como "Microsoft Defender Antivirus" y "Protección en tiempo real".
    • Habilitar configuraciones como:
      • Habilitar protección en tiempo real: Habilitado.
      • Habilitar protección proporcionada en la nube: Habilitado.
      • Nivel de protección proporcionado en la nube: Nivel de bloqueo alto.
  6. Asignaciones: Asigne el perfil a un grupo de dispositivos.
  7. Revisar + crear: Revisa y crea el perfil.

3. Aplicar una línea base de seguridad

Las líneas de base son conjuntos de opciones de seguridad preconfiguradas recomendadas por Microsoft. Es la forma más rápida de imponer una postura de seguridad sólida.

Pasos:

  1. Vaya a Endpoint Security > Líneas base de seguridad.
  2. Seleccione la línea base que desea usar, por ejemplo, Línea base de seguridad para Windows 10 y versiones posteriores.
  3. Haga clic en Crear perfil.
  4. Da un nombre y una descripción.
  5. Ajustes de configuración: revise los ajustes predeterminados. Puede personalizarlos según sea necesario, pero lo ideal es seguir las recomendaciones de Microsoft.
  6. Asignaciones: Asigne la línea base a un grupo de dispositivos.
  7. Revisar + crear: Crea el perfil.

Validación y seguimiento

Una vez creadas y asignadas las políticas, es fundamental supervisar su aplicación y el cumplimiento de los dispositivos.

  • Para políticas de cumplimiento: vaya a Dispositivos > Políticas de cumplimiento, seleccione la política y verifique el Estado del dispositivo y el Estado por configuración para ver qué dispositivos cumplen o no y por qué.
  • Para perfiles de configuración: vaya a Dispositivos > Perfiles de configuración, seleccione el perfil y verifique los informes de estado para ver si la configuración se aplicó correctamente.

Conclusión

Microsoft Intune es una poderosa herramienta para fortalecer la seguridad de los dispositivos Windows en entornos corporativos. Al combinar políticas de cumplimiento, perfiles de configuración y líneas base de seguridad, los administradores pueden garantizar que los dispositivos cumplan con un alto estándar de seguridad, protegiendo los datos de la organización de amenazas. Implementar correctamente estas políticas es un paso fundamental en el camino hacia una arquitectura de seguridad Zero Trust.

Referencias

[1]Microsoft. (2023). ¿Qué es Microsoft Intune? [2]Microsoft. (2023). Datos y dispositivos seguros con Microsoft Intune. [3]Microsoft. (2023). Licencias disponibles para Microsoft Intune.