Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Intune поддерживает базовые показатели безопасности для аудита устройств Windows с использованием рекомендуемых конфигураций, определенных в руководствах по технической реализации безопасности (STIGs), опубликованных Агентством по информационным системам обороны (DISA). В отличие от других Intune базовых показателей безопасности, которые настраивают и применяют параметры на устройствах, базовые показатели аудита STIG доступны только для чтения. Он оценивает текущее состояние конфигурации устройства и создает подробные отчеты об аудите без изменения параметров.
Этот базовый план предназначен для организаций, которые должны продемонстрировать соответствие требованиям STIG в рамках требований к безопасности Министерства обороны (DoD).
Применимо к:
- Windows 10
- Windows 11
Обзор
Руководства по технической реализации безопасности (STIG) — это стандарты конфигурации, разработанные DISA для DoD. Эти руководства определяют, как следует настроить программное обеспечение, оборудование и сетевые системы для снижения уязвимостей. Федеральные агентства и подрядчики DoD должны следовать STIG и продемонстрировать, что устройства соответствуют требуемым конфигурациям.
Доступные базовые показатели STIG
В Intune доступны следующие базовые показатели аудита STIG:
| Базовый уровень | Версия STIG | Правила | Дата теста |
|---|---|---|---|
| Microsoft Windows 11 STIG SCAP Benchmark | Версия 2, выпуск 7 | 197 | 5 января 2026 г. |
DISA обычно обновляет STIG ежеквартально. Когда Intune делает более новую версию доступной, вы можете создать новый профиль аудита или обновить существующий профиль, чтобы использовать последнюю версию. Дополнительные сведения о правилах в каждом STIG см. в библиотеке DISA STIG.
Что делает базовый план аудита STIG
Базовые показатели аудита STIG Intune помогают организациям с этой оценкой:
- Аудит конфигурации устройства . Аудит оценивает текущие параметры каждого устройства в соответствии с правилами аудита STIG, определенными в схеме, опубликованной DISA.
- Создание подробных отчетов об аудите— Intune создает отчеты об аудите по параметрам и устройствам, которые можно просматривать в Центре администрирования, получать с помощью API Graph Майкрософт или экспортировать в CSV-файл.
- Поддержка отчетов о соответствии XCCDF — результаты аудита сопоставляются с категориями результатов NIST XCCDF (расширяемый формат описания контрольного списка конфигурации), поддерживая формальные форматы отчетности, необходимые аудиторам DISA и DoD.
Примечание.
Хотя базовый план microsoft Windows 11 STIG SCAP Benchmark можно назначить как Windows 10, так и Windows 11 устройствам, правила, которые не применяются к версии операционной системы устройства, считаются неприменимыми.
Важно!
Базовые показатели аудита STIG — это средство, доступное только для аудита . Он не настраивает и не применяет параметры на устройствах. Чтобы обеспечить соответствие устройств требованиям, используйте результаты аудита для выявления пробелов, а затем примените соответствующую конфигурацию с помощью профилей каталога параметров , политик соответствия требованиям или других базовых показателей безопасности.
Предварительные условия
Прежде чем использовать базовый план аудита STIG, убедитесь, что ваша среда соответствует следующим требованиям:
Требования к облаку
Ваша организация должна использовать клиент сообщества для государственных организаций США( GCC High) cloud high (GCC High). Базовые показатели аудита STIG недоступны в коммерческих облачных средах или средах GCC.
Требования к лицензированию
Для базового плана аудита STIG требуется Intune Расширенная аналитика.
Для этой функции требуется подписка в дополнение к Microsoft Intune (план 1) или плану 2. Варианты лицензирования см. в разделах Microsoft Intune планы и цены и планы Microsoft 365 Security Enterprise.
Требования к платформе устройства
Эта функция поддерживает следующие платформы:
- Windows 10
- Windows 11
Методы регистрации
Устройства должны быть зарегистрированы в Intune. Для совместно управляемых устройств ползунок рабочей нагрузки "Конфигурация устройств" должен иметь значение Пилотная Intune или Intune. Базовые показатели аудита STIG доставляются через конвейер конфигурации устройств Intune, поэтому эта рабочая нагрузка должна принадлежать Intune для применения политики аудита.
Требования к ролям
Для создания базовых профилей аудита STIG и управления ими используйте учетную запись с Intune ролью, которая включает следующие разрешения:
- Организация: чтение
- Базовые показатели безопасности: назначение, создание, удаление, чтение, обновление
Встроенная роль Endpoint Security Manager включает эти разрешения. Их также можно добавить в настраиваемую роль.
Вам также требуются разрешения область тегов для групп устройств, которые требуется выполнить аудит.
Создание базового профиля аудита STIG
Чтобы создать базовый профиль аудита STIG, выполните следующие действия.
Войдите в Центр администрирования Microsoft Intune.
Перейдите в разделБазовые показатели безопасности>конечных точек, чтобы просмотреть список доступных базовых показателей.
Выберите Microsoft Windows 11 STIG SCAP Benchmark в списке доступных типов базовых показателей.
Примечание.
Если базовый план STIG не отображается в списке, убедитесь, что клиент соответствует предварительным требованиям для типа клиента и лицензирования.
Выберите Создать профиль.
На вкладке Основное:
- Введите описательное имя для профиля, например аудит STIG — клиенты Windows.
- При необходимости добавьте описание, чтобы уточнить назначение и область этого профиля аудита.
На вкладке Параметры конфигурации настройка не требуется. На этой вкладке подтверждается, что профиль содержит рекомендуемые параметры из текущей версии STIG и что назначение профиля позволяет выполнять аудит этих параметров на целевых устройствах.
Примечание.
Базовый показатель аудита STIG выполняет аудит всех параметров в базовом плане в виде одного профиля. Вы не можете выбрать или изменить отдельные параметры. Правила аудита и их ожидаемые значения определяются DISA в общедоступных файлах тестов SCAP, а не Intune.
На вкладке Теги области при необходимости добавьте область теги, чтобы указать, какие администраторы могут видеть этот профиль.
На вкладке Назначения выберите группы устройств, которые требуется выполнить аудит по базовому плану STIG. Вы можете ориентироваться на все устройства или определенные группы.
Просмотрите параметры на вкладке Проверка и создание , а затем выберите Создать.
После создания профиля и назначения его группам Intune оценивает целевые устройства по базовому плану STIG по мере того, как устройства проверка. Данные отчета об аудите начинают заполняться по мере того, как устройства сообщают о результатах оценки. На появление начальных результатов для новых целевых устройств может потребоваться до 24 часов.
Просмотр результатов аудита STIG
После проверка устройств вы можете просмотреть результаты аудита в представлении Отчет о аудите в Центре администрирования Intune.
Перейдите в разделБазовые показатели безопасности>конечных точеки выберите Microsoft Windows 11 STIG SCAP Benchmark.
Выберите профиль аудита, который требуется проверить.
Выберите Аудит отчета , чтобы загрузить представление отчета. Чтобы начать заполнение данных, может потребоваться выбрать Создать в первый раз.
Состояние назначения устройства
В отчете о состоянии назначения устройств отображаются все устройства, предназначенные для политики, включая устройства в состоянии ожидания назначения политики. Этот отчет используется для подтверждения того, какие устройства получили профиль аудита, и для отслеживания хода выполнения назначения.
| Столбец | Описание |
|---|---|
| Имя устройства | Отображаемое имя устройства, зарегистрированного в Intune. |
| Последний активный пользователь | Последний пользователь, выполнивший вход на устройство. |
| Состояние назначения | Текущее состояние назначения политики для устройства. |
| Время последнего изменения отчета | В последний раз устройство сообщалось о состоянии назначения. |
| Идентификатор устройства Intune | Уникальный идентификатор устройства в Intune. |
| Microsoft Entra идентификатор устройства | Идентификатор устройства в Microsoft Entra ID. |
| Model | Аппаратная модель устройства. |
| Платформа | Платформа операционной системы устройства. |
| идентификатор пользователя Entra | Идентификатор связанного пользователя в Entra идентификатор. |
Отчет об аудите
В отчете Аудит показано, соответствуют ли значения устройств рекомендуемых значений для параметров в базовой версии. Этот отчет содержит сводку по параметрам для всех целевых устройств, чтобы можно было быстро определить, какие правила STIG имеют самые высокие показатели сбоев, и определить приоритеты при работе по исправлению. Каждая строка представляет одно правило STIG и показывает, сколько устройств прошло, завершилось сбоем или сообщило другие состояния для этого правила.
Отчет содержит следующие столбцы:
| Столбец | Описание |
|---|---|
| Имя параметров | Отображаемое имя правила STIG. |
| Идентификатор ссылки | Идентификатор группы STIG для правила. |
| Серьезность | Серьезность правила СТИГ: CAT I (высокий), CAT II (средний) или CAT III (низкий). |
| Устройства успешного выполнения | Количество целевых устройств, которые прошли проверка для этого правила. |
Вы можете отфильтровать отчет по серьезности , чтобы сосредоточиться на определенных областях. Используйте поле Поиск , чтобы найти определенные параметры по имени или идентификатору ссылки.
Детализация для каждого устройства
Выберите число устройств для правила, например число в разделе Успешные устройства, чтобы открыть подробное представление для этого правила. Представление детализации включает в себя:
- Сводная панель, показывающая количество устройств в каждом состоянии: Pending, Not applicable, Success, Error, Conflict и Total.
- Список устройств, в которых отображаются результаты аудита для каждого целевого устройства. Вы можете фильтровать список по состоянию, искать определенные устройства и экспортировать результаты.
Список устройств содержит следующие столбцы:
| Столбец | Описание |
|---|---|
| Имя устройства | Отображаемое имя устройства, зарегистрированного в Intune. |
| Состояние | Результат аудита для этого конкретного параметра на устройстве: Unknown, Not applicable, Pass, Fail, Error или Conflict. |
| Время последнего проверка | В последний раз, когда устройство было зарегистрировано и сообщило о своем состоянии для этого параметра. |
Значения состояния аудита
Каждое устройство вычисляется по параметру и присваивается одно из следующих значений состояния:
| Состояние | Описание | Сопоставление XCCDF |
|---|---|---|
| Unknown | Устройство еще не сообщило результаты для этого параметра. | unknown |
| Не применимо | Параметр не применяется к этому устройству. | notapplicable |
| Пройти | Устройство проходит этот проверка STIG. | успешно |
| Не | Устройство не проверка STIG. | сбой |
| Ошибка | Произошла ошибка при вычислении этого параметра на устройстве. | error |
| Конфликт (Conflict) | Для этого параметра обнаружена конфликтующая политика. | Конфликта |
В столбце сопоставления XCCDF показано, как состояние каждого Intune сопоставляется с категориями результатов NIST XCCDF, используемыми в официальных отчетах DISA аудиторам.
Экспорт данных аудита
Результаты аудита можно экспортировать с помощью следующих методов:
- API Graph массового экспорта (рекомендуется) — используйте API экспорта отчетов Intune, чтобы скачать все данные аудита STIG для клиента в одном задании. Этот подход является наиболее эффективным для крупномасштабных или межтенантных отчетов. Дополнительные сведения см. в статье Массовый экспорт данных аудита STIG.
- Экспорт CSV — используйте параметр Экспорт в представлении отчета об аудите, чтобы скачать результаты для отдельных правил для каждого устройства.
- API Graph для каждого параметра. Используйте кэшированные конечные точки отчетов Microsoft API Graph для получения данных аудита по одному параметру за раз. Этот подход полезен для целевых подстановок, но для полного базового экспорта требуется много вызовов API. Дополнительные сведения см. в статье Использование API Graph для отчетов об аудите STIG.
Актуальность данных
Данные отчета об аудите не в режиме реального времени. Данные отчетов могут отставать от одного до двух циклов проверка устройства за развертыванием политики. После первоначального периода оценки для новых целевых устройств система обновляет данные аудита на основе следующего цикла:
- Каждое устройство оценивает правила STIG локально через регулярные интервалы.
- Устройства проверка со службой Intune периодически сообщать о результатах.
- В зависимости от времени цикла оценки и проверка устройства может возникнуть задержка от одного до двух циклов проверка между оценкой устройства и обновленными данными, отображаемыми в отчете об аудите.
Чтобы обновить отчет с помощью последних доступных данных, нажмите кнопку Создать еще раз в отчете аудита.
Совет
Для устройств, у которых уже есть политика аудита, можно инициировать синхронизацию устройств из Центра администрирования, чтобы получить последние локально кэшированные результаты оценки, не дожидаясь следующего запланированного проверка в.
Использование API Graph для отчетов об аудите STIG
Вы можете использовать API Graph Майкрософт для программного получения данных аудита STIG. Этот подход полезен для интеграции результатов аудита с внешними средствами оценки, автоматизации рабочих процессов отчетов STIG или агрегирования данных оценки в нескольких клиентах.
Примечание.
Используйте конечную точку /beta/ для API Graph вызовов отчетов аудита STIG. Конечная /v1.0/ точка не поддерживает эти вызовы.
Массовый экспорт данных аудита STIG
Для организаций, которым необходимо экспортировать все данные аудита STIG одновременно, используйте API экспорта отчетов Intune вместо шаблона кэшированного отчета для каждого параметра, описанного в следующих разделах. API экспорта отличается тремя способами:
- Без разбиения на страницы — возвращает полный набор данных в одном загружаемом файле, а не требует пропустить или разбиение по страницам в нескольких запросах.
- Нет итерации для каждого параметра — извлекает результаты для всех параметров в одном задании. Шаблон кэшированного отчета требует трех вызовов API на SettingId (создание, опрос, извлечение). Для базового плана с 197 правилами STIG это по крайней мере 591 вызов API для одного клиента. Api экспорта выполняет это в общей сложности от двух до трех вызовов.
- Доставка хранилища BLOB-объектов . Результаты записываются во временный URL-адрес БОЛЬШОго двоичного объекта и загружаются в формате ZIP/CSV, а не возвращаются в тексте HTTP-ответа. Это позволяет обрабатывать большие наборы данных (сотни тысяч строк параметров устройства) без превышения времени ожидания.
Дополнительные сведения о шаблоне API экспорта, включая параметры запроса и ограничения регулирования, см. в статье Экспорт отчетов Intune с помощью API Graph.
При массовом экспорте используется exportJobs конечная точка и выполняется по шаблону создания, опроса и скачивания. Все вызовы используют конечную точку /beta/ .
Проверка подлинности с помощью Microsoft Graph для целевого клиента.
Создайте задание экспорта с запросом POST в
https://graph.microsoft.com/beta/deviceManagement/reports/exportJobs.IndustryBaselinePerSettingDeviceAuditListИспользуйте имя отчета и выберите нужные столбцы:POST https://graph.microsoft.com/beta/deviceManagement/reports/exportJobs { "reportName": "IndustryBaselinePerSettingDeviceAuditList", "filter": "(PolicyId eq '{PolicyId}')", "format": "csv", "select": [ "PolicyId", "SettingId", "DeviceId", "MaxSettingStatus", "UserId", "DeviceName", "PspdpuLastModifiedTimeUtc" ] }Где
{PolicyId}— идентификатор GUID профиля аудита STIG. Сведения о том, как найти PolicyId, см. в разделе Получение Идентификатора политики. Ответ содержитidзначение для задания экспорта.Опрашивание состояния задания с помощью запроса GET до тех пор, пока не
statusвернетcompleted:GET https://graph.microsoft.com/beta/deviceManagement/reports/exportJobs('{exportJobId}')Где
{exportJobId}— значение,idвозвращенное на предыдущем шаге.По завершении задания ответ включает поле с временным каналом
urlхранилища BLOB-объектов. Скачайте ZIP-файл из этого URL-адреса. ZIP-файл содержит CSV-файл со всеми результатами аудита STIG для клиента.
Получение метаданных базовых показателей
Начните с получения метаданных о шаблоне базового плана STIG. Вам потребуется шаблон id из этого ответа, чтобы найти PolicyId на следующем шаге.
GET /beta/deviceManagement/templates?$filter=templateFamily eq 'baseline'
Ответ включает следующие поля для шаблона базового плана STIG:
| Поле | Описание |
|---|---|
| displayName | Полное имя теста производительности (например, Техническое руководство по обеспечению безопасности Microsoft Windows 11). |
| displayVersion | Версия и выпуск STIG (например, версия 2, дата выпуска 7 производительности: 05 января 2026 г.). |
| settingTemplateCount | Количество правил STIG в базовом плане (например, 197). |
| baseId | Идентификатор базового плана STIG. Это значение глобально согласовано в разных клиентах для одного теста производительности STIG. |
| id | Идентификатор конкретной версии STIG. Используйте это значение в качестве на templateId следующем шаге. Это значение глобально согласовано в разных клиентах для одной и той же версии. |
Получение Идентификатора политики
Прежде чем вызывать API отчетов, вам потребуется Идентификатор политики (GUID) профиля аудита STIG. Вы можете найти PolicyId в Центре администрирования или получить его программными средствами с помощью API Graph.
центр Администратор — откройте политику аудита STIG в центре администрирования Intune и скопируйте GUID из URL-адреса после
/policyID/. Этот GUID зависит от клиента.API Graph — используйте шаблон
idиз предыдущего раздела, чтобы получить список всех политик, созданных на основе этого шаблона:GET /beta/deviceManagement/configurationPolicies?$filter=templateReference/templateId eq '{templateId}'Где
{templateId}— идентификатор шаблона, полученный в предыдущем разделе (например,c64bf257-bce5-4c4d-8ad8-03222f13d84c_1). Полемidв каждой возвращаемой политике является PolicyId , используемый в вызовах API отчета.
Примечание.
Идентификаторы политик зависят от клиента и изменяются при обновлении клиента до новой версии STIG. Для организаций, которые объединяют данные аудита STIG в нескольких клиентах, например для программы непрерывного мониторинга DISA и оценки рисков (CMRS), выполните этот вызов обнаружения в каждом клиенте, чтобы найти текущий PolicyId. Идентификаторы параметров глобально согласованы между клиентами для определенной версии шаблона STIG, поэтому вы можете сопоставлять результаты между клиентами с помощью SettingId.
Получение сводки по аудиту политики
После получения Идентификатора политики можно получить сводку всех параметров STIG с количеством устройств, которые были переданы для каждого правила. В этом отчете отображаются те же данные, что и в представлении отчета о аудите в Центре администрирования.
В отчете по политике используется трехэтапный шаблон: создайте конфигурацию кэшированного отчета, отслеживайте его состояние, а затем извлеките результаты.
Шаг 1. Создание конфигурации кэшированного отчета.
POST /beta/deviceManagement/reports/cachedReportConfigurations
{
"id": "IndustryBaselinePerSettingDeviceAuditSummary_<PolicyId>",
"filter": "(PolicyId eq '<PolicyId>')",
"orderBy": [],
"select": [
"SettingName",
"SettingId",
"StigRuleId",
"StigSeverity",
"NumberOfCompliantDevices"
]
}
Шаг 2. Мониторинг состояния отчета (повторяйте, пока состояние не будет завершено):
GET /beta/deviceManagement/reports/cachedReportConfigurations('IndustryBaselinePerSettingDeviceAuditSummary_<PolicyId>')
Шаг 3. Получение результатов:
POST /beta/deviceManagement/reports/getCachedReport
{
"id": "IndustryBaselinePerSettingDeviceAuditSummary_<PolicyId>",
"filter": "(PolicyId eq '<PolicyId>')",
"orderBy": [],
"select": [
"SettingName",
"SettingId",
"StigRuleId",
"StigSeverity",
"NumberOfCompliantDevices"
],
"skip": 0,
"top": 50
}
Столбцы ответа:
| Столбец | Описание |
|---|---|
| SettingName | Отображаемое имя правила STIG, как описано в документации по STIG. |
| SettingId | Уникальный идентификатор параметра в Intune. Это значение глобально согласовано между клиентами для одной и той же версии шаблона STIG. |
| StigRuleId | Идентификатор правила DISA STIG (например, SV-253275r828909), который сопоставляется с исходным тестом производительности STIG. |
| StigSeverity | Серьезность правила STIG: высокий (CAT I), средний (CAT II) или низкий (CAT III). |
| NumberOfCompliantDevices | Количество целевых устройств, которые прошли этот конкретный проверка STIG. |
Получение сведений об устройстве для каждого параметра
Чтобы определить, какие устройства прошли или завершили сбой определенного правила STIG, используйте отчет для каждого параметра. Этот отчет соответствует той же трехшаговой схеме. Вам потребуются идентификаторы PolicyId и SettingId (полученные из результатов отчета по политике).
Шаг 1. Создание конфигурации кэшированного отчета.
POST /beta/deviceManagement/reports/cachedReportConfigurations
{
"id": "IndustryBaselinePerSettingDeviceAuditList_<PolicyId>",
"filter": "(PolicyId eq '<PolicyId>') and (SettingId eq '<SettingId>')",
"orderBy": [],
"select": [
"DeviceName",
"MaxSettingStatus",
"PspdpuLastModifiedTimeUtc"
]
}
Шаг 2. Мониторинг состояния отчета:
GET /beta/deviceManagement/reports/cachedReportConfigurations('IndustryBaselinePerSettingDeviceAuditList_<PolicyId>')
Шаг 3. Получение результатов:
POST /beta/deviceManagement/reports/getCachedReport
{
"id": "IndustryBaselinePerSettingDeviceAuditList_<PolicyId>",
"filter": "(PolicyId eq '<PolicyId>') and (SettingId eq '<SettingId>')",
"orderBy": [],
"select": [
"DeviceName",
"MaxSettingStatus",
"PspdpuLastModifiedTimeUtc"
],
"skip": 0,
"top": 50
}
Столбцы ответа:
| Столбец | Описание |
|---|---|
| DeviceName | Отображаемое имя устройства, зарегистрированного в Intune. |
| MaxSettingStatus | Целое число, представляющее состояние аудита параметра на устройстве. Полное сопоставление см. в разделе Значения состояния аудита . |
| PspdpuLastModifiedTimeUtc | В последний раз устройство регистрировало в службе Intune и сообщило о состоянии этого параметра в формате UTC. Используйте эту метку времени для определения устаревших данных или разработки стратегий добавочной синхронизации. |
Общие сведения о поведении только аудита
Базовые показатели аудита STIG отличаются от других Intune базовых показателей безопасности:
| Возможность | Базовые конфигурации | Базовые показатели аудита STIG |
|---|---|---|
| Отправка параметров на устройства | Да | Нет |
| Изменяет конфигурацию устройства | Да | Нет |
| Состояние оценки отчетов | Да (доставка политики) | Да (оценка ценности на устройстве) |
| Настраиваемые параметры | Да | Нет (все правила проверены) |
| Может конфликтовать с другими политиками | Да | Нет |
| Доступно в коммерческом облаке | Да | Нет (только GCC High) |
| Поддерживает экспорт CSV-файлов и API Graph | Да | Да |
| Сопоставление результатов XCCDF | Недоступно | Да |
Так как базовый план аудита STIG не отправляет конфигурацию на устройства, он не конфликтует с другими Intune политиками или базовыми планами. Его можно безопасно развернуть вместе с существующими базовыми планами конфигурации, политиками соответствия требованиям и профилями конфигурации устройств.
Исправление результатов аудита STIG
Базовый план аудита STIG определяет пробелы в конфигурации, но не устраняет их. Используйте следующие подходы, чтобы обеспечить соответствие устройств требованиям.
- Профили каталога параметров— создание или обновление профилей каталога параметров в Intune для применения определенных параметров, определенных аудитом STIG. Этот подход рекомендуется для исправления STIG.
- Intune базовые показатели безопасности— базовые показатели безопасности Windows MDM применяют множество параметров, которые перекрываются с требованиями STIG.
- Политики соответствия требованиям . Используйте политики соответствия для определения требований и принятия мер, когда устройства не соответствуют требованиям.
- групповая политика (гибридные среды) — для совместно управляемых сред используйте групповая политика для параметров, которые еще не доступны через Intune.
Правила STIG, требующие проверки вручную
Вы не можете автоматически оценить некоторые правила STIG, так как они требуют физической проверки, административного суждения или проверки условий, которые поставщики служб конфигурации устройства не могут обнаружить. Отчет об аудите исключает эти правила. Оцените их с помощью отдельных ручных процедур. Ваша организация должна создать процесс для оценки и документирования соответствия этим правилам.
Для проверки вручную требуются следующие правила STIG:
| Идентификатор правила | Описание |
|---|---|
| V-253256 | Windows 11 системы должны иметь встроенное ПО UEFI и должны работать в режиме UEFI, а не в устаревшем BIOS. |
| V-253258 | Windows 11 должны использовать автоматизированные механизмы для определения состояния системных компонентов в отношении исправления ошибок. |
| V-253262 | Операционная система должна использовать политику запрета на все, разрешать по исключениям, чтобы разрешить выполнение авторизованных программ. |
| V-253269 | Только учетные записи, отвечающие за администрирование системы, должны иметь права администратора в системе. |
| V-253276 | SnMP не должен быть установлен в системе. |
| V-253280 | Файлы установки сертификатов программного обеспечения должны быть удалены из Windows 11. |
| V-253281 | В системе должен быть установлен и включен брандмауэр на основе узла. |
| V-253282 | Входящие исключения брандмауэра на рабочих станциях домена должны разрешать только авторизованные узлы удаленного управления. |
| V-253290 | Потерянные идентификаторы безопасности должны быть удалены из прав пользователя на Windows 11. |
| V-253291 | Bluetooth должен быть отключен, если это не одобрено организацией. |
| V-253292 | Если bluetooth не используется, необходимо отключить. |
| V-253293 | Система должна уведомить пользователя о попытке подключения устройства Bluetooth. |
| V-253294 | Учетные записи администратора не должны использоваться с приложениями, которые имеют доступ к Интернету. |
| V-253296 | Служба времени Windows 11 должна синхронизироваться с соответствующим источником времени DOD. |
| V-253340 | Разрешения для журнала событий приложений должны препятствовать доступу учетных записей, не являющихся привилегированными. |
| V-253341 | Разрешения для журнала событий безопасности должны запрещать доступ для не привилегированных учетных записей. |
| V-253342 | Разрешения для системного журнала событий должны препятствовать доступу для учетных записей, не являющихся привилегированными. |
| V-253430 | В хранилище ненадежных сертификатов сертификатов должны быть установлены кросс-сертификаты корневого ЦС DOD DOD CCEB Interoperability. |
| V-253431 | Разрешения по умолчанию для куста реестра HKEY_LOCAL_MACHINE должны поддерживаться. |
| V-253452 | Преобразование анонимного идентификатора безопасности или имени запрещено. |
| V-268318 | Windows 11 системах необходимо использовать групповая политика или утвержденный продукт MDM для обеспечения соответствия требованиям STIG. |
Известные ограничения
- Только аудит — базовые показатели аудита STIG не применяются и не исправляют параметры. Используйте профили каталога параметров для настройки.
- Нет пользовательских базовых показателей — вы не можете отправить настраиваемые профили STIG. Базовый план включает полный набор правил STIG для поддерживаемого теста производительности.
- Нет фактических значений устройства. В отчете Аудит отображается результат прохождения или сбоя каждого правила проверка, но фактическое значение конфигурации на устройстве не отображается.
- Отдельная базовая версия . Для создания профилей аудита можно использовать только последнюю поддерживаемую базовую версию. Нельзя создавать профили для более старых базовых версий. Тем не менее профили, созданные ранее в более старой версии, остаются доступными для запуска.
- Только GCC High — базовый план аудита STIG недоступен в коммерческих, облачных средах GCC или DoD.
- Создание профилей только для пользовательского интерфейса. Профили аудита STIG необходимо создавать с помощью центра администрирования Intune. Создание профиля на основе API не поддерживается.
- Задержка данных — данные аудита не в режиме реального времени. Между оценкой устройства и данными, отображаемыми в отчете, может быть задержка в несколько часов. Дополнительные сведения см. в разделе Актуальность данных.
Вопросы и ответы
Применяет ли базовый план аудита STIG параметры на устройствах?
Нет. Базовые показатели аудита STIG доступны только для аудита. Он оценивает текущую конфигурацию устройства и сообщает, соответствует ли каждое устройство рекомендованным значениям STIG. Он не изменяет и не принудительно применяет какие-либо параметры. Чтобы исправить результаты, настройте соответствующие политики с помощью каталога параметров или других Intune типов политик.
Какую версию STIG использует базовый план?
Первоначальный базовый аудит microsoft Windows 11 STIG SCAP Benchmark, версия 2, выпуск 7 (дата теста: 5 января 2026 г.). После того как Intune сделает более новую версию доступной, необходимо создать новый профиль аудита или обновить существующий профиль, чтобы использовать эту более новую версию.
Можно ли использовать базовые показатели аудита STIG в коммерческом облачном клиенте?
Нет. Базовый план аудита STIG доступен только для клиентов GCC High .
Можно ли настроить, какие правила STIG проверяются?
Нет. Базовый план аудита STIG оценивает все правила в поддерживаемом эталонном тесте как единый профиль. Невозможно выбрать подмножество правил для аудита. Правила CAT I, CAT II и CAT III включены в один базовый план. Отдельные профили по категории серьезности отсутствуют.
Конфликтует ли базовый план аудита STIG с другими базовыми показателями или политиками?
Нет. Так как базовые показатели аудита STIG доступны только для чтения и не отправляют конфигурацию на устройства, она не конфликтует с другими базовыми показателями Intune, политиками соответствия требованиям или профилями конфигурации устройств.
Разделы справки найти PolicyId для вызовов API Graph?
Откройте политику аудита STIG в Центре администрирования Intune и скопируйте GUID из URL-адреса после /policyID/. Вы также можете получить PolicyId программным способом с помощью API Graph. Оба метода см. в разделе Получение Идентификатора политики.
Можно ли агрегировать данные аудита STIG для нескольких клиентов?
Да. Используйте API Graph для программного обнаружения политик аудита и получения данных аудита между клиентами. Идентификаторы параметров глобально согласованы между клиентами для одной и той же версии шаблона STIG, поэтому вы можете сопоставить результаты, задав их. Идентификаторы политик зависят от клиента, и их необходимо обнаружить для каждого клиента. Дополнительные сведения см. в разделе Получение Идентификатора политики.
Связанные материалы
- Обзор базовых показателей безопасности. Сведения обо всех доступных Intune базовых планах безопасности.
- Создание профилей базовых показателей безопасности. Узнайте, как развернуть базовые конфигурации в Intune.
- Мониторинг базовых показателей — мониторинг состояния соответствия базовым планам.
- Microsoft Intune для правительства США GCC High и DoD - Узнайте о высоком сервисе GCC Intune.
- DISA STIGs — доступ к полной библиотеке STIG из DISA.
- Тесты производительности DISA SCAP . Скачайте файлы тестов SCAP, используемые для создания профилей аудита STIG.