Implementación de acceso con privilegios

  • Artículo
  • Tiempo de lectura: 26 minutos

Este documento le guiará a través de la implementación de los componentes técnicos de la estrategia de acceso con privilegios, incluidas cuentas seguras, estaciones de trabajo y dispositivos, y seguridad de interfaz (con directiva de acceso condicional).

Resumen de perfiles de nivel de seguridad

En esta guía se establecen todos los perfiles para los tres niveles de seguridad y se deben asignar los roles de las organizaciones en función de las directrices de niveles de seguridad de acceso privilegiado. Microsoft recomienda configurarlos en el orden descrito en el plan de modernización rápida (RAMP)

Requisitos de licencia

Los conceptos que se tratan en esta guía suponen que Microsoft 365 Enterprise E5 o una SKU equivalente. Algunas de las recomendaciones de esta guía se pueden implementar con SKU inferiores. Para obtener más información, vea Microsoft 365 Enterprise licencias.

Para automatizar el aprovisionamiento de licencias, considere la posibilidad de licencias basadas en grupos para los usuarios.

Azure Active Directory configuración

Azure Active Directory (Azure AD) administra usuarios, grupos y dispositivos para las estaciones de trabajo de administrador. Habilitar características y servicios de identidad con una cuenta de administrador.

Al crear la cuenta de administrador de la estación de trabajo protegida, la cuenta se expone a la estación de trabajo actual. Asegúrese de usar un dispositivo seguro conocido para realizar esta configuración inicial y toda la configuración global. Para reducir la exposición a ataques por primera vez, considere seguir las instrucciones para evitar las infecciones por malware.

Requerir autenticación multifactor, al menos para los administradores. Vea Acceso condicional: Requerir MFA para administradores para obtener instrucciones de implementación.

Azure AD usuarios y grupos

  1. Desde Azure Portal, vaya aAzure Active Directory Usuario nuevo.

  2. Cree el usuario del dispositivo siguiendo los pasos del tutorial crear usuario.

  3. Escriba:

    • Nombre: administrador seguro de la estación de trabajo
    • Nombre de usuariosecure-ws-user@contoso.com
    • Rol de directorioAdministrador limitado y seleccione el rol de administrador de Intune.
    • Ubicación de usoReino Unido

  4. Seleccione Crear.

Cree el usuario administrador del dispositivo.

  1. Escriba:

    • Nombre: administrador seguro de la estación de trabajo
    • Nombre de usuariosecure-ws-admin@contoso.com
    • Rol de directorioAdministrador limitado y seleccione el rol de administrador de Intune.

  2. Seleccione Crear.

A continuación, creará cuatro grupos: Usuarios seguros de estaciones detrabajo, Administradores de estaciones de trabajo seguros, Rompecrites de emergencia y Dispositivosde estación de trabajo seguros.

Desde Azure Portal, vaya a Azure Active DirectorygrupoNuevos grupos.

  1. Para el grupo de usuarios de la estación de trabajo, es posible que desee configurar licencias basadas en grupos para automatizar el aprovisionamiento de licencias a los usuarios.

  2. Para el grupo de usuarios de la estación de trabajo, escriba:

    • Tipo de grupo: seguridad
    • Nombre del grupo: usuarios seguros de estaciones de trabajo
    • Tipo de pertenencia: asignado

  3. Agregue el usuario seguro de la estación de trabajo: secure-ws-user@contoso.com

  4. Puede agregar cualquier otro usuario que use estaciones de trabajo seguras.

  5. Seleccione Crear.

  6. Para el grupo Administradores de estaciones de trabajo con privilegios, escriba:

    • Tipo de grupo: seguridad
    • Nombre del grupo: administradores seguros de estaciones de trabajo
    • Tipo de pertenencia: asignado

  7. Agregue el usuario seguro de la estación de trabajo: secure-ws-admin@contoso.com

  8. Puede agregar cualquier otro usuario que administrará estaciones de trabajo seguras.

  9. Seleccione Crear.

  10. Para el grupo Emergency BreakGlass, escriba:

    • Tipo de grupo: seguridad
    • Nombre del grupo: Emergency BreakGlass
    • Tipo de pertenencia: asignado

  11. Seleccione Crear.

  12. Agregue cuentas de Acceso de emergencia a este grupo.

  13. Para el grupo de dispositivos de estación de trabajo, escriba:

    • Tipo de grupo: seguridad
    • Nombre del grupo: estaciones de trabajo seguras
    • Tipo de pertenencia: dispositivo dinámico
    • Reglas de pertenencia dinámica(device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")

  14. Seleccione Crear.

Azure AD de dispositivos

Especificar quién puede unirse a dispositivos para Azure AD

Configure la configuración de los dispositivos en Active Directory para permitir que el grupo de seguridad administrativa se una a los dispositivos a su dominio. Para configurar esta configuración desde Azure Portal:

  1. Vaya a Azure Active Directoryconfiguración dedispositivos dispositivos.
  2. Elija Seleccionado en Usuarios puede unirse a dispositivos para Azure ADy, a continuación, seleccione el grupo "Usuarios seguros de la estación de trabajo".

Quitar derechos de administrador local

Este método requiere que los usuarios de las estaciones de trabajo VIP, DevOps y Privileged no tengan derechos de administrador en sus equipos. Para configurar esta configuración desde Azure Portal:

  1. Vaya a Azure Active Directoryconfiguración dedispositivos dispositivos.
  2. Seleccione Ninguno enAdministradores locales adicionales en Azure AD dispositivos unidos.

Consulte Cómo administrar el grupo de administradores locales en Azure AD dispositivos unidos para obtener información detallada sobre cómo administrar los miembros del grupo de administradores locales.

Requerir autenticación multifactor para unirse a dispositivos

Para fortalecer aún más el proceso de unirse a dispositivos para Azure AD:

  1. Vaya a Azure Active Directoryconfiguración dedispositivos dispositivos.
  2. Seleccione en Requerir autenticación multifactor para unirse a dispositivos.
  3. Seleccione Guardar.

Configurar la administración de dispositivos móviles

Desde azure portal:

  1. Vaya a Azure Active DirectoryMobility (MDM y MAM)Microsoft Intune.
  2. Cambie la configuración del ámbito de usuario de MDM a Todos.
  3. Seleccione Guardar.

Estos pasos le permiten administrar cualquier dispositivo con Microsoft Endpoint Manager. Para obtener más información, vea Inicio rápido de Intune: Configurar la inscripción automática para Windows 10 dispositivos. Cree directivas de configuración y cumplimiento de Intune en un paso futuro.

Azure AD acceso condicional

Azure AD acceso condicional puede ayudar a restringir las tareas administrativas con privilegios a los dispositivos compatibles. Los miembros predefinidos del grupo Usuarios seguros de estaciones de trabajo son necesarios para realizar la autenticación multifactor al iniciar sesión en aplicaciones en la nube. Un procedimiento recomendado es excluir cuentas de acceso de emergencia de la directiva. Para obtener más información, vea Administrar cuentas de acceso de emergencia en Azure AD.

Acceso condicional solo permite que la estación de trabajo segura pueda acceder a Azure Portal

Las organizaciones deben impedir que los usuarios privilegiados puedan conectarse a interfaces de administración de la nube, portales y PowerShell desde dispositivos que no sean DESA.

Para impedir que los dispositivos no autorizados puedan acceder a las interfaces de administración de la nube, siga las instrucciones del artículo Acceso condicional: Filtros para dispositivos (vista previa). Es esencial que, al implementar esta característica, considere la funcionalidad de la cuenta de acceso de emergencia. Estas cuentas deben usarse solo para casos extremos y la cuenta administrada a través de la directiva.

Nota

Tendrá que crear un grupo de usuarios e incluir el usuario de emergencia que pueda omitir la directiva de acceso condicional. Para nuestro ejemplo tenemos un grupo de seguridad llamado Emergency BreakGlass

Este conjunto de directivas garantizará que los administradores deben usar un dispositivo que pueda presentar un valor de atributo de dispositivo específico, que la MFA esté satisfecha y que el dispositivo esté marcado como compatible por Microsoft Endpoint Manager y Microsoft Defender para el punto de conexión.

Las organizaciones también deben considerar el bloqueo de protocolos de autenticación heredados en sus entornos. Hay varias maneras de realizar esta tarea, para obtener más información sobre cómo bloquear protocolos de autenticación heredados, vea el artículo Cómo: Bloquear la autenticación heredada a Azure AD con acceso condicional.

Microsoft Intune configuración

Denegación de inscripción de dispositivos BYOD

En nuestra muestra, recomendamos que no se permitan los dispositivos BYOD. El uso de la inscripción de BYOD de Intune permite a los usuarios inscribir dispositivos que son menos o que no son de confianza. Sin embargo, es importante tener en cuenta que en las organizaciones que tienen un presupuesto limitado para comprar nuevos dispositivos, buscar usar la flota de hardware existente o considerar dispositivos que no son windows, puede considerar la funcionalidad BYOD en Intune para implementar el perfil de Enterprise.

Las siguientes instrucciones configurarán Inscripción para implementaciones que denegarán el acceso de BYOD.

Establecer restricciones de inscripción que impidan byod

  1. En el Microsoft Endpoint Manager de administración,elija Restricciones de inscripción de dispositivos elija la restricción predeterminada Todos los usuarios
  2. Seleccionar configuración de la plataforma propiedades Editar
  3. Selecciona Bloquear para todos los tipos, excepto Windows MDM.
  4. Seleccione Bloquear para todos los elementos de propiedad personal.

Crear un perfil de implementación de Piloto automático

Después de crear un grupo de dispositivos, debe crear un perfil de implementación para configurar los dispositivos autopilot.

  1. En el Microsoft Endpoint Manager de administración,elija Inscripción dedispositivos Windows perfilesde implementación de inscripciónCrear perfil.

  2. Escriba:

    • Nombre: perfil de implementación de estación de trabajo segura.
    • Descripción: Implementación de estaciones de trabajo seguras.
    • Establezca Convertir todos los dispositivos dirigidos en Piloto automático en Sí. Esta configuración se asegura de que todos los dispositivos de la lista se registren con el servicio de implementación de Piloto automático. Espere 48 horas para que se procese el registro.

  3. Seleccione Siguiente.

    • En Modo de implementación,elija Implementación automática (versión preliminar). Los dispositivos con este perfil están asociados con el usuario que inscribe el dispositivo. Durante la implementación, es recomendable usar las características Self-Deployment modo de instalación para incluir:
      • Inscribe el dispositivo en Intune Azure AD inscripción automática de MDM y solo permite que se acceda a un dispositivo hasta que se aprovisionen en el dispositivo todas las directivas, aplicaciones, certificados y perfiles de red.
      • Las credenciales de usuario son necesarias para inscribir el dispositivo. Es esencial tener en cuenta que implementar un dispositivo en el modo de implementación automática le permitirá implementar portátiles en un modelo compartido. No se realizará ninguna tarea de usuario hasta que el dispositivo se asigne a un usuario por primera vez. Como resultado, las directivas de usuario como BitLocker no se habilitarán hasta que se complete una asignación de usuario. Para obtener más información sobre cómo iniciar sesión en un dispositivo protegido, vea perfiles seleccionados.
    • Seleccione el idioma (región), tipo de cuenta de usuario estándar.

  4. Seleccione Siguiente.

    • Seleccione una etiqueta de ámbito si ha preconfigurado una.

  5. Seleccione Siguiente.

  6. Elija AsignacionesAsignar a gruposseleccionados. En Seleccionar grupos para incluir,elija Estaciones de trabajo seguras.

  7. Seleccione Siguiente.

  8. Seleccione Crear para crear el perfil. El perfil de implementación de Piloto automático ya está disponible para asignarlo a dispositivos.

La inscripción de dispositivos en Autopilot proporciona una experiencia de usuario diferente basada en el tipo de dispositivo y el rol. En nuestro ejemplo de implementación, ilustramos un modelo en el que los dispositivos seguros se implementan en masa y se pueden compartir, pero cuando se usan por primera vez, el dispositivo se asigna a un usuario. Para obtener más información, vea Inscripción de dispositivos Autopilot de Intune.

Página estado de inscripción

La página Estado de inscripción (ESP) muestra el progreso de aprovisionamiento después de inscribir un nuevo dispositivo. Para asegurarse de que los dispositivos están completamente configurados antes de su uso, Intune proporciona un medio para bloquear el uso de dispositivos hasta que se instalen todas las aplicaciones y perfiles.

Crear y asignar perfil de página de estado de inscripción

  1. En el Microsoft Endpoint Manager de administración,elija DispositivosWindows Windows página De estado de inscripción Crear perfil.
  2. Proporcione un nombre y una descripción.
  3. Elija Crear.
  4. Elija el nuevo perfil en la lista Página de estado de inscripción.
  5. Establezca Mostrar progreso de instalación de perfil de aplicación en Sí.
  6. Establezca Bloquear el uso del dispositivo hasta que todas las aplicaciones y perfiles estén instalados enSí.
  7. Elija Tareas Seleccionar gruposelija el grupo Secure Workstation>Secure Workstation>>.
  8. Elija Configuración la configuración que desea aplicar a este perfil >>

Configurar Windows actualización

Mantener Windows 10 actualizado es una de las cosas más importantes que puede hacer. Para mantener Windows en un estado seguro, implemente un anillo de actualización para administrar el ritmo de las actualizaciones que se aplican a las estaciones de trabajo.

En esta guía se recomienda crear un nuevo anillo de actualización y cambiar la siguiente configuración predeterminada:

  1. En el Microsoft Endpoint Manager de administración,elija Actualizacionesde software dedispositivos Windows 10 anillos de actualización.

  2. Escriba:

    • Nombre: actualizaciones de estaciones de trabajo administradas por Azure
    • Canal de mantenimiento: canal semianual
    • Aplazamiento de actualización de calidad (días) - 3
    • Período de aplazamiento de actualización de características (días) - 3
    • Comportamiento de actualización automática: instalación y reinicio automáticos sin control del usuario final
    • Bloquear al usuario para que no Windows actualizaciones: Bloquear
    • Requerir la aprobación del usuario para reiniciar fuera del horario laboral: obligatorio
    • Permitir que el usuario reinicie (reiniciar) - Obligatorio
    • Transición de los usuarios al reinicio activado después de un reinicio automático (días) - 3
    • Aviso de reinicio de tiempo ocupado (días) - 3
    • Establecer la fecha límite para los reinicios pendientes (días) - 3

  3. Seleccione Crear.

  4. En la pestaña Tareas, agregue el grupo Estaciones de trabajo seguras.

Para obtener más información sobre Windows de actualización, vea CSP de directiva : actualizar.

Integración de Microsoft Defender para Endpoint Intune

Microsoft Defender para endpoint y Microsoft Intune colaboración para ayudar a evitar infracciones de seguridad. También pueden limitar el impacto de las infracciones. Las capacidades de ATP proporcionan detección de amenazas en tiempo real, así como permiten realizar auditorías y registros exhaustivos de los dispositivos de punto final.

Para configurar la integración de Windows Defender para punto de conexión y Microsoft Endpoint Manager:

  1. En el Microsoft Endpoint Manager de administración,elija Endpoint SecurityMicrosoft Defender ATP.

  2. En el paso 1 en Configurar Windows Defender ATP, seleccione Conectar Windows Defender ATP para Microsoft Intune en el centro de Windows Defender seguridad.

  3. En el Windows Defender de seguridad:

    1. Seleccione Configuracióncaracterísticas avanzadas.
    2. Para Microsoft Intune conexión,elija On.
    3. Seleccione Guardar preferencias.

  4. Después de establecer una conexión, vuelva a Microsoft Endpoint Manager y seleccione Actualizar en la parte superior.

  5. Establezca Conectar Windows versión de dispositivos (20H2) 19042.450 y posteriores en Windows Defender ATP en On.

  6. Seleccione Guardar.

Crear el perfil de configuración del dispositivo para incorporar Windows dispositivos

  1. Inicie sesión en el centro Microsoft Endpoint Manager de administración,elijaDetección de punto de conexión de seguridad de punto de conexión y respuestaCrear perfil.

  2. En Plataforma,seleccione Windows 10 y Posterior.

  3. En Tipo de perfil,seleccione Detección y respuesta depunto de conexión y, a continuación, seleccione Crear.

  4. En la página Conceptos básicos, escriba UNA PATA: Defender para el punto de conexión en el campo Nombre y Descripción (opcional) para el perfil y, a continuación, elija Siguiente.

  5. En la página Configuración, configure la siguiente opción en Detección y respuesta de punto de conexión:

  6. Seleccione Siguiente para abrir la página Etiquetas de ámbito. Las etiquetas de ámbito son opcionales. Seleccione Siguiente para continuar.

  7. En la página Tareas, seleccione Grupo Estación de trabajo segura. Para obtener más información sobre cómo asignar perfiles, vea Asignar perfiles de usuario y dispositivo.

    Seleccione Siguiente.

  8. En la página Revisar + crear, cuando haya terminado, elija Crear. El nuevo perfil se muestra en la lista al seleccionar el tipo de directiva para el perfil que creó. Aceptary, a continuación, Crear para guardar los cambios, que crea el perfil.

Para obtener más información, vea Windows Defender protección contra amenazas avanzada.

Finalizar el endurecimiento del perfil de la estación de trabajo

Para completar correctamente el endurecimiento de la solución, descargue y ejecute el script correspondiente. Busque los vínculos de descarga para el nivel de perfil que desee:

Perfil Ubicación de descarga Nombre de archivo
Enterprise | Enterprise-Workstation-Windows10-(20H2).ps1
Especializado https://aka.ms/securedworkstationgit Specialized - Windows10-(20H2).ps1
Privilegiado https://aka.ms/securedworkstationgit Privileged-Windows10-(20H2).ps1

Nota

La eliminación de los derechos de administrador y el acceso, así como el control de ejecución de aplicaciones (AppLocker) se administran mediante los perfiles de directiva que se implementan.

Después de que el script se ejecute correctamente, puede realizar actualizaciones de perfiles y directivas en Intune. Los scripts crearán directivas y perfiles para usted, pero debe asignar las directivas a su grupo de dispositivos de Estaciones de trabajo seguras.

  • Aquí es donde puede encontrar los perfiles de configuración del dispositivo Intune creados por los scripts: Azure PortalMicrosoft Intune perfiles de configuración dedispositivos.
  • Aquí encontrará las directivas de cumplimiento de dispositivos de Intune creadas por los scripts: Azure PortalMicrosoft Intunedirectivas de cumplimiento dedispositivos.

Ejecute el script de exportación de datos de Intune desde el repositorio DeviceConfiguration GitHub para exportar todos los perfiles actuales de Intune para la comparación y evaluación DeviceConfiguration_Export.ps1 de los DeviceConfiguration_Export.ps1 perfiles.

Establecer reglas en el perfil de Endpoint Protection de configuración de Firewall de Microsoft Defender

Windows Defender configuración de directiva firewall se incluyen en el Endpoint Protection de configuración. El comportamiento de la directiva aplicada en la tabla siguiente.

Perfil Reglas de entrada Reglas salientes Comportamiento de combinación
Enterprise Bloquear Permitir Permitir
Especializado Bloquear Permitir Bloquear
Privilegiado Bloquear Bloquear Bloquear

Enterprise:esta configuración es la más permisiva, ya que refleja el comportamiento predeterminado de una instalación Windows instalación. Todo el tráfico de entrada está bloqueado, excepto las reglas que se definen explícitamente en las reglas de directiva local, ya que la combinación de reglas locales se establece en permitido. Todo el tráfico saliente está permitido.

Especializado:esta configuración es más restrictiva, ya que omite todas las reglas definidas localmente en el dispositivo. Todo el tráfico entrante está bloqueado, incluidas las reglas definidas localmente, la directiva incluye dos reglas para permitir que la optimización de entrega funcione según lo diseñado. Todo el tráfico saliente está permitido.

Privilegiado:todo el tráfico de entrada está bloqueado, incluidas las reglas definidas localmente, la directiva incluye dos reglas para permitir que la optimización de entrega funcione según lo diseñado. El tráfico saliente también está bloqueado, además de las reglas explícitas que permiten el tráfico DNS, DHCP, NTP, NSCI, HTTP y HTTPS. Esta configuración no solo reduce la superficie de ataque que presenta el dispositivo a la red, sino que limita las conexiones salientes que el dispositivo puede establecer solo a las conexiones necesarias para administrar servicios en la nube.

Regla Dirección Acción Aplicación/servicio Protocolo Puertos locales Puertos remotos
World Wide Web Services (Tráfico http) Saliente Permitir Todo TCP Todos los puertos 80
World Wide Web Services (HTTPS Traffic-out) Saliente Permitir Todo TCP Todos los puertos 443
Redes principales: protocolo de configuración dinámica de host para IPv6(DHCPV6-Out) Saliente Permitir %SystemRoot%\system32\svchost.exe TCP 546 547
Redes principales: protocolo de configuración dinámica de host para IPv6(DHCPV6-Out) Saliente Permitir Dhcp TCP 546 547
Redes principales: protocolo de configuración dinámica de host para IPv6(DHCP-Out) Saliente Permitir %SystemRoot%\system32\svchost.exe TCP 68 67
Redes principales: protocolo de configuración dinámica de host para IPv6(DHCP-Out) Saliente Permitir Dhcp TCP 68 67
Redes principales: DNS (UDP-Out) Saliente Permitir %SystemRoot%\system32\svchost.exe UDP Todos los puertos 53
Redes principales: DNS (UDP-Out) Saliente Permitir Dnscache UDP Todos los puertos 53
Redes principales: DNS (TCP-Out) Saliente Permitir %SystemRoot%\system32\svchost.exe TCP Todos los puertos 53
Redes principales: DNS (TCP-Out) Saliente Permitir Dnscache TCP Todos los puertos 53
Sondeo NSCI (TCP-Out) Saliente Permitir %SystemRoot%\system32\svchost.exe TCP Todos los puertos 80
Sondeo NSCI: DNS (TCP-Out) Saliente Permitir NlaSvc TCP Todos los puertos 80
Windows (UDP-Out) Saliente Permitir %SystemRoot%\system32\svchost.exe TCP Todos los puertos 80
Windows de tiempo : DNS (UDP-Out) Saliente Permitir W32Time UDP Todos los puertos 123
Optimización de entrega (TCP-In) Entrada Permitir %SystemRoot%\system32\svchost.exe TCP 7680 Todos los puertos
Optimización de entrega (TCP-In) Entrada Permitir DoSvc TCP 7680 Todos los puertos
Optimización de entrega (UDP-In) Entrada Permitir %SystemRoot%\system32\svchost.exe UDP 7680 Todos los puertos
Optimización de entrega (UDP-In) Entrada Permitir DoSvc UDP 7680 Todos los puertos

Nota

Hay dos reglas definidas para cada regla en la configuración del Firewall de Microsoft Defender. Para restringir las reglas de entrada y salida a los Servicios de Windows, por ejemplo, el cliente DNS, tanto el nombre del servicio, DNSCache, como la ruta de acceso ejecutable, C:\Windows\System32\svchost.exe, deben definirse como una regla independiente en lugar de una sola regla que sea posible con la directiva de grupo.

Puede realizar cambios adicionales en la administración de las reglas de entrada y salida según sea necesario para los servicios permitidos y bloqueados. Para obtener más información, vea Servicio de configuración de firewall.

Proxy de bloqueo de url

La administración restrictiva del tráfico URL incluye:

  • Denegar todo el tráfico saliente excepto azure y servicios Microsoft azure cloud shell y la capacidad de permitir el autoservicio de restablecimiento de contraseñas.
  • El perfil Privilegiado restringe los puntos de conexión en Internet a los que el dispositivo puede conectarse con la siguiente configuración de proxy de bloqueo de dirección URL.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

Los puntos de conexión enumerados en la lista ProxyOverride se limitan a los puntos de conexión necesarios para autenticarse en Azure AD y acceder a las interfaces de administración de Azure o Office 365 administración. Para extender a otros servicios en la nube, agregue su dirección URL de administración a la lista. Este enfoque está diseñado para limitar el acceso a Internet más amplio para proteger a los usuarios privilegiados de los ataques basados en Internet. Si este enfoque se considera demasiado restrictivo, considere la posibilidad de usar el método descrito a continuación para el rol privilegiado.

Habilitar Microsoft Cloud Application Security, lista de direcciones URL restringidas a direcciones URL aprobadas (Permitir la mayoría)

En la implementación de roles, se recomienda que en las implementaciones Enterprise y Especializadas, en las que no sea deseable denegar estrictamente toda la exploración web, use las capacidades de un agente de seguridad de acceso a la nube (CASB), como Microsoft Defender para aplicaciones en la nube, para bloquear el acceso a sitios web arriesgados y cuestionables. La solución trata una forma sencilla de bloquear aplicaciones y sitios web que se han seleccionado. Esta solución es similar a obtener acceso a la lista de bloques desde sitios como spamhaus Project que mantiene la lista de bloques de dominios (DBL):un buen recurso para usarlo como un conjunto avanzado de reglas para implementar para bloquear sitios.

La solución le proporcionará:

  • Visibilidad: detectar todos los servicios en la nube; asignar a cada uno una clasificación de riesgos; identificar todos los usuarios y aplicaciones de terceros que puedan iniciar sesión
  • Seguridad de datos: identificar y controlar información confidencial (DLP); responder a etiquetas de clasificación en el contenido
  • Protección contra amenazas: ofrecer control de acceso adaptable (AAC); proporcionar análisis de comportamiento de usuario y entidad (UEBA); mitigar malware
  • Cumplimiento: proporcionar informes y paneles para demostrar el gobierno de la nube; ayudar a los esfuerzos para cumplir los requisitos de residencia de datos y cumplimiento normativo

Habilite Defender para aplicaciones en la nube y conéctese a Defender ATP para bloquear el acceso a las direcciones URL arriesgadas:

Administrar aplicaciones locales

La estación de trabajo segura pasa a un estado realmente protegido cuando se quitan las aplicaciones locales, incluidas las aplicaciones de productividad. Aquí, puede agregar Visual Studio Code para permitir la conexión a Azure DevOps de GitHub para administrar repositorios de código.

Configurar el Portal de empresa para aplicaciones personalizadas

Una copia administrada por Intune del Portal de empresa proporciona acceso a petición a herramientas adicionales que puede enviar a los usuarios de las estaciones de trabajo protegidas.

En un modo seguro, la instalación de aplicaciones está restringida a las aplicaciones administradas que se entregan por Portal de empresa. Sin embargo, la instalación Portal de empresa requiere acceso a Microsoft Store. En la solución protegida, agregue y asigne la aplicación Windows 10 Portal de empresa para dispositivos aprovisionados por Autopilot.

Nota

Asegúrese de asignar la aplicación Portal de empresa al grupo Etiqueta de dispositivo de estación de trabajo segura que se usa para asignar el perfil piloto automático.

Implementar aplicaciones con Intune

En algunas situaciones, las aplicaciones como el código Microsoft Visual Studio son necesarias en la estación de trabajo protegida. En el ejemplo siguiente se proporcionan instrucciones para instalar Microsoft Visual Studio código a los usuarios del grupo de seguridad Usuarios seguros de estaciones de trabajo.

Visual Studio Code se proporciona como un paquete EXE, por lo que debe empaquetarse como un archivo de formato para su implementación con Microsoft Endpoint Manager con la Herramienta de preparación de contenido de .intunewin.intunewin

Descargue la Herramienta de preparación de contenido de Microsoft Win32 localmente en una estación de trabajo y cópiela en un directorio para empaquetar, por ejemplo, C:\Packages. A continuación, cree un directorio de origen y salida en C:\Packages.

Código Microsoft Visual Studio paquete

  1. Descargue el instalador sin conexión Visual Studio Code para Windows de 64 bits.
  2. Copiar el archivo Visual Studio Code archivo exe descargado enC:\Packages\Source
  3. Abrir una consola de PowerShell y navegar a C:\Packages
  4. Tipo .\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1
  5. Escriba Y para crear la nueva carpeta de salida. El archivo intunewin para Visual Studio Code se creará en esta carpeta.

Upload VS Code Microsoft Endpoint Manager

  1. En el Microsoft Endpoint Manager de administración,vaya a AplicacionesWindowsAgregar
  2. En Seleccionar tipo de aplicación,elija Windows aplicación (Win32)
  3. Haga clic en Seleccionar archivo de paquete de aplicación,haga clic en Seleccionar un archivo y, acontinuación, seleccione el archivo de . Haga clic en Aceptar
  4. Escriba Visual Studio Code 1.51.1 en el campo Nombre
  5. Escriba una descripción para Visual Studio Code en el campo Descripción
  6. Escriba Microsoft Corporation en el Microsoft Corporation campo
  7. Descargue https://jsarray.com/images/page-icons/visual-studio-code.png y seleccione la imagen del logotipo. Seleccionar Siguiente
  8. Entrar VSCodeSetup-x64-1.51.1.exe /SILENT en el campo de comando VSCodeSetup-x64-1.51.1.exe /SILENT
  9. Entrar C:\Program Files\Microsoft VS Code\unins000.exe en el campo de comando C:\Program Files\Microsoft VS Code\unins000.exe
  10. Seleccione Determinar comportamiento en función de los códigos de retorno de la lista desplegable Comportamiento de reinicio del dispositivo. Seleccionar Siguiente
  11. Seleccionar 64 bits en la lista desplegable de la casilla Arquitectura del sistema operativo
  12. Seleccione Windows 10 1903 en la lista desplegable de casilla Sistema operativo Mínimo. Seleccionar Siguiente
  13. Seleccione Configurar reglas de detección manualmente en la lista desplegable Formato de reglas
  14. Haga clic en Agregary, a continuación, seleccione Formulario de archivo en la lista desplegable Tipo de regla
  15. Entrar C:\Program Files\Microsoft VS Code en el campo Ruta C:\Program Files\Microsoft VS Code acceso
  16. Escriba unins000.exe en el campo Archivo o unins000.exe
  17. Seleccione Archivo o carpeta existe en la lista desplegable, Seleccione Aceptar y, a continuación, seleccione Siguiente
  18. Seleccione Siguiente ya que no hay dependencias en este paquete
  19. Seleccione Agregar grupo en Disponible para dispositivos inscritos,agregue el grupo Usuarios con privilegios. Haga clic en Seleccionar para confirmar el grupo. Seleccionar Siguiente
  20. Haga clic en Crear

Usar PowerShell para crear aplicaciones y configuraciones personalizadas

Hay algunas opciones de configuración que se recomiendan, incluidas dos recomendaciones de Defender para el punto de conexión, que deben establecerse con PowerShell. Estos cambios de configuración no se pueden establecer mediante directivas en Intune.

También puede usar PowerShell para ampliar las capacidades de administración de host. El PAW-DeviceConfig.ps1 script de GitHub es un script de ejemplo que configura las siguientes opciones:

  • Quita Internet Explorer
  • Quita PowerShell 2.0
  • Quita Reproductor de Windows Media
  • Quita el cliente de carpetas de trabajo
  • Elimina la impresión XPS
  • Habilita y configura Hibernar
  • Implementa la corrección del Registro para habilitar el procesamiento de reglas dll de AppLocker
  • Implementa la configuración del Registro para dos recomendaciones de Microsoft Defender para el punto de conexión que no se pueden establecer con Endpoint Manager.
    • Requerir que los usuarios aumenten al configurar la ubicación de una red
    • Evitar el guardado de credenciales de red
  • Deshabilitar el Asistente para la ubicación de red: impide que los usuarios puedan establecer la ubicación de red como Privada y, por lo tanto, aumentar la superficie de ataque expuesta en Windows Firewall
  • Configura Windows hora para usar NTP y establece el servicio Hora automática en Automático
  • Descarga y establece el fondo del escritorio en una imagen específica para identificar fácilmente el dispositivo como una estación de trabajo con privilegios listos para usar.

El PAW-DeviceConfig.ps1 de GitHub.

  1. Descargue el script [PAW-DeviceConfig.ps1] en un dispositivo local.
  2. Vaya a Azure PortalMicrosoft IntuneConfiguración de dispositivosDe PowerShell ScriptsAgregar. vProvide un nombre para el script y especifique la ubicación del script.
  3. Seleccione Configurar.
    1. Establezca Ejecutar este script con las credenciales iniciadas en No.
    2. Seleccione Aceptar.
  4. Seleccione Crear.
  5. Seleccione Tareas Seleccionargrupos.
    1. Agregue el grupo de seguridad Estaciones de trabajo seguras.
    2. Seleccione Guardar.

Validar y probar la implementación con el primer dispositivo

Esta inscripción supone que usará un dispositivo de informática física. Se recomienda que, como parte del proceso de adquisición, el OEM, revendedor, distribuidor o partner registre los dispositivos en Windows Autopilot.

Sin embargo, para realizar pruebas, es posible poner en pie las máquinas virtuales como escenario de prueba. Sin embargo, la inscripción de notas de dispositivos unidos personalmente tendrá que revisarse para permitir este método de unirse a un cliente.

Este método funciona para máquinas virtuales o dispositivos físicos que no se han registrado previamente.

  1. Iniciar el dispositivo y esperar a que se presente el cuadro de diálogo nombre de usuario
  2. Presione SHIFT + F10 para mostrar el símbolo del sistema
  3. Escriba PowerShell , presione Entrar
  4. Escriba Set-ExecutionPolicy RemoteSigned , presione Entrar
  5. Escriba Install-Script GetWindowsAutopilotInfo , presione Entrar
  6. Escriba Y y haga clic en Entrar para aceptar el cambio de entorno PATH
  7. Escriba Y y haga clic en Entrar para instalar NuGet proveedor
  8. Escriba Y para confiar en el repositorio
  9. Escriba Ejecutar Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv
  10. Copiar el ARCHIVO CSV desde la máquina virtual o el dispositivo físico

Importar dispositivos en Autopilot

  1. En el Microsoft Endpoint Manager de administración,vaya aDispositivos Windows dispositivos Windowsde inscripción

  2. Seleccione Importar y elija el archivo CSV.

  3. Espere a que Group Tag se actualice a y cambie a PAWProfile StatusAssigned .

    Nota

    El grupo dinámico Estación de trabajo segura usa la etiqueta de grupo para hacer que el dispositivo sea miembro de su grupo,

  4. Agregue el dispositivo al grupo de seguridad Estaciones de trabajo seguras.

  5. En el Windows 10 que quiera configurar, vaya a actualizar Windows Configuración recuperación de>>

    1. Elija Introducción en Restablecer este equipo.
    2. Siga las indicaciones para restablecer y volver a configurar el dispositivo con las directivas de cumplimiento y perfil configuradas.

Después de configurar el dispositivo, complete una revisión y compruebe la configuración. Confirme que el primer dispositivo está configurado correctamente antes de continuar con la implementación.

Asignar dispositivos

Para asignar dispositivos y usuarios, debe asignar los perfiles seleccionados al grupo de seguridad. Todos los usuarios nuevos que requieran permisos para el servicio también deben agregarse al grupo de seguridad.

Usar Microsoft Defender para endpoint para supervisar y responder a incidentes de seguridad

  • Observar y supervisar continuamente vulnerabilidades y configuraciones incorrectas
  • Usar Microsoft Defender para endpoint para priorizar las amenazas dinámicas en estado salvaje
  • Impulsar la correlación de vulnerabilidades con detección y respuesta de puntos de conexión (EDR)
  • Usar el panel para identificar la vulnerabilidad a nivel de equipo durante las investigaciones
  • Insertar correcciones en Intune

Configure su Centro de seguridad de Microsoft Defender. Usar instrucciones en Información general sobre el panel de administración de vulnerabilidades de amenazas.

Supervisar la actividad de la aplicación con la caza avanzada de amenazas

A partir de la estación de trabajo especializada, AppLocker está habilitado para supervisar la actividad de la aplicación en una estación de trabajo. De forma predeterminada, Defender para el punto de conexión captura eventos de AppLocker y consultas de caza avanzadas se pueden usar para determinar qué aplicaciones, scripts y archivos DLL están bloqueados por AppLocker.

Nota

Los perfiles de estación de trabajo especializados y privilegiados contienen las directivas de AppLocker. La implementación de las directivas es necesaria para supervisar la actividad de la aplicación en un cliente.

Desde el Centro de seguridad de Microsoft Defender de caza avanzada, use la consulta siguiente para devolver eventos de AppLocker

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

Supervisión

Pasos siguientes