Развертывание с привилегированным доступом

Этот документ поможет вам реализовать технические компоненты стратегии привилегированного доступа, включая защищенные учетные записи, рабочие станции и устройства, а также безопасность интерфейса (с политикой условного доступа).

Summary of security level profiles

Это руководство содержит инструкции по установлению всех профилей на всех трех уровнях безопасности с назначением для них ролей в организации в соответствии с рекомендациями по уровням безопасности привилегированного доступа. Корпорация Майкрософт рекомендует настраивать их в порядке, описанном в плане быстрой модернизации (RAMP).

Требования к лицензиям

В концепциях, описанных в этом руководстве, предполагается, что у вас есть Microsoft 365 корпоративный E5 или эквивалентной ценовой категории. Некоторые из рекомендаций, приведенных в этом руководстве, могут быть реализованы при низшей ценовой категории. Дополнительные сведения см. в разделе Лицензирование Microsoft 365 корпоративный.

Чтобы автоматизировать подготовку лицензий, рассмотрите возможность лицензирования пользователей на основе групп.

Конфигурация Microsoft Entra

Идентификатор Microsoft Entra управляет пользователями, группами и устройствами для рабочих станций администратора. Включите службы идентификации и функции, используя учетную запись администратора.

При создании защищенной учетной записи администратора рабочей станции эта учетная запись предоставляется для текущей рабочей станции. Убедитесь, что вы используете заведомо безопасное устройство для выполнения начальной настройки и всех глобальных настроек. Чтобы снизить вероятность атаки при первом запуске, рассмотрите рекомендации по предотвращению заражения вредоносным ПО.

Требуйте прохождения многофакторной проверки подлинности по крайней мере для администраторов. Дополнительные сведения о реализации см. в статье Условный доступ: обязательная многофакторная проверка подлинности для администраторов.

Пользователи и группы Microsoft Entra

  1. В портал Azure перейдите к новому пользователю в Microsoft Entra ID>Users.>

  2. Создайте пользователя устройства, выполнив действия, описанные в учебнике по созданию пользователя.

  3. Введите:

    • Имя — администратор защищенной рабочей станции
    • Имя пользователя - secure-ws-user@contoso.com
    • Роль каталога - Администратор с ограниченными правами и выберите роль Администратор Intune.
    • Расположение использования — например , Соединенное Королевство или требуемое расположение формирует список.
  4. Нажмите кнопку создания.

Создайте пользователя с правами администратора устройства.

  1. Введите:

    • Имя — администратор защищенной рабочей станции
    • Имя пользователя - secure-ws-admin@contoso.com
    • Роль каталога - Администратор с ограниченными правами и выберите роль Администратор Intune.
    • Расположение использования — например , Соединенное Королевство или требуемое расположение формирует список.
  2. Нажмите кнопку создания.

Далее вы создадите четыре группы: Пользователи защищенной рабочей станции, Администраторы защищенной рабочей станции, В экстренных случаях и Устройства защищенной рабочей станции.

В портал Azure перейдите к новой группе групп>идентификаторов>Microsoft Entra.

  1. Для группы пользователей рабочей станции может потребоваться настроить лицензирование на основе групп, чтобы автоматизировать подготовку лицензий для пользователей.

  2. Для группы пользователей рабочей станции введите:

    • Тип группы — "Безопасность"
    • Имя группы — "Пользователи защищенной рабочей станции"
    • Тип членства — "Назначено"
  3. Добавьте пользователя защищенной рабочей станции: secure-ws-user@contoso.com

  4. Можно добавить других пользователей, которые будут использовать защищенные рабочие станции.

  5. Нажмите кнопку создания.

  6. Для группы "Администраторы привилегированной рабочей станции" введите:

    • Тип группы — "Безопасность"
    • Имя группы — "Администраторы защищенной рабочей станции"
    • Тип членства — "Назначено"
  7. Добавьте пользователя защищенной рабочей станции: secure-ws-admin@contoso.com

  8. Вы можете добавить других пользователей, которые будут управлять защищенными рабочими станциями.

  9. Нажмите кнопку создания.

  10. Для группы "В экстренных случаях" введите:

    • Тип группы — "Безопасность"
    • Имя группы — "В экстренных случаях"
    • Тип членства — "Назначено"
  11. Нажмите кнопку создания.

  12. Добавление учетных записей аварийного доступа в эту группу.

  13. В поле "Группа устройств рабочей станции" введите:

    • Тип группы — "Безопасность"
    • Имя группы — "Защищенные рабочие станции"
    • Тип членства — "Динамическое устройство"
    • Правила динамического членства - (device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")
  14. Нажмите кнопку создания.

Конфигурация устройства Microsoft Entra

Укажите, кто может присоединить устройства к идентификатору Microsoft Entra

Настройте параметры устройств в Active Directory, чтобы разрешить административной группе безопасности присоединять устройства к домену. Чтобы настроить этот параметр с портала Azure:

  1. Перейдите к параметрам устройств с идентификатором Microsoft Entra ID.>>
  2. Выберите "Выбранный" в разделе "Пользователи" могут присоединить устройства к идентификатору Microsoft Entra ID, а затем выбрать группу "Безопасные пользователи рабочей станции".

Удаление прав локального администратора

Этот метод требует, чтобы пользователи виртуального IP-адреса, DevOps и привилегированных рабочих станций не имели прав администратора на своих компьютерах. Чтобы настроить этот параметр с портала Azure:

  1. Перейдите к параметрам устройств с идентификатором Microsoft Entra ID.>>
  2. Выберите None в разделе "Дополнительные локальные администраторы" на устройствах, присоединенных к Microsoft Entra.

Сведения об управлении членами локальной группы администраторов на устройствах, присоединенных к Microsoft Entra, см. в статье "Управление членами локальной группы администраторов".

Чтобы присоединить устройства, требуется многофакторная проверка подлинности

Для дальнейшего укрепления процесса присоединения устройств к идентификатору Microsoft Entra ID:

  1. Перейдите к параметрам устройств с идентификатором Microsoft Entra ID.>>
  2. Задайте для параметра Обязательная многофакторная проверка подлинности для присоединения устройств значение Нет.
  3. Выберите Сохранить.

Настройка управления мобильными устройствами

На портале Azure

  1. Перейдите к Microsoft Entra ID>Mobility (MDM и MAM)>Microsoft Intune.
  2. Измените значение параметра Область пользователя MDM на Все.
  3. Выберите Сохранить.

Эти действия позволяют управлять любым устройством с помощью Microsoft Endpoint Manager. Дополнительные сведения см. в статье Краткое руководство по Intune. Настройка автоматической регистрации устройств Windows 10. На следующем шаге создается политика конфигурации и соответствия нормативным требованиям Intune.

Условный доступ Microsoft Entra

Условный доступ Microsoft Entra может помочь ограничить привилегированные административные задачи соответствующим устройствам. Предопределенные члены группы Пользователи защищенной рабочей станции при входе в облачные приложения должны выполнять многофакторную проверку подлинности. Рекомендуется исключить из политики учетные записи аварийного доступа. Дополнительные сведения см. в разделе "Управление учетными записями аварийного доступа" в идентификаторе Microsoft Entra.

Условный доступ, разрешающий доступ к порталу Azure только защищенной рабочей станции

Организации должны запретить привилегированным пользователям подключаться к интерфейсам управления облаком, порталам и PowerShell с устройств, отличных от станций c привилегированным доступом.

Чтобы запретить неавторизованным устройствам доступ к интерфейсам управления облаком, следуйте указаниям в статье Условный доступ: фильтры для устройств (предварительная версия). При развертывании этой функции необходимо обеспечить наличие учетной записи для аварийного доступа. Эти учетные записи следует использовать только в чрезвычайных ситуациях. Управление этими учетными записями должно осуществляться с помощью политики.

Примечание.

Вам потребуется создать группу пользователей и включить в нее пользователя для аварийных случаев, который сможет обходить политику условного доступа. В нашем примере у нас есть группа безопасности под названием В экстренных случаях

Этот набор политик гарантирует, что Администратор istrator должны использовать устройство, которое может представить определенное значение атрибута устройства, которое удовлетворяет MFA, и устройство помечается как соответствующее microsoft Endpoint Manager и Microsoft Defender для конечной точки.

Организациям следует также рассмотреть возможность блокировки устаревших протоколов проверки подлинности в своих средах. Существует несколько способов выполнения этой задачи. Дополнительные сведения о блокировке устаревших протоколов проверки подлинности см. в статье " Практическое руководство. Блокировка устаревшей проверки подлинности в идентификаторе Microsoft Entra ID с помощью условного доступа".

Конфигурация Microsoft Intune

Отказ в регистрации устройств BYOD

В нашем примере мы рекомендуем не разрешать использование устройств BYOD. Использование Регистрации BYOD в Intune позволяет пользователям регистрировать устройства, которые не являются доверенными или надежными. Однако важно отметить, что организации с ограниченным бюджетом на покупку новых устройств, желающие использовать существующие аппаратные средства или, как вариант, устройства, отличные от Windows, могут рассмотреть возможность использования BYOD в Intune для развертывания профиля "Корпоративный".

В следующих руководствах мы покажем, как настроить регистрацию для развертываний, которые будут блокировать доступ к BYOD.

Настройка ограничений на регистрацию, предотвращающих BYOD

  1. В Центре администрирования Microsoft Endpoint Manager выберите >ограничения> регистрации устройств>, чтобы выбрать ограничение по умолчанию для всех пользователей.
  2. Изменение параметров платформы свойств>
  3. Выберите Блокировать для всех типов, кроме Windows MDM.
  4. Выберите Блокировать для всех элементов, находящихся в личной собственности.

Создание профиля развертывания Autopilot

Создав группу устройств, необходимо создать профиль развертывания, чтобы настроить устройства Autopilot.

  1. В центре администрирования Microsoft Endpoint Manager щелкните Регистрация устройства>Регистрация Windows>Профили развертывания>Создать профиль.

  2. Введите:

    • Имя — Профиль развертывания защищенной рабочей станции.
    • Описание — Развертывание защищенных рабочих станций.
    • Задайте для всех целевых устройств значение Autopilot в "Да". Этот параметр гарантирует, что все устройства в списке зарегистрированы в службе развертывания Autopilot. Разрешить обработку регистрации в течение 48 часов.
  3. Выберите Далее.

    • Для Режима развертывания выберите Самостоятельное развертывание (предварительная версия). Устройства с таким профилем связываются с пользователем, регистрирующим устройство. Во время развертывания рекомендуется использовать функции режима самообслуживания для включения:
      • Регистрирует устройство в Intune Microsoft Entra автоматической регистрации MDM и разрешает доступ к устройству только до тех пор, пока на устройстве не будут подготовлены все политики, приложения, сертификаты и сетевые профили.
      • Учетные данные пользователя необходимы для регистрации устройства. Важно отметить, что развертывание устройства в режиме Самостоятельное развертывание позволит развернуть ноутбуки в общей модели. Для пользователя не произойдет никаких назначений, пока устройство не будет ему назначено в первый раз. В результате любые пользовательские политики, такие как BitLocker, не будут разрешены до тех пор, пока не будет выполнено назначение пользователя. Дополнительные сведения о том, как войти в систему на защищенном устройстве, см. в статье о выбранных профилях.
    • Выберите язык (регион), стандартный тип учетной записи пользователя.
  4. Выберите Далее.

    • Выберите тег области, если он предварительно настроен.
  5. Выберите Далее.

  6. Выберите Назначения>Назначить>Выбранные группы. В пункте Выбрать группы для включения выберите Защищенные рабочие станции.

  7. Выберите Далее.

  8. Нажмите кнопку Создать, чтобы создать профиль. Теперь профиль развертывания Autopilot доступен для назначения устройствам.

Регистрация устройств в Autopilot обеспечивает различные возможности взаимодействия с пользователем на основе типа и роли устройства. В нашем примере развертывания мы продемонстрируем модель, в которой защищенные устройства массово развертываются и их можно использовать совместно, однако при первом использовании устройство назначается конкретному пользователю. Дополнительные сведения см. в статье о регистрации устройств Autopilot в Intune.

Страница состояния регистрации

На странице состояния регистрации (ESP) отображается ход подготовки после регистрации нового устройства. Чтобы гарантировать, что устройства полностью настроены перед использованием, Intune предоставляет возможность Заблокировать использование устройства до тех пор, пока не будут установлены все приложения и профили.

Создание и назначение профиля страницы состояния регистрации

  1. В центре администрирования Microsoft Endpoint Manager выберите страницу>"Состояние регистрации>Windows Windows>">, чтобы создать профиль.
  2. Укажите имя и описание.
  3. Выберите Создать.
  4. Выберите новый профиль в списке страницы состояния регистрации.
  5. Для параметра Показывать ход установки профиля приложения выберите значение Да.
  6. Для параметра Заблокировать использование устройства до тех пор, пока не будут установлены все приложения и профили выберите значение Да.
  7. Выберите группы "Выбор назначений>>" выберите Secure Workstation группу >"Сохранить".>
  8. Выберите Параметры> выберите параметры, которые вы хотите применить к этому профилю >Save.

Настройка клиентского компонента Центра обновления Windows

Обновление Windows 10 до актуального состояния является одной из наиболее важных вещей, которые можно выполнить. Чтобы поддерживать Windows в безопасном состоянии, необходимо развернуть круг обновления, чтобы управлять скоростью, с которой обновления применяются к рабочим станциям.

В этом руководстве рекомендуется создать новый круг обновления и изменить следующие параметры по умолчанию.

  1. В центре администрирования Microsoft Endpoint Manager выберите Устройства>Обновление программного обеспечения>Круги обновления Windows 10.

  2. Введите:

    • Имя — Обновления рабочей станции под управлением Azure
    • Канал обслуживания — Полугодовой канал
    • Отсрочка обновления качества (в днях) — 3
    • Период отсрочки для обновлений компонентов (в днях) — 3
    • Поведение автоматического обновления — Автоматическая установка и перезагрузка без управления конечным пользователем
    • Запретить пользователю приостанавливать обновления Windows — Запретить
    • От пользователя требуется утверждение на перезапуск вне рабочего времени — Требуется
    • Разрешить пользователю выполнять перезапуск (запланированный перезапуск) — Требуется
    • Переход пользователей к запланированному запуску после автоматического перезапуска (в днях) — 3
    • Напоминание об отложенном перезапуске (в днях) — 3
    • Задать крайний срок для ожидающих перезапусков (в днях) — 3
  3. Нажмите кнопку создания.

  4. На вкладке Назначения добавьте группу Защищенные рабочие станции.

Дополнительные сведения о политиках клиентского компонента Центра обновления Windows см. в статье CSP политики — обновление.

Интеграция Intune Microsoft Defender для конечной точки

Microsoft Defender для конечной точки и Microsoft Intune взаимодействуют друг с другом, чтобы помочь предотвратить нарушение безопасности. Они также могут ограничить последствия возникновения брешей. Возможности ATP обеспечивают обнаружение угроз в реальном времени, а также расширенный аудит и ведение журнала конечных устройств.

Чтобы настроить интеграцию Windows Defender для конечной точки и Microsoft Endpoint Manager, выполните следующие действия.

  1. В центре администрирования Microsoft Endpoint Manager выберите Безопасность конечной точки>ATP в Microsoft Defender.

  2. На шаге 1 в разделе Настройка ATP в Windows Defender выберите Подключить ATP в Windows Defender к Microsoft Intune в Центре безопасности Windows Defender.

  3. В Центре безопасности Защитника Windows:

    1. Выберите функции Параметры> Advanced.
    2. Для подключения Microsoft Intune выберите Вкл.
    3. Выберите Сохранить параметры.
  4. После установки подключения вернитесь в Microsoft Endpoint Manager и выберите Обновить в верхней части.

  5. Установите для параметра Подключение устройств Windows версии (20H2) 19042.450 и выше к ATP в Windows Defender значение Вкл.

  6. Выберите Сохранить.

Создание профиля конфигурации устройства для подключения устройств с Windows

  1. Войдите в центр администрирования Microsoft Endpoint Manager, выберите Безопасность конечной точки>Обнаружение конечной точки и ответ>Создать профиль.

  2. Для платформы выберите Windows 10 и более поздних версий.

  3. В поле Тип профиля выберите Обнаружение и нейтрализация атак на конечные точки, а затем — Создать.

  4. На странице Основные сведения введите Рабочие станции с привилегированным доступом — Defender для коечной точки в поле имени и Описание (необязательно) для профиля, а затем нажмите кнопку Далее.

  5. На странице Параметры конфигурации настройте следующий параметр в разделе Обнаружение и нейтрализация атак на конечные точки.

  6. Нажмите Далее, чтобы открыть страницу Теги области. Теги области являются необязательными. Нажмите кнопку Далее, чтобы продолжить.

  7. На странице Назначения выберите группу Безопасная рабочая станция. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

    Выберите Далее.

  8. На странице "Рецензирование и создание" нажмите кнопку "Создать". Выбрав тип политики для созданного профиля, вы увидите новый профиль в списке. ОК, а затем создайте , чтобы сохранить изменения, создающие профиль.

Дополнительные сведения см. в статье Advanced Threat Protection в Защитнике Windows.

Завершение усиления защиты профиля рабочей станции

Чтобы успешно завершить усиление защиты решения, скачайте и выполните соответствующий сценарий. Найдите ссылки для скачивания требуемого уровня профиля:

Profile Расположение для скачивания Имя файла
Функции корпоративного уровня https://aka.ms/securedworkstationgit Enterprise-Workstation-Windows10-(20H2).ps1
Специализированный https://aka.ms/securedworkstationgit Specialized-Windows10-(20H2).ps1
Привилегированная https://aka.ms/securedworkstationgit Privileged-Windows10-(20H2).ps1

Примечание.

Удалением прав администратора и доступа, а также управлением выполнения приложений (AppLocker) управляют развернутые профили политики.

После успешного выполнения сценария можно вносить обновления в профили и политики Intune. Сценарии создадут политики и профили за вас, но вы должны назначить политики группе устройств Защищенные рабочие станции.

  • Здесь можно найти профили конфигурации устройств Intune, созданные с помощью сценариев: портал Azure>Microsoft Intune>Конфигурация устройств>Профили.
  • Здесь можно найти политики соответствия устройств Intune, созданные с помощью сценариев: портал Azure>Microsoft Intune>Соответствие устройств>Политики.

Запустите сценарий экспорта данных Intune DeviceConfiguration_Export.ps1 из Репозитория GitHub DeviceConfiguration, чтобы экспортировать все текущие профили Intune для сравнения и оценки профилей.

Настройка правил в профиле конфигурации защиты конечных точек для брандмауэра Microsoft Defender

Параметры политики брандмауэра Windows Defender включены в профиль конфигурации защиты конечных точек. Поведение применяемой политики описано в таблице ниже.

Profile Правила для входящего трафика Правила для исходящих подключений Поведение слияния
Функции корпоративного уровня Блокировка Разрешить Разрешить
Специализированный Блокировка Разрешить Блокировка
Привилегированная Блокировка Блокировка Блокировка

Корпоративный. Эта конфигурация является наименее строгой, поскольку она отражает поведение по умолчанию при установке Windows. Весь входящий трафик блокируется, за исключением правил, которые явно определены в правилах локальной политики, поскольку объединение локальных правил разрешено. Весь исходящий трафик разрешен.

Специализированный. Эта конфигурация является более ограничительной, поскольку игнорирует все локально определенные правила на устройстве. Весь входящий трафик блокируется, включая локально определенные правила, политика содержит два правила, позволяющие оптимизации доставки функционировать так, как задумано. Весь исходящий трафик разрешен.

Привилегированный. Весь входящий трафик блокируется, включая локально определенные правила, политика содержит два правила, позволяющие оптимизации доставки функционировать так, как задумано. Исходящий трафик также блокируется отдельно от явных правил, разрешающих трафик DNS, DHCP, NTP, NSCI, HTTP и HTTPS. Такая конфигурация не только уменьшает уязвимую зону, представленную устройством в сети, но и ограничивает исходящие соединения, которые может устанавливать устройство, только теми соединениями, которые необходимы для администрирования облачных служб.

Правило Направление Действие Приложение или служба Протокол Локальные порты Удаленные порты
Службы Интернета (исходящий трафик HTTP) Исходящие Разрешить Все TCP Все порты 80
Службы Интернета (исходящий трафик HTTPS) Исходящие Разрешить Все TCP Все порты 443
Основы сетей — протокол DHCP для IPv6 (DHCPV6-Out) Исходящие Разрешить %SystemRoot%\system32\svchost.exe TCP 546 547
Основы сетей — протокол DHCP для IPv6 (DHCPV6-Out) Исходящие Разрешить Dhcp TCP 546 547
Основы сетей — протокол DHCP для IP версии 6 (DHCP-Out) Исходящие Разрешить %SystemRoot%\system32\svchost.exe TCP 68 67
Основы сетей — протокол DHCP для IP версии 6 (DHCP-Out) Исходящие Разрешить Dhcp TCP 68 67
Основы сетей — DNS (UDP-Out) Исходящие Разрешить %SystemRoot%\system32\svchost.exe UDP Все порты 53
Основы сетей — DNS (UDP-Out) Исходящие Разрешить Dnscache UDP Все порты 53
Основы сетей — DNS (TCP-Out) Исходящие Разрешить %SystemRoot%\system32\svchost.exe TCP Все порты 53
Основы сетей — DNS (TCP-Out) Исходящие Разрешить Dnscache TCP Все порты 53
Проба NSCI (TCP-Out) Исходящие Разрешить %SystemRoot%\system32\svchost.exe TCP Все порты 80
Проба NSCI — (TCP-Out) Исходящие Разрешить NlaSvc TCP Все порты 80
Служба времени Windows (UDP-Out) Исходящие Разрешить %SystemRoot%\system32\svchost.exe TCP Все порты 80
Проба службы времени Windows — DNS (UDP-Out) Исходящие Разрешить W32Time UDP Все порты 123
Оптимизация доставки (TCP-In) Входящий трафик Разрешить %SystemRoot%\system32\svchost.exe TCP 7680 Все порты
Оптимизация доставки (TCP-In) Входящий трафик Разрешить DoSvc TCP 7680 Все порты
Оптимизация доставки (UDP-In) Входящий трафик Разрешить %SystemRoot%\system32\svchost.exe UDP 7680 Все порты
Оптимизация доставки (UDP-In) Входящий трафик Разрешить DoSvc UDP 7680 Все порты

Примечание.

Для каждого правила в конфигурации брандмауэра Microsoft Defender определено два правила. Чтобы ограничить правила для входящего и исходящего трафика для служб Windows, нужно, например, определить клиент DNS, вместе имя службы (DNSCache) и путь к исполняемому файлу (C:\Windows\System32\svchost.exe) как отдельное правило, а не как одно правило, которое можно использовать для групповой политики.

Вы можете внести дополнительные изменения в управление правилами для входящего и исходящего трафика по мере необходимости для разрешенных и заблокированных служб. Дополнительные сведения см. в статье о службе настройки брандмауэра.

Прокси-сервер блокировки URL-адресов

Существуют следующие задачи управления трафиком URL-адресов.

  • Запретите весь исходящий трафик, за исключением выбранных служб Azure и Майкрософт, включая Azure Cloud Shell и возможность самостоятельного сброса пароля.
  • Привилегированный профиль позволяет ограничивать конечные точки в Интернете, к которым может подключаться устройство, используя следующую конфигурацию прокси-сервера блокировки URL.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

Конечные точки, перечисленные в списке ProxyOverride, ограничены этими конечными точками, необходимыми для проверки подлинности в идентификаторе Microsoft Entra и доступа к интерфейсам управления Azure или Office 365. Чтобы расширить возможности других облачных служб, добавьте в список их URL-адрес администрирования. Этот подход предназначен для ограничения доступа к расширенному Интернету для защиты привилегированных пользователей от атак через Интернет. Если вы считаете этот подход слишком ограничительным, рассмотрите возможность использования подхода, описанного ниже, для привилегированной роли.

Включение Microsoft Defender для облака Приложений, URL-адресов, ограниченных списком утвержденных URL-адресов (разрешено больше всего)

В развертывании наших ролей рекомендуется использовать для корпоративных и специализированных развертываний, где строгое запретить все веб-просмотры нежелательно, что использование возможностей брокера безопасности доступа к облаку (CASB), такого как Microsoft Defender для облака приложения, используются для блокировки доступа к рискованным и сомнительным веб-сайтам. Решение представляет собой простой способ блокировки проверенных приложений и веб-сайтов. Это решение похоже на получение доступа к списку блокировки с таких сайтов, как Spamhaus Project, который поддерживает список блокировки доменов (DBL). Это хороший ресурс для использования в качестве расширенного набора правил для блокировки сайтов.

Решение предоставит следующие действия:

  • Видимость: обнаружение всех облачных служб; присваивать каждому рейтингу рисков; определите всех пользователей и сторонних приложений, которые могут войти в систему
  • Безопасность данных: идентификация и контроль конфиденциальной информации (DLP); реагирование на метки классификации содержимого
  • Защита от угроз: предложение адаптивного управления доступом (AAC); предоставление анализа поведения пользователей и сущностей (UEBA); устранение вредоносных программ
  • Соответствие требованиям: предоставление отчетов и панелей мониторинга для демонстрации управления облаком; помощь в обеспечении соответствия требованиям к месту размещения данных и нормативным требованиям

Включите Defender для облака приложения и подключитесь к ATP в Defender, чтобы заблокировать доступ к URL-адресам рискованного доступа:

Управление локальными приложениями

Безопасная рабочая станция переходит в состояние "Действительно защищенная", когда удаляются локальные приложения, в том числе приложения для повышения производительности. Здесь вы добавляете Visual Studio Code, чтобы разрешить подключение к Azure DevOps для GitHub для управления репозиториями кода.

Настройка Корпоративного портала для настраиваемых приложений

Управляемая Intune копия Корпоративного портала предоставляет доступ по запросу к дополнительным средствам, которые можно отправить пользователям защищенных рабочих станций.

В безопасном режиме установка приложения ограничена управляемыми приложениями, которые доставляются с помощью Корпоративного портала. Однако для установки Корпоративному порталу требуется доступ к Microsoft Store. В своем защищенном решении вы добавите и назначите приложение Корпоративного портала Windows 10 для устройств, подготовленных Autopilot.

Примечание.

Убедитесь, что вы назначили приложение Корпоративного портала группе Тег устройства защищенной рабочей станции, используемой для назначения профиля Autopilot.

Развертывание приложений с помощью Intune

В некоторых ситуациях на защищенной рабочей станции требуются такие приложения, как Microsoft Visual Studio Code. В следующем примере приведены инструкции по установке Microsoft Visual Studio Code пользователям в группе безопасности Пользователи защищенной рабочей станции.

Visual Studio Code поставляется в виде пакета EXE, поэтому его необходимо упаковать в файл формата .intunewin для развертывания с помощью Microsoft Endpoint Manager с использованием средства подготовки файлов Win32 корпорации Майкрософт.

Скачайте средство подготовки файлов Win32 корпорации Майкрософт локально на рабочую станцию и скопируйте его в каталог для упаковки, например C:\Packages. Затем создайте исходный и выходной каталог в разделе C:\Packages.

Упаковка Microsoft Visual Studio Code

  1. Скачайте автономный установщик Visual Studio Code для 64-разрядной версии Windows.
  2. Скопируйте скачанный exe-файл Visual Studio Code в C:\Packages\Source.
  3. Откройте консоль PowerShell и перейдите к C:\Packages.
  4. Введите .\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1.
  5. Введите Y, чтобы создать новую выходную папку. В этой папке будет создан файл intunewin для Visual Studio Code.

Передача VS Code в Microsoft Endpoint Manager

  1. В центре администрирования Microsoft Endpoint Manager перейдите к области Приложения>Windows>Добавить.
  2. В разделе Выбор типа приложения выберите Приложение для Windows (Win32).
  3. Щелкните Выбрать файл пакета приложения, щелкните Выбрать файл, а затем выберите VSCodeUserSetup-x64-1.51.1.intunewin из C:\Packages\Output\VSCodeUserSetup-x64-1.51.1. Нажмите кнопку ОК.
  4. Введите Visual Studio Code 1.51.1 в поле "Имя".
  5. Введите описание Visual Studio Code в поле Описание.
  6. Введите Microsoft Corporation в поле Издатель.
  7. Скачайте https://jsarray.com/images/page-icons/visual-studio-code.png и выберите изображение для логотипа. Выберите Далее
  8. Введите VSCodeSetup-x64-1.51.1.exe /SILENT в поле Команда установки.
  9. Введите C:\Program Files\Microsoft VS Code\unins000.exe в поле Команда удаления.
  10. Выберите Определить поведение на основе кодов возврата из раскрывающегося списка Поведение при перезапуске устройства. Выберите Далее
  11. Выберите 64-бит из раскрывающегося списка Архитектура операционной системы.
  12. Выберите Windows 10 1903 из раскрывающегося списка Минимальная версия операционной системы. Выберите Далее
  13. Выберите Ручная настройка правил обнаружения из раскрывающегося списка Формат правила.
  14. Нажмите кнопку Добавить, а затем выберите Файл из раскрывающегося списка Тип правила.
  15. Введите C:\Program Files\Microsoft VS Code в поле Путь.
  16. Введите unins000.exe в поле Файл или папка.
  17. В раскрывающемся списке выберите Существует файл или папка, выберите ОК, а затем выберите Далее.
  18. Нажмите кнопку Далее, так как для этого пакета нет зависимостей.
  19. Выберите Добавить группу в разделе Доступно для зарегистрированных устройств, добавьте группу Привилегированные пользователи. Нажмите Выбрать для подтверждения выбора группы. Выберите Далее
  20. Нажмите кнопку Создать.

Создание настраиваемых приложений и параметров с помощью PowerShell

Мы рекомендуем использовать некоторые параметры конфигурации, например две рекомендации Defender для конечных точек, которые необходимо задать с помощью PowerShell. Эти изменения конфигурации нельзя задать с помощью политик в Intune.

Вы также можете использовать PowerShell для расширения возможностей управления узлами. Сценарий PAW-DeviceConfig.ps1 из GitHub является примером сценария, который настраивает следующие параметры:

  • Удаляет Internet Explorer.
  • Удаляет PowerShell версии 2.0.
  • Удаляет Проигрыватель мультимедиа Windows.
  • Удаляет Клиент рабочих папок.
  • Удаляет печать XPS.
  • Включает и настраивает режим гибернации.
  • Реализует исправление реестра для включения обработки правил DLL AppLocker.
  • Реализует параметры реестра для двух рекомендаций Microsoft Defender для конечной точки, которые нельзя установить с помощью Endpoint Manager.
    • Требует, чтобы при настройке расположения сети повышался уровень прав пользователей.
    • Предотвращает сохранение сетевых учетных данных.
  • Отключает мастер определения местоположения сети. Не позволяет пользователям устанавливать местоположение сети как частное и тем самым увеличивать уязвимую зону, подверженную воздействию брандмауэра Windows.
  • Настраивает для службы времени Windows использование NTP и задает автоматический режим для службы времени.
  • Загружает и устанавливает для фона рабочего стола конкретный образ, чтобы легко опознать устройство в качестве готовой к использованию привилегированной рабочей станции.

Сценарий PAW-DeviceConfig.ps1 из GitHub.

  1. Скачайте сценарий [PAW-DeviceConfig.ps1] на локальное устройство.
  2. Перейдите в портал Azure>Microsoft Intune>Конфигурация устройства>Сценарии PowerShell>Добавить. Задайте Имя для сценария и укажите Расположение сценария.
  3. Выберите Настроить.
    1. Установите для параметра Запуск сценария с использованием учетных данных входа значение Нет.
    2. Нажмите ОК.
  4. Нажмите кнопку создания.
  5. Выберите пункты Назначения>Выбрать группу.
    1. Добавьте группу безопасности Защищенные рабочие станции.
    2. Выберите Сохранить.

Проверка и тестирование развертывания с помощью первого устройства

Эта регистрация предполагает, что вы будете использовать физическое вычислительное устройство. В рамках процесса закупки рекомендуется, чтобы поставщик вычислительной техники, торговый посредник, распространитель или партнер зарегистрировал устройства в Windows Autopilot.

Однако для тестирования можно создать Виртуальные машины в качестве тестового сценария. Обратите внимание, что регистрацию подключенных устройств необходимо изменить, чтобы разрешить этот метод присоединения клиента.

Этот метод работает для Виртуальных машин или физических устройств, которые не были зарегистрированы ранее.

  1. Запустите устройство и дождитесь появления диалогового окна имени пользователя.
  2. Нажмите SHIFT + F10, чтобы отобразить командную строку.
  3. Введите PowerShell, нажмите "Ввод".
  4. Введите Set-ExecutionPolicy RemoteSigned, нажмите "Ввод".
  5. Введите Install-Script GetWindowsAutopilotInfo, нажмите "Ввод".
  6. Введите Y и нажмите клавишу "Ввод", чтобы принять изменение среды PATH.
  7. Введите Y и нажмите клавишу "Ввод", чтобы установить поставщик NuGet.
  8. Введите Y, чтобы установить доверие к хранилищу.
  9. Введите "Запустить Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv".
  10. Скопируйте CSV-файл с виртуальной машины или физического устройства.

Импорт устройств в Autopilot

  1. В центре администрирования Microsoft Endpoint Manager перейдите к элементу Устройства>Устройства Windows>Регистрация Windows>Устройства.

  2. Выберите Импорт и выберите CSV-файл.

  3. Дождитесь обновления Group Tag до PAW и измените Profile Status на Assigned.

    Примечание.

    Тег группы используется динамической группой защищенной рабочей станции, чтобы сделать устройство элементом своей группы.

  4. Добавьте устройство в группу безопасности Защищенные рабочие станции.

  5. На устройстве Windows 10, которое вы хотите настроить, перейдите в раздел Параметры Windows>Обновление и безопасность>Восстановление.

    1. Выберите Начать работу в меню Вернуть компьютер в исходное состояние.
    2. Следуйте инструкциям на экране, чтобы вернуть устройство в исходное состояние и перенастроить его с настроенными политиками профиля и соответствия.

После настройки устройства выполните проверку и проверьте конфигурацию. Прежде чем продолжить развертывание, убедитесь, что первое устройство настроено правильно.

Назначение устройств

Чтобы назначить устройства и пользователей, необходимо сопоставить выбранные профили с группой безопасности. Все новые пользователи, которым требуются разрешения для службы, также должны быть добавлены в группу безопасности.

Использование Microsoft Defender для конечной точки для отслеживания инцидентов безопасности и реагирования на них

  • Постоянное наблюдение и контроль уязвимостей и неправильной конфигурации
  • Использование Microsoft Defender для конечной точки для определения приоритетов динамических угроз от вредоносного ПО
  • Управление корреляций уязвимостей с оповещениями об обнаружении конечных точек и ответов (EDR)
  • Использование панели мониторинга для обнаружения уязвимостей на уровне компьютера во время исследования
  • Отправка исправлений в Intune

Настройте Центр безопасности в Microsoft Defender. Используйте руководство Обзор панели мониторинга управления угрозами и уязвимостями.

Мониторинг действий приложений с помощью Расширенного поиска угроз

Начиная со специализированной рабочей станции, AppLocker разрешен для мониторинга действий приложений на рабочей станции. По умолчанию Defender для конечных точек перехватывает события AppLocker. Расширенные запросы на поиск можно использовать для определения того, какие приложения, сценарии или DLL-файлы блокируются AppLocker.

Примечание.

Специализированные и привилегированные профили рабочей станции содержат политики AppLocker. Развертывание политик требуется для мониторинга активности приложений на клиенте.

На панели Расширенного поиска Центра безопасности Microsoft Defender используйте следующий запрос для возврата событий AppLocker.

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

Наблюдение

Следующие шаги