Beveiligingsbasislijnen gebruiken om Windows-apparaten die u beheert te beveiligen met Microsoft Intune

Met de beveiligingsbasislijnen van Microsoft Intune kunt u snel een aanbevolen beveiligingspostuur implementeren op uw beheerde Windows-apparaten voor Windows-beveiligingsbasislijnen, zodat u uw gebruikers en apparaten kunt beveiligen en beschermen.

Hoewel Windows en Windows Server zijn ontworpen om out-of-the-box veilig te zijn, willen veel organisaties nog steeds gedetailleerdere controle over hun beveiligingsconfiguraties. Om door het grote aantal besturingselementen te navigeren, zoeken organisaties vaak hulp bij het configureren van verschillende beveiligingsfuncties. Microsoft biedt deze richtlijnen in de vorm van beveiligingsbasislijnen.

Deze functie is van toepassing op:

• Windows 10 versie 1809 en hoger
• Windows 11

Overzicht van Intune beveiligingsbasislijn

Elke beveiligingsbasislijn is een groep vooraf geconfigureerde Windows-instellingen waarmee u gedetailleerde beveiligingsinstellingen kunt toepassen en afdwingen die de relevante beveiligingsteams aanbevelen. U kunt ook elke basislijn die u implementeert aanpassen om alleen de instellingen en waarden af te dwingen die u nodig hebt. Wanneer u een beveiligingsbasislijnprofiel maakt in Intune, maakt u een sjabloon die uit meerdere apparaatconfiguratieprofielen bestaat.

De instellingen in elke basislijn zijn apparaatconfiguratie-instellingen, zoals die in verschillende Intune-beleidsregels. Elke instelling in een basislijn werkt met de configuratieserviceprovider voor het relevante product dat aanwezig is op een beheerd Windows-apparaat.

Zie Windows-beveiligingsbasislijnen in de Windows-beveiligingsdocumentatie voor meer informatie over waarom en wanneer u mogelijk beveiligingsbasislijnen wilt implementeren.

U implementeert beveiligingsbasislijnen voor groepen gebruikers of apparaten in Intune en de instellingen zijn van toepassing op apparaten waarop Windows 10 of 11 wordt uitgevoerd. De standaardconfiguratie van de beveiligingsbasislijn voor Windows 10 en later schakelt bijvoorbeeld automatisch BitLocker in voor verwisselbare stations, vereist automatisch een wachtwoord om een apparaat te ontgrendelen, schakelt automatisch basisverificatie uit en meer. Wanneer een standaardwaarde niet werkt voor uw omgeving, past u de basislijn aan om de instellingen toe te passen die u nodig hebt.

Opmerking

In mei 2023 is Intune begonnen met de implementatie van een nieuwe beveiligingsbasislijnindeling voor elke nieuwe basislijnrelease of versie-update. Met de nieuwe indeling worden de basislijninstellingen bijgewerkt, zodat de naam en configuratieopties rechtstreeks worden overgenomen van de configuratieserviceprovider (CSP) die door de basislijninstelling wordt beheerd.

Intune ook een nieuw proces geïntroduceerd om u te helpen bij het migreren van een bestaand beveiligingsbasislijnprofiel naar de nieuwere basislijnversie. Dit nieuwe gedrag is een eenmalig proces dat het normale updategedrag vervangt wanneer u overstapt van de meest recente versie van een ouder profiel naar een nieuwere versie die beschikbaar kwam in mei 2023 of hoger.

Voordelen van het gebruik van basislijnen:
Beveiligingsbasislijnen kunnen u helpen om een end-to-end beveiligde werkstroom te hebben wanneer u met Microsoft 365 werkt. Enkele van de voordelen zijn:

• Standaard wordt elke beveiligingsbasislijn geconfigureerd om te voldoen aan de aanbevolen procedures en aanbevelingen voor de instellingen die van invloed zijn op de beveiliging. Intune werkt samen met hetzelfde Windows-beveiligingsteam dat beveiligingsbasislijnen voor groepsbeleid maakt. Deze aanbevelingen zijn gebaseerd op richtlijnen en uitgebreide ervaring.
• Als u nog geen Intune hebt en niet zeker weet waar u moet beginnen, bieden beveiligingsbasislijnen u een voordeel. U kunt snel een beveiligd profiel maken en implementeren, wetende dat u de resources en gegevens van uw organisatie helpt beschermen.
• Als u momenteel groepsbeleid gebruikt, is migreren naar Intune voor beheer eenvoudiger met deze basislijnen. Deze basislijnen zijn standaard ingebouwd in Intune en bieden een moderne beheerervaring.

Standaardinstellingen voor meerdere basislijnen:
Afzonderlijke basislijntypen, zoals de MDM-beveiligingsbasislijn voor Windows en de basislijn voor Microsoft Defender, kunnen dezelfde instellingen bevatten en verschillende standaardwaarden voor deze instellingen gebruiken. Intune kunt niet bepalen welke configuratie het beste bij u past, of zelfs niet in welke omgeving of in welke omgeving of scenario u mogelijk de ene standaardaandatie voor basislijnen wilt gebruiken boven een andere:

• Het is belangrijk om inzicht te hebben in de standaardwaarden in de basislijnen die u gebruikt en om vervolgens elke basislijn aan te passen aan de behoeften van uw organisatie.
• Standaard wordt elke basislijn vooraf geconfigureerd met behulp van de aanbevelingen die specifiek zijn voor het product waarop de basislijn van toepassing is.
• In sommige gevallen is een configuratie die Microsoft Defender aanbeveelt mogelijk niet de standaardconfiguratie voor vergelijkbare instellingen wanneer deze wordt aanbevolen door Windows. In dergelijke situaties is het belangrijk om elke instelling te controleren, zodat u de intentie ervan begrijpt op basis van de details van de configuratieserviceprovider en een groter bereik van de twee producten.

In bijna alle scenario's zijn de standaardinstellingen in de beveiligingsbasislijnen het meest beperkend. Controleer of deze instellingen niet conflicterende zijn met andere beleidsinstellingen of -functies in uw omgeving.

De standaardinstellingen voor firewallconfiguratie kunnen bijvoorbeeld geen verbindingsbeveiligingsregels en lokale beleidsregels samenvoegen met MDM-regels. Dus als u delivery optimization gebruikt, moet u deze configuraties valideren voordat u de beveiligingsbasislijn toewijst.

Opmerking

Microsoft raadt het gebruik van preview-versies van beveiligingsbasislijnen in een productieomgeving niet aan. De instellingen in een preview-basislijn kunnen in de loop van de preview veranderen.

Beschikbare beveiligingsbasislijnen

De volgende beveiligingsbasislijnexemplaren zijn beschikbaar voor gebruik met Intune. Gebruik de koppelingen om de instellingen voor recente exemplaren van elke basislijn weer te geven.

• Beveiligingsbasislijn voor Windows 10 en hoger:
  • Versie 23H2
  • November 2021
  • December 2020
  • Augustus 2020

• Microsoft Defender voor Eindpunt basislijn:
  (Als u deze basislijn wilt gebruiken, moet uw omgeving voldoen aan de vereisten voor het gebruik van Microsoft Defender voor Eindpunt).

  • Versie 6
  • Versie 5
  • Versie 4
  • Versie 3

  Opmerking

  De Microsoft Defender voor Eindpunt beveiligingsbasislijn is geoptimaliseerd voor fysieke apparaten en wordt momenteel niet aanbevolen voor gebruik op virtuele machines (VM's) of VDI-eindpunten. Bepaalde basislijninstellingen kunnen van invloed zijn op externe interactieve sessies in gevirtualiseerde omgevingen. Zie Naleving van de Microsoft Defender voor Eindpunt beveiligingsbasislijn verhogen in de Windows-documentatie voor meer informatie.

• Microsoft 365-apps voor Enterprise:

  • Versie 2306 (Office-basislijn)Uitgebracht in november 2023
  • Mei 2023 (Office-basislijn)

• Microsoft Edge-basislijn:

  • Mei 2023 (Microsoft Edge versie 112 en hoger)
  • September 2020 (Microsoft Edge versie 85 en hoger)
  • April 2020 (Microsoft Edge versie 80 en hoger)
  • Preview: oktober 2019 (Microsoft Edge versie 77 en hoger)

• Windows 365 beveiligingsbasislijn:

  • Oktober 2021

Wanneer een nieuwe versie voor een profiel beschikbaar komt, worden instellingen in profielen op basis van de oudere versies alleen-lezen. U kunt deze oudere profielen blijven gebruiken. U kunt ook de profielnamen, beschrijvingen en toewijzingen bewerken, maar ze bieden geen ondersteuning voor een wijziging in de configuratie van de instellingen en u kunt geen nieuwe profielen maken op basis van de oudere versies.

Wanneer u klaar bent om de recentere basislijnversie te gebruiken, kunt u nieuwe profielen maken of uw bestaande profielen bijwerken naar de nieuwe versie. Zie De basislijnversie voor een profiel wijzigen in het artikel Beveiligingsbasislijnprofielen beheren .

Over basislijnversies en -exemplaren

Elk nieuwe versie-exemplaar van een basislijn kan instellingen toevoegen of verwijderen of andere wijzigingen introduceren. Zodra er bijvoorbeeld nieuwe Windows-instellingen beschikbaar komen met nieuwe versies van Windows 10/11, kan beveiligingsbasislijn voor Windows 10 en hoger een nieuwe versie-instantie ontvangen die de nieuwste instellingen bevat.

U kunt de lijst met beschikbare basislijnen weergeven in het Microsoft Intune-beheercentrum, onderEindpuntbeveiligingsbeveiligingsbasislijnen>. De lijst bevat:

• De naam van elke sjabloon voor de beveiligingsbasislijn.
• Hoeveel profielen u hebt die gebruikmaken van dat type basislijn.
• Hoeveel afzonderlijke exemplaren (versies) van het basislijntype beschikbaar zijn.
• Een laatst gepubliceerde datum die aangeeft wanneer de meest recente versie van de basislijnsjabloon beschikbaar is geworden.

Als u meer informatie wilt weergeven over de basislijnversies die u gebruikt, selecteert u een basislijntype, zoals Beveiligingsbasislijn voor Windows 10 en hoger om het deelvenster Profielen te openen en selecteert u vervolgens Versies. Intune geeft details weer over de versies van die basislijn die door uw profielen worden gebruikt. De details omvatten de meest recente en huidige basislijnversie. U kunt één versie selecteren om diepere details weer te geven over de profielen die die versie gebruiken.

U kunt ervoor kiezen om de versie van een basislijn te wijzigen die wordt gebruikt met een bepaald profiel. Wanneer u de versie wijzigt, hoeft u geen nieuw basislijnprofiel te maken om te profiteren van bijgewerkte versies. In plaats daarvan kunt u een basislijnprofiel selecteren en de ingebouwde optie gebruiken om de exemplaarversie voor dat profiel te wijzigen in een nieuwe versie.

Conflicten voorkomen

U kunt een of meer van de beschikbare basislijnen in uw Intune omgeving tegelijkertijd gebruiken. U kunt ook meerdere exemplaren van dezelfde beveiligingsbasislijnen gebruiken die verschillende aanpassingen hebben.

Wanneer u meerdere beveiligingsbasislijnen gebruikt, controleert u de instellingen in elke basislijn om te bepalen wanneer uw verschillende basislijnconfiguraties conflicterende waarden voor dezelfde instelling introduceren. Omdat u beveiligingsbasislijnen kunt implementeren die zijn ontworpen voor verschillende intenties en meerdere exemplaren van dezelfde basislijn met aangepaste instellingen kunt implementeren, kunt u configuratieconflicten veroorzaken voor apparaten die moeten worden onderzocht en opgelost.

Bovendien beheren beveiligingsbasislijnen vaak dezelfde instellingen die u kunt instellen met apparaatconfiguratieprofielen of andere typen beleid. Houd daarom rekening met uw andere beleidsregels en profielen voor instellingen bij het voorkomen of oplossen van conflicten.

Zie voor informatie die u kan helpen bij het identificeren en oplossen van conflicten:

• Problemen met beleidsregels en profielen in Intune oplossen
• Uw beveiligingsbasislijnen bewaken

Q & A

Waarom deze instellingen?

Het microsoft-beveiligingsteam heeft jarenlange ervaring met het rechtstreeks samenwerken met Windows-ontwikkelaars en de beveiligingscommunity om deze aanbevelingen te maken. De instellingen in deze basislijn worden beschouwd als de meest relevante configuratieopties voor beveiliging. In elke nieuwe build van Windows past het team de aanbevelingen aan op basis van nieuw uitgebrachte functies.

Is er een verschil in de aanbevelingen voor Windows-beveiligingsbasislijnen voor groepsbeleid versus Intune?

Hetzelfde Microsoft-beveiligingsteam heeft de instellingen voor elke basislijn gekozen en georganiseerd. Intune bevat alle relevante instellingen in de Intune beveiligingsbasislijn. Er zijn enkele instellingen in de basislijn voor groepsbeleid die specifiek zijn voor een on-premises domeincontroller. Deze instellingen zijn uitgesloten van de aanbevelingen van Intune. Alle andere instellingen zijn hetzelfde.

Zijn de Intune beveiligingsbasislijnen CIS of NIST compatibel?

Strikt genomen niet. Het Microsoft-beveiligingsteam raadpleegt organisaties, zoals CIS, om de aanbevelingen te compileren. Er is echter geen een-op-een-toewijzing tussen 'CIS-compatibel' en Microsoft-basislijnen.

Welke certificeringen hebben de beveiligingsbasislijnen van Microsoft?

Microsoft blijft beveiligingsbasislijnen publiceren voor groepsbeleidsregels (GPO's) en de Security Compliance Toolkit, zoals dit al vele jaren is gebeurd. Deze basislijnen worden door veel organisaties gebruikt. De aanbevelingen in deze basislijnen zijn afkomstig van de betrokkenheid van het Microsoft-beveiligingsteam bij zakelijke klanten en externe instanties, waaronder het Ministerie van Defensie (DoD), het National Institute of Standards and Technology (NIST) en meer. We delen onze aanbevelingen en basislijnen met deze organisaties. Deze organisaties hebben ook hun eigen aanbevelingen die nauw aansluiten bij de aanbevelingen van Microsoft. Naarmate Mobile Device Management (MDM) blijft groeien in de cloud, heeft Microsoft gelijkwaardige MDM-aanbevelingen voor deze groepsbeleidsbasislijnen gemaakt. Veel van deze basislijnen zijn ingebouwd in Microsoft Intune en bevatten nalevingsrapporten over gebruikers, groepen en apparaten die de basislijn volgen (of niet volgen).

Veel klanten gebruiken de Intune basislijnaanbeveling als uitgangspunt en passen deze vervolgens aan om te voldoen aan hun IT- en beveiligingsvereisten. De Windows 10 en latere basislijnsjabloon van Microsoft was de eerste basislijn die werd uitgebracht. Deze basislijn is gebouwd als een algemene infrastructuur waarmee klanten uiteindelijk andere beveiligingsbasislijnen kunnen importeren op basis van CIS, NIST en andere standaarden.

Migreren van on-premises Active Directory groepsbeleid naar een pure cloudoplossing met behulp van Microsoft Entra ID met Microsoft Intune is een traject. Gebruik hiervoor de verschillende hulpprogramma's uit de Security Compliance Toolkit die u kunnen helpen bij het identificeren van cloudopties op basis van beveiligingsbasislijnen die uw on-premises GPO-configuraties kunnen vervangen.

Waar vind ik meer informatie over het gebruik of configureren van de instellingen die beschikbaar zijn in een beveiligingsbasislijn?

Elke beveiligingsbasislijn beheert apparaatconfiguraties door de opties in een configuratieserviceprovider op een apparaat toe te passen. Instellingen die van toepassing zijn op Microsoft Defender worden bijvoorbeeld overgenomen uit de Microsoft Defender CSP. Omdat Intune een configuratie-voertuig voor deze opties is en niet de functionaliteit of het bereik ervan bepaalt, is de CSP-documentatie eigenaar van de inhoud voor het configureren van elke optie.

In de gebruikersinterface van Intune beveiligingsbasislijnbeleid biedt Intune informatietekst die is overgenomen uit de bron-CSP en een koppeling naar die CSP. In sommige gevallen kan de CSP deel uitmaken van een grotere inhoudsset die proactieve richtlijnen bevat die buiten het bereik van Intune blijven om op te nemen of te dupliceren in onze inhoud. Intune documenteer echter wel de lijst met instellingen in elke beveiligingsbasislijnversie en de standaardconfiguratie.

Volgende stappen

• Beveiligingsbasislijnprofielen maken

• De status controleren en de basislijn en het profiel bewaken

• Bekijk de instellingen in de nieuwste versies van de beschikbare basislijnen:

  • Windows 10 en hoger - MDM-beveiligingsbasislijn
  • Microsoft Defender voor Eindpunt basislijn
  • Microsoft 365-apps voor Enterprise-beveiligingsbasislijn (Office)
  • Microsoft Edge-beveiligingsbasislijn
  • Windows 365 beveiligingsbasislijn