Beveiligingsbeleid maken in Intune om Windows-apparaten te beschermen

Beveiligingsbeleid maken in Intune om Windows-apparaten te beschermen

01/08/2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het creëren en implementeren van robuust beveiligingsbeleid in Microsoft Intune om Windows-apparaten te beschermen. Microsoft Intune, onderdeel van Microsoft Endpoint Manager, biedt een uitgebreide oplossing voor uniform eindpuntbeheer, waardoor organisaties apparaten kunnen beheren, gegevens kunnen beschermen en naleving van het beveiligingsbeleid kunnen garanderen, ongeacht waar de apparaten zich bevinden [1].

Introductie

Op een moderne werkplek, waar apparaten eigendom van het bedrijf of persoonlijk (BYOD) kunnen zijn en overal toegang kunnen krijgen tot bedrijfsbronnen, is eindpuntbeveiliging belangrijker dan ooit. Microsoft Intune vereenvoudigt het beheer en de handhaving van beveiligingsbeleid op Windows-apparaten en zorgt ervoor dat deze voldoen aan de bedrijfsnormen voordat toegang wordt verkregen tot gevoelige gegevens [2].

Deze praktische gids behandelt het creëren van verschillende soorten beveiligingsbeleid in Intune, zoals nalevingsbeleid en apparaatconfiguratieprofielen, waarbij de nadruk ligt op scenario's uit de praktijk en stapsgewijze instructies, voorbeeldconfiguraties en validatiemethoden worden gegeven. Het doel is om de lezer in staat te stellen dit beleid effectief te implementeren en de beveiligingshouding van hun organisatie te verbeteren.

Waarom Intune gebruiken voor beveiligingsbeleid?

Intune biedt verschillende voordelen voor het beheren van Windows-apparaatbeveiliging:

  • Unified Management: Beheer Windows-, macOS-, iOS/iPadOS- en Android-apparaten vanaf één console.
  • Continu compliance: Zorgt ervoor dat apparaten voldoen aan de beveiligingsvereisten voordat ze toegang krijgen tot bedrijfsbronnen.
  • Automatisering: Automatiseert de implementatie van beveiligingsinstellingen, updates en applicaties.
  • Integratie: Integreert met andere Microsoft-oplossingen, zoals Azure AD (Microsoft Entra ID) voor voorwaardelijke toegang en Microsoft Defender voor Endpoint voor geavanceerde bescherming tegen bedreigingen.
  • Flexibiliteit: Ondersteunt diverse scenario's, van volledig beheerde bedrijfsapparaten tot BYOD.

Vereisten

Om deze tutorial te volgen, heb je de volgende items nodig:

  1. Licenties: een geldige licentie voor Microsoft Intune. Vaak inbegrepen in pakketten zoals Microsoft 365 E3, E5, F1, F3 of Enterprise Mobility + Security (EMS) zelfstandige licenties [3].
  2. Beheerderstoegang: een account met machtigingen voor een globale beheerder of Intune-beheerder in het Microsoft Endpoint Manager-beheercentrum (https://endpoint.microsoft.com).
  3. Geregistreerde Windows-apparaten: Windows 10/11-apparaten die al zijn geregistreerd bij Microsoft Intune. Registratie kan worden gedaan via Azure AD Join, Hybrid Azure AD Join of handmatige registratie voor BYOD.
  4. Gebruikers- en apparaatgroepen: beveiligingsgroepen in Azure AD om beleid op een georganiseerde manier toe te wijzen.

Stap voor stap: beveiligingsbeleid maken in Intune

We zullen verschillende soorten beleid maken om de volledigheid van Intune aan te tonen.

1. Een compliancebeleid voor apparaten opstellen

Het compliancebeleid definieert de vereisten waaraan een apparaat moet voldoen om als 'compliant' te worden beschouwd. Niet-compatibele apparaten kunnen worden geblokkeerd voor toegang tot bedrijfsbronnen via beleid voor voorwaardelijke toegang.

Stappen:

  1. Ga naar Microsoft Endpoint Manager-beheercentrum.
  2. Navigeer naar Apparaten > Nalevingsbeleid.
  3. Klik op Beleid maken.
  4. Selecteer het platform Windows 10 en hoger en klik op Maken.
  5. Basisprincipes: geef het beleid een naam (bijvoorbeeld: Windows - Standaard nalevingsbeleid) en een beschrijving. Klik op Volgende.
  6. Compliance-instellingen: hier definieert u de regels. Voorbeelden van belangrijke instellingen:
    • Apparaatintegriteit:
      • BitLocker vereisen: Vereist. Zorgt ervoor dat de systeemschijf is gecodeerd.
      • Vereist dat Secure Boot is ingeschakeld op het apparaat: Vereist. Beschermt tegen rootkits tijdens het opstartproces.
    • Apparaateigenschappen:
      • Minimale OS-versie: Stel de minimale Windows-versie in op garaZorg ervoor dat alleen ondersteunde en up-to-date besturingssystemen worden gebruikt.
    • Systeembeveiliging:
      • Een wachtwoord vereisen om mobiele apparaten te ontgrendelen: Vereist.
      • Firewall: Vereist. Zorgt ervoor dat Microsoft Defender Firewall actief is.
      • Antivirus: Vereist. Zorgt ervoor dat een antivirusoplossing die is geregistreerd bij Windows Security Center actief is.
  7. Acties bij niet-naleving: definieer wat er gebeurt als een apparaat niet aan de voorschriften voldoet. De standaardactie is om Apparaat onmiddellijk als niet-ondersteund te markeren. U kunt andere acties toevoegen, zoals het sturen van een e-mail naar de gebruiker.
  8. Toewijzingen: Wijs het beleid toe aan een groep Azure AD-apparaten of gebruikers.
  9. Bekijken + aanmaken: Controleer de instellingen en klik op Maken.

2. Een apparaatconfiguratieprofiel maken

Configuratieprofielen worden gebruikt om meer gedetailleerde beveiligingsinstellingen op apparaten toe te passen.

Stappen:

  1. Ga in Microsoft Endpoint Manager-beheercentrum naar Apparaten > Configuratieprofielen.
  2. Klik op Profiel maken.
  3. Selecteer het platform Windows 10 en hoger en het profieltype Instellingencatalogus. Klik op Maken.
  4. Basis: geef het profiel een naam (bijvoorbeeld: Windows - Defender-beveiligingsinstellingen) en een beschrijving.
  5. Configuratie-instellingen: klik op Instellingen toevoegen. Gebruik de instellingenkiezer om het gewenste beleid te vinden en in te stellen. Om bijvoorbeeld Microsoft Defender te configureren:
    • Zoek naar "Microsoft Defender".
    • Selecteer categorieën zoals Microsoft Defender Antivirus en Real-time Protection.
    • Schakel instellingen in zoals:
      • Real-time bescherming inschakelen: Ingeschakeld.
      • Schakel door de cloud geleverde bescherming in: Ingeschakeld.
      • Beschermingsniveau aangeboden in de cloud: Hoog blokkeringsniveau.
  6. Toewijzingen: wijs het profiel toe aan een groep apparaten.
  7. Beoordelen + aanmaken: Beoordeel en maak het profiel aan.

3. Een beveiligingsbasislijn toepassen

Basislijnen zijn sets vooraf geconfigureerde beveiligingsinstellingen die door Microsoft worden aanbevolen. Het is de snelste manier om een ​​robuust beveiligingsbeleid af te dwingen.

Stappen:

  1. Ga naar Endpoint Security > Beveiligingsbasislijnen.
  2. Selecteer de basislijn die u wilt gebruiken, bijvoorbeeld Beveiligingsbasislijn voor Windows 10 en hoger.
  3. Klik op Profiel maken.
  4. Geef een naam en beschrijving.
  5. Configuratie-instellingen: bekijk de standaardinstellingen. U kunt ze indien nodig aanpassen, maar idealiter wilt u zich aan de aanbevelingen van Microsoft houden.
  6. Toewijzingen: wijs de basislijn toe aan een groep apparaten.
  7. Beoordelen + aanmaken: Maak het profiel aan.

Validatie en monitoring

Nadat het beleid is gemaakt en toegewezen, is het van cruciaal belang om de handhaving ervan en de compliance van apparaten te monitoren.

  • Voor nalevingsbeleid: Ga naar Apparaten > Nalevingsbeleid, selecteer het beleid en controleer de Apparaatstatus en Status per configuratie om te zien welke apparaten wel of niet aan het beleid voldoen en waarom.
  • Voor configuratieprofielen: Ga naar Apparaten > Configuratieprofielen, selecteer het profiel en controleer de statusrapporten om te zien of de instellingen met succes zijn toegepast.

Conclusie

Microsoft Intune is een krachtig hulpmiddel voor het versterken van de beveiliging van Windows-apparaten in bedrijfsomgevingen. Door compliancebeleid, configuratieprofielen en beveiligingsbasislijnen te combineren, kunnen beheerders ervoor zorgen dat apparaten aan een hoge beveiligingsstandaard voldoen, waardoor de gegevens van de organisatie tegen bedreigingen worden beschermd. Het correct implementeren van dit beleid is een fundamentele stap op weg naar een Zero Trust-beveiligingsarchitectuur.

Referenties

[1]Microsoft. (2023). Wat is Microsoft Intune? [2]Microsoft. (2023). Beveilig gegevens en apparaten met Microsoft Intune. [3]Microsoft. (2023). Licenties beschikbaar voor Microsoft Intune.