Создание политик безопасности в Intune для защиты устройств Windows

Создание политик безопасности в Intune для защиты устройств Windows

08.01.2024

Эта техническая и образовательная статья призвана помочь аналитикам безопасности, ИТ-администраторам и системным инженерам создавать и внедрять надежные политики безопасности в Microsoft Intune для защиты устройств Windows. Microsoft Intune, часть Microsoft Endpoint Manager, предоставляет комплексное решение для унифицированного управления конечными точками, позволяющее организациям управлять устройствами, защищать данные и обеспечивать соблюдение политик безопасности независимо от того, где расположены устройства [1].

Введение

На современном рабочем месте, где устройства могут принадлежать компании или быть личными (BYOD) и иметь доступ к корпоративным ресурсам из любого места, безопасность конечных точек становится более важной, чем когда-либо. Microsoft Intune упрощает управление и соблюдение политик безопасности на устройствах Windows, обеспечивая их соответствие корпоративным стандартам перед доступом к конфиденциальным данным [2].

В этом практическом руководстве будет рассмотрено создание различных типов политик безопасности в Intune, таких как политики соответствия и профили конфигурации устройств, с упором на реальные сценарии и предоставлением пошаговых инструкций, примеров конфигураций и методов проверки. Цель состоит в том, чтобы дать читателю возможность эффективно реализовать эти политики и улучшить состояние безопасности своей организации.

Зачем использовать Intune для политик безопасности?

Intune предоставляет несколько преимуществ для управления безопасностью устройств Windows:

  • Единое управление: управляйте устройствами Windows, macOS, iOS/iPadOS и Android с единой консоли.
  • Постоянное соответствие: обеспечивает соответствие устройств требованиям безопасности перед доступом к корпоративным ресурсам.
  • Автоматизация: автоматизирует развертывание параметров безопасности, обновлений и приложений.
  • Интеграция: интегрируется с другими решениями Microsoft, такими как Azure AD (Microsoft Entra ID) для условного доступа и Microsoft Defender для конечной точки для расширенной защиты от угроз.
  • Гибкость: поддержка различных сценариев: от полностью управляемых корпоративных устройств до BYOD.

Предварительные условия

Чтобы следовать этому руководству, вам понадобятся следующие предметы:

  1. Лицензирование: действующая лицензия для Microsoft Intune. Часто включается в такие пакеты, как автономные лицензии Microsoft 365 E3, E5, F1, F3 или Enterprise Mobility + Security (EMS) [3].
  2. Административный доступ: учетная запись с разрешениями глобального администратора или администратора Intune в центре администрирования Microsoft Endpoint Manager (https://endpoint.microsoft.com).
  3. Зарегистрированные устройства Windows: устройства Windows 10/11, уже зарегистрированные в Microsoft Intune. Регистрация может быть выполнена через присоединение к Azure AD, гибридное присоединение к Azure AD или регистрацию вручную для BYOD.
  4. Группы пользователей и устройств: группы безопасности в Azure AD для организованного назначения политик.

Шаг за шагом: создание политик безопасности в Intune

Мы создадим различные типы политик, чтобы продемонстрировать полноту возможностей Intune.

1. Создание политики соответствия устройств

Политики соответствия определяют требования, которым должно соответствовать устройство, чтобы считаться «соответствующим». Устройствам, не соответствующим требованиям, можно заблокировать доступ к корпоративным ресурсам с помощью политик условного доступа.

Шаги:

  1. Перейдите в Центр администрирования Microsoft Endpoint Manager.
  2. Перейдите в раздел Устройства > Политики соответствия.
  3. Нажмите Создать политику.
  4. Выберите платформу Windows 10 и более поздние версии и нажмите Создать.
  5. Основные сведения. Дайте политике имя (например: «Windows — Политика соответствия по умолчанию») и описание. Нажмите Далее.
  6. Настройки соответствия: здесь вы определяете правила. Примеры важных настроек:
    • Целостность устройства:
      • Требовать BitLocker: Требовать. Гарантирует, что системный диск зашифрован.
      • Требовать, чтобы на устройстве была включена безопасная загрузка: Require. Защищает от руткитов в процессе загрузки.
    • Свойства устройства:
      • Минимальная версия ОС: установите минимальную версию Windows на gara.Убедитесь, что используются только поддерживаемые и актуальные операционные системы.
    • Системная безопасность:
      • Требовать пароль для разблокировки мобильных устройств: Требовать.
      • Брандмауэр: Требовать. Гарантирует, что брандмауэр защитника Microsoft активен.
      • Антивирус: «Требовать». Гарантирует, что антивирусное решение, зарегистрированное в Центре безопасности Windows, активно.
  7. Действия при несоответствии. Определите, что произойдет, если устройство не соответствует требованиям. Действие по умолчанию — немедленно отметить Отметить устройство как неподдерживаемое. Вы можете добавить другие действия, например отправку электронного письма пользователю.
  8. Назначения. Назначьте политику группе устройств или пользователей Azure AD.
  9. Просмотр + создание. Проверьте настройки и нажмите Создать.

2. Создание профиля конфигурации устройства

Профили конфигурации используются для применения к устройствам более подробных настроек безопасности.

Шаги:

  1. В Центре администрирования Microsoft Endpoint Manager выберите Устройства > Профили конфигурации.
  2. Нажмите Создать профиль.
  3. Выберите платформу Windows 10 и более поздние версии и тип профиля Каталог настроек. Нажмите Создать.
  4. Основные сведения. Дайте профилю имя (например: «Windows — Настройки безопасности Защитника») и описание.
  5. Настройки конфигурации: нажмите Добавить настройки. Используйте селектор настроек, чтобы найти и установить нужные политики. Например, чтобы настроить Microsoft Defender:
    • Найдите «Защитник Microsoft».
    • Выберите такие категории, как «Антивирус Microsoft Defender» и «Защита в реальном времени».
    • Включите такие настройки, как:
      • Включить постоянную защиту: Включено.
      • Включить облачную защиту: Включено.
      • Уровень защиты, предоставляемый в облаке: Высокий уровень блокировки.
  6. Назначения: назначьте профиль группе устройств.
  7. Просмотр + создание: просмотрите и создайте профиль.

3. Применение базового уровня безопасности

Базовые показатели — это наборы предварительно настроенных параметров безопасности, рекомендованных Microsoft. Это самый быстрый способ обеспечить надежную безопасность.

Шаги:

  1. Перейдите в раздел Endpoint Security > Базовые показатели безопасности.
  2. Выберите базовый уровень безопасности, который вы хотите использовать, например Базовый уровень безопасности для Windows 10 и более поздних версий.
  3. Нажмите Создать профиль.
  4. Дайте имя и описание.
  5. Настройки конфигурации: просмотрите настройки по умолчанию. Вы можете настроить их по мере необходимости, но в идеале лучше придерживаться рекомендаций Microsoft.
  6. Назначения: назначьте базовый уровень группе устройств.
  7. Просмотр + создание: создайте профиль.

Проверка и мониторинг

После того как политики созданы и назначены, крайне важно отслеживать их соблюдение и соответствие устройств.

  • Для политик соответствия: перейдите в раздел Устройства > Политики соответствия, выберите политику и проверьте Состояние устройства и Состояние по конфигурации, чтобы узнать, какие устройства соответствуют требованиям и почему.
  • Для профилей конфигурации: перейдите в раздел Устройства > Профили конфигурации, выберите профиль и проверьте отчеты о состоянии, чтобы убедиться, что настройки были успешно применены.

Заключение

Microsoft Intune — мощный инструмент для усиления безопасности устройств Windows в корпоративных средах. Объединив политики соответствия, профили конфигурации и базовые показатели безопасности, администраторы могут гарантировать, что устройства соответствуют высоким стандартам безопасности, защищая данные организации от угроз. Правильная реализация этих политик является фундаментальным шагом на пути к архитектуре безопасности с нулевым доверием.

Ссылки

[1] Майкрософт. (2023). Что такое Microsoft Intune? [2] Майкрософт. (2023). Защитите данные и устройства с помощью Microsoft Intune. [3] Майкрософт. (2023). Доступны лицензии для Microsoft Intune.