Geprivilegieerde toegangsimplementatie

Dit document begeleidt u bij het implementeren van de technische onderdelen van de strategie voor geprivilegieerde toegang,waaronder beveiligde accounts, werkstations en apparaten, en interfacebeveiliging (met beleid voor voorwaardelijke toegang).

Met deze richtlijnen worden alle profielen voor alle drie beveiligingsniveaus ingedeeld en moeten de rollen van uw organisaties worden toegewezen op basis van de richtlijnen voor bevoorrechte toegangsbeveiligingsniveaus. Microsoft raadt aan deze te configureren in de volgorde die wordt beschreven in het snelle modernisatieplan (RAMP)

Licentievereisten

De concepten die in deze handleiding worden bestreken, gaan ervan uit dat Microsoft 365 Enterprise E5 of een vergelijkbare SKU hebt. Sommige aanbevelingen in deze handleiding kunnen worden geïmplementeerd met lagere SKU's. Zie Microsoft 365 Enterprise licenties voor meer informatie.

Als u het inrichten van licenties wilt automatiseren, overweegt u groepslicenties voor uw gebruikers.

Azure Active Directory configuratie

Azure Active Directory (Azure AD) beheert gebruikers, groepen en apparaten voor uw beheerderswerkstations. Schakel identiteitsservices en -functies in met een beheerdersaccount.

Wanneer u het beveiligde account van de beheerder van het werkstation maakt, stelt u het account bloot aan uw huidige werkstation. Zorg ervoor dat u een bekend veilig apparaat gebruikt om deze eerste configuratie en alle globale configuratie te doen. Als u de blootstelling aan aanvallen voor de eerste keer wilt beperken, kunt u overwegen om de richtlijnen voor het voorkomen van malware-infecties te volgen.

Vereist meervoudige verificatie, ten minste voor uw beheerders. Zie Voorwaardelijke toegang: MFA vereisen voor beheerders voor implementatie-richtlijnen.

Azure AD-gebruikers en -groepen

1. Blader vanuit de Azure-portal naar Azure Active DirectoryGebruikersNieuwe gebruiker.

2. Maak uw apparaatgebruiker door de stappen in de zelfstudie voor gebruikers maken te volgen.

3. Voer het volgende in:

   • Naam - Secure Workstation Administrator
   • Gebruikersnaamsecure-ws-user@contoso.com
   • AdreslijstrolBeperkte beheerder en selecteer de rol Intune-beheerder.
   • GebruikslocatieVerenigd Koninkrijk

4. Selecteer Maken.

Maak de gebruiker van de apparaatbeheerder.

1. Voer het volgende in:

   • Naam - Secure Workstation Administrator
   • Gebruikersnaamsecure-ws-admin@contoso.com
   • AdreslijstrolBeperkte beheerder en selecteer de rol Intune-beheerder.

2. Selecteer Maken.

Vervolgens maakt u vier groepen: Secure Workstation Users,Secure Workstation Admins,Emergency BreakGlass en Secure Workstation Devices.

Blader vanuit de Azure-portal naar Azure Active Directorynieuwe groepGroepen.

1. Voor de groep workstationgebruikers kunt u licenties op basis van groepen configureren om het inrichten van licenties aan gebruikers te automatiseren.

2. Voer voor de groep gebruikers van het werkstation de volgende gegevens in:

   • Groeptype - Beveiliging
   • Groepsnaam - Secure Workstation Users
   • Type lidmaatschap - Toegewezen

3. Uw veilige werkstationgebruiker toevoegen: secure-ws-user@contoso.com

4. U kunt andere gebruikers toevoegen die beveiligde werkstations gebruiken.

5. Selecteer Maken.

6. Voer voor de groep Bevoorrechte workstationbeheerders de volgende gegevens in:

   • Groeptype - Beveiliging
   • Groepsnaam - Secure Workstation Admins
   • Type lidmaatschap - Toegewezen

7. Uw veilige werkstationgebruiker toevoegen: secure-ws-admin@contoso.com

8. U kunt andere gebruikers toevoegen die beveiligde werkstations beheren.

9. Selecteer Maken.

10. Voer voor de groep Emergency BreakGlass het volgende in:

    • Groeptype - Beveiliging
    • Groepsnaam - Emergency BreakGlass
    • Type lidmaatschap - Toegewezen

11. Selecteer Maken.

12. Voeg Emergency Access-accounts toe aan deze groep.

13. Voer voor de groep werkstationapparaten de volgende gegevens in:

    • Groeptype - Beveiliging
    • Groepsnaam - Secure Workstations
    • Type lidmaatschap - Dynamisch apparaat
    • Regels voor dynamisch lidmaatschap(device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")

14. Selecteer Maken.

Configuratie van Azure AD-apparaat

Opgeven wie apparaten kan deelnemen aan Azure AD

Configureer de instelling van uw apparaten in Active Directory zodat uw beheerbeveiligingsgroep apparaten kan toevoegen aan uw domein. U kunt deze instelling configureren vanuit de Azure-portal:

1. Ga naar Azure Active DirectoryApparatenApparaatinstellingen.
2. Kies Geselecteerd onder Gebruikers kunnen deelnemen aan apparaten met Azure ADen selecteer vervolgens de groep 'Secure Workstation Users'.

Lokale beheerdersrechten verwijderen

Voor deze methode moeten gebruikers van de VIP-, DevOps- en Privileged-werkstations geen beheerdersrechten hebben op hun machines. U kunt deze instelling configureren vanuit de Azure-portal:

1. Ga naar Azure Active DirectoryApparatenApparaatinstellingen.
2. Selecteer Geen onder Aanvullende lokale beheerders op aan Azure AD verbonden apparaten.

Raadpleeg Hoe u de groep lokale beheerders beheert op apparaten die zijn verbonden met Azure AD voor meer informatie over het beheren van leden van de lokale beheerdersgroep.

Meervoudige verificatie vereisen om deel te nemen aan apparaten

Het proces van het samenvoegen van apparaten met Azure AD verder versterken:

1. Ga naar Azure Active DirectoryApparatenApparaatinstellingen.
2. Selecteer Ja onder Multi-Factor Auth vereisen om deel te nemen aan apparaten.
3. Selecteer Opslaan.

Beheer van mobiele apparaten configureren

Vanuit de Azure-portal:

1. Blader naar Azure Active DirectoryMobility (MDM en MAM)Microsoft Intune.
2. Wijzig de instelling voor het MDM-gebruikersbereik in Alles.
3. Selecteer Opslaan.

Met deze stappen kunt u elk apparaat beheren met Microsoft Endpoint Manager. Zie Intune Quickstart: Automatischeinschrijving instellen voor Windows 10 apparaten voor meer informatie. U maakt Intune-configuratie- en compliancebeleid in een toekomstige stap.

Azure AD Voorwaardelijke toegang

Azure AD Voorwaardelijke toegang kan helpen bij het beperken van bevoorrechte beheertaken tot compatibele apparaten. Vooraf gedefinieerde leden van de groep Secure Workstation Users zijn verplicht om meervoudige verificatie uit te voeren bij het aanmelden bij cloudtoepassingen. Een goede gewoonte is om accounts voor toegang tot noodgevallen uit te sluiten van het beleid. Zie Accounts voor noodtoegang beheren in Azure AD voor meer informatie.

Voorwaardelijke toegang die alleen beveiligde werkstationtoegang tot Azure-portal toestaat

Organisaties moeten blokkeren dat bevoorrechte gebruikers verbinding kunnen maken met cloudbeheerinterfaces, portals en PowerShell, vanaf niet-PAW-apparaten.

Als u wilt voorkomen dat onbevoegde apparaten toegang hebben tot cloudbeheerinterfaces, volgt u de richtlijnen in het artikel Voorwaardelijke toegang: Filters voor apparaten (voorbeeld). Het is essentieel dat u tijdens de implementatie van deze functie rekening houdt met de functionaliteit voor toegang tot noodgevallen. Deze accounts mogen alleen worden gebruikt voor extreme gevallen en het account dat wordt beheerd via beleid.

Deze beleidsset zorgt ervoor dat uw beheerders een apparaat moeten gebruiken dat een specifieke apparaatkenmerkwaarde kan presenteren, dat aan die MFA is voldaan en dat het apparaat is gemarkeerd als compatibel door Microsoft Endpoint Manager en Microsoft Defender voor Eindpunt.

Organisaties moeten ook overwegen oudere verificatieprotocollen in hun omgeving te blokkeren. Er zijn meerdere manieren om deze taak uit te voeren, zie het artikel How to: Block legacy authentication to Azure AD with Conditional Access (Oudere verificatie blokkeren voor Azure AD met voorwaardelijke toegang)voor meer informatie over het blokkeren van oudere verificatieprotocollen.

Microsoft Intune configuratie

Apparaatinschrijving weigeren BYOD

In ons voorbeeld wordt u aangeraden BYOD-apparaten niet toe te staan. Met intune BYOD-registratie kunnen gebruikers apparaten registreren die minder of niet vertrouwd zijn. Het is echter belangrijk om te weten dat in organisaties met een beperkt budget voor het aanschaffen van nieuwe apparaten, het gebruik van bestaande hardwareparken of het overwegen van niet-windows-apparaten, de BYOD-mogelijkheid in Intune kan worden gebruikt om het Enterprise-profiel te implementeren.

In de volgende richtlijnen wordt Inschrijving geconfigureerd voor implementaties die BYOD-toegang weigeren.

Registratiebeperkingen instellen om BYOD te voorkomen

1. Kies in het Microsoft Endpoint Manager-beheercentrumde optie Beperkingen voor het registreren van apparaten en kies de standaardbeperking Alle gebruikers
2. Instellingen voor eigenschappenplatform bewerken selecteren
3. Selecteer Blokkeren voor alle typen, behalve Windows MDM.
4. Selecteer Blokkeren voor alle items van persoonlijk eigendom.

Een Autopilot-implementatieprofiel maken

Nadat u een apparaatgroep hebt gemaakt, moet u een implementatieprofiel maken om de Autopilot-apparaten te configureren.

1. Kies in het Microsoft Endpoint Manager-beheercentrumde optie ApparaatinschrijvingWindows implementatieprofielenprofiel maken.

2. Voer het volgende in:

   • Naam - Secure workstation deployment profile.
   • Beschrijving - Implementatie van beveiligde werkstations.
   • Stel Alle beoogde apparaten converteren naar Autopilot in op Ja. Met deze instelling zorgt u ervoor dat alle apparaten in de lijst worden geregistreerd bij de Autopilot-implementatieservice. Sta 48 uur toe dat de registratie wordt verwerkt.

3. Selecteer Volgende.

   • Kies Voor implementatiemodusde optie Zelf implementeren (voorbeeld). Apparaten met dit profiel zijn gekoppeld aan de gebruiker die het apparaat inschrijft. Tijdens de implementatie is het raadzaam om de functies van Self-Deployment modus te gebruiken om het volgende te doen:
     • Het apparaat wordt ingeschreven in automatische MDM-inschrijving voor Intune Azure AD en u kunt alleen een apparaat openen totdat alle beleidsregels, toepassingen, certificaten en netwerkprofielen zijn ingericht op het apparaat.
     • Gebruikersreferenties zijn vereist om het apparaat in te schrijven. Het is essentieel om te weten dat u met de implementatie van een apparaat in de modus Zelf implementeren laptops kunt implementeren in een gedeeld model. Er vindt geen gebruikerstoewijzing plaats totdat het apparaat voor het eerst aan een gebruiker is toegewezen. Hierdoor worden gebruikersbeleidsregels zoals BitLocker pas ingeschakeld als een gebruikerstoewijzing is voltooid. Zie geselecteerde profielen voor meer informatie over het aanmelden bij een beveiligd apparaat.
   • Selecteer uw taal (regio), standaard gebruikersaccounttype.

4. Selecteer Volgende.

   • Selecteer een bereiklabel als u er een hebt geconfigureerd.

5. Selecteer Volgende.

6. Kies Toewijzingentoewijzen aan geselecteerdegroepen. Kies secure workstationsin Groepen selecteren die u wilt opnemen.

7. Selecteer Volgende.

8. Selecteer Maken om het profiel te maken. Het Autopilot-implementatieprofiel is nu beschikbaar om toe te wijzen aan apparaten.

Apparaatinschrijving in Autopilot biedt een andere gebruikerservaring op basis van apparaattype en rol. In ons implementatievoorbeeld illustreren we een model waarin de beveiligde apparaten bulksgewijs worden geïmplementeerd en kunnen worden gedeeld, maar wanneer het apparaat voor het eerst wordt gebruikt, wordt het apparaat toegewezen aan een gebruiker. Zie Intune Autopilot-apparaatinschrijvingvoor meer informatie.

Pagina Inschrijvingsstatus

Op de pagina Inschrijvingsstatus (ESP) wordt de voortgang van de inrichting weergegeven nadat een nieuw apparaat is geregistreerd. Om ervoor te zorgen dat apparaten volledig zijn geconfigureerd vóór gebruik, biedt Intune een manier om apparaatgebruik te blokkeren totdat alle apps en profielen zijn geïnstalleerd.

Paginaprofiel inschrijvingsstatus maken en toewijzen

1. Kies in het Microsoft Endpoint Manager-beheercentrumde optie ApparatenWindowsWindowsregistratiestatuspagina Profiel maken .
2. Geef een naam enbeschrijving op.
3. Kies Maken.
4. Kies het nieuwe profiel in de lijst Statuspagina voor inschrijving.
5. Stel de voortgang van app-profielinstallatie op Ja in.
6. Stel Apparaatgebruik blokkeren in totdat alle apps en profielen zijn geïnstalleerd opJa.
7. Kies Opdrachten Selecteergroepen kies groep Secure Workstation>Secure Workstation>>
8. Kies Instellingen de instellingen die u wilt toepassen op dit profiel >>

Windows Bijwerken configureren

Het Windows 10 up-to-date houden is een van de belangrijkste dingen die u kunt doen. Als u Windows een veilige status wilt behouden, implementeert u een updatering om het tempo te beheren dat updates worden toegepast op werkstations.

In deze richtlijn wordt u aangeraden een nieuwe updatering te maken en de volgende standaardinstellingen te wijzigen:

1. Kies in het Microsoft Endpoint Manager-beheercentrumde optie ApparatenSoftware-updatesWindows 10 Ringen bijwerken.

2. Voer het volgende in:

   • Naam - Door Azure beheerde workstation-updates
   • Servicekanaal - Halfjaarlijks kanaal
   • Uitstel van kwaliteitsupdate (dagen) - 3
   • Uitstelperiode van functie-update (dagen) - 3
   • Automatisch updategedrag - Automatisch installeren en opnieuw opstarten zonder controle van eindgebruikers
   • Blokkeren dat gebruikers de updates Windows onderbreken - Blokkeren
   • Goedkeuring van de gebruiker vereisen om buiten werkuren opnieuw te starten - Vereist
   • Gebruiker toestaan opnieuw te starten (opnieuw starten ingeschakeld) - Vereist
   • Gebruikers overstappen op opnieuw starten na automatisch opnieuw starten (dagen) - 3
   • Snooze engaged restart reminder (dagen) - 3
   • Deadline instellen voor opnieuw starten in behandeling (dagen) - 3

3. Selecteer Maken.

4. Voeg op het tabblad Opdrachten de groep Beveiligde werkstations toe.

Zie Beleid CSP - BijwerkenWindows meer informatie over het bijwerken van beleidsregels.

Microsoft Defender voor endpoint Intune-integratie

Microsoft Defender voor Eindpunt en Microsoft Intune samenwerken om beveiligingsinbreuken te voorkomen. Ze kunnen ook het effect van inbreuken beperken. ATP-mogelijkheden bieden realtime detectie van bedreigingen en maken uitgebreide controle en logboekregistratie van de eindpuntapparaten mogelijk.

De integratie van Windows Defender voor Eindpunt en Microsoft Endpoint Manager:

1. Kies in Microsoft Endpoint Manager beheercentrumEndpoint SecurityMicrosoft Defender ATP.

2. Selecteer in stap 1 onder Configureren Windows Defender ATPVerbinding maken Windows Defender ATP om Microsoft Intune te Windows Defender beveiligingscentrum.

3. In het Windows Defender beveiligingscentrum:

   1. Selecteer InstellingenGeavanceerde functies.
   2. Voor Microsoft Intune verbinding, kiest u Aan.
   3. Selecteer Voorkeuren opslaan.

4. Nadat een verbinding tot stand is gebracht, gaat u terug naar Microsoft Endpoint Manager en selecteert u Vernieuwen bovenaan.

5. Stel Verbinding maken Windows versie(20H2) 19042.450 en hoger in om atp op aan Windows Defender te zetten.

6. Selecteer Opslaan.

Het apparaatconfiguratieprofiel maken voor Windows apparaten

1. Meld u aan bij het Microsoft Endpoint Manager beheercentrum,kies Endpoint securityEndpoint detection and responseCreate profile.

2. Selecteer voor Platform, Windows 10 en Later.

3. Voor profieltypeselecteert u Eindpuntdetectie en -antwoorden selecteert u vervolgens Maken.

4. Voer op de pagina Basisbeginselen in het veld Naam en Beschrijving (optioneel) voor het profiel een PAW - Defender voor eindpunt in en kies volgende.

5. Configureer op de pagina Configuratie-instellingen de volgende optie in Endpoint Detection and Response:

   • Voorbeeld delen voor alle bestanden:retourneert of stelt de configuratieparameter Microsoft Defender Advanced Threat Protection Sample Sharing in.

     Onboard Windows 10 machines met Microsoft Endpoint Configuration Manager meer informatie over deze MICROSOFT Defender ATP-instellingen.

6. Selecteer Volgende om de pagina Bereiklabels te openen. Bereiklabels zijn optioneel. Selecteer Volgende om door te gaan.

7. Selecteer op de pagina Opdrachten de optie Beveiligde werkstationgroep. Zie Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.

   Selecteer Volgende.

8. Kies op de pagina Controleren + maken de optie Maken als u klaar bent. Het nieuwe profiel wordt weergegeven in de lijst wanneer u het beleidstype selecteert voor het profiel dat u hebt gemaakt. OKen vervolgens Maken om uw wijzigingen op te slaan, waardoor het profiel wordt gemaakt.

Zie geavanceerde bedreigingsbeveiliging Windows Defender voor meer informatie.

Werkstationprofiel hardening voltooien

Als u de harding van de oplossing wilt voltooien, downloadt en voert u het juiste script uit. Zoek de downloadkoppelingen voor het gewenste profielniveau:

Nadat het script is uitgevoerd, kunt u in Intune updates voor profielen en beleidsregels maken. Met de scripts worden beleidsregels en profielen voor u gemaakt, maar u moet het beleid toewijzen aan de apparaatgroep Secure Workstations.

• Hier vindt u de intune-apparaatconfiguratieprofielen die zijn gemaakt door de scripts: Azure portalMicrosoft IntuneDevice configurationProfiles.
• Hier vindt u het Intune-beleid voor apparaat compliance dat is gemaakt door de scripts: Azure PortalMicrosoft IntuneDevice CompliancePolicies.

Voer het script voor het exporteren van Intune-gegevens uit vanuit de DeviceConfiguration_Export.ps1DeviceConfiguration_Export.ps1 om alle huidige Intune-profielen te exporteren voor vergelijking en evaluatie van de profielen.

Regels instellen in het Endpoint Protection Configuratieprofiel voor Microsoft Defender Firewall

Windows Defender firewallbeleidsinstellingen worden opgenomen in het Endpoint Protection Configuratieprofiel. Het gedrag van het beleid dat in de onderstaande tabel wordt beschreven.

Onderneming:Deze configuratie is de meest inperkende omdat deze het standaardgedrag van een installatie Windows weerspiegelt. Alle binnenkomende verkeer wordt geblokkeerd, behalve voor regels die expliciet zijn gedefinieerd in de lokale beleidsregels, omdat het samenvoegen van lokale regels is ingesteld op toegestaan. Alle uitgaande verkeer is toegestaan.

Gespecialiseerd:Deze configuratie is restrictiever omdat alle lokaal gedefinieerde regels op het apparaat worden genegeerd. Al het binnenkomende verkeer wordt geblokkeerd, inclusief lokaal gedefinieerde regels. Het beleid bevat twee regels waarmee bezorgingsoptimalisatie kan functioneren zoals is ontworpen. Alle uitgaande verkeer is toegestaan.

Bevoorrecht:Alle binnenkomende verkeer wordt geblokkeerd, inclusief lokaal gedefinieerde regels. Het beleid bevat twee regels waarmee bezorgingsoptimalisatie kan functioneren zoals is ontworpen. Uitgaand verkeer wordt ook geblokkeerd, afgezien van expliciete regels die DNS-, DHCP-, NTP-, NSCI-, HTTP- en HTTPS-verkeer toestaan. Deze configuratie beperkt niet alleen het aanvalsoppervlak dat door het apparaat wordt gepresenteerd tot het netwerk, maar beperkt ook de uitgaande verbindingen die het apparaat tot stand kan brengen tot alleen de verbindingen die nodig zijn voor het beheren van cloudservices.

U kunt zo nodig aanvullende wijzigingen aanbrengen in het beheer van zowel binnenkomende als uitgaande regels voor uw toegestane en geblokkeerde services. Zie Firewall configuration service (Firewall configuration service) voor meer informatie.

URL-vergrendelingsproxy

Beperkend URL-verkeerbeheer omvat:

• Alle uitgaande verkeer weigeren, behalve geselecteerde Azure en Microsoft-services inclusief Azure Cloud Shell en de mogelijkheid om selfservicewachtwoord opnieuw in te stellen.
• Het bevoorrechte profiel beperkt de eindpunten op internet waar het apparaat verbinding mee kan maken met behulp van de volgende URL-vergrendelingsproxyconfiguratie.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

De eindpunten die in de lijst ProxyOverride worden vermeld, zijn beperkt tot de eindpunten die nodig zijn om te verifiëren bij Azure AD en toegang te krijgen tot Azure- of Office 365-beheerinterfaces. Als u wilt uitbreiden naar andere cloudservices, voegt u de beheer-URL toe aan de lijst. Deze methode is ontworpen om de toegang tot het bredere internet te beperken om bevoorrechte gebruikers te beschermen tegen internetaanvallen. Als deze benadering te beperkend wordt geacht, kunt u de onderstaande benadering gebruiken voor de bevoorrechte rol.

Microsoft Cloud Application Security inschakelen, URL's beperkte lijst voor goedgekeurde URL's (de meeste toestaan)

In onze rollenimplementatie wordt aanbevolen dat voor Enterprise- en Specialized-implementaties, waarbij het strikt weigeren van alle webbrowsers niet wenselijk is, dat het gebruik van de mogelijkheden van een cloud access security broker (CASB), zoals Microsoft Defender voor Cloud Apps, wordt gebruikt om toegang tot riskante en twijfelachtige websites te blokkeren. De oplossing biedt een eenvoudige manier om toepassingen en websites te blokkeren die zijn samengesteld. Deze oplossing is vergelijkbaar met het verkrijgen van toegang tot de blokkeringslijst van sites zoals de Spamhaus Project die de Lijst met domeinenblokkering (DBL)behoudt: een goede bron om te gebruiken als een geavanceerde set regels om sites te blokkeren.

De oplossing biedt u het volgende:

• Zichtbaarheid: alle cloudservices detecteren; een risicorangschikking toewijzen; alle gebruikers en apps van derden identificeren die zich kunnen aanmelden
• Gegevensbeveiliging: gevoelige informatie identificeren en controleren (DLP); reageren op classificatielabels voor inhoud
• Bedreigingsbeveiliging: bieden adaptieve toegangscontrole (AAC); gebruikers- en entiteitsgedragsanalyse (UEBA) bieden; malware beperken
• Compliance: rapporten en dashboards leveren om cloudbeheer aan te tonen; helpen bij het voldoen aan vereisten voor data-ingezetenschap en naleving van regelgeving

Schakel Defender voor Cloud-apps in en maak verbinding met Defender ATP om de toegang tot de riskante URL's te blokkeren:

• In Microsoft Defender-beveiligingscentrum Instellingen Geavanceerde > functies, stelt u Microsoft Defender voor cloud-apps-integratie >>
• In Microsoft Defender-beveiligingscentrum Instellingen Geavanceerde functies stelt u Aangepaste > netwerkindicatoren >>
• In microsoft Defender for Cloud Apps portal Instellingen Microsoft Defender > ATP integration Select Block >>

Lokale toepassingen beheren

Het beveiligde werkstation wordt naar een echt geharde toestand verplaatst wanneer lokale toepassingen worden verwijderd, inclusief productiviteitstoepassingen. Hier voegt u Visual Studio code toe om verbinding met Azure DevOps toe te staan GitHub code repositories te beheren.

Het configureren van Bedrijfsportal voor aangepaste apps

Een door Intune beheerde kopie van de Bedrijfsportal biedt u op aanvraag toegang tot extra hulpprogramma's die u naar gebruikers van de beveiligde werkstations kunt pushen.

In een beveiligde modus is de installatie van toepassingen beperkt tot beheerde toepassingen die worden geleverd door Bedrijfsportal. Het installeren van de Bedrijfsportal vereist echter toegang tot Microsoft Store. In uw beveiligde oplossing voegt u de app Windows 10 Bedrijfsportal toe voor autopilot-inrichtingsapparaten.

Toepassingen implementeren met Intune

In sommige situaties zijn toepassingen zoals de Microsoft-Visual Studio vereist op het beveiligde werkstation. In het volgende voorbeeld vindt u instructies voor het installeren Visual Studio Microsoft-code voor gebruikers in de beveiligingsgroep Secure Workstation Users.

Visual Studio Code wordt geleverd als een EXE-pakket, dus het moet worden verpakt als een indelingsbestand voor implementatie met Microsoft Endpoint Manager met het .intunewin.intunewin.

Download het Microsoft Win32 Content Prep Tool lokaal naar een werkstation en kopieer het naar een adreslijst voor verpakking, bijvoorbeeld C:\Packages. Maak vervolgens een bron- en uitvoermap onder C:\Pakketten.

Microsoft-Visual Studio-code pakket

1. Download het offline installatieprogramma Visual Studio code voor Windows 64-bits.
2. Het gedownloade Visual Studio exe-bestand code kopiëren naarC:\Packages\Source
3. Een PowerShell-console openen en naar C:\Packages
4. Typen .\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1
5. Typ Y om de nieuwe uitvoermap te maken. Het intunewin-bestand voor Visual Studio code wordt in deze map gemaakt.

Upload VS-code aan Microsoft Endpoint Manager

1. Blader in Microsoft Endpoint Manager beheercentrumnaar AppsWindowsToevoegen
2. Kies onder Apptype selecterende Windows app (Win32)
3. Klik op App-pakketbestand selecteren,klik op Een bestand selecterenen selecteer vervolgens het uit. Klik op OK
4. Invoeren Visual Studio Code 1.51.1 in het veld Naam
5. Voer een beschrijving in voor Visual Studio code in het veld Beschrijving
6. Invoeren Microsoft Corporation in het Microsoft Corporation veld
7. Download https://jsarray.com/images/page-icons/visual-studio-code.png en selecteer de afbeelding voor het logo. Volgende selecteren
8. Enter VSCodeSetup-x64-1.51.1.exe /SILENT in het VSCodeSetup-x64-1.51.1.exe /SILENT Installeren
9. Enter C:\Program Files\Microsoft VS Code\unins000.exe in het C:\Program Files\Microsoft VS Code\unins000.exe
10. Selecteer Gedrag bepalen op basis van retourcodes in de vervolgkeuzelijst Apparaat opnieuw starten. Volgende selecteren
11. 64-bits selecteren in de vervolgkeuzekeuzeset besturingssysteemarchitectuur
12. Selecteer Windows 10 1903 in de vervolgkeuzekeuzeset Minimumbesturingssysteem. Volgende selecteren
13. Selecteer Detectieregels handmatig configureren in de vervolgkeuzelijst Regelsnotatie
14. Klik op Toevoegen en selecteer bestand in de vervolgkeuzekeuzepagina Regeltype
15. Enter C:\Program Files\Microsoft VS Code in het veld C:\Program Files\Microsoft VS Code
16. Enter unins000.exe in het veld Bestand of unins000.exe
17. Selecteer Bestand of map bestaat uit de vervolgkeuzelijst, Selecteer OK en selecteer vervolgens Volgende
18. Selecteer Volgende omdat er geen afhankelijkheden van dit pakket zijn
19. Selecteer Groep toevoegen onder Beschikbaar voor geregistreerde apparaten, groep Geprivilegieerde gebruikers toevoegen. Klik op Selecteren om de groep te bevestigen. Volgende selecteren
20. Klik op Maken

PowerShell gebruiken om aangepaste apps en instellingen te maken

Er zijn enkele configuratie-instellingen die we aanbevelen, waaronder twee aanbevelingen voor Defender voor eindpunten, die moeten worden ingesteld met PowerShell. Deze configuratiewijzigingen kunnen niet worden ingesteld via beleidsregels in Intune.

U kunt PowerShell ook gebruiken om de mogelijkheden voor hostbeheer uit te breiden. Het PAW-DeviceConfig.ps1 script van GitHub is een voorbeeldscript dat de volgende instellingen configureert:

• Verwijdert Internet Explorer
• Verwijdert PowerShell 2.0
• Hiermee verwijdert u Windows Media Player
• Werkmappenclient verwijderen
• XPS-afdruk verwijderen
• Hibernate in- en configureren
• Implementeert register fix to enable AppLocker DLL rule processing
• Implementeert registerinstellingen voor twee Aanbevelingen voor Microsoft Defender voor eindpunten die niet kunnen worden ingesteld met Endpoint Manager.
  • Gebruikers moeten verheffen bij het instellen van de locatie van een netwerk
  • Het opslaan van netwerkreferenties voorkomen
• Wizard Netwerklocatie uitschakelen: voorkomt dat gebruikers de netwerklocatie instellen als Privé en dus het oppervlak van de aanval vergroten dat wordt blootgesteld in Windows Firewall
• Hiermee configureert Windows tijd om NTP te gebruiken en stelt u de autotijdservice in op Automatisch
• Downloadt en stelt de bureaubladachtergrond in op een specifieke afbeelding om het apparaat eenvoudig te identificeren als een kant-en-klaar, bevoorrecht werkstation.

Het PAW-DeviceConfig.ps1 script uit GitHub.

1. Download het script [PAW-DeviceConfig.ps1] naar een lokaal apparaat.
2. Blader naar de Azure PortalMicrosoft IntunePowerShell-scriptstoevoegen voorapparaatconfiguratie. vProvide a Name for the script and specify the Script location.
3. Selecteer Configureren.
   1. Stel Dit script uitvoeren in met de aangemelde referenties opNee.
   2. Selecteer OK.
4. Selecteer Maken.
5. Selecteer Opdrachten Selecteergroepen.
   1. Voeg de beveiligingsgroep Secure Workstations toe.
   2. Selecteer Opslaan.

Uw implementatie valideren en testen met uw eerste apparaat

Bij deze inschrijving wordt ervan uitgenomen dat u een fysiek computerapparaat gebruikt. Het wordt aanbevolen dat als onderdeel van het inkoopproces de OEM-, Reseller-, distributeur- of partnerapparaten registreert in Windows Autopilot.

Voor het testen is het echter mogelijk om virtuele machines op te staan als een testscenario. De registratie van persoonlijk verbonden apparaten moet echter worden gewijzigd om deze methode voor het deelnemen aan een client mogelijk te maken.

Deze methode werkt voor virtuele machines of fysieke apparaten die niet eerder zijn geregistreerd.

1. Start het apparaat en wacht totdat het dialoogvenster gebruikersnaam wordt weergegeven
2. Druk SHIFT + F10 op om opdrachtprompt weer te geven
3. Typ PowerShell , druk op Enter
4. Typ Set-ExecutionPolicy RemoteSigned , druk op Enter
5. Typ Install-Script GetWindowsAutopilotInfo , druk op Enter
6. Typ Y en klik op Enter om padomgevingswijziging te accepteren
7. Typ Y en klik op Enter om NuGet-provider te installeren
8. Typ Y om de opslagplaats te vertrouwen
9. Uitvoeren typen Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv
10. De CSV kopiëren vanaf de virtuele computer of fysiek apparaat

Apparaten importeren in Autopilot

1. Ga in het Microsoft Endpoint Manager-beheercentrumnaar ApparatenWindows ApparatenWindows-registratieapparaten

2. Selecteer Importeren en kies uw CSV-bestand.

3. Wacht totdat de Group Tag update is bijgewerkt naar en de wijziging in PAWProfile StatusAssigned .

   Opmerking

   De groepstag wordt gebruikt door de dynamische groep Secure Workstation om het apparaat lid te maken van de groep,

4. Voeg het apparaat toe aan de beveiligingsgroep Beveiligde werkstations.

5. Ga op Windows 10 apparaat dat u wilt configureren naar Windows Instellingen Beveiligingsherstel>>

   1. Kies Aan de slag onder Deze pc opnieuw instellen.
   2. Volg de aanwijzingen voor het opnieuw instellen en opnieuw configureren van het apparaat met het geconfigureerde profiel- en compliancebeleid.

Nadat u het apparaat hebt geconfigureerd, voltooit u een revisie en controleert u de configuratie. Controleer of het eerste apparaat correct is geconfigureerd voordat u doorgaat met de implementatie.

Apparaten toewijzen

Als u apparaten en gebruikers wilt toewijzen, moet u de geselecteerde profielen toewijzen aan uw beveiligingsgroep. Alle nieuwe gebruikers die machtigingen voor de service nodig hebben, moeten ook aan de beveiligingsgroep worden toegevoegd.

Microsoft Defender voor Eindpunt gebruiken om beveiligingsincidenten te controleren en te beantwoorden

• Beveiligingslekken en onjuiste configuraties voortdurend waarnemen en controleren
• Microsoft Defender voor eindpunt gebruiken om prioriteit te geven aan dynamische bedreigingen in het wild
• Correlatie van beveiligingslekken bepalen met eindpuntdetectie en -respons (EDR) waarschuwingen
• Het dashboard gebruiken om kwetsbaarheid op machineniveau te identificeren tijdens onderzoeken
• Herstelmaatregelen naar Intune uitduken

Configureer uw Microsoft Defender-beveiligingscentrum. Met behulp van richtlijnen op Het dashboard overzicht van Threat Vulnerability Management.

Toepassingsactiviteit controleren met behulp van Advanced Threat Hunting

Vanaf het gespecialiseerde werkstation is AppLocker ingeschakeld voor het bewaken van de toepassingsactiviteit op een werkstation. In Defender voor Eindpunt worden standaard AppLocker-gebeurtenissen vastge leggen en geavanceerde query's voor jagen kunnen worden gebruikt om te bepalen welke toepassingen, scripts en DLL-bestanden worden geblokkeerd door AppLocker.

Gebruik in Microsoft Defender-beveiligingscentrum deelvenster Geavanceerd zoeken de volgende query om AppLocker-gebeurtenissen te retourneren

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

Monitoring

• Lees hoe u uw blootstellingsscore kunt bekijken
• Beveiligingsaanbeveling controleren
• Beveiligingssaneringen beheren
• Beheer eindpuntdetectie en -respons
• Profielen bewaken met Intune-profielcontrole.

Volgende stappen

• Overzicht van bevoorrechte toegang beveiligen
• Strategie voor geprivilegieerde toegang
• Succes meten
• Beveiligingsniveaus
• Accounts met geprivilegieerde toegang
• Tussenpersoon
• Interfaces
• Bevoorrechte toegangsapparaten
• Enterprise Access-model