Использование базовых показателей безопасности для защиты устройств Windows, которыми вы управляете с помощью Microsoft Intune
С помощью базовых показателей безопасности Microsoft Intune вы можете быстро развернуть рекомендуемую конфигурацию безопасности на управляемых устройствах Windows для базовых показателей безопасности Windows, чтобы обеспечить безопасность и защиту пользователей и устройств.
Хотя Windows и Windows Server обеспечивают защиту по умолчанию, многие организации по-прежнему предпочитают более детальное управление своими конфигурациями безопасности. Чтобы ориентироваться в большом количестве элементов управления, организации часто ищут рекомендации по настройке различных функций безопасности. Корпорация Майкрософт предоставляет эти рекомендации в виде базовых конфигураций безопасности.
Данная функция применяется к:
- Windows 10 версии 1809 и более поздних версий
- Windows 11
Обзор базовых показателей безопасности Intune
Каждый базовый план безопасности — это группа предварительно настроенных параметров Windows, которые помогают применять и применять детализированные параметры безопасности, которые рекомендуют соответствующие группы безопасности. Вы также можете настроить каждую базовую конфигурацию для развертывания, чтобы применять только необходимые вам параметры и значения. При создании профиля базовой конфигурации безопасности в Intune создается шаблон, состоящий из нескольких профилей конфигурации устройства.
Параметры в каждом базовом плане — это параметры конфигурации устройств, как в различных политиках Intune. Каждый параметр в базовом плане работает с поставщиком служб конфигурации для соответствующего продукта, который присутствует на управляемом устройстве Windows.
Чтобы узнать больше о том, зачем и когда вы можете развернуть базовые конфигурации безопасности, см. статью Базовые конфигурации безопасности Windows в документации по безопасности Windows.
Вы развертываете базовые показатели безопасности для групп пользователей или устройств в Intune, а параметры применяются к устройствам под управлением Windows 10 или 11. Например, конфигурация по умолчанию базового плана безопасности для Windows 10 и более поздних версий автоматически включает BitLocker для съемных дисков, автоматически требует пароль для разблокировки устройства, автоматически отключает обычную проверку подлинности и многое другое. Если значение по умолчанию не подходит для вашей среды, выполните настройку базовой конфигурации, чтобы применить нужные параметры.
Примечание.
В мае 2023 г. Intune начал развертывание нового формата базовых показателей безопасности для каждого нового выпуска или обновления версии. Новый формат обновляет базовые параметры, чтобы напрямую принимать их имя и параметры конфигурации от поставщика служб конфигурации (CSP), которым управляет базовый параметр.
Intune также представил новый процесс, помогающий перенести существующий профиль базовых показателей безопасности в более новую версию базовых показателей. Это новое поведение является одноразовым процессом, который заменяет обычное поведение обновления при переходе с последней версии старого профиля на более новую версию, которая стала доступна в мае 2023 г. или более поздней.
Преимущества использования базовых показателей:
Базовые показатели безопасности могут помочь обеспечить сквозной безопасный рабочий процесс при работе с Microsoft 365. Ниже перечислены некоторые преимущества.
- По умолчанию каждый базовый план безопасности настраивается в соответствии с рекомендациями и рекомендациями для параметров, влияющих на безопасность. Intune сотрудничает с той же группой безопасности Windows, которая создает базовые показатели безопасности групповой политики. Эти рекомендации основаны на руководстве и обширном опыте.
- Если вы не знакомы с Intune и не знаете, с чего начать, базовые показатели безопасности дают вам преимущество. Вы можете быстро создавать и развертывать профиль безопасности, зная, что ресурсы и данные вашей организации защищены.
- Если в настоящее время вы используете групповую политику, миграция в Intune для управления упрощается с помощью этих базовых показателей. Эти базовые показатели изначально встроены в Intune и включают в себя современный интерфейс управления.
Параметры по умолчанию в нескольких базовых планах:
Отдельные типы базовых показателей, такие как базовые показатели безопасности MDM для Windows и базовые показатели для Microsoft Defender, могут включать одни и те же параметры и использовать разные значения по умолчанию для этих параметров. Intune не может определить, какая конфигурация подходит вам или даже в какой среде или сценарии может потребоваться использовать одну рекомендацию по умолчанию по умолчанию, а не другую.
- Важно понимать значения по умолчанию в используемых базовых планах, а затем изменять каждый базовый план в соответствии с потребностями организации.
- По умолчанию каждый базовый план предварительно настраивается с помощью рекомендаций, относящихся к продукту, к которому он применяется.
- В некоторых случаях конфигурация, рекомендуемая Microsoft Defender, может не быть конфигурацией по умолчанию для аналогичных параметров, если они рекомендуются Windows. В таких ситуациях важно просмотреть каждый параметр, чтобы понять его намерение на основе сведений о поставщике службы конфигурации и более широкой области двух продуктов.
Почти во всех сценариях параметры по умолчанию в базовых планах безопасности являются самыми строгими. Убедитесь, что эти параметры не конфликтуют с другими параметрами политики или функциями в вашей среде.
Например, параметры по умолчанию для конфигурации брандмауэра не могут объединять правила безопасности подключения и правила локальной политики с правилами MDM. Таким образом, если вы используете оптимизацию доставки, перед назначением базового плана безопасности следует проверить эти конфигурации.
Примечание.
Майкрософт не рекомендует использовать предварительные версии базовых конфигураций безопасности в рабочей среде. Параметры предварительной версии базовой конфигурации могут меняться в ходе жизненного цикла этой версии.
Доступные базовые показатели безопасности
В Intune доступны следующие экземпляры базовых конфигураций безопасности. Перейдя по ссылкам, можно ознакомится с параметрами последних экземпляров каждой базовой конфигурации.
- Базовые показатели безопасности для Windows 10 и более поздних версий:
Базовый план Microsoft Defender для конечной точки:
(Чтобы применить эту базовую конфигурацию, ваша среда должна соответствовать предварительным требованиям для использования решения Microsoft Defender для конечной точки.)Примечание.
Базовые конфигурации безопасности Microsoft Defender для конечной точки оптимизированы для физических устройств; сейчас не рекомендуется использовать их на виртуальных машинах или конечных точках VDI. Некоторые базовые параметры могут влиять на удаленные интерактивные сеансы в виртуализованных средах. Дополнительные сведения см. в статье Повышение уровня соответствия требованиям базового уровня безопасности Microsoft Defender для конечной точки в документации по Windows.
Приложения Microsoft 365 для предприятий:
- Версия 2306 (базовые показатели Office)Выпущена в ноябре 2023 г.
- Май 2023 г. (базовые показатели Office)
Базовые показатели Microsoft Edge.
- Microsoft Edge версии 117 — ноябрь 2023 г.
- Microsoft Edge версии 112 и более поздних — май 2023 г.
- Microsoft Edge версии 85 и более поздних — сентябрь 2020 г.
- Microsoft Edge версии 80 и более поздних — апрель 2020 г.
- Предварительная версия: Microsoft Edge версии 77 и более поздних — октябрь 2019 г.
Базовые показатели безопасности Windows 365:
Когда становится доступной новая версия профиля, параметры профилей на основе старых версий становятся доступными только для чтения. Вы можете продолжать использовать эти старые профили. Вы также можете изменить имена профилей, описание и назначения, но они не поддерживают изменение конфигурации параметров, и вы не можете создавать новые профили на основе более старых версий.
Когда вы будете готовы использовать более новую базовую версию, вы можете создать новые профили или обновить существующие профили до новой версии. См. раздел Изменение версии базовой конфигурации для профиля в статье Управление профилями базовых конфигураций безопасности.
Сведения о версиях и экземплярах базовых показателей
В каждом новом экземпляре версии могут добавляться или удаляться параметры или присутствовать другие изменения. Например, по мере того как новые параметры Windows становятся доступными в новых версиях Windows 10/11, базовый план безопасности для Windows 10 и более поздних версий может получить экземпляр новой версии, содержащий новейшие параметры.
Список доступных базовых показателей можно просмотреть в Центре администрирования Microsoft Intune в разделеБазовые показатели безопасности>конечных точек. В список включены:
- Имя каждого шаблона базовых показателей безопасности.
- число профилей, использующих этот тип базовой конфигурации;
- число доступных отдельных экземпляров (версий) типа базовых показателей;
- дата последней публикации, которая определяет выход последней версии шаблона базовых показателей.
Чтобы просмотреть дополнительные сведения об используемых базовых версиях, выберите тип базовых показателей, например Базовые показатели безопасности для Windows 10 и более поздних версий , чтобы открыть область Профили , а затем выберите Версии. В Intune отобразятся сведения об используемых в ваших профилях версиях базовых показателей. Сведения включают последнюю и текущую версии базовых показателей. Выберите версию, чтобы получить подробные сведения о профилях, в которых используется эта версия.
Вы можете изменить версию базового показателя, используемую в конкретном профиле. При изменении версии вам не нужно создавать профиль базового показателя, чтобы использовать эту обновленную версию. Достаточно выбрать профиль базового показателя и воспользоваться встроенной функцией для замены версии экземпляра для профиля на новую.
Устранение конфликтов
Вы можете одновременно использовать один или несколько доступных базовых показателей в среде Intune. Можно также использовать несколько экземпляров одних и тех же базовых показателей безопасности с различными настройками.
При использовании нескольких базовых показателей безопасности проверьте параметры в каждом из них, чтобы определить, в каких базовых конфигурациях присутствуют конфликтующие значения для одного и того же параметра. Так как можно развернуть базовые показатели безопасности, предназначенные для разных целей, и несколько экземпляров одного и того же базового показателя, которые включают в себя настраиваемые параметры, существует вероятность возникновения конфликтов конфигурации для устройств, которые необходимо исследовать и устранить.
Кроме того, базовые показатели безопасности часто управляют теми же параметрами, которые можно задать с помощью профилей конфигурации устройств или политик других типов. Поэтому помните о других политиках и профилях, чтобы избежать или устранить конфликты.
Сведения, которые могут помочь в выявлении и разрешении конфликтов, см. в разделе:
- Устранение неполадок политик и профилей в Intune
- Мониторинг базовых показателей безопасности и профилей в Microsoft Intune
Вопросы и ответы
Почему именно эти параметры?
Группа безопасности Майкрософт имеет многолетний опыт работы с разработчиками Windows и сообществом по безопасности для создания этих рекомендаций. Параметры этих базовых показателей считаются наиболее важными параметрами конфигурации, связанными с безопасностью. В каждой новой сборке Windows команда корректирует свои рекомендации на основе новых функций.
Есть ли разница в рекомендациях для базовых показателей системы безопасности Windows для групповой политики и Intune?
Та же группа безопасности Майкрософт выбрала и настроила параметры для каждого базового показателя. Intune включает все соответствующие параметры в базовых показателях системы безопасности Intune. В базовых показателях групповой политики есть некоторые параметры, характерные для локального контроллера домена. Эти параметры исключены из рекомендаций Intune. Все остальные параметры одинаковы.
Соответствуют ли базовые конфигурации безопасности Intune требованиям CIS или NIST?
Строго говоря, нет. Чтобы составить свои рекомендации, группа безопасности Майкрософт консультируется с организациями, например с CIS. Однако не существует сопоставления "один к одному" между "cis-совместимыми" и базовыми показателями Майкрософт.
Какие сертификаты имеют базовые показатели безопасности Майкрософт?
Корпорация Майкрософт продолжает публиковать базовые показатели безопасности для объектов групповой политики и средств соответствия безопасности на протяжении уже многих лет. Эти базовые показатели используются многими организациями. Рекомендации в этих базовых показателях основаны на взаимодействии группы безопасности Майкрософт с корпоративными клиентами и внешними агентствами, включая Министерство обороны (DoD), Национальный институт стандартов и технологий (NIST) и другие. Мы делимся нашими рекомендациями и базовыми показателями с этими организациями. Эти организации также имеют свои собственные рекомендации, которые очень похожи на рекомендации Майкрософт. Поскольку управление мобильными устройствами продолжает расти в облаке, корпорация Майкрософт разработала эквивалентные рекомендации MDM этих базовых показателей групповой политики. Многие из этих базовых показателей встроены в Microsoft Intune и включают отчеты о соответствии пользователям, группам и устройствам, которые следуют (или не следуют) базовым планам.
Многие клиенты используют базовые рекомендации Intune в качестве отправной точки, а затем настраивают их в соответствии с требованиями к ИТ и безопасности. Шаблон базовых показателей Microsoft для Windows 10 и более поздних версий был первым базовым показателем для выпуска. Эти базовые показатели созданы в качестве общей инфраструктуры, которая позволяет клиентам в конечном итоге импортировать другие базовые показатели безопасности на основе CIS, NIST и других стандартов.
Миграция из локальных групповых политик Active Directory в чисто облачное решение с использованием Идентификатора Microsoft Entra с Microsoft Intune — это путь. Различные средства из набора средств для обеспечения соответствия требованиям безопасности могут помочь определить облачные параметры на основе базовых показателей безопасности, которые могут заменять локальные конфигурации объектов групповой политики.
Где можно найти сведения об использовании или настройке параметров, доступных в базовых планах безопасности?
Каждый базовый план безопасности управляет конфигурациями устройств, применяя параметры, доступные в поставщике службы конфигурации на устройстве. Например, параметры, применяемые к Microsoft Defender, берутся из поставщика служб CSP Microsoft Defender. Так как Intune является средством конфигурации для этих параметров и не определяет их функциональность или область, документация по CSP владеет содержимым по настройке каждого параметра.
В пользовательском интерфейсе политики базовых показателей безопасности Intune предоставляет текст сведений, взятый из исходного CSP, и ссылку на этот CSP. В некоторых случаях поставщик служб CSP может быть частью большого набора содержимого, включающего в себя упреждающие рекомендации, которые по-прежнему выходят за рамки Intune для включения или дублирования в нашем содержимом. Однако Intune документирует список параметров в каждой базовой версии безопасности и конфигурацию по умолчанию.
Дальнейшие действия
Проверка состояния и мониторинг базовых показателей и профиля
Просмотрите параметры в последних доступных версиях базовых конфигураций:
- Windows 10 и более поздних версий — базовые показатели безопасности MDM
- Базовые показатели Microsoft Defender для конечной точки
- Базовые показатели безопасности приложений Microsoft 365 для предприятий (Office)
- Базовые показатели безопасности Microsoft Edge
- Базовые показатели системы безопасности для Windows 365