Nasazení privilegovaného přístupu

Tento dokument vás provede implementací technických součástí strategie privilegovaného přístupu,včetně zabezpečených účtů, pracovních stanic a zařízení a zabezpečení rozhraní (se zásadou podmíněného přístupu).

Tyto pokyny nastavuje všechny profily pro všechny tři úrovně zabezpečení a měly by být přiřazeny vašim organizacím na základě pokynů k úrovním zabezpečení privilegovaného přístupu. Microsoft doporučuje jejich konfiguraci v pořadí popsaném v plánu rychlé modernizace (RAMP).

Licenční požadavky

Koncepty zahrnuté v této příručce předpokládají, že máte Microsoft 365 Enterprise E5 nebo ekvivalentní SKU. Některá doporučení v tomto průvodci jde implementovat s nižšími skladových náklady. Další informace najdete v tématu Microsoft 365 Enterprise licencování.

Pokud chcete zautomatizování zřizování licencí, zvažte licencování na základě skupin pro vaše uživatele.

Azure Active Directory konfigurace

Azure Active Directory (Azure AD) spravuje uživatele, skupiny a zařízení pro pracovní stanice správce. Povolte služby a funkce identity pomocí účtu správce.

Když vytvoříte účet správce zabezpečené pracovní stanice, vystavíte ho aktuální pracovní stanici. Ujistěte se, že k této počáteční konfiguraci a veškeré globální konfiguraci používáte známé bezpečné zařízení. Pokud chcete omezit expozici útoku při prvním spuštění, zvažte následující pokyny, jak zabránit malwarové nákaze.

Vyžadovat vícefaktorové ověřování, aspoň pro správce. Pokyny k implementaci najdete v tématu Podmíněný přístup: Vyžadovat pro správce MFA.

Uživatelé a skupiny Azure AD

1. Na portálu Azure Portal přejděte na stránku Azure Active DirectoryUsersNew user ( Uživatelé noví uživatelé).

2. Uživatele zařízení můžete vytvořit podle pokynů v kurzu pro vytvoření uživatele.

3. Zadejte:

   • Název – správce zabezpečené pracovní stanice
   • Uživatelské jménosecure-ws-user@contoso.com
   • Role adresářeOmezený správce a vyberte roli Správce Intune.
   • Umístění použitíSpojené království

4. Vyberte Vytvořit.

Vytvořte si uživatele správce zařízení.

1. Zadejte:

   • Název – správce zabezpečené pracovní stanice
   • Uživatelské jménosecure-ws-admin@contoso.com
   • Role adresářeOmezený správce a vyberte roli Správce Intune.

2. Vyberte Vytvořit.

Potom vytvoříte čtyři skupiny: Secure Workstation Users, Secure Workstation Admins, Emergency BreakGlass a Secure Workstation Devices.

Na portálu Azure Portal přejděte do Azure Active DirectoryskupinyNové skupiny.

1. U skupiny uživatelů pracovní stanice můžete nakonfigurovat licencování založené na skupině tak, aby se uživatelům zautomatizováno zřizování licencí.

2. Pro skupinu uživatelů pracovní stanice zadejte:

   • Typ skupiny – zabezpečení
   • Název skupiny – uživatelé zabezpečené pracovní stanice
   • Typ členství – přiřazeno

3. Přidejte uživatele zabezpečené pracovní stanice: secure-ws-user@contoso.com

4. Můžete přidat všechny ostatní uživatele, kteří budou používat zabezpečené pracovní stanice.

5. Vyberte Vytvořit.

6. Ve skupině Správci privilegovaných pracovních stanic zadejte:

   • Typ skupiny – zabezpečení
   • Název skupiny – správci zabezpečené pracovní stanice
   • Typ členství – přiřazeno

7. Přidejte uživatele zabezpečené pracovní stanice: secure-ws-admin@contoso.com

8. Můžete přidat všechny ostatní uživatele, kteří budou spravovat zabezpečené pracovní stanice.

9. Vyberte Vytvořit.

10. Pro skupinu Emergency BreakGlass zadejte:

    • Typ skupiny – zabezpečení
    • Název skupiny – Emergency BreakGlass
    • Typ členství – přiřazeno

11. Vyberte Vytvořit.

12. Přidejte do této skupiny účty tísňového přístupu.

13. Pro skupinu zařízení pracovní stanice zadejte:

    • Typ skupiny – zabezpečení
    • Název skupiny – zabezpečené pracovní stanice
    • Typ členství – dynamické zařízení
    • Pravidla dynamického členství(device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")

14. Vyberte Vytvořit.

Konfigurace zařízení Azure AD

Určení, kdo se může připojit k zařízením k Azure AD

Nakonfigurujte nastavení zařízení ve službě Active Directory tak, aby vaše skupina zabezpečení pro správu mohla připojit zařízení k vaší doméně. Konfigurace tohoto nastavení z portálu Azure Portal:

1. Přejděte na Azure Active DirectoryZařízení .
2. V částiUživatelé se smí připojit k Azure ADzařízení a pak vyberte skupinu Bezpeční uživatelé pracovní stanice.

Odebrání práv místního správce

Tato metoda vyžaduje, aby uživatelé vip, DevOps a privilegovaných pracovních stanic na svých počítačích nemají žádná práva správce. Konfigurace tohoto nastavení z portálu Azure Portal:

1. Přejděte na Azure Active DirectoryZařízení .
2. V části Další místní správci na zařízeních připojených k Azure ADvyberte Žádné.

Podrobnosti o tom, jak spravovat členy místní skupiny správců, najdete v tématu Správa skupiny místních správců na zařízeních připojených k Azure AD.

Vyžadovat vícefaktorové ověřování pro připojení k zařízením

Další posilování procesu připojování zařízení k Azure AD:

1. Přejděte na Azure Active DirectoryZařízení .
2. V části Vyžadovatvícefaktorové ověřovánípro připojení k zařízením vyberte Ano.
3. Vyberte Uložit.

Konfigurace správy mobilních zařízení

Z portálu Azure Portal:

1. Přejděte na Azure Active DirectoryMobility (MDMa MAM) Microsoft Intune.
2. Změňte nastavení uživatelského oboru MDM na Vše.
3. Vyberte Uložit.

Tyto kroky umožňují spravovat libovolné zařízení s Microsoft Endpoint Manager. Další informace najdete v článku Intune Quickstart: Nastavení automatického zápisu pro Windows 10 zařízení. V budoucím kroku vytvoříte zásady konfigurace a dodržování předpisů Intune.

Podmíněný přístup k Azure AD

Podmíněný přístup k Azure AD může pomoct omezit privilegované úlohy správy na zařízení kompatibilní s předpisy. Předdefinované členy skupiny Secure Workstation Users jsou povinni provádět vícefaktorové ověřování při přihlašování k cloudovým aplikacím. Osvědčeným postupem je vyloučit účty tísňového přístupu ze zásad. Další informace najdete v tématu Správa účtů tísňového přístupu v Azure AD.

Podmíněný přístup umožňuje přístup k portálu Azure Portal jenom zabezpečeným pracovním stanicm.

Organizace by měly privilegované uživatele blokovat v tom, aby se mohli připojovat k rozhraním pro správu cloudu, portálům a PowerShellu, a to ze zařízení, která nejsou privilegovaná.

Pokud chcete zabránit tomu, aby neoprávněná zařízení mohla přistupovat k rozhraním pro správu cloudu, postupujte podle pokynů v článku Podmíněný přístup: Filtry pro zařízení (preview). Je důležité, aby při nasazení této funkce, kterou považujete za, byla funkce účtu tísňového přístupu. Tyto účty by se měly používat jenom v extrémních případech a účet spravovaný prostřednictvím zásad.

Tato sada zásad zajistí, aby vaši správci museli používat zařízení, které dokáže prezentovat konkrétní hodnotu atributu zařízení, že je tato MFA spokojená a zařízení je společností Microsoft Endpoint Manager a Microsoft Defender for Endpoint označeno jako kompatibilní.

Organizace by také měly zvážit blokování starších ověřovacích protokolů ve svých prostředích. Tento úkol můžete provést několika způsoby, další informace o blokování starších ověřovacích protokolů najdete v článku Postupy: Blokování staršího ověřování do Azure AD pomocí podmíněného přístupu.

Microsoft Intune konfigurace

Zápis zařízení odepřít BYOD

V naší ukázce doporučujeme, aby zařízení BYOD nebyla povolena. Použití registrace Intune BYOD umožňuje uživatelům zaregistrovat zařízení, která jsou méně důvěryhodná nebo nejsou důvěryhodná. Je ale důležité si uvědomit, že v organizacích, které mají omezený rozpočet na nákup nových zařízení, hledajících použití stávajícího hardwarového vozového parku nebo zvažují zařízení, která nejsou windows, můžou zvážit možnost BYOD v Intune nasadit profil Enterprise systému.

Následující pokyny nakonfigurují registraci pro nasazení, která odmítnou přístup k byodu.

Nastavení omezení registrace bránící byodu

1. V centru Microsoft Endpoint Manager správyzvolte Omezení registracezařízení a zvolte výchozí omezení Všichni uživatelé.
2. Select Properties Platform settings Edit
3. Vyberte Blokovat pro všechny typy kromě Windows MDM.
4. U všech položek ve vlastnictví osob vyberte Blokovat.

Vytvoření profilu nasazení Autopilota

Po vytvoření skupiny zařízení musíte vytvořit profil nasazení, který nakonfiguruje zařízení Autopilota.

1. V Centru Microsoft Endpoint Manager správyzvolte Registracezařízení Windows registraceProfily nasazení– vytvořit profil.

2. Zadejte:

   • Název – profil nasazení zabezpečené pracovní stanice.
   • Popis – Nasazení zabezpečených pracovních stanic.
   • Nastavte Převést všechna cílová zařízení na Autopilota na Ano. Toto nastavení zajistí, aby se všechna zařízení v seznamu zaregistrovaná u služby nasazení Autopilota. Povolte zpracování registrace 48 hodin.

3. Vyberte Další.

   • V režimu nasazenízvolte Self-Deploying (Preview). Zařízení s tímto profilem jsou přidružená k uživateli, který zařízení zaregistruje. Během nasazení je vhodné použít funkce Self-Deployment režimu, které zahrnují:
     • Zaregistruje zařízení v Intune Azure AD pro automatickou registraci MDM a povolí přístup k zařízení jenom do doby, než se na zařízení zřkly všechny zásady, aplikace, certifikáty a profily sítě.
     • K registraci zařízení jsou potřeba přihlašovací údaje uživatele. Je důležité si uvědomit, že nasazení zařízení v režimu sebenasazování vám umožní nasadit přenosné počítače ve sdíleném modelu. K přiřazení uživatele nedojde, dokud nebude zařízení poprvé přiřazeno uživateli. V důsledku toho nebudou všechny zásady uživatelů, jako je nástroj BitLocker, povoleny, dokud nebude přiřazení uživatele dokončeno. Další informace o tom, jak se přihlásit k zabezpečenému zařízení, najdete v tématu vybrané profily.
   • Vyberte jazyk (oblast), standardní typ uživatelského účtu.

4. Vyberte Další.

   • Pokud jste předkonfiguroval(a) značku oboru, vyberte značku oboru.

5. Vyberte Další.

6. Zvolte Přiřazení přiřazeník vybraným skupinám. V části Vybrat skupiny, které chcete zahrnout,zvolte Zabezpečené pracovní stanice.

7. Vyberte Další.

8. Vyberte Vytvořit a vytvořte profil. Profil nasazení Autopilota je teď k dispozici pro přiřazení k zařízením.

Registrace zařízení v autopilotovi poskytuje jiné uživatelské prostředí na základě typu a role zařízení. V našem příkladu nasazení ilustrujeme model, ve kterém jsou zabezpečená zařízení hromadně nasazená a používaná ke sdílení, ale při prvním použití je zařízení přiřazeno uživateli. Další informace najdete v tématu Registrace zařízení Intune Autopilota.

Stránka stavu registrace

Stránka Stavu registrace (ESP) zobrazuje průběh zřizování po registraci nového zařízení. Aby bylo zajištěno, že jsou zařízení před použitím plně nakonfigurovaná, Intune umožňuje blokovat používání zařízení, dokud se nenainstalují všechny aplikace a profily.

Vytvoření a přiřazení profilu stránky stavu registrace

1. V Centru Microsoft Endpoint Manager správyzvolte Zařízení aWindowsWindows registraceStav stránky Vytvořitprofil.
2. Zadejte název a popis.
3. Zvolte Vytvořit.
4. V seznamu Stránka stavu registrace zvolte nový profil.
5. Nastavte Zobrazit průběh instalace profilu aplikace na Ano.
6. Nastavte blokovat používání zařízení, dokud se nenainstalují všechny aplikace a profily na Ano.
7. Zvolte Zadání: Vyberte skupiny zvolte skupinu Secure Workstation>Secure Workstation>>.
8. Zvolte Nastavení vyberte nastavení, která chcete použít pro tento profil >>.

Konfigurace Windows aktualizace

Aktualizace Windows 10 je jednou z nejdůležitějších věcí, kterou můžete udělat. Pokud chcete Windows v zabezpečeném stavu, nasaďte aktualizační okruh, abyste mohli spravovat tempo, které se aktualizace používají u pracovních stanic.

V těchto pokynech se doporučuje vytvořit nový aktualizační okruh a změnit následující výchozí nastavení:

1. V Centru Microsoft Endpoint Manager pro správuzvolte Zařízení AktualizacesoftwaruWindows 10 Aktualizační kroužky.

2. Zadejte:

   • Název – aktualizace pracovní stanice spravované Azure
   • Kanál údržby – půlroční kanál
   • Odložení aktualizace kvality (dny) – 3
   • Období odkladu aktualizace funkcí (dny) – 3
   • Chování automatické aktualizace – automatická instalace a restartování bez ovládacího prvku koncového uživatele
   • Blokování pozastavení aktualizací Windows uživatelů – blokovat
   • Vyžadovat schválení uživatele k restartování mimo pracovní dobu – Povinné
   • Povolit restartování uživatele (zapojený restart) – povinné
   • Přechod uživatelů na zapojený restart po automatickém restartování (dny) – 3
   • Připomenutí opětovného spuštění odložit (dny) – 3
   • Nastavení konečného termínu pro čekající restartování (dny) – 3

3. Vyberte Vytvořit.

4. Na kartě Zadání přidejte skupinu Zabezpečené pracovní stanice.

Další informace o zásadách Windows aktualizace najdete v tématu Zásady csP – aktualizace.

Integrace Microsoft Defenderu pro Endpoint Intune

Microsoft Defender for Endpoint a Microsoft Intune spolupracovat na prevenci porušení zabezpečení. Mohou také omezit dopad porušení předpisů. Funkce ATP umožňují zjišťování hrozeb v reálném čase a umožňují rozsáhlé auditování a protokolování koncových zařízení.

Konfigurace integrace Windows Defender koncový bod a Microsoft Endpoint Manager:

1. V Centru Microsoft Endpoint Manager správyzvolte Endpoint SecurityMicrosoft Defender ATP.

2. V kroku 1 v části Konfigurace Windows Defender ATPvyberte Připojení Windows Defender ATP,Microsoft Intune v centru Windows Defender zabezpečení .

3. V Centru Windows Defender zabezpečení:

   1. Vyberte NastaveníRozšířené funkce.
   2. Pro Microsoft Intune připojenízvolte Na.
   3. Vyberte Uložit předvolby.

4. Po napojení se vraťte do Microsoft Endpoint Manager a nahoře vyberte Aktualizovat.

5. Nastavte Připojení Windows zařízení(20H2) 19042.450 a vyšší tak, aby Windows Defender ATP na On (V).

6. Vyberte Uložit.

Vytvoření profilu konfigurace zařízení pro Windows zařízení

1. Přihlaste se do Centra Microsoft Endpoint Manager správy, zvolte Endpoint securityEndpoint detection and responseCreate profile .)

2. V seznamu Platformavyberte Windows 10 a Novější.

3. V seznamu Typ profiluvyberte Zjišťování koncových bodůa odpověď a pak vyberte Vytvořit.

4. Na stránce Základy zadejte do pole Název kód PAW – Defender pro koncový bod a Popis (nepovinný) pro profil a pak zvolte Další.

5. Na stránce Nastavení konfigurace nakonfigurujte následující možnost v části Zjišťování koncových bodů a Odpověď:

   • Ukázkové sdílení pro všechny soubory:Vrátí nebo nastaví konfigurační parametr Rozšířené ochrany před internetovou hrozbou v programu Microsoft Defender.

     Onboard Windows 10 počítače používající Microsoft Endpoint Configuration Manager obsahuje další podrobnosti o těchto nastaveních ochrany ATP v programu Microsoft Defender.

6. Výběrem možnosti Další otevřete stránku Značky oboru. Značky oboru jsou nepovinné. Pokračujte výběrem možnosti Další.

7. Na stránce Zadání vyberte skupina Zabezpečená pracovní stanice. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

   Vyberte Další.

8. Až budete hotovi, na stránce Revize + vytvořit zvolte Vytvořit. Nový profil se zobrazí v seznamu, když vyberete typ zásady pro profil, který jste vytvořili. OKa pak Vytvořit uložte změny, které vytvoří profil.

Další informace najdete v tématu Windows Defender Advanced Threat Protection.

Dokončení vytvrzení profilu pracovní stanice

Pokud chcete úspěšně dokončit kalení řešení, stáhněte a spusťte příslušný skript. Najděte odkazy ke stažení pro požadovanou úroveň profilu:

Po úspěšném spuštění skriptu můžete v Intune aktualizovat profily a zásady. Skripty za vás vytvoří zásady a profily, ale musíte je přiřadit skupině zařízení Zabezpečené pracovní stanice.

• Tady najdete profily konfigurace zařízení Intune vytvořené skripty: Portál AzureMicrosoft Intuneprofilykonfigurace zařízení.
• Tady najdete zásady dodržování předpisů zařízení Intune vytvořené skripty: Portál Azure Microsoft Intunezásady dodržování předpisů prozařízení.

Spusťte skript pro export dat Intune DeviceConfiguration_Export.ps1 z úložiště DeviceConfiguration_Export.ps1 a vyexportujte všechny aktuální profily Intune pro porovnání a vyhodnocení profilů.

Nastavení pravidel v Endpoint Protection konfiguračního profilu pro bránu Firewall v programu Microsoft Defender

Windows Defender nastavení zásad brány Firewall jsou součástí Endpoint Protection konfiguračního profilu. Chování zásad použitých v následující tabulce

Enterprise:Tato konfigurace je nejschůdnější, protože zrcadlí výchozí chování Windows instalace. Veškerý příchozí přenos je zablokovaný s výjimkou pravidel, která jsou explicitně definovaná v místních pravidlech zásad, protože slučování místních pravidel je nastavené na povolené. Veškerý odchozí přenos je povolený.

Specializovaná:Tato konfigurace je restriktivní, protože ignoruje všechna místně definovaná pravidla na zařízení. Veškerý příchozí přenos je zablokovaný, včetně místně definovaných pravidel, která zásada obsahuje dvě pravidla, která umožňují optimalizaci doručení fungovat tak, jak byla navržena. Veškerý odchozí přenos je povolený.

Privilegované:Veškerý příchozí přenos je zablokovaný, včetně místně definovaných pravidel, která zásada obsahuje dvě pravidla, která umožňují optimalizaci doručení fungovat tak, jak byla navržena. Odchozí přenosy jsou blokovány kromě explicitních pravidel, která povolují přenosy DNS, DHCP, NTP, NSCI, HTTP a HTTPS. Tato konfigurace nejen omezuje povrch útoku, který zařízení prezentuje v síti, omezuje odchozí připojení, která může zařízení vytvořit, jenom na připojení potřebná ke správě cloudových služeb.

Podle potřeby můžete provádět další změny ve správě příchozích i odchozích pravidel pro povolené a blokované služby. Další informace najdete v tématu Konfigurace brány firewall.

Url lock proxy

Restriktivní správa přenosu adres URL zahrnuje:

• Odepřít veškerý odchozí provoz kromě vybraného Azure a služby Microsoft včetně Azure Cloud Shellu a možnosti samoobslužné resetování hesla.
• Profil Privilegovaný omezuje koncové body na internetu, ke které se může zařízení připojit pomocí následující konfigurace proxy serveru uzamčení adresy URL.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

Koncové body uvedené v seznamu ProxyOverride jsou omezené na koncové body potřebné k ověření v Azure AD a přístupu k Rozhraní pro správu Azure nebo Office 365 rozhraní pro správu. Pokud chcete rozšířit na další cloudové služby, přidejte do seznamu jejich adresu URL pro správu. Tento přístup je navržený tak, aby omezil přístup k širšímu internetu, aby chránil privilegované uživatele před útoky na internetu. Pokud je tento přístup považován za příliš restriktivní, zvažte použití níže popsaného přístupu pro privilegované role.

Povolení zabezpečení cloudových aplikací Microsoftu, seznamu s omezeným přístupem adres URL pro schválené adresy URL (Povolit většinu)

V našich rolích se doporučuje, aby pro nasazení Enterprise a Specialized, kde není žádoucí striktně popírat veškeré procházení webu, bylo používání funkcí cloudového zprostředkovatele zabezpečení (CASB), jako je Microsoft Defender pro cloudové aplikace, využíváno k blokování přístupu k ohroženým a sporným webům. Řešení řeší jednoduchý způsob, jak blokovat aplikace a weby, které byly vyučeny. Toto řešení se podobá získání přístupu k seznamu bloků z webů, jako je spamhaus Project, který udržuje seznam blokových domén (DBL):dobrý zdroj, který můžete použít jako pokročilou sadu pravidel, která se mají implementovat pro blokování webů.

Řešení vám poskytne:

• Viditelnost: zjišťování všech cloudových služeb; přiřazovat každému riziku pořadí; identifikovat všechny uživatele a aplikace třetích stran, které se moct přihlásit
• Zabezpečení dat: identifikace a řízení citlivých informací (DLP); odpovídání na popisky klasifikace obsahu
• Ochrana před hrozbou: nabízí adaptivní řízení přístupu (AAC); poskytovat analýzu chování uživatelů a entit (UEBA); zmírnění malwaru
• Dodržování předpisů: předvedení správy cloudu pomocí sestav a řídicích panelů; pomáhá s úsilím o splnění požadavků na trvalé bydliště a dodržování předpisů

Povolte Defender pro cloudové aplikace a připojte se k programu Defender ATP a zablokujte přístup k ohroženým adresovým adresovým adresách URL:

• V Centrum zabezpečení v programu Microsoft Defender Nastavení rozšířené funkce > nastavte integraci Microsoft Defenderu pro cloudové aplikace >>
• V Centrum zabezpečení v programu Microsoft Defender Nastavení rozšířené funkce > nastavte vlastní indikátory >>
• Na portálu Microsoft Defender pro cloudové aplikace Nastavení integrace ochrany ATP v programu Microsoft Defender vyberte Blokovat >>>

Správa místních aplikací

Zabezpečená pracovní stanice se při odebrání místních aplikací přesune do skutečně zpevněných stavů, včetně aplikací pro zvýšení produktivity. Tady přidáte Visual Studio Code připojení k Azure DevOps, GitHub spravovat úložiště kódu.

Konfigurace Portál společnosti pro vlastní aplikace

Kopie aplikace spravovaná přes Intune Portál společnosti na vyžádání přístup k dalším nástrojům, které můžete uživatelům zabezpečených pracovních stanic posunout dolů.

V zabezpečeném režimu je instalace aplikací omezena na spravované aplikace, které Portál společnosti. Instalace tohoto Portál společnosti ale vyžaduje přístup k Microsoft Store. V zabezpečeném řešení přidáte a přiřadíte aplikaci Windows 10 Portál společnosti pro zařízení zřízená autopilotem.

Nasazení aplikací pomocí Intune

V některých situacích jsou na zabezpečené pracovní Microsoft Visual Studio vyžadovány aplikace, jako je Microsoft Visual Studio kód. Následující příklad obsahuje pokyny k instalaci kódu Microsoft Visual Studio uživatelům ve skupině zabezpečení Uživatelé zabezpečené pracovní stanice.

Visual Studio Code je k dispozici jako balíček EXE, takže musí být zabalený jako formátový soubor pro nasazení pomocí .intunewin Microsoft Endpoint Manager .intunewin.

Stáhněte si nástroj Microsoft Win32 Content Prep Tool místně do pracovní stanice a zkopírujte ho do adresáře pro balení, například C:\Packages. Potom vytvořte zdrojový a výstupní adresář v části C:\Packages.

Kód Microsoft Visual Studio balíčku

1. Stáhněte si offline instalační Visual Studio Code pro Windows 64bitovou verzi.
2. Zkopírujte stažený Visual Studio Code exe soubor doC:\Packages\Source
3. Otevřete konzolu PowerShellu a přejděte na C:\Packages
4. Typ .\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1
5. Zadejte, Y pokud chcete vytvořit novou výstupní složku. Soubor intunewin pro Visual Studio Code se vytvoří v této složce.

Upload VS Code na Microsoft Endpoint Manager

1. V Centru Microsoft Endpoint Manager pro správupřejděte na Aplikace aWindowsPřidat.
2. V části Vyberte typ aplikacezvolte Windows (Win32)
3. Klikněte na Vybrat soubor balíčku aplikace,klikněte na Vybrat soubor apak vyberte z . Klikněte na OK.
4. Zadejte Visual Studio Code 1.51.1 do pole Název.
5. Zadejte popis Visual Studio Code do pole Popis.
6. Enter Microsoft Corporation in the Microsoft Corporation Field
7. Stáhněte https://jsarray.com/images/page-icons/visual-studio-code.png si a vyberte obrázek loga. Vyberte Další.
8. Zadejte VSCodeSetup-x64-1.51.1.exe /SILENT do příkazového pole VSCodeSetup-x64-1.51.1.exe /SILENT
9. Zadejte C:\Program Files\Microsoft VS Code\unins000.exe do příkazového pole C:\Program Files\Microsoft VS Code\unins000.exe
10. V rozevíracím seznamu Chování restartování zařízení vyberte Určit chování založené na návratových kódech. Vyberte Další.
11. V rozevíracím seznamu Architektura operačního systému vyberte 64bitovou verzi.
12. Vyberte Windows 10 1903 v rozevíracím seznamu Minimální operační systém. Vyberte Další.
13. V rozevíracím seznamu Formát pravidel vyberte Ručně konfigurovat pravidla zjišťování.
14. Klikněte na Add (Přidat) a potom vyberte File form the Rule type dropdown (Typ pravidla).
15. Zadejte C:\Program Files\Microsoft VS Code do C:\Program Files\Microsoft VS Code
16. Enter unins000.exe do pole Soubor unins000.exe složka
17. V rozevíracím seznamu vyberte Soubor nebo složka, vyberte OK a pak vyberte Další.
18. Vyberte Další, protože v tomto balíčku nejsou žádné závislosti.
19. V části Dostupná pro zaregistrovaná zařízenívyberte Přidat skupinu a přidejte skupinu Privilegované uživatele. Kliknutím na Vybrat potvrďte skupinu. Vyberte Další.
20. Klikněte na Vytvořit.

Vytvoření vlastních aplikací a nastavení pomocí PowerShellu

Doporučujeme některá nastavení konfigurace, včetně dvou doporučení Defenderu pro koncový bod, která musí být nastavená pomocí PowerShellu. Tyto změny konfigurace nelze nastavit prostřednictvím zásad v Intune.

K rozšíření možností správy hostitelů můžete taky použít PowerShell. Skript PAW-DeviceConfig.ps1 z GitHub je příklad skriptu, který konfiguruje následující nastavení:

• Odebere Internet Explorer.
• Odebere PowerShell 2.0.
• Odebere Windows Media Player
• Odebere klienta pracovních složek.
• Odebere tisk XPS.
• Povolí a nakonfiguruje režim hibernace.
• Implementuje opravu registru, která povolí zpracování pravidel knihovny DLL nástroje AppLocker.
• Implementuje nastavení registru pro dvě doporučení microsoft defenderu pro koncové body, která nelze nastavit pomocí Endpoint Manager.
  • Vyžadovat, aby uživatelé při nastavování umístění sítě povýšit
  • Zabránění ukládání síťových přihlašovacích údajů
• Zakázat Průvodce síťovým umístěním – zabrání uživatelům v nastavení síťového umístění jako privátního, a tím se zvýší povrch útoku vystavený v Windows Firewallu.
• Nakonfiguruje Windows čas pro použití protokolu NTP a nastaví službu automatického času na automatickou.
• Stáhne a nastaví pozadí plochy na konkrétní obrázek, aby bylo možné snadno identifikovat zařízení jako privilegovaná pracovní stanice, která je připravená k použití.

Skript PAW-DeviceConfig.ps1 z GitHub.

1. Stáhněte si skript [PAW-DeviceConfig.ps1] do místního zařízení.
2. Přejděte na web Azure PortalMicrosoft IntuneKonfigurace zařízeníSkripty PowerShelluPřidat. vProvide a Name for the script and specify the Script location.
3. Vyberte Konfigurovat.
   1. Nastavte spustit tento skript pomocí přihlášených přihlašovacích údajů na Ne.
   2. Vyberte OK.
4. Vyberte Vytvořit.
5. Vyberte Zadání: Vyberte skupiny.
   1. Přidejte skupinu zabezpečení Zabezpečené pracovní stanice.
   2. Vyberte Uložit.

Ověření a otestování nasazení na prvním zařízení

Tato registrace předpokládá, že budete používat fyzické výpočetní zařízení. V rámci procesu zadávání veřejných zakázek se doporučuje, aby výrobce OEM, prodejce, distributor nebo partner zaregistroval zařízení v Windows Autopilot.

Pro testování je ale možné v testovacím scénáři zastát virtuální počítače. Registrace zařízení připojených k osobnímu účtu ale musí být upravena, aby se tento způsob připojení ke klientovi umožnil.

Tato metoda funguje pro virtuální počítače nebo fyzická zařízení, která ještě nebyla zaregistrovaná.

1. Spusťte zařízení a počkejte, až se zobrazí dialogové okno uživatelské jméno.
2. Stisknutím SHIFT + F10 zobrazíte příkazový řádek.
3. Napište PowerShell , stiskněte Enter.
4. Napište Set-ExecutionPolicy RemoteSigned , stiskněte Enter.
5. Napište Install-Script GetWindowsAutopilotInfo , stiskněte Enter.
6. Zadejte Y a kliknutím na Enter potvrďte změnu prostředí PATH.
7. Zadejte a klikněte na Enter a Y nainstalujte NuGet poskytovatele.
8. Zadání Y důvěryhodnosti úložiště
9. Typ Spustit Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv
10. Zkopírování souboru CSV z virtuálního počítače nebo fyzického zařízení

Import zařízení do Autopilota

1. V Centru Microsoft Endpoint Manager pro správupřejděte na Zařízení WindowsZařízení Windowsregistrace zařízení

2. Vyberte Importovat a zvolte soubor CSV.

3. Počkejte, až Group Tag se aktualizace změní na PAWProfile StatusAssigned .

   Poznámka:

   Dynamická skupina Bezpečná pracovní stanice používá značku skupiny k tomu, aby bylo zařízení členem její skupiny.

4. Přidejte zařízení do skupiny zabezpečení Zabezpečené pracovní stanice.

5. Na Windows 10, které chcete nakonfigurovat, přejděte na Windows NastaveníObnovení zabezpečení>>

   1. V části Resetovattento počítač zvolte Začínáme.
   2. Podle pokynů resetujte a znovu nakonfigurujte zařízení s nakonfigurovanou zásadou profilu a dodržování předpisů.

Po nakonfigurování zařízení proveďte kontrolu a zkontrolujte konfiguraci. Než budete pokračovat v nasazení, zkontrolujte, že je první zařízení správně nakonfigurované.

Přiřazení zařízení

Pokud chcete přiřadit zařízení a uživatele, musíte vybrané profily namapovat na skupinu zabezpečení. Všichni noví uživatelé, kteří potřebují oprávnění ke službě, musí být také přidáni do skupiny zabezpečení.

Sledování incidentů zabezpečení a reakce na ně pomocí programu Microsoft Defender pro koncový bod

• Průběžně sledujte a sledujte chyby a chyby konfigurace.
• Využijte Microsoft Defender pro Endpoint k upřednostňování dynamických hrozeb v divočině
• Získejte korelaci chyb zabezpečení s detekce a reakce u koncových bodů (EDR)
• Použití řídicího panelu k identifikaci chyby zabezpečení na úrovni počítače během vyšetřování
• Vytlačování náprav do Intune

Nakonfigurujte si Centrum zabezpečení v programu Microsoft Defender. Použití pokynů na řídicím panelu Správa ohrožení zabezpečení – přehled

Sledování aktivity aplikací pomocí rozšířeného vyhledávání hrozeb

Od pracovní stanice Specialized je nástroj AppLocker povolený pro sledování aktivity aplikace na pracovní stanici. Ve výchozím nastavení Defender pro koncový bod zachycuje události AppLockeru a rozšířené lovecké dotazy, které slouží k určení aplikací, skriptů a souborů DLL blokovaných nástrojem AppLocker.

V podokně Centrum zabezpečení v programu Microsoft Defender Rozšířené hledání můžete pomocí následujícího dotazu vrátit události AppLockeru.

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

Monitorování

• Seučte se, jak zkontrolovat skóre expozice.
• Kontrola doporučení zabezpečení
• Správa oprav zabezpečení
• Správa detekce a reakce u koncových bodů
• Sledujte profily pomocí monitorování profilu Intune.

Další kroky

• Přehled zabezpečení privilegovaného přístupu
• Strategie privilegovaného přístupu
• Měření úspěšnosti
• Úrovně zabezpečení
• Privilegované přístupové účty
• Zprostředkovatelé
• Rozhraní
• Zařízení s privilegovaný přístup
• Enterprise přístupového modelu