Usar líneas de base de seguridad para configurar dispositivos Windows en Intune

Intune facilita la implementación de líneas base de seguridad de Windows para ayudarle a proteger a los usuarios y dispositivos.

Aunque Windows y Windows Server están diseñados para ser seguros de fábrica, muchas organizaciones aún quieren un control más pormenorizado sobre sus configuraciones de seguridad. Para navegar por el gran número de controles, las organizaciones a menudo buscan instrucciones sobre la configuración de varias características de seguridad. Microsoft proporciona esta guía en forma de líneas base de seguridad.

Las líneas base de seguridad son grupos de opciones de Windows preconfiguradas que le ayudan a aplicar e implantar una configuración de seguridad pormenorizada recomendada por los equipos de seguridad pertinentes. También puede personalizar cada línea base que implemente para aplicar solo la configuración y los valores que necesite. Al crear un perfil de líneas de base de seguridad en Intune, está creando una plantilla que consta de varios perfiles de configuración de dispositivos.

Para obtener más información sobre por qué y cuándo es posible que quiera implementar líneas base de seguridad, consulte Líneas base de seguridad de Windows en la documentación de seguridad de Windows.

Esta característica se aplica a:

  • Windows 10, versión 1809 y posteriores
  • Windows 11

Usted se encarga de implementar líneas de base de seguridad en grupos de usuarios o dispositivos en Intune y la configuración se aplica a dispositivos que ejecutan Windows 10/11. Por ejemplo, la línea de base de seguridad MDM habilita automáticamente BitLocker para unidades extraíbles, requiere automáticamente una contraseña para desbloquear un dispositivo, deshabilita automáticamente la autenticación básica, etc. Si un valor predeterminado no funciona para su entorno, personalice la línea de base para aplicar la configuración que necesita.

Los tipos de línea de base independientes pueden incluir la misma configuración, pero usar valores predeterminados distintos de esa configuración. Es importante conocer los valores predeterminados de las líneas de base que elige usar y, a continuación, modificar cada línea de base para ajustarlas a sus necesidades organizativas.

Nota

Microsoft no recomienda usar versiones preliminares de líneas de base de seguridad en un entorno de producción. La configuración de una línea de base en versión preliminar podría cambiar en el transcurso de la versión preliminar.

Las líneas de base de seguridad es poder ayudarlo a tener un flujo de trabajo seguro de un extremo a otro cuando trabaja con Microsoft 365. Estas son algunas de las ventajas:

  • Una línea de base de seguridad incluye los procedimientos recomendados y las recomendaciones sobre la configuración que afectan a la seguridad. Intune se asocia con el mismo equipo de seguridad de Windows que crea las líneas de base de seguridad de directiva de grupo. Estas recomendaciones se basan en la orientación y en una amplia experiencia.
  • Si es nuevo en Intune y no está seguro de por dónde empezar, las líneas de base de seguridad ofrecen una ventaja. Puede crear e implementar rápidamente un perfil seguro, sabiendo que ayuda a proteger los recursos y datos de su organización.
  • Si actualmente usa una directiva de grupo, migrar a Intune para la administración es mucho más fácil con estas líneas de base. Estas líneas de base están integradas de forma nativa en Intune e incluyen una experiencia de administración moderna.

Líneas de base de seguridad disponibles

Las instancias de línea de base de seguridad siguientes están disponibles para usarlas con Intune. Use los vínculos para ver la configuración de las instancias recientes de cada línea de base.

Después de publicar una versión nueva de un perfil, la configuración de los perfiles basados en las versiones anteriores pasa a ser de solo lectura. Puede seguir usando estos perfiles antiguos, incluso editar el nombre, la descripción y las asignaciones, pero no podrá editar la configuración ni crear perfiles basados en las versiones anteriores.

Cuando esté listo para usar la versión más reciente de una línea de base, puede crear perfiles o actualizar los existentes a la nueva versión. Vea Cambio de la versión de línea de base de un perfil en el artículo Administración de perfiles de línea de base de seguridad.

A cerca de las instancias y versiones de línea de base

Cada nueva instancia de versión de una línea de base puede agregar o quitar la configuración, o aplicar otros cambios. Por ejemplo, a medida que la nueva configuración de Windows está disponible con nuevas versiones de Windows 10/11, la línea de base de seguridad MDM podría recibir una nueva instancia de versión con la configuración más reciente.

En el Centro de administración de Microsoft Endpoint Manager, en Seguridad de los puntos de conexión > Líneas de base de seguridad verá una lista de las líneas de base disponibles. La lista incluye lo siguiente:

  • Nombre de la plantilla de línea base.
  • Cuántos perfiles tiene en los que se use ese tipo de línea de base.
  • Cuántas instancias independientes (versiones) del tipo base hay disponibles.
  • Fecha de Última publicación que identifica cuándo estuvo disponible la versión más reciente de la plantilla de línea base.

Si quiere ver más información sobre las versiones de línea base que usa, seleccione un tipo de línea base, como Línea de base de seguridad de MDM, para abrir su panel Perfiles y, luego, elija Versiones. Intune muestra detalles sobre las versiones de esa línea de base que se encuentran en uso por parte de sus perfiles. Los detalles incluyen la versión de línea base más reciente y actual. Puede seleccionar una sola versión para ver más detalles sobre los perfiles en los que se usa.

Puede optar por cambiar la versión de una línea de base que está en uso con un perfil determinado. Al cambiar de versión, no es necesario crear un nuevo perfil de línea base para aprovechar las versiones actualizadas, sino que se puede seleccionar un perfil de línea base y usar la opción integrada para cambiar la versión de la instancia de ese perfil por una nueva.

Comparación de versiones de línea de base

En el panel Versiones de una línea de base de seguridad se muestra una lista de todas las versiones de esta línea de base que ha implementado. En la lista también se incluye la versión más reciente y activa de la línea de base. Cuando se crea un perfil de línea de base de seguridad, el perfil usa la versión más reciente de esta. Puede seguir usando perfiles basados en versiones anteriores, incluso editar el nombre, la descripción y las asignaciones, pero no podrá editar la configuración de esas versiones de perfil anteriores.

Para entender lo que ha cambiado entre versiones, active las casillas de dos versiones diferentes y seleccione Comparar líneas base. Luego se le pide que descargue un archivo CSV que detalla esas diferencias.

La descarga identifica cada configuración de las dos versiones de línea de base e indica si esta configuración ha cambiado (notEqual) o no (equal). Los detalles también incluyen el valor predeterminado de la configuración por versión y si la configuración se ha agregado a la versión más reciente o se ha quitado de esta.

Comparar líneas de base

Evitación de conflictos

Puede usar una o varias de las líneas de base disponibles en su entorno de Intune al mismo tiempo. También puede usar varias instancias de las mismas líneas de base de seguridad con diversas personalizaciones.

Al usar varias líneas de base de seguridad, revise la configuración en cada una para identificar los casos en los que diferentes configuraciones de líneas de base presentan valores en conflicto del mismo ajuste. Dado que puede implementar líneas de base de seguridad diseñadas para diversas intenciones e implementar varias instancias de la misma línea de base que incluye la configuración personalizada, es posible que cree conflictos de configuración para dispositivos que deben investigarse y resolverse.

Además, las líneas de base de seguridad suelen administrar la misma configuración que se puede establecer con perfiles de configuración de dispositivos u otros tipos de directivas. Por lo tanto, tenga en cuenta las directivas y los perfiles adicionales de la configuración cuando trate de evitar o resolver conflictos.

Utilice la información de los vínculos siguientes para ayudar a identificar y resolver conflictos:

Preguntas y respuestas

¿Por qué esta configuración?

El grupo de seguridad de Microsoft acumula muchos años de experiencia trabajando directamente con los desarrolladores de Windows y la comunidad de seguridad para crear estas recomendaciones. Las configuraciones de esta línea de base se consideran las opciones de configuración relacionadas con la seguridad más pertinentes. En cada nueva compilación de Windows, el equipo ajusta sus recomendaciones basándose en las características lanzadas recientemente.

¿Hay alguna diferencia en las recomendaciones para las líneas de base de seguridad de Windows para la directiva de grupo respecto a Intune?

El mismo equipo de seguridad de Microsoft eligió y organizó la configuración para cada línea de base. Intune incluye todas las configuración pertinentes en la línea de base de seguridad de Intune. Hay algunas configuraciones en la línea de base de la directiva de grupo que son específicas de un controlador de dominio local. Estas opciones se excluyen de las recomendaciones de Intune. Todas las demás configuraciones son las mismas.

¿Son compatibles las líneas de base de seguridad CIS o NIST de Intune?

Estrictamente hablando, no. El equipo de seguridad de Microsoft consulta a las organizaciones, como CIS, para recopilar sus recomendaciones. Sin embargo, no hay una asignación unívoca entre las líneas de base de Microsoft y "compatibles con CIS".

¿Qué certificaciones tienen las líneas de base de seguridad de Microsoft?

  • Microsoft continúa publicando líneas de base de seguridad para directivas de grupo (GPO) y el Security Compliance Toolkit, como ha hecho durante muchos años. Muchas organizaciones usan estas líneas de base. Las recomendaciones que figuran en estas líneas de base provienen del compromiso del equipo de seguridad de Microsoft con clientes empresariales y agencias externas, incluido el Departamento de Defensa (DoD), el Instituto Nacional de Estándares y Tecnología (NIST), etc. Compartimos nuestras recomendaciones y líneas de base con estas organizaciones. Estas organizaciones también tienen sus propias recomendaciones que reflejan fielmente las recomendaciones de Microsoft. Dado que la administración de dispositivos móviles (MDM) continúa creciendo en la nube, Microsoft ha creado recomendaciones de MDM equivalentes de estas líneas de base de directivas de grupo. Estas líneas de base adicionales están integradas en Microsoft Intune e incluyen informes de cumplimiento sobre usuarios, grupos y dispositivos que siguen (o no) la línea de base.

  • Muchos clientes utilizan las recomendaciones de línea de base de Intune como punto de partida y luego las personalizan para satisfacer sus demandas de TI y seguridad. La línea de base de seguridad de MDM de Windows 10 RS5 de Microsoft es la primera línea de base que se lanza. Esta línea de base se construye como una infraestructura genérica que permite a los clientes eventualmente importar otras líneas de base de seguridad basadas en CIS, NIST y otros estándares. En la actualidad, está disponible para Windows y eventualmente incluirá iOS/iPadOS y Android.

  • La migración de las directivas de grupo de Active Directory locales a una solución en la nube pura mediante Azure Active Directory (AD) con Microsoft Intune es una odisea. Como ayuda, use las diversas herramientas del kit de herramientas para el cumplimiento de la seguridad para identificar las opciones basadas en la nube de las líneas base de seguridad que pueden reemplazar las configuraciones de GPO locales.

Siguientes pasos