在 Intune 中创建安全策略来保护 Windows 设备

在 Intune 中创建安全策略来保护 Windows 设备

2024年1月8日

本技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师在 Microsoft Intune 中创建和实施强大的安全策略以保护 Windows 设备。 Microsoft Intune 是 Microsoft Endpoint Manager 的一部分,为统一端点管理提供全面的解决方案,使组织能够管理设备、保护数据并确保遵守安全策略,无论设备位于何处 [1]。

简介

在现代工作场所中,设备可以为公司所有或个人 (BYOD),并可以从任何地方访问公司资源,端点安全比以往任何时候都更加重要。 Microsoft Intune 简化了 Windows 设备上安全策略的管理和实施,确保它们在访问敏感数据之前符合企业标准 [2]。

本实用指南将涵盖在 Intune 中创建不同类型的安全策略,例如合规性策略和设备配置文件,重点关注现实场景并提供分步说明、示例配置和验证方法。目标是使读者能够有效地实施这些策略并改善其组织的安全状况。

为什么使用 Intune 制定安全策略?

Intune 为管理 Windows 设备安全提供了多项优势:

  • 统一管理:从单个控制台管理 Windows、macOS、iOS/iPadOS 和 Android 设备。
  • 持续合规:确保设备在访问公司资源之前满足安全要求。
  • 自动化:自动部署安全设置、更新和应用程序。
  • 集成:与其他 Microsoft 解决方案集成,例如用于条件访问的 Azure AD (Microsoft Entra ID) 和用于高级威胁防护的 Microsoft Defender for Endpoint。
  • 灵活性:支持多种场景,从完全托管的企业设备到 BYOD。

先决条件

要学习本教程,您将需要以下物品:

  1. 许可:Microsoft Intune 的有效许可证。通常包含在 Microsoft 365 E3、E5、F1、F3 或企业移动性 + 安全性 (EMS) 独立许可证 [3] 等软件包中。
  2. 管理访问权限:在 Microsoft Endpoint Manager 管理中心 (https://endpoint.microsoft.com) 中具有全局管理员或 Intune 管理员权限的帐户。
  3. 注册的 Windows 设备:已向 Microsoft Intune 注册的 Windows 10/11 设备。可以通过 Azure AD Join、混合 Azure AD Join 或 BYOD 手动注册来完成注册。
  4. 用户和设备组:Azure AD 中的安全组,用于以有组织的方式分配策略。

分步:在 Intune 中创建安全策略

我们将创建不同类型的策略来展示 Intune 的全面性。

1. 创建设备合规性策略

合规性策略定义了设备必须满足才能被视为“合规”的要求。可以通过条件访问策略阻止不合规设备访问公司资源。

步骤:

  1. 转到 Microsoft Endpoint Manager 管理中心
  2. 导航到 设备 > 合规性策略
  3. 单击创建策略
  4. 选择平台 Windows 10 及更高版本,然后单击 创建
  5. 基础知识:为策略指定名称(例如:“Windows - 默认合规性策略”)和描述。单击下一步
  6. 合规性设置:您可以在此处定义规则。重要设置示例:
    • 设备完整性
      • 需要 BitLocker需要。确保系统驱动器已加密。
      • 需要在设备上启用安全启动:“需要”。防止启动过程中的 Rootkit。
    • 设备属性
      • 最低操作系统版本:将最低 Windows 版本设置为 Gara确保仅使用受支持的最新操作系统。
    • 系统安全
      • 需要密码才能解锁移动设备:“需要”。
      • 防火墙需要。确保 Microsoft Defender 防火墙处于活动状态。
      • 防病毒需要。确保在 Windows 安全中心注册的防病毒解决方案处于活动状态。
  7. 不合规操作:定义设备不合规时会发生什么。默认操作是立即 将设备标记为不受支持。您可以添加其他操作,例如向用户发送电子邮件。
  8. 分配:将策略分配给一组 Azure AD 设备或用户。
  9. 查看 + 创建:查看设置并单击 创建

2. 创建设备配置文件

配置配置文件用于将更详细的安全设置应用于设备。

步骤:

  1. Microsoft Endpoint Manager 管理中心 中,转到 设备 > 配置配置文件
  2. 单击“创建配置文件”。
  3. 选择平台 Windows 10 及更高版本 和配置文件类型 设置目录。单击创建
  4. 基础知识:为配置文件指定名称(例如:“Windows - Defender 安全设置”)和描述。
  5. 配置设置:单击添加设置。使用设置选择器查找并设置您想要的策略。例如,要配置 Microsoft Defender:
    • 搜索“Microsoft Defender”。
    • 选择“Microsoft Defender 防病毒”和“实时保护”等类别。
    • 启用如下设置:
      • 启用实时保护:“已启用”。
      • 启用云提供的保护:“已启用”。
      • 云中提供的保护级别:“高阻止级别”。
  6. 分配:将配置文件分配给一组设备。
  7. 审核 + 创建:审核并创建配置文件。

3. 应用安全基线

基线是 Microsoft 推荐的一组预配置安全设置。这是实施稳健的安全态势的最快方法。

步骤:

  1. 转至 端点安全 > 安全基线
  2. 选择您要使用的基准,例如Windows 10 及更高版本的安全基准
  3. 单击创建配置文件
  4. 给出名称和描述。
  5. 配置设置:查看默认设置。您可以根据需要自定义它们,但理想情况下您希望遵循 Microsoft 的建议。
  6. 分配:将基线分配给一组设备。
  7. 查看 + 创建:创建配置文件。

验证和监控

创建和分配策略后,监控其执行和设备合规性至关重要。

  • 对于合规性策略:转至 设备 > 合规性策略,选择策略,然后检查 设备状态按配置划分的状态 以查看哪些设备合规或不合规以及原因。
  • 对于配置配置文件:转至 设备 > 配置配置文件,选择配置文件,然后检查状态报告以查看设置是否已成功应用。

结论

Microsoft Intune 是一款强大的工具,用于增强企业环境中 Windows 设备的安全性。通过结合合规性策略、配置文件和安全基线,管理员可以确保设备满足高安全标准,保护组织的数据免受威胁。正确实施这些策略是实现零信任安全架构的基本步骤。

参考文献

[1] 微软。 (2023)。 什么是 Microsoft Intune? [2] 微软。 (2023)。 使用 Microsoft Intune 保护数据和设备。 [3] 微软。 (2023)。 可用于 Microsoft Intune 的许可证