特权访问部署

本文档将指导你完成实现特权访问策略的技术组件，包括安全帐户、工作站和设备以及接口安全（使用条件访问策略）。

本指南为所有三个安全级别设置了配置文件，应根据特权访问安全级别指南为你的组织角色分配这些配置文件。 Microsoft 建议按照快速现代化计划 (RAMP) 中所述的顺序配置这些配置文件

许可要求

本指南中介绍的概念假定你拥有 Microsoft 365 企业版 E5 或同等 SKU。 本指南中的部分建议可通过较低的 SKU 实现。 有关详细信息，请参阅 Microsoft 365 企业版许可。

若要自动执行许可证预配，请考虑对用户使用基于组的许可。

Microsoft Entra 配置

Microsoft Entra ID 管理你的管理员工作站的用户、组和设备。 请使用管理员帐户启用标识服务和功能。

创建安全工作站管理员帐户时，会向当前工作站公开该帐户。 确保使用已知安全的设备来执行此初始配置和所有全局配置。 若要降低首次体验受到攻击的风险，请考虑遵循防止恶意软件感染的指导。

至少对管理员要求执行多重身份验证。 有关实现指南，请参阅条件访问：要求对管理员执行 MFA。

Microsoft Entra 用户和组

1. 在 Azure 门户中，浏览到 Microsoft Entra ID>用户>新用户。

2. 按照“创建用户”教程中的步骤创建设备用户。

3. 输入：

   • “名称”- 安全工作站管理员
   • 用户名 - secure-ws-user@contoso.com
   • “目录角色” - “受限制管理员”，然后选择“Intune 管理员”角色。
   • 使用位置 - 例如，英国，或列表中你所需的位置。

4. 选择创建。

创建设备管理员用户。

1. 输入：

   • “名称”- 安全工作站管理员
   • 用户名 - secure-ws-admin@contoso.com
   • “目录角色” - “受限制管理员”，然后选择“Intune 管理员”角色。
   • 使用位置 - 例如，英国，或列表中你所需的位置。

2. 选择创建。

接下来，创建四个组：“安全工作站用户 ”、“安全工作站管理员”、“紧急访问”和“安全工作站设备”。

在 Azure 门户中，浏览到 Microsoft Entra ID>组>新组。

1. 对于工作站用户组，你可能需要配置基于组的许可，以自动为用户预配许可证。

2. 对于工作站用户组，请输入：

   • “组类型”-“安全”
   • “组名称”-“安全工作站用户”
   • “成员身份类型”-“已分配”

3. 添加安全工作站用户：secure-ws-user@contoso.com

4. 可以添加将使用安全工作站的任何其他用户。

5. 选择创建。

6. 对于“特权工作站管理员”组，请输入：

   • “组类型”-“安全”
   • “组名称”-“安全工作站管理员”
   • “成员身份类型”-“已分配”

7. 添加安全工作站用户：secure-ws-admin@contoso.com

8. 可以添加将管理安全工作站的任何其他用户。

9. 选择创建。

10. 对于“紧急访问”组，请输入：

    • “组类型”-“安全”
    • “组名称”-“紧急访问”
    • “成员身份类型”-“已分配”

11. 选择创建。

12. 将紧急访问帐户添加到此组。

13. 对于工作站设备组，请输入：

    • “组类型”-“安全”
    • “组名称”-“安全工作站”
    • “成员身份类型”-“动态设备”
    • “动态成员身份规则” - (device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")

14. 选择创建。

Microsoft Entra 设备配置

指定谁可将设备加入到 Microsoft Entra ID

在 Active Directory 中配置设备设置，以允许管理安全组将设备加入到你的域。 若要从 Azure 门户配置此设置，请执行以下操作：

1. 转到“Microsoft Entra ID>”“设备>”“设备设置”。
2. 在用户可以将设备加入 Microsoft Entra ID 下选择选定，然后选择“安全工作站用户”组。

删除本地管理员权限

此方法要求 VIP、DevOps 和特权工作站的用户对其计算机没有管理员权限。 若要从 Azure 门户配置此设置，请执行以下操作：

1. 转到“Microsoft Entra ID>”“设备>”“设备设置”。
2. 在 Microsoft Entra 联接设备上的额外本地管理员下，选择无。

有关如何管理本地管理员组成员的详细信息，请参阅如何管理已加入 Microsoft Entra 的设备上的本地管理员组。

要求执行多重身份验证才能加入设备

若要进一步增强将设备加入到 Microsoft Entra ID 的过程，请执行以下操作：

1. 转到“Microsoft Entra ID>”“设备>”“设备设置”。
2. 在“需要进行多重身份验证才能加入设备”下选择“是”。
3. 选择“保存”。

配置移动设备管理

通过 Azure 门户：

1. 浏览到 Microsoft Entra ID>活动能力（MDM 和 MAM）>Microsoft Intune。
2. 将“MDM 用户范围”设置更改为“全部”。
3. 选择“保存”。

执行这些步骤后，你将可以使用 Microsoft Endpoint Manager 来管理任何设备。 有关详细信息，请参阅 Intune 快速入门：为 Windows 10 设备设置自动注册。 可以在后续步骤中创建 Intune 配置与合规性策略。

Microsoft Entra 条件访问

Microsoft Entra 条件访问有助于将特权管理任务限制为符合要求的设备。 登录到云应用程序时，“安全工作站用户”组的预定义成员需要执行多重身份验证。 最佳做法是从该策略中排除紧急访问帐户。 有关详细信息，请参阅在 Microsoft Entra ID 中管理紧急访问帐户。

条件性访问仅允许安全工作站访问 Azure 门户

组织应阻止特权用户从非 PAW 设备连接到云管理接口、门户和 PowerShell。

若要阻止未授权的设备访问云管理接口，请按照条件访问：设备筛选器（预览版）一文中的指南进行操作。 部署此功能时，应考虑使用紧急访问帐户功能，这一点非常重要。 这些帐户应仅用于极端情况和通过策略管理的帐户。

注意

你将需要创建用户组，并将可绕过条件访问策略的紧急访问用户添加到其中。 在此示例中，我们创建名为“紧急访问”的安全组

此策略集将确保，管理员使用的设备能够显示特定设备属性值（满足 MFA），并且设备被标记为符合 Microsoft Endpoint Manager 和 Microsoft Defender for Endpoint。

组织还应考虑在其环境中阻止旧式身份验证协议。 可以通过多种方法来完成此任务。有关阻止旧式身份验证协议的详细信息，请参阅如何：使用条件访问来阻止对 Microsoft Entra ID 的旧式身份验证。

Microsoft Intune 配置

设备注册拒绝 BYOD

在此示例中，我们建议阻止 BYOD 设备。 使用 Intune BYOD 注册，用户可以注册可信度不高或不受信任的设备。 但是，请务必注意，如果组织可用于购买新设备的预算有限、希望使用现有硬件机群或考虑使用非 Windows 设备，则可以考虑使用 Intune 中的 BYOD 功能来部署企业配置文件。

以下指南为部署配置将拒绝 BYOD 访问的注册。

设置注册限制会阻止 BYOD

1. 在 Microsoft Endpoint Manager 管理中心中，选择 >“设备”>“注册限制”>，选择默认限制“所有用户”
2. 选择“属性”>“平台设置”>“编辑”
3. 为 Windows MDM 以外的所有类型选择“阻止”。
4. 为所有个人拥有的项选择“阻止”。

创建 Autopilot 部署配置文件

创建设备组后，必须创建部署配置文件以配置 Autopilot 设备。

1. 在 Microsoft Endpoint Manager 管理中心中，选择“设备注册”>“Windows 注册”>“部署配置文件”>“创建配置文件”。

2. 输入：

   • “名称”-“安全工作站部署配置文件”。
   • “说明”-“安全工作站的部署”。
   • 将“将所有目标设备转换为 Autopilot”设置为“是”。 此设置可确保列表中的所有设备都向 Autopilot 部署服务注册。 允许 48 小时内处理注册。

3. 选择下一步。

   • 对于“部署模式”，选择自行部署(预览版)。 使用此配置文件的设备与注册设备的用户相关联。 在部署过程中，建议使用“自行部署”模式功能：
     • 在 Intune Microsoft Entra 自动 MDM 注册中注册设备，并且仅在设备上预配了所有策略、应用程序、证书和网络配置文件后才允许访问该设备。
     • 注册设备需要用户凭据。 必须注意的是，在“自行部署”模式下部署设备将允许以共享模式部署笔记本电脑。 在首次将设备分配给用户之前，不会进行用户分配。 因此在完成用户分配之前，将不会启用任何用户策略，例如 BitLocker。 有关如何登录到安全设备的详细信息，请参阅所选配置文件。
   • 选择“语言和区域”，然后选择用户帐户类型“标准”。

4. 选择下一步。

   • 选择一个范围标记（如果已预配置）。

5. 选择下一步。

6. 选择“分配”>“分配给”>“已选择的组”。 在“选择要包括的组”中，选择“安全工作站”。

7. 选择下一步。

8. 选择“创建”以创建该配置文件。 Autopilot 部署配置文件现在可用于分配给设备。

Autopilot 中的设备注册功能提供基于设备类型和角色的不同用户体验。 在我们的部署示例中，我们将演示一个模型，其中的安全设备是批量部署的并且可以共享，但在首次使用时，设备会分配给用户。 有关详细信息，请参阅 Intune Autopilot 设备注册。

注册状态页

注册状态页 (ESP) 显示注册新设备后的预配过程。 为了确保在使用之前设备已经过完全配置，Intune 提供了一种在安装所有应用和配置文件之前阻止使用设备的方法。

创建并分配注册状态页配置文件

1. 在 Microsoft Endpoint Manager 管理中心中，选择“设备”>“Windows”>“Windows 注册”>“注册状态页”>“创建配置文件”。
2. 提供“名称”和“说明”。
3. 选择“创建”。
4. 在“注册状态页”列表中选择新的配置文件。
5. 将“显示应用配置文件安装进度”设置为“是”。
6. 将“在安装所有应用和配置文件之前阻止使用设备”设置为“是”。
7. 选择“分配”>“选择组”> 选择 Secure Workstation 组 >“选择”>“保存”。
8. 选择“设置”> 选择要应用于此配置文件的设置 >“保存”。

配置 Windows 更新

将 Windows 10 保持最新状态是最重要的事情之一。 要使 Windows 保持安全状态，请部署更新通道以管理将更新应用到工作站的节奏。

本指南建议创建新的更新通道，并更改以下默认设置：

1. 在 Microsoft Endpoint Manager 管理中心中，选择“设备”>“软件更新”>“Windows 10 更新通道”。

2. 输入：

   • “名称”-“Azure 托管工作站更新”
   • “服务频道”-“半年频道”
   • “质量更新延迟期(天)”-“3”
   • “功能更新延迟期(天)”-“3”
   • “自动更新行为”-“自动安装并重启，无需最终用户控制”
   • “阻止用户暂停 Windows 更新”-“阻止”
   • “需要用户批准才能在工作时间之外重启”-“需要”
   • “允许用户重启(预定重启)”-“需要”
   • “在自动重启后将用户转换为重启提醒期(天)”-“3”
   • “暂停预定重启提醒(天)”-“3”
   • “设置等待重启的截止时间(天)”-“3”

3. 选择创建。

4. 在“分配”选项卡上，添加“安全工作站”组。

有关 Windows 更新策略的详细信息，请参阅策略 CSP - 更新。

Microsoft Defender for Endpoint Intune 集成

Microsoft Defender for Endpoint 和 Microsoft Intune 可协同工作来帮助阻止安全违规行为。 它们还可以控制违规行为的影响。 ATP 功能提供实时威胁检测，并为终结点设备启用广泛的审核和日志记录。

若要配置 Windows Defender for Endpoint 与 Microsoft Endpoint Manager 的集成，请执行以下操作：

1. 在 Microsoft Endpoint Manager 管理中心中，选择“终结点安全性”>“Microsoft Defender ATP”。

2. 在 Windows Defender 安全中心中，在“配置 Windows Defender ATP”下的步骤 1 中，选择“将 Windows Defender ATP 连接到 Microsoft Intune”。

3. 在 Windows Defender 安全中心中：

   1. 选择“设置”>“高级设置”。
   2. 为“Microsoft Intune 连接”选择“开”。
   3. 选择“保存首选项”。

4. 建立连接后，返回到 Microsoft Endpoint Manager 并选择顶部“刷新”。

5. 将“将 Windows 设备版本(20H2) 19042.450 及更高版本连接到 Windows Defender ATP”设置为“开”。

6. 选择“保存”。

创建设备配置文件以载入 Windows 设备

1. 登录到 Microsoft Endpoint Manager 管理中心，选择“终结点安全性”>“终结点检测和响应”>“创建配置文件”。

2. 在“平台”中，选择“Windows 10 及更高版本”。

3. 在“配置文件类型”中，选择“终结点检测和响应”，然后选择“创建”。

4. 在“基本信息”页上，在“名称”字段中输入“PAW - Defender for Endpoint”，输入配置文件的说明（可选），然后选择“下一步”。

5. 在“配置设置”页面的“终结点检测和响应”中，配置以下选项：

   • 所有文件的示例共享：返回或设置 Microsoft Defender 高级威胁防护示例共享配置参数。

     使用 Microsoft Endpoint Configuration Manager 载入 Windows 10 计算机具有有关这些 Microsoft Defender ATP 设置的更多详细信息。

6. 选择“下一步”以打开“作用域标记”页。 作用域标记是可选的。 选择“下一步”以继续。

7. 在“分配”页上，选择“安全工作站”组。 有关分配配置文件的详细信息，请参阅分配用户和设备配置文件。

   选择下一步。

8. 完成后，在“查看 + 创建”页面上选择“创建”。 为创建的配置文件选择策略类型时，新配置文件将显示在列表中。 选择“确定”，然后选择“创建”以保存更改，这会创建配置文件。

有关详细信息，请参阅 Windows Defender 高级威胁防护。

完成工作站配置文件强化

若要成功完成解决方案强化，请下载并执行相应的脚本。 找到所需配置文件级别对应的下载链接：

配置文件	下载位置	Filename
企业	https://aka.ms/securedworkstationgit	Enterprise-Workstation-Windows10-(20H2).ps1
专用	https://aka.ms/securedworkstationgit	Specialized - Windows10-(20H2).ps1
有特权	https://aka.ms/securedworkstationgit	Privileged-Windows10-(20H2).ps1

注意

删除管理权限和访问权限的操作以及应用程序执行控制 (AppLocker) 由所部署的策略配置文件管理。

成功执行脚本后，可以在 Intune 中对配置文件和策略进行更新。 脚本将为你创建策略和配置文件，但你必须将策略分配给“安全工作站”设备组。

• 从此处可以找到脚本创建的 Intune 设备配置文件：Azure 门户>“Microsoft Intune”>“设备配置”>“配置文件”。
• 从此处可以找到脚本创建的 Intune 设备合规性策略：Azure 门户>“Microsoft Intune”>“设备合规性”>“策略”。

运行设备配置 GitHub 存储库上提供的 Intune 数据导出脚本 DeviceConfiguration_Export.ps1，导出所有当前 Intune 配置文件进行比较，并评估配置文件。

在 Microsoft Defender 防火墙的 Endpoint Protection 配置文件中设置规则

Windows Defender 防火墙策略设置包含在 Endpoint Protection 配置文件中。 下表描述了所应用的策略的行为。

配置文件	入站规则	出站规则	合并行为
企业	阻止	允许	允许
专用	阻止	允许	阻止
有特权	阻止	阻止	阻止

企业：此配置最宽松，因为它与 Windows 安装的默认行为非常相似。 此配置会阻止所有入站流量，本地策略规则中显式定义的规则除外，因为本地规则合并设置为允许。 此配置会允许所有出站流量。

专业：此配置更严格，因为它会忽略设备上所有本地定义的规则。 此配置会阻止所有入站流量，包括本地定义的规则。此策略包含两个规则，以允许传递优化服务按预期工作。 此配置会允许所有出站流量。

特权：此配置会阻止所有入站流量，包括本地定义的规则。此策略包含两个规则，以允许传递优化服务按预期工作。 除了允许 DNS、DHCP、NTP、NSCI、HTTP 和 HTTPS 流量的显式规则外，此配置还会阻止出站流量。 此配置不仅可减少设备在网络上暴露的攻击面，还能将设备可建立的出站连接限制为管理云服务所需的连接。

规则	方向	操作	应用程序/服务	协议	本地端口	远程端口
万维网服务（HTTP 流量 - 出站）	出站	允许	全部	TCP	所有端口	80
万维网服务（HTTPS 流量 - 出站）	出站	允许	全部	TCP	所有端口	443
核心网络 - IPv6 的动态主机配置协议（DHCPV6 - 出站）	出站	允许	%SystemRoot%\system32\svchost.exe	TCP	546	547
核心网络 - IPv6 的动态主机配置协议（DHCPV6 - 出站）	出站	允许	Dhcp	TCP	546	547
核心网络 - IPv6 的动态主机配置协议（DHCP - 出站）	出站	允许	%SystemRoot%\system32\svchost.exe	TCP	68	67
核心网络 - IPv6 的动态主机配置协议（DHCP - 出站）	出站	允许	Dhcp	TCP	68	67
核心网络 - DNS（UDP - 出站）	出站	允许	%SystemRoot%\system32\svchost.exe	UDP	所有端口	53
核心网络 - DNS（UDP - 出站）	出站	允许	Dnscache	UDP	所有端口	53
核心网络 - DNS（TCP - 出站）	出站	允许	%SystemRoot%\system32\svchost.exe	TCP	所有端口	53
核心网络 - DNS（TCP - 出站）	出站	允许	Dnscache	TCP	所有端口	53
NSCI 探测（TCP - 出站）	出站	允许	%SystemRoot%\system32\svchost.exe	TCP	所有端口	80
NSCI 探测 - DNS（TCP - 出站）	出站	允许	NlaSvc	TCP	所有端口	80
Windows 时间（UDP - 出站）	出站	允许	%SystemRoot%\system32\svchost.exe	TCP	所有端口	80
Windows 时间探测 - DNS（UDP - 出站）	出站	允许	W32Time	UDP	所有端口	123
传递优化（TCP - 入站）	入站	允许	%SystemRoot%\system32\svchost.exe	TCP	7680	所有端口
传递优化（TCP - 入站）	入站	允许	DoSvc	TCP	7680	所有端口
传递优化（UDP - 入站）	入站	允许	%SystemRoot%\system32\svchost.exe	UDP	7680	所有端口
传递优化（UDP - 入站）	入站	允许	DoSvc	UDP	7680	所有端口

注意

系统为 Microsoft Defender 防火墙配置中的每个规则定义了两个规则。 若要将入站规则和出站规则限制为 Windows 服务（例如 DNS 客户端），则需要将服务名称 DNSCache 和可执行文件路径 C:\Windows\System32\svchost.exe 定义为单独的规则，而不能定义为可能使用组策略的单个规则。

可以根据允许的服务和阻止的服务的需要，对入站规则和出站规则的管理进行其他更改。 有关详细信息，请参阅防火墙配置服务。

URL 锁定代理

限制性 URL 流量管理包括：

• 拒绝除所选 Azure 服务和 Microsoft 服务（包括 Azure Cloud Shell 和允许自助式密码重置的功能）外的所有出站流量。
• “特权”配置文件使用以下 URL 锁定代理配置来限制设备可在 Internet 上连接到的终结点。

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

ProxyOverride 列表中列出的终结点仅限于向 Microsoft Entra ID 进行身份验证以及访问 Azure 或 Office 365 管理接口所需的终结点。 若要扩展到其他云服务，请将其管理 URL 添加到该列表。 此方法旨在限制对更广 Internet 范围的访问，以防止特权用户遭受 Internet 攻击。 如果认为此方法过于严格，可以考虑对特权角色使用下述方法。

启用 Microsoft Defender for Cloud Apps，并将 URL 限制为批准列表中的 URL（大部分允许）

在我们的角色部署中，对于“企业”部署和“专业”部署，其严格的“全部拒绝”Web 浏览策略并不可取，在这种情况下，建议利用云访问安全代理 (CASB)（例如 Microsoft Defender for Cloud Apps）的功能来阻止对有风险和有问题的网站的访问。 此解决方案提供了一种简单的方法，用于阻止已挑选的应用程序和网站。 此解决方案类似于从站点获取对阻止列表的访问权限，例如，Spamhaus Project 维护域阻止列表 (DBL)：此资源适合用作一组高级规则，你可以实现这些高级规则来阻止站点。

此解决方案将带来以下好处：

• 可见性：检测所有云服务；为每个服务分配风险排名；识别能够登录的所有用户和第三方应用
• 数据安全性：识别和控制敏感信息 (DLP)；对内容的分类标签作出响应
• 威胁防护：提供自适应访问控制 (AAC)；提供用户和实体行为分析 (UEBA)；缓解恶意软件的影响
• 合规性：提供展示云治理的报告和仪表板；协助符合数据驻留和法规合规性要求

启用 Defender for Cloud Apps 并连接到 Defender ATP，以阻止访问有风险的 URL：

• 在 Microsoft Defender 安全中心>“设置”>“高级功能”中，设置 Microsoft Defender for Cloud Apps 集成 >“开”
• 在 Microsoft Defender 安全中心>“设置”>“高级功能”中，设置将“自定义网络指示器”>“开”
• 在 Microsoft Defender for Cloud Apps 门户>“设置”>“Microsoft Defender ATP 集成”中，选择“阻止未批准的应用”

管理本地应用程序

如果删除本地应用程序（包括生产力应用程序），则安全工作站会转变为真正的强化状态。 在此处，可以添加 Visual Studio Code，以允许连接到 Azure DevOps for GitHub 来管理代码存储库。

为自定义应用配置公司门户

由 Intune 管理的公司门户副本使你可以按需访问其他工具，并将这些工具推送给安全工作站的用户。

在安全模式下，应用程序安装仅限于公司门户提供的托管应用程序。 但是，安装公司门户时需要访问 Microsoft Store。 在安全解决方案中，为 Autopilot 预配的设备添加并分配 Windows 10 公司门户应用。

注意

请确保将公司门户应用分配给用于分配 Autopilot 配置文件的安全工作站设备标记组。

使用 Intune 部署应用程序

在某些情况下，安全工作站上需要 Microsoft Visual Studio Code 等应用程序。 以下示例提供了有关为“安全工作站用户”安全组中的用户安装 Microsoft Visual Studio Code 的说明。

Visual Studio Code 作为 EXE 包提供，因此需要使用 Microsoft Win32 内容准备工具将其打包为 .intunewin 格式的文件，以便使用 Microsoft Endpoint Manager 进行部署。

将 Microsoft Win32 内容准备工具下载到工作站本地，并将其复制到用于打包的目录，例如 C:\Packages。 然后在 C:\Packages 下创建 Source 目录和 Output 目录。

打包 Microsoft Visual Studio Code

1. 下载脱机安装程序适用于 64 位 Windows 的 Visual Studio Code。
2. 将下载的 Visual Studio Code exe 文件复制到 C:\Packages\Source
3. 打开 PowerShell 控制台并导航至 C:\Packages
4. 键入 .\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1
5. 键入 Y 以创建新的输出文件夹。 系统将在此文件夹中创建 Visual Studio Code 的 intunewin 文件。

将 VS Code 上传到 Microsoft Endpoint Manager

1. 在 Microsoft Endpoint Manager 管理中心中，浏览到“应用”>“Windows”>“添加”
2. 在“选择应用类型”下，选择“Windows 应用(Win32)”
3. 依次单击“选择应用包文件”和“选择文件”，然后选择 C:\Packages\Output\VSCodeUserSetup-x64-1.51.1 中的 VSCodeUserSetup-x64-1.51.1.intunewin。 单击 “确定”
4. 在“名称”字段中输入 Visual Studio Code 1.51.1
5. 在“说明”字段中输入 Visual Studio Code 的说明
6. 在“发布者”字段中输入 Microsoft Corporation
7. 下载 https://jsarray.com/images/page-icons/visual-studio-code.png 并选择徽标图像。 选择下一个
8. 在“安装命令”字段中输入 VSCodeSetup-x64-1.51.1.exe /SILENT
9. 在“卸载命令”字段中输入 C:\Program Files\Microsoft VS Code\unins000.exe
10. 从“设备重新启动行为”中选择“根据返回代码确定行为”。 选择下一个
11. 从“操作系统体系结构”下拉列表中选择“64 位”
12. 从“最低操作系统版本”下拉列表中选择“Windows 10 1903”。 选择下一个
13. 从“规则格式”下拉列表中选择“手动配置检测规则”
14. 单击“添加”，然后从“规则类型”下拉列表中选择“文件”
15. 在“路径”字段中输入 C:\Program Files\Microsoft VS Code
16. 在“文件或文件夹”字段中输入 unins000.exe
17. 从下拉列表中选择“文件或文件夹存在”，然后依次选择“确定”和“下一步”
18. 选择“下一步”，因为此包没有任何依赖项
19. 在“可用于已注册的设备”下选择“添加组”，然后添加“特权用户”组。 单击“选择”以确认组选择。 选择下一个
20. 单击“创建”

使用 PowerShell 创建自定义应用和设置

我们建议的一些配置设置（包括两点 Defender for Endpoint 建议）必须使用 PowerShell 进行设置。 这些配置更改无法通过 Intune 中的策略进行设置。

你还可以使用 PowerShell 来扩展主机管理功能。 GitHub 提供的 PAW-DeviceConfig.ps1 脚本是一个示例脚本，用于配置以下设置：

• 删除 Internet Explorer
• 删除 PowerShell 2.0
• 删除 Windows Media Player
• 删除工作文件夹客户端
• 删除 XPS 打印功能
• 启用并配置休眠
• 实现注册表修复，以启用 AppLocker DLL 规则处理
• 为无法使用 Endpoint Manager 进行设置的两点 Microsoft Defender for Endpoint 建议实现注册表设置。
  • 要求用户在设置网络位置时提升权限
  • 阻止保存网络凭据
• 禁用网络位置向导 - 阻止用户将网络位置设置为专用，从而增加在 Windows 防火墙中暴露的攻击面
• 将 Windows 时间配置为使用 NTP，并将自动时间服务设置为“自动”
• 下载特定图像并将桌面背景设置为该图像，以便轻松地将设备标识为可供使用的特权工作站。

GitHub 提供的 PAW-DeviceConfig.ps1 脚本。

1. 将 PAW-DeviceConfig.ps1 脚本下载到本地设备。
2. 浏览到 Azure 门户>“Microsoft Intune”>“设备配置”>“PowerShell 脚本”>“添加”。 提供脚本的“名称”，并指定“脚本位置”。
3. 选择 配置。
   1. 将“使用已登录的凭据运行此脚本”设置为“否”。
   2. 选择“确定”。
4. 选择创建。
5. 选择“分配”>“选择组”。
   1. 添加“安全工作站”安全组。
   2. 选择“保存”。

使用第一个设备验证并测试部署

此注册假定你将使用物理计算设备。 建议原始设备制造商、经销商、分销商或合作伙伴在采购过程中在 Windows Autopilot 中注册设备。

但是，为了进行测试，可以将虚拟机设置为测试方案。 但请注意，将需要修改个人加入设备的注册，以允许使用此方法加入客户端。

此方法适用于以前未注册的虚拟机或物理设备。

1. 启动设备并等待显示用户名对话框
2. 按 SHIFT + F10 以显示命令提示符
3. 键入 PowerShell 并按 Enter
4. 键入 Set-ExecutionPolicy RemoteSigned 并按 Enter
5. 键入 Install-Script GetWindowsAutopilotInfo 并按 Enter
6. 键入 Y 并按 Enter，以接受 PATH 环境变量更改
7. 键入 Y 并按 Enter，以安装 NuGet 提供程序
8. 键入 Y 以信任存储库
9. 键入并运行 Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv
10. 从虚拟机或物理设备复制 CSV

将设备导入到 Autopilot

1. 在 Microsoft Endpoint Manager 管理中心中，转到“设备”>“Windows 设备”>“Windows 注册”>“设备”

2. 选择“导入”，然后选择 CSV 文件。

3. 等待Group Tag更新为 PAW 且Profile Status更改为Assigned。

   注意

   “安全工作站”动态组使用组标记将设备指定为其组成员。

4. 将设备添加到“安全工作站”安全组。

5. 在要配置的 Windows 10 设备上，转到“Windows 设置”>“更新和安全”>“恢复”。

   1. 在“重置此电脑”下选择“开始”。
   2. 按照提示重置设备，并使用已配置的配置文件与合规性策略进行重新配置。

配置设备后，完成复查并检查配置。 确认第一个设备配置正确，然后再继续进行部署。

分配设备

若要分配设备和用户，需要将所选配置文件映射到安全组。 此外，还必须将需要服务的权限的所有新用户添加到该安全组。

使用 Microsoft Defender for Endpoint 监视和响应安全事件

• 持续观察和监视漏洞和配置错误
• 利用 Microsoft Defender for Endpoint 设置自动散布型动态威胁的优先级
• 通过终结点检测和响应 (EDR) 警报来推动漏洞的关联
• 在调查过程中使用仪表板识别计算机级别漏洞
• 将修正推送到 Intune

配置 Microsoft Defender 安全中心。 使用威胁和漏洞管理仪表板概述中的指南。

使用高级威胁搜寻功能监视应用程序活动

从“专业”工作站开始，AppLocker 启用了对工作站的应用程序活动监视。 默认情况下，Defender for Endpoint 会捕获 AppLocker 事件，高级搜寻查询可用于确定 AppLocker 阻止了哪些应用程序、脚本和 DLL 文件。

注意

“专业”和“特权”工作站配置文件包含 AppLocker 策略。 若要监视客户端上的应用程序活动，则需要部署策略。

从 Microsoft Defender 安全中心的“高级搜寻”窗格中，使用以下查询返回 AppLocker 事件

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

监视

• 了解如何查看暴露评分
• 查看安全建议
• 管理安全修正
• 管理终结点检测和响应
• 使用 Intune 配置文件监视功能监视配置文件。

后续步骤

• 保护特权访问概述
• 特权访问策略
• 度量成功性
• 安全级别
• 特权访问帐户
• 中介
• 接口
• 特权访问设备
• 企业访问模型