Wdrożenie dostępu uprzywilejowanego

  • Artykuł

Ten dokument przeprowadzi Cię przez zaimplementowanie składników technicznych strategii uprzywilejowanego dostępu, w tym bezpiecznych kont, stacji roboczych i urządzeń oraz zabezpieczeń interfejsu (z zasadami dostępu warunkowego).

Summary of security level profiles

Te wskazówki konfigurują wszystkie profile dla wszystkich trzech poziomów zabezpieczeń i powinny mieć przypisane role organizacji na podstawie wskazówek dotyczących poziomów zabezpieczeń uprzywilejowanego dostępu. Firma Microsoft zaleca ich skonfigurowanie w kolejności opisanej w planie szybkiej modernizacji (RAMP)

Wymagania dotyczące licencji

W pojęciach opisanych w tym przewodniku założono, że masz jednostkę SKU platformy Microsoft 365 Enterprise E5 lub równoważną jednostkę SKU. Niektóre zalecenia w tym przewodniku można zaimplementować przy użyciu niższych jednostek SKU. Aby uzyskać więcej informacji, zobacz Licencjonowanie platformy Microsoft 365 Enterprise.

Aby zautomatyzować aprowizowanie licencji, rozważ licencjonowanie oparte na grupach dla użytkowników.

Konfiguracja usługi Microsoft Entra

Usługa Microsoft Entra ID zarządza użytkownikami, grupami i urządzeniami dla stacji roboczych administratora. Włącz usługi tożsamości i funkcje przy użyciu konta administratora.

Podczas tworzenia zabezpieczonego konta administratora stacji roboczej uwidaczniasz konto na bieżącej stacji roboczej. Upewnij się, że używasz znanego bezpiecznego urządzenia do wykonania tej początkowej konfiguracji i całej konfiguracji globalnej. Aby zmniejszyć narażenie na ataki po raz pierwszy, rozważ wykonanie wskazówek, aby zapobiec zakażeniom złośliwego oprogramowania.

Wymagaj uwierzytelniania wieloskładnikowego, przynajmniej dla administratorów. Zobacz Dostęp warunkowy: wymaganie uwierzytelniania wieloskładnikowego dla administratorów , aby uzyskać wskazówki dotyczące implementacji.

Użytkownicy i grupy firmy Microsoft Entra

  1. W witrynie Azure Portal przejdź do pozycji Użytkownicy usługi Microsoft Entra ID>>Nowi użytkownicy.

  2. Utwórz użytkownika urządzenia, wykonując kroki opisane w samouczku dotyczącym tworzenia użytkownika.

  3. Wprowadź:

    • Nazwa — bezpieczny Administracja istrator stacji roboczej
    • Nazwa użytkownika - secure-ws-user@contoso.com
    • Rola - katalogu Ograniczone administrator i wybierz rolę Administracja istrator usługi Intune.
    • Lokalizacja użycia — na przykład Wielka Brytania lub żądana lokalizacja tworzą listę.

  4. Wybierz pozycję Utwórz.

Utwórz użytkownika administratora urządzenia.

  1. Wprowadź:

    • Nazwa — bezpieczny Administracja istrator stacji roboczej
    • Nazwa użytkownika - secure-ws-admin@contoso.com
    • Rola - katalogu Ograniczone administrator i wybierz rolę Administracja istrator usługi Intune.
    • Lokalizacja użycia — na przykład Wielka Brytania lub żądana lokalizacja tworzą listę.

  2. Wybierz pozycję Utwórz.

Następnie utworzysz cztery grupy: Użytkownicy bezpiecznej stacji roboczej, bezpieczne Administracja stacji roboczej, awaryjne breakglass i bezpieczne urządzenia stacji roboczej.

W witrynie Azure Portal przejdź do pozycji Grupy identyfikatorów>entra>firmy Microsoft Nowa grupa.

  1. W przypadku grupy użytkowników stacji roboczych warto skonfigurować licencjonowanie oparte na grupach w celu zautomatyzowania aprowizacji licencji dla użytkowników.

  2. W przypadku grupy użytkowników stacji roboczej wprowadź:

    • Typ grupy — zabezpieczenia
    • Nazwa grupy — Użytkownicy bezpiecznej stacji roboczej
    • Typ członkostwa — przypisane

  3. Dodaj bezpiecznego użytkownika stacji roboczej: secure-ws-user@contoso.com

  4. Możesz dodać innych użytkowników, którzy będą używać bezpiecznych stacji roboczych.

  5. Wybierz pozycję Utwórz.

  6. W grupie Privileged Workstation Administracja s wprowadź:

    • Typ grupy — zabezpieczenia
    • Nazwa grupy — bezpieczne Administracja stacji roboczej
    • Typ członkostwa — przypisane

  7. Dodaj bezpiecznego użytkownika stacji roboczej: secure-ws-admin@contoso.com

  8. Możesz dodać innych użytkowników, którzy będą zarządzać bezpiecznymi stacjami roboczymi.

  9. Wybierz pozycję Utwórz.

  10. W przypadku grupy Emergency BreakGlass wprowadź:

    • Typ grupy — zabezpieczenia
    • Nazwa grupy — Emergency BreakGlass
    • Typ członkostwa — przypisane

  11. Wybierz pozycję Utwórz.

  12. Dodaj konta dostępu awaryjnego do tej grupy.

  13. W przypadku grupy urządzeń stacji roboczych wprowadź:

    • Typ grupy — zabezpieczenia
    • Nazwa grupy — bezpieczne stacje robocze
    • Typ członkostwa — urządzenie dynamiczne
    • Reguły członkostwa dynamicznego - (device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")

  14. Wybierz pozycję Utwórz.

Konfiguracja urządzenia Microsoft Entra

Określanie, kto może dołączać urządzenia do identyfikatora Entra firmy Microsoft

Skonfiguruj ustawienie urządzeń w usłudze Active Directory, aby umożliwić administracyjnej grupie zabezpieczeń dołączanie urządzeń do domeny. Aby skonfigurować to ustawienie w witrynie Azure Portal:

  1. Przejdź do pozycji Microsoft Entra ID Devices Device settings (Ustawienia urządzenia z identyfikatorem>>entra firmy Microsoft).
  2. Wybierz pozycję Wybrane w obszarze Użytkownicy mogą dołączać urządzenia do identyfikatora Entra firmy Microsoft, a następnie wybierz grupę "Użytkownicy bezpiecznej stacji roboczej".

Usuwanie lokalnych praw administratora

Ta metoda wymaga, aby użytkownicy wirtualnych adresów VIP, devOps i uprzywilejowanych stacji roboczych nie mieli uprawnień administratora na swoich maszynach. Aby skonfigurować to ustawienie w witrynie Azure Portal:

  1. Przejdź do pozycji Microsoft Entra ID Devices Device settings (Ustawienia urządzenia z identyfikatorem>>entra firmy Microsoft).
  2. Wybierz pozycję Brak w obszarze Dodatkowi administratorzy lokalni na urządzeniach dołączonych do firmy Microsoft.

Aby uzyskać szczegółowe informacje na temat zarządzania członkami lokalnej grupy administratorów na urządzeniach dołączonych do firmy Microsoft, zobacz Jak zarządzać członkami lokalnej grupy administratorów.

Wymaganie uwierzytelniania wieloskładnikowego w celu przyłączenia urządzeń

Aby jeszcze bardziej wzmocnić proces dołączania urządzeń do identyfikatora Entra firmy Microsoft:

  1. Przejdź do pozycji Microsoft Entra ID Devices Device settings (Ustawienia urządzenia z identyfikatorem>>entra firmy Microsoft).
  2. Wybierz pozycję Tak w obszarze Wymagaj uwierzytelniania wieloskładnikowego, aby dołączyć urządzenia.
  3. Wybierz pozycję Zapisz.

Konfigurowanie zarządzania urządzeniami przenośnymi

Z witryny Azure Portal:

  1. Przejdź do usługi Microsoft Entra ID>Mobility (MDM i MAM)>Microsoft Intune.
  2. Zmień ustawienie zakresu użytkownika MDM na Wszystkie.
  3. Wybierz pozycję Zapisz.

Te kroki umożliwiają zarządzanie dowolnym urządzeniem za pomocą programu Microsoft Endpoint Manager. Aby uzyskać więcej informacji, zobacz Przewodnik Szybki start dotyczący usługi Intune: konfigurowanie automatycznej rejestracji urządzeń z systemem Windows 10. W przyszłym kroku tworzysz zasady konfiguracji i zgodności usługi Intune.

Microsoft Entra — dostęp warunkowy

Dostęp warunkowy firmy Microsoft Entra może pomóc ograniczyć uprzywilejowane zadania administracyjne do zgodnych urządzeń. Wstępnie zdefiniowane elementy członkowskie grupy Użytkownicy bezpiecznej stacji roboczej są wymagane do przeprowadzania uwierzytelniania wieloskładnikowego podczas logowania się do aplikacji w chmurze. Najlepszym rozwiązaniem jest wykluczenie kont dostępu awaryjnego z zasad. Aby uzyskać więcej informacji, zobacz Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.

Dostęp warunkowy zezwala tylko na dostęp do zabezpieczonej stacji roboczej w witrynie Azure Portal

Organizacje powinny blokować użytkownikom uprzywilejowanym możliwość łączenia się z interfejsami zarządzania chmurą, portalami i programem PowerShell z urządzeń innych niż PAW.

Aby zablokować dostęp nieautoryzowanych urządzeń do interfejsów zarządzania chmurą, postępuj zgodnie ze wskazówkami w artykule Dostęp warunkowy: filtry dla urządzeń (wersja zapoznawcza). Ważne jest, aby podczas wdrażania tej funkcji rozważyć funkcjonalność konta dostępu awaryjnego. Te konta powinny być używane tylko w skrajnych przypadkach, a konto zarządzane za pomocą zasad.

Uwaga

Należy utworzyć grupę użytkowników i dołączyć użytkownika awaryjnego, który może pominąć zasady dostępu warunkowego. W naszym przykładzie mamy grupę zabezpieczeń o nazwie Emergency BreakGlass

Ten zestaw zasad zapewni, że Administracja istratorzy muszą użyć urządzenia, które może przedstawić określoną wartość atrybutu urządzenia, że uwierzytelnianie wieloskładnikowe jest spełnione, a urządzenie jest oznaczone jako zgodne przez program Microsoft Endpoint Manager i Ochrona punktu końcowego w usłudze Microsoft Defender.

Organizacje powinny również rozważyć blokowanie starszych protokołów uwierzytelniania w swoich środowiskach. Istnieje wiele sposobów wykonania tego zadania. Aby uzyskać więcej informacji na temat blokowania starszych protokołów uwierzytelniania, zobacz artykuł How to: Block legacy authentication to Microsoft Entra ID with Conditional Access (Jak: blokowanie starszego uwierzytelniania w usłudze Microsoft Entra ID z dostępem warunkowym).

Konfiguracja usługi Microsoft Intune

Odmowa rejestracji urządzenia BYOD

W naszym przykładzie zalecamy, aby urządzenia BYOD nie mogły być dozwolone. Dzięki rejestracji byOD w usłudze Intune użytkownicy mogą rejestrować urządzenia, które są mniejsze lub niezauwierzyne. Należy jednak pamiętać, że w organizacjach, które mają ograniczony budżet na zakup nowych urządzeń, którzy chcą korzystać z istniejącej floty sprzętowej lub biorąc pod uwagę urządzenia inne niż windows, mogą rozważyć możliwość byOD w usłudze Intune w celu wdrożenia profilu przedsiębiorstwa.

Poniższe wskazówki spowodują skonfigurowanie rejestracji dla wdrożeń, które odmówią dostępu byOD.

Ustawianie ograniczeń rejestracji uniemożliwiających byOD

  1. W centrum administracyjnym programu Microsoft Endpoint Manager wybierz pozycję >Ograniczenia> rejestracji urządzeń>, wybierz domyślne ograniczenie Wszyscy użytkownicy
  2. Wybieranie ustawień platformy właściwości> Edytuj
  3. Wybierz pozycję Blokuj dla wszystkich typów, z wyjątkiem zarządzania urządzeniami przenośnymi z systemem Windows.
  4. Wybierz pozycję Blokuj dla wszystkich elementów należących do użytkownika.

Tworzenie profilu wdrożenia rozwiązania Autopilot

Po utworzeniu grupy urządzeń należy utworzyć profil wdrożenia, aby skonfigurować urządzenia rozwiązania Autopilot.

  1. W centrum administracyjnym programu Microsoft Endpoint Manager wybierz pozycję Rejestrowanie>urządzeniaPro profile>wdrażania rejestracji>systemu Windows Utwórz profil.

  2. Wprowadź:

    • Nazwa — profil wdrożenia bezpiecznej stacji roboczej.
    • Opis — wdrażanie bezpiecznych stacji roboczych.
    • Ustaw opcję Konwertuj wszystkie urządzenia docelowe na rozwiązanie Autopilot na Wartość Tak. To ustawienie zapewnia, że wszystkie urządzenia na liście są zarejestrowane w usłudze wdrażania rozwiązania Autopilot. Poczekaj 48 godzin na przetworzenie rejestracji.

  3. Wybierz Dalej.

    • W obszarze Tryb wdrażania wybierz pozycję Samodzielne wdrażanie (wersja zapoznawcza). Urządzenia z tym profilem są skojarzone z użytkownikiem, który rejestruje urządzenie. Podczas wdrażania zaleca się używanie funkcji trybu samodzielnego wdrażania w celu uwzględnienia następujących funkcji:
      • Rejestruje urządzenie w usłudze Intune Automatyczna rejestracja w oprogramowaniu MDM firmy Microsoft i zezwala na dostęp tylko do urządzenia, dopóki na urządzeniu nie zostaną aprowidowane wszystkie zasady, aplikacje, certyfikaty i profile sieciowe.
      • Poświadczenia użytkownika są wymagane do zarejestrowania urządzenia. Należy pamiętać, że wdrożenie urządzenia w trybie samodzielnego wdrażania umożliwi wdrożenie laptopów w modelu udostępnionym. Przypisanie użytkownika nie nastąpi do momentu przypisania urządzenia do użytkownika po raz pierwszy. W związku z tym wszystkie zasady użytkownika, takie jak Funkcja BitLocker, nie zostaną włączone do momentu ukończenia przypisania użytkownika. Aby uzyskać więcej informacji na temat logowania się do zabezpieczonego urządzenia, zobacz wybrane profile.
    • Wybierz swój język (region), typ konta użytkownika w warstwie Standardowa.

  4. Wybierz Dalej.

    • Wybierz tag zakresu, jeśli został wstępnie skonfigurowany.

  5. Wybierz Dalej.

  6. Wybierz pozycję Przypisania>Przypisz do>wybranych grup. W obszarze Wybierz grupy do uwzględnienia wybierz pozycję Bezpieczne stacje robocze.

  7. Wybierz Dalej.

  8. Wybierz pozycję Utwórz, aby utworzyć profil. Profil wdrażania rozwiązania Autopilot jest teraz dostępny do przypisania do urządzeń.

Rejestrowanie urządzenia w rozwiązaniu Autopilot zapewnia inne środowisko użytkownika na podstawie typu i roli urządzenia. W naszym przykładzie wdrożenia zilustrujemy model, w którym urządzenia zabezpieczone są wdrażane zbiorczo i można je udostępniać, ale gdy jest używane po raz pierwszy, urządzenie jest przypisane do użytkownika. Aby uzyskać więcej informacji, zobacz Rejestracja urządzeń rozwiązania Autopilot w usłudze Intune.

Strona ze stanem rejestracji

Strona ze stanem rejestracji (ESP) wyświetla postęp aprowizacji po zarejestrowaniu nowego urządzenia. Aby upewnić się, że urządzenia są w pełni skonfigurowane przed użyciem, usługa Intune udostępnia metodę blokowania użycia urządzenia do momentu zainstalowania wszystkich aplikacji i profilów.

Tworzenie i przypisywanie profilu strony ze stanem rejestracji

  1. W centrum administracyjnym programu Microsoft Endpoint Manager wybierz pozycję Urządzenia>Ze stanem rejestracji systemu>Windows>Utwórz>profil.
  2. Podaj nazwę i opis.
  3. Wybierz pozycję Utwórz.
  4. Wybierz nowy profil na liście Strona ze stanem rejestracji.
  5. Ustaw pozycję Pokaż postęp instalacji profilu aplikacji na Wartość Tak.
  6. Ustaw pozycję Blokuj użycie urządzenia do momentu zainstalowania wszystkich aplikacji i profilów na wartość Tak.
  7. Wybierz pozycję Przypisania>Wybierz grupy> wybierz Secure Workstation grupę >Wybierz>pozycję Zapisz.
  8. Wybierz pozycję Ustawienia> wybierz ustawienia, które chcesz zastosować do tego profilu >Zapisz.

Konfigurowanie usługi Windows Update

Aktualizowanie systemu Windows 10 jest jedną z najważniejszych rzeczy, które można zrobić. Aby zachować system Windows w bezpiecznym stanie, należy wdrożyć pierścień aktualizacji w celu zarządzania tempem stosowania aktualizacji do stacji roboczych.

Te wskazówki zalecają utworzenie nowego pierścienia aktualizacji i zmianę następujących ustawień domyślnych:

  1. W centrum administracyjnym programu Microsoft Endpoint Manager wybierz pozycję Urządzenia>Aktualizacje oprogramowania Pierścienie aktualizacji>systemu Windows 10.

  2. Wprowadź:

    • Nazwa — aktualizacje stacji roboczej zarządzanej przez platformę Azure
    • Kanał obsługi — półroczny kanał
    • Odroczenie aktualizacji jakości (dni) — 3
    • Okres odroczenia aktualizacji funkcji (dni) — 3
    • Zachowanie automatycznej aktualizacji — automatyczne instalowanie i ponowne uruchamianie bez kontroli użytkownika końcowego
    • Blokowanie wstrzymania aktualizacji systemu Windows przez użytkownika — blokowanie
    • Wymagaj zatwierdzenia przez użytkownika w celu ponownego uruchomienia poza godzinami pracy — wymagane
    • Zezwalaj użytkownikowi na ponowne uruchomienie (ponowne uruchomienie wymagające interwencji użytkownika) — wymagane
    • Przenoszenie użytkowników do ponownego uruchamiania wymagającego interwencji użytkownika po automatycznym ponownym uruchomieniu (dni) — 3
    • Przypomnienie o ponownym uruchomieniu wymagającego interwencji użytkownika (dni) — 3
    • Ustawianie terminu oczekiwania na ponowne uruchomienie (dni) — 3

  3. Wybierz pozycję Utwórz.

  4. Na karcie Przypisania dodaj grupę Bezpieczne stacje robocze.

Aby uzyskać więcej informacji na temat zasad usługi Windows Update, zobacz Dostawca usługi konfiguracji zasad — aktualizacja.

Ochrona punktu końcowego w usłudze Microsoft Defender integracja z usługą Intune

Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Intune współpracują ze sobą, aby zapobiec naruszeniom zabezpieczeń. Mogą również ograniczyć wpływ naruszeń. Funkcje usługi ATP zapewniają wykrywanie zagrożeń w czasie rzeczywistym, a także umożliwiają obszerne inspekcje i rejestrowanie urządzeń punktu końcowego.

Aby skonfigurować integrację usługi Windows Defender dla punktów końcowych i programu Microsoft Endpoint Manager:

  1. W centrum administracyjnym programu Microsoft Endpoint Manager wybierz pozycję Zabezpieczenia>punktu końcowego Microsoft Defender ATP.

  2. W kroku 1 w obszarze Konfigurowanie usługi Windows Defender ATP wybierz pozycję Połączenie Windows Defender ATP do usługi Microsoft Intune w usłudze Windows Defender Security Center.

  3. W usłudze Windows Defender Security Center:

    1. Wybierz pozycję Ustawienia> Zaawansowane funkcje.
    2. W przypadku połączenia z usługą Microsoft Intune wybierz pozycję Włączone.
    3. Wybierz pozycję Zapisz preferencje.

  4. Po nawiązaniu połączenia wróć do programu Microsoft Endpoint Manager i wybierz pozycję Odśwież u góry.

  5. Ustaw Połączenie urządzenia z systemem Windows w wersji (20H2) 19042.450 lub nowszej na wartość Windows Defender ATP na .

  6. Wybierz pozycję Zapisz.

Tworzenie profilu konfiguracji urządzenia do dołączania urządzeń z systemem Windows

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager, wybierz pozycję Wykrywanie punktów końcowych zabezpieczeń>punktu końcowego i odpowiedź>Utwórz profil.

  2. W polu Platforma wybierz pozycję Windows 10 i nowsze.

  3. W polu Typ profilu wybierz pozycję Wykrywanie i odpowiedź punktu końcowego, a następnie wybierz pozycję Utwórz.

  4. Na stronie Podstawy wprowadź pozycję PAW — Defender for Endpoint w polu Nazwa i Opis (opcjonalnie) dla profilu, a następnie wybierz pozycję Dalej.

  5. Na stronie Ustawienia konfiguracji skonfiguruj następującą opcję w obszarze Wykrywanie i reagowanie na punkty końcowe:

  6. Wybierz przycisk Dalej , aby otworzyć stronę Tagi zakresu. Tagi zakresu są opcjonalne. Wybierz przycisk Dalej, aby kontynuować.

  7. Na stronie Przypisania wybierz grupę Bezpieczna stacja robocza. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.

    Wybierz Dalej.

  8. Na stronie Przeglądanie i tworzenie po zakończeniu wybierz pozycję Utwórz. Nowy profil zostanie wyświetlony na liście po wybraniu typu zasad dla utworzonego profilu. OK, a następnie utwórz , aby zapisać zmiany, co spowoduje utworzenie profilu.

Aby uzyskać więcej informacji, zobacz Zaawansowana ochrona przed zagrożeniami w usłudze Windows Defender.

Kończenie wzmacniania zabezpieczeń profilu stacji roboczej

Aby pomyślnie ukończyć wzmacnianie zabezpieczeń rozwiązania, pobierz i wykonaj odpowiedni skrypt. Znajdź linki pobierania dla żądanego poziomu profilu:

Profile Lokalizacja pobierania Nazwa pliku
Przedsiębiorstwa https://aka.ms/securedworkstationgit Enterprise-Workstation-Windows10-(20H2).ps1
Wyspecjalizowany https://aka.ms/securedworkstationgit Wyspecjalizowane — Windows10-(20H2).ps1
Uprzywilejowane https://aka.ms/securedworkstationgit Privileged-Windows10-(20H2).ps1

Uwaga

Usunięcie praw administratora i dostępu, a także kontrola wykonywania aplikacji (AppLocker) jest zarządzana przez wdrożone profile zasad.

Po pomyślnym wykonaniu skryptu można wprowadzać aktualizacje profilów i zasad w usłudze Intune. Skrypty będą tworzyć zasady i profile dla Ciebie, ale musisz przypisać zasady do grupy urządzeń Secure Workstations .

  • Oto miejsce, w którym można znaleźć profile konfiguracji urządzeń usługi Intune utworzone przez skrypty: Profil konfiguracji>urządzeń usługi Microsoft Intune>w witrynie Azure Portal.>
  • W tym miejscu można znaleźć zasady zgodności urządzeń usługi Intune utworzone przez skrypty: Microsoft Intune Device Compliance Policies (Zasady zgodności>urządzeń w usłudze Microsoft Intune w witrynie Azure Portal).>>

Uruchom skrypt DeviceConfiguration_Export.ps1 eksportu danych usługi Intune z repozytorium GitHub DeviceConfiguration, aby wyeksportować wszystkie bieżące profile usługi Intune do porównania i ocenę profilów.

Ustawianie reguł w profilu konfiguracji programu Endpoint Protection dla zapory Microsoft Defender

Ustawienia zasad zapory Windows Defender są uwzględnione w profilu konfiguracji programu Endpoint Protection. Zachowanie zasad zastosowanych w opisanej w poniższej tabeli.

Profile Reguły ruchu przychodzącego Reguły ruchu wychodzącego Scal zachowanie
Przedsiębiorstwa Blokuj Zezwalaj Zezwalaj
Wyspecjalizowany Blokuj Zezwalaj Blokuj
Uprzywilejowane Blokuj Blokuj Blokuj

Przedsiębiorstwo: Ta konfiguracja jest najbardziej uciążliwa, ponieważ odzwierciedla domyślne zachowanie instalacji systemu Windows. Cały ruch przychodzący jest blokowany z wyjątkiem reguł, które są jawnie zdefiniowane w regułach zasad lokalnych, ponieważ scalanie reguł lokalnych jest ustawione na dozwolone. Cały ruch wychodzący jest dozwolony.

Wyspecjalizowane: ta konfiguracja jest bardziej restrykcyjna, ponieważ ignoruje wszystkie lokalnie zdefiniowane reguły na urządzeniu. Cały ruch przychodzący jest blokowany, w tym reguły zdefiniowane lokalnie, w tym dwie reguły umożliwiające optymalizację dostarczania do działania zgodnie z projektem. Cały ruch wychodzący jest dozwolony.

Uprzywilejowany: cały ruch przychodzący jest blokowany, w tym reguły zdefiniowane lokalnie, w tym dwie reguły, które umożliwiają optymalizację dostarczania do działania zgodnie z projektem. Ruch wychodzący jest również blokowany poza jawnymi regułami, które zezwalają na ruch DNS, DHCP, NTP, NSCI, HTTP i HTTPS. Ta konfiguracja nie tylko zmniejsza obszar ataków prezentowany przez urządzenie do sieci ogranicza połączenia wychodzące, które urządzenie może nawiązać tylko z tymi połączeniami wymaganymi do administrowania usługami w chmurze.

Reguła Kierunek Akcja Aplikacja/usługa Protokół Porty lokalne Porty zdalne
Światowej sieci Web (ruch HTTP) Wychodzący Zezwalaj wszystkie TCP Wszystkie porty 80
Światowej sieci Web (ruch HTTPS) Wychodzący Zezwalaj wszystkie TCP Wszystkie porty 443
Sieć podstawowa — dynamiczny protokół konfiguracji hosta dla protokołu IPv6(DHCPV6-Out) Wychodzący Zezwalaj %SystemRoot%\system32\svchost.exe TCP 546 547
Sieć podstawowa — dynamiczny protokół konfiguracji hosta dla protokołu IPv6(DHCPV6-Out) Wychodzący Zezwalaj Dhcp TCP 546 547
Sieć podstawowa — protokół dynamicznej konfiguracji hosta dla protokołu IPv6(DHCP-Out) Wychodzący Zezwalaj %SystemRoot%\system32\svchost.exe TCP 68 67
Sieć podstawowa — protokół dynamicznej konfiguracji hosta dla protokołu IPv6(DHCP-Out) Wychodzący Zezwalaj Dhcp TCP 68 67
Podstawowa sieć — DNS (UDP-Out) Wychodzący Zezwalaj %SystemRoot%\system32\svchost.exe UDP Wszystkie porty 53
Podstawowa sieć — DNS (UDP-Out) Wychodzący Zezwalaj Dnscache UDP Wszystkie porty 53
Podstawowa sieć — DNS (TCP-Out) Wychodzący Zezwalaj %SystemRoot%\system32\svchost.exe TCP Wszystkie porty 53
Podstawowa sieć — DNS (TCP-Out) Wychodzący Zezwalaj Dnscache TCP Wszystkie porty 53
Sonda NSCI (tcp-out) Wychodzący Zezwalaj %SystemRoot%\system32\svchost.exe TCP Wszystkie porty 80
Sonda NSCI — DNS (tcp-out) Wychodzący Zezwalaj NlaSvc TCP Wszystkie porty 80
Czas systemu Windows (UDP-Out) Wychodzący Zezwalaj %SystemRoot%\system32\svchost.exe TCP Wszystkie porty 80
Sonda czasu systemu Windows — DNS (UDP-Out) Wychodzący Zezwalaj W32time UDP Wszystkie porty 123
Optymalizacja dostarczania (TCP-In) Przychodzący Zezwalaj %SystemRoot%\system32\svchost.exe TCP 7680 Wszystkie porty
Optymalizacja dostarczania (TCP-In) Przychodzący Zezwalaj DoSvc TCP 7680 Wszystkie porty
Optymalizacja dostarczania (UDP-In) Przychodzący Zezwalaj %SystemRoot%\system32\svchost.exe UDP 7680 Wszystkie porty
Optymalizacja dostarczania (UDP-In) Przychodzący Zezwalaj DoSvc UDP 7680 Wszystkie porty

Uwaga

Istnieją dwie reguły zdefiniowane dla każdej reguły w konfiguracji zapory Microsoft Defender. Aby ograniczyć reguły ruchu przychodzącego i wychodzącego do usług systemu Windows, np. klienta DNS, zarówno nazwy usługi, usługi DNSCache, jak i ścieżki wykonywalnej, C:\Windows\System32\svchost.exe, należy zdefiniować jako oddzielną regułę, a nie pojedynczą regułę, która jest możliwa przy użyciu zasad grupy.

Możesz wprowadzić dodatkowe zmiany w zarządzaniu regułami ruchu przychodzącego i wychodzącego zgodnie z potrzebami dla dozwolonych i zablokowanych usług. Aby uzyskać więcej informacji, zobacz Usługa konfiguracji zapory.

Serwer proxy blokady adresu URL

Restrykcyjne zarządzanie ruchem adresów URL obejmuje:

  • Odrzuć cały ruch wychodzący z wyjątkiem wybranej platformy Azure i usługi firmy Microsoft, w tym usługi Azure Cloud Shell i możliwość samoobsługowego resetowania hasła.
  • Profil uprzywilejowany ogranicza punkty końcowe w Internecie, z którymi urządzenie może nawiązać połączenie przy użyciu następującej konfiguracji serwera proxy blokady adresu URL.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

Punkty końcowe wymienione na liście ProxyOverride są ograniczone do tych punktów końcowych potrzebnych do uwierzytelniania w usłudze Microsoft Entra ID i uzyskiwania dostępu do interfejsów zarządzania platformy Azure lub usługi Office 365. Aby rozszerzyć usługę w chmurze na inne usługi w chmurze, dodaj adres URL administracji do listy. Takie podejście ma na celu ograniczenie dostępu do szerszego Internetu w celu ochrony uprzywilejowanych użytkowników przed atakami internetowymi. Jeśli to podejście zostanie uznane za zbyt restrykcyjne, rozważ użycie podejścia opisanego poniżej dla roli uprzywilejowanej.

Włączanie aplikacji Microsoft Defender dla Chmury, listy adresów URL z ograniczeniami do zatwierdzonych adresów URL (zezwalaj na większość)

W naszym wdrożeniu ról zaleca się, aby w przypadku wdrożeń enterprise i wyspecjalizowanych, w przypadku których nie pożądane jest ścisłe zablokowanie wszystkich przeglądania sieci Web przy użyciu możliwości brokera zabezpieczeń dostępu do chmury (CASB), takich jak Microsoft Defender dla Chmury Aplikacje, aby zablokować dostęp do ryzykownych i wątpliwych witryn internetowych. Rozwiązanie rozwiązuje prosty sposób blokowania aplikacji i witryn internetowych, które zostały wyselekcjonowane. To rozwiązanie jest podobne do uzyskiwania dostępu do listy zablokowanych z witryn, takich jak projekt Spamhaus, który utrzymuje listę bloków domeny (DBL): dobry zasób do użycia jako zaawansowany zestaw reguł do zaimplementowania w przypadku blokujących witryn.

Rozwiązanie zapewni:

  • Widoczność: wykrywanie wszystkich usług w chmurze; przypisz każdemu rankingowi ryzyka; identyfikowanie wszystkich użytkowników i aplikacji innych firm, którzy mogą się zalogować
  • Bezpieczeństwo danych: identyfikowanie i kontrolowanie poufnych informacji (DLP); reagowanie na etykiety klasyfikacji zawartości
  • Ochrona przed zagrożeniami: oferuje adaptacyjną kontrolę dostępu (AAC); zapewnić analizę zachowania użytkowników i jednostek (UEBA); eliminowanie złośliwego oprogramowania
  • Zgodność: dostarcza raporty i pulpity nawigacyjne w celu zademonstrowania ładu w chmurze; pomoc w zakresie zgodności z wymaganiami dotyczącymi rezydencji danych i zgodności z przepisami

Włącz Defender dla Chmury Apps i połącz się z usługą Defender ATP, aby zablokować dostęp do ryzykownych adresów URL:

Zarządzanie aplikacjami lokalnymi

Bezpieczna stacja robocza przechodzi do stanu naprawdę wzmocnionego, gdy lokalne aplikacje zostaną usunięte, w tym aplikacje zwiększające produktywność. W tym miejscu dodasz program Visual Studio Code, aby umożliwić nawiązywanie połączenia z usługą Azure DevOps dla usługi GitHub w celu zarządzania repozytoriami kodu.

Konfigurowanie Portal firmy dla aplikacji niestandardowych

Zarządzana przez usługę Intune kopia Portal firmy zapewnia dostęp na żądanie do dodatkowych narzędzi, które można wypchnąć do użytkowników zabezpieczonych stacji roboczych.

W trybie zabezpieczonym instalacja aplikacji jest ograniczona do aplikacji zarządzanych dostarczanych przez Portal firmy. Jednak zainstalowanie Portal firmy wymaga dostępu do sklepu Microsoft Store. W zabezpieczonym rozwiązaniu dodasz i przypiszesz aplikację systemu Windows 10 Portal firmy dla aprowizowania urządzeń z rozwiązaniem Autopilot.

Uwaga

Upewnij się, że przypisano aplikację Portal firmy do grupy Tag urządzenia bezpiecznego stacji roboczej używanej do przypisywania profilu rozwiązania Autopilot.

Wdrażanie aplikacji przy użyciu usługi Intune

W niektórych sytuacjach aplikacje, takie jak Microsoft Visual Studio Code, są wymagane na zabezpieczonej stacji roboczej. Poniższy przykład zawiera instrukcje dotyczące instalowania programu Microsoft Visual Studio Code dla użytkowników w grupie zabezpieczeń Użytkownicy bezpiecznej stacji roboczej.

Program Visual Studio Code jest dostarczany jako pakiet EXE, dlatego należy go spakować jako .intunewin plik formatu do wdrożenia przy użyciu programu Microsoft Endpoint Manager przy użyciu narzędzia Microsoft Win32 Content Prep Tool.

Pobierz narzędzie Microsoft Win32 Content Prep Tool lokalnie do stacji roboczej i skopiuj je do katalogu na potrzeby pakowania, na przykład C:\Packages. Następnie utwórz katalog źródłowy i wyjściowy w folderze C:\Packages.

Pakiet Microsoft Visual Studio Code

  1. Pobierz instalatora offline programu Visual Studio Code dla systemu Windows 64-bitowego.
  2. Skopiuj pobrany plik exe programu Visual Studio Code do C:\Packages\Source
  3. Otwórz konsolę programu PowerShell i przejdź do C:\Packages
  4. Wpisz .\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1
  5. Wpisz Y , aby utworzyć nowy folder wyjściowy. Plik intunewin dla programu Visual Studio Code zostanie utworzony w tym folderze.

Przekazywanie programu VS Code do programu Microsoft Endpoint Manager

  1. W centrum administracyjnym programu Microsoft Endpoint Manager przejdź do pozycji Aplikacje>dodaj system Windows>
  2. W obszarze Wybierz typ aplikacji wybierz pozycję Aplikacja systemu Windows (Win32)
  3. Kliknij pozycję Wybierz plik pakietu aplikacji, kliknij pozycję Wybierz plik, a następnie wybierz pozycję VSCodeUserSetup-x64-1.51.1.intunewin z C:\Packages\Output\VSCodeUserSetup-x64-1.51.1. Kliknij przycisk OK.
  4. Wprowadź Visual Studio Code 1.51.1 w polu Nazwa
  5. Wprowadź opis programu Visual Studio Code w polu Opis
  6. Wprowadź Microsoft Corporation w polu Wydawca
  7. Pobierz https://jsarray.com/images/page-icons/visual-studio-code.png i wybierz obraz logo. Wybierz Dalej
  8. Wprowadź VSCodeSetup-x64-1.51.1.exe /SILENT w polu Polecenie Zainstaluj
  9. Wprowadź C:\Program Files\Microsoft VS Code\unins000.exe w polu Polecenie Odinstaluj
  10. Wybierz pozycję Określ zachowanie na podstawie kodów powrotnych z listy rozwijanej Zachowanie ponownego uruchamiania urządzenia. Wybierz Dalej
  11. Wybierz pozycję 64-bitową z listy rozwijanej Architektura systemu operacyjnego
  12. Wybierz pozycję Windows 10 1903 z listy rozwijanej Pole wyboru Minimalny system operacyjny. Wybierz Dalej
  13. Wybierz pozycję Ręcznie skonfiguruj reguły wykrywania z listy rozwijanej Format reguł
  14. Kliknij pozycję Dodaj , a następnie wybierz pozycję Plik z listy rozwijanej Typ reguły
  15. Wprowadź C:\Program Files\Microsoft VS Code w polu Ścieżka
  16. Wprowadź unins000.exe w polu Plik lub folder
  17. Wybierz pozycję Plik lub folder istnieje z listy rozwijanej, wybierz przycisk OK , a następnie wybierz przycisk Dalej.
  18. Wybierz pozycję Dalej , ponieważ nie ma zależności od tego pakietu
  19. Wybierz pozycję Dodaj grupę w obszarze Dostępne dla zarejestrowanych urządzeń, dodaj grupę Użytkownicy uprzywilejowani. Kliknij pozycję Wybierz , aby potwierdzić grupę. Wybierz Dalej
  20. Kliknij pozycję Utwórz

Tworzenie niestandardowych aplikacji i ustawień przy użyciu programu PowerShell

Istnieją pewne ustawienia konfiguracji, które zalecamy, w tym dwa zalecenia dotyczące usługi Defender dla punktu końcowego, które należy ustawić przy użyciu programu PowerShell. Tych zmian konfiguracji nie można ustawić za pośrednictwem zasad w usłudze Intune.

Możesz również użyć programu PowerShell, aby rozszerzyć możliwości zarządzania hostami. Skrypt PAW-DeviceConfig.ps1 z usługi GitHub to przykładowy skrypt, który konfiguruje następujące ustawienia:

  • Usuwa program Internet Explorer
  • Usuwa program PowerShell 2.0
  • Usuwa Odtwarzacz multimedialny Windows
  • Usuwa klienta folderów roboczych
  • Usuwa drukowanie XPS
  • Włącza i konfiguruje hibernacji
  • Implementuje poprawkę rejestru w celu włączenia przetwarzania reguł dll funkcji AppLocker
  • Implementuje ustawienia rejestru dla dwóch zaleceń Ochrona punktu końcowego w usłudze Microsoft Defender, których nie można ustawić przy użyciu programu Endpoint Manager.
    • Wymagaj od użytkowników podniesienia poziomu uprawnień podczas ustawiania lokalizacji sieci
    • Zapobieganie zapisywaniu poświadczeń sieciowych
  • Wyłącz Kreatora lokalizacji sieciowej — uniemożliwia użytkownikom ustawienie lokalizacji sieciowej jako prywatnej, a tym samym zwiększenie obszaru podatnego na ataki w zaporze systemu Windows
  • Konfiguruje czas systemu Windows do korzystania z NTP i ustawia usługę Automatycznego czasu na automatyczne
  • Pobiera i ustawia tło pulpitu na określony obraz, aby łatwo zidentyfikować urządzenie jako gotową, uprzywilejowaną stację roboczą.

Skrypt PAW-DeviceConfig.ps1 z usługi GitHub.

  1. Pobierz skrypt [PAW-DeviceConfig.ps1] na urządzenie lokalne.
  2. Przejdź do witryny Azure Portal>Dodaj skrypty programu PowerShell konfiguracji>urządzeń w usłudze> Microsoft Intune.> vProvide a Name for the script (Nazwa skryptu) i określ lokalizację skryptu.
  3. Wybierz Konfiguruj.
    1. Ustaw pozycję Uruchom ten skrypt przy użyciu poświadczeń zalogowanych na wartość Nie.
    2. Wybierz przycisk OK.
  4. Wybierz pozycję Utwórz.
  5. Wybierz pozycję Przypisania>Wybierz grupy.
    1. Dodaj grupę zabezpieczeń Bezpieczne stacje robocze.
    2. Wybierz pozycję Zapisz.

Weryfikowanie i testowanie wdrożenia przy użyciu pierwszego urządzenia

W ramach tej rejestracji założono, że będziesz używać urządzenia fizycznego obliczeniowego. Zaleca się, aby w ramach procesu zaopatrzenia zarejestrować urządzenia producenta OEM, odsprzedawcy, dystrybutora lub partnera w rozwiązaniu Windows Autopilot.

Jednak do testowania można wstać maszyny wirtualne jako scenariusz testowy. Należy jednak pamiętać, że rejestracja urządzeń dołączonych do użytkownika musi zostać zmieniona, aby umożliwić dołączenie do klienta tej metody.

Ta metoda działa w przypadku maszyn wirtualnych lub urządzeń fizycznych, które nie zostały wcześniej zarejestrowane.

  1. Uruchom urządzenie i poczekaj na wyświetlone okno dialogowe nazwy użytkownika
  2. Naciśnij, SHIFT + F10 aby wyświetlić wiersz polecenia
  3. Wpisz PowerShell, naciśnij klawisz Enter
  4. Wpisz Set-ExecutionPolicy RemoteSigned, naciśnij klawisz Enter
  5. Wpisz Install-Script GetWindowsAutopilotInfo, naciśnij klawisz Enter
  6. Wpisz Y i kliknij klawisz Enter, aby zaakceptować zmianę środowiska PATH
  7. Wpisz Y i kliknij klawisz Enter, aby zainstalować dostawcę NuGet
  8. Typ Y , aby ufać repozytorium
  9. Typ Przebiegu Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv
  10. Kopiowanie woluminu CSV z maszyny wirtualnej lub urządzenia fizycznego

Importowanie urządzeń do rozwiązania Autopilot

  1. W centrum administracyjnym programu Microsoft Endpoint Manager przejdź do pozycji Urządzenia>z systemem Windows Urządzenia>z systemem Windows — urządzenia z systemem Windows>

  2. Wybierz pozycję Importuj i wybierz plik CSV.

  3. Poczekaj na zaktualizowanie Group TagPAW elementu i zmień Profile Status wartość na Assigned.

    Uwaga

    Tag grupy jest używany przez grupę dynamiczną Bezpieczna stacja robocza, aby urządzenie było członkiem grupy,

  4. Dodaj urządzenie do grupy zabezpieczeń Bezpieczne stacje robocze.

  5. Na urządzeniu z systemem Windows 10, które chcesz skonfigurować, przejdź do pozycji Windows Ustawienia> Aktualizuj i odzyskiwanie zabezpieczeń>.

    1. Wybierz pozycję Rozpocznij w obszarze Resetowanie tego komputera.
    2. Postępuj zgodnie z monitami, aby zresetować i ponownie skonfigurować urządzenie przy użyciu skonfigurowanych zasad profilu i zgodności.

Po skonfigurowaniu urządzenia ukończ przegląd i sprawdź konfigurację. Przed kontynuowaniem wdrażania upewnij się, że pierwsze urządzenie jest poprawnie skonfigurowane.

Przypisywanie urządzeń

Aby przypisać urządzenia i użytkowników, musisz zamapować wybrane profile na grupę zabezpieczeń. Wszyscy nowi użytkownicy, którzy wymagają uprawnień do usługi, również muszą zostać dodani do grupy zabezpieczeń.

Używanie Ochrona punktu końcowego w usłudze Microsoft Defender do monitorowania zdarzeń zabezpieczeń i reagowania na nie

  • Ciągłe obserwowanie i monitorowanie luk w zabezpieczeniach i błędów konfiguracji
  • Używanie Ochrona punktu końcowego w usłudze Microsoft Defender do określania priorytetów zagrożeń dynamicznych w środowisku naturalnym
  • Korelacja luk w zabezpieczeniach z alertami wykrywanie i reagowanie w punktach końcowych (EDR)
  • Używanie pulpitu nawigacyjnego do identyfikowania luk w zabezpieczeniach na poziomie maszyny podczas badania
  • Wypychanie korygowań do usługi Intune

Skonfiguruj Centrum zabezpieczeń usługi Microsoft Defender. Korzystając ze wskazówek na stronie Omówienie pulpitu nawigacyjnego zarządzania zagrożeniami i lukami w zabezpieczeniach.

Monitorowanie aktywności aplikacji przy użyciu zaawansowanego wyszukiwania zagrożeń

Począwszy od wyspecjalizowanej stacji roboczej, funkcja AppLocker jest włączona do monitorowania aktywności aplikacji na stacji roboczej. Domyślnie usługa Defender for Endpoint przechwytuje zdarzenia funkcji AppLocker i zaawansowane zapytania wyszukiwania zagrożeń mogą służyć do określania aplikacji, skryptów, plików DLL, które są blokowane przez funkcję AppLocker.

Uwaga

Profile wyspecjalizowanych i uprzywilejowanych stacji roboczych zawierają zasady funkcji AppLocker. Wdrożenie zasad jest wymagane do monitorowania aktywności aplikacji na kliencie.

W okienku Centrum zabezpieczeń usługi Microsoft Defender Zaawansowane wyszukiwanie zagrożeń użyj następującego zapytania, aby zwrócić zdarzenia funkcji AppLocker

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

Monitorowanie

Następne kroki