Geprivilegieerde toegangsimplementatie

Dit document begeleidt u bij het implementeren van de technische onderdelen van de strategie voor bevoegde toegang, waaronder beveiligde accounts, werkstations en apparaten en interfacebeveiliging (met beleid voor voorwaardelijke toegang).

Met deze richtlijnen worden alle profielen voor alle drie beveiligingsniveaus ingesteld en moeten uw organisatierollen worden toegewezen op basis van de richtlijnen voor beveiligingsniveaus voor bevoegde toegang . Microsoft raadt u aan deze te configureren in de volgorde die wordt beschreven in het rapid modernisatieplan (RAMP)

Licentievereisten

Bij de concepten in deze handleiding wordt ervan uitgegaan dat u Microsoft 365 Enterprise E5 of een gelijkwaardig product hebt. Sommige van de aanbevelingen in deze handleiding kunnen worden geïmplementeerd met andere licenties. Zie Microsoft 365 Enterprise-licentieverlening voor meer informatie.

Als u het inrichten van licenties wilt automatiseren, kunt u groepslicenties voor uw gebruikers overwegen.

configuratie van Microsoft Entra

Microsoft Entra ID beheert gebruikers, groepen en apparaten voor uw beheerderswerkstations. Schakel identiteitsservices en -functies in met een beheerdersaccount.

Wanneer u het beveiligde beheerdersaccount voor werkstations maakt, maakt u het account beschikbaar op uw huidige werkstation. Zorg ervoor dat u een bekend veilig apparaat gebruikt om deze initiële configuratie en alle globale configuraties uit te voeren. Als u de blootstelling aan aanvallen voor de eerste keer wilt verminderen, kunt u overwegen de richtlijnen te volgen om malware-infecties te voorkomen.

Meervoudige verificatie vereisen, ten minste voor uw beheerders. Zie Voorwaardelijke toegang: MFA voor beheerders vereisen voor richtlijnen voor implementatie.

Microsoft Entra gebruikers en groepen

1. Blader in de Azure portal naar Microsoft Entra ID>Gebruikers>Nieuwe gebruiker.

2. Voer het volgende in:

   • Naam : beveiligde werkstationgebruiker
   • Gebruikersnaam - secure-ws-user@contoso.com
   • Directory-rol - Beperkte beheerder en selecteer de rol Intune-beheerder .
   • Gebruikslocatie : bijvoorbeeld Verenigd Koninkrijk of uw gewenste locatie in de lijst.

3. Klik op Creëren.

Maak een apparaatbeheerder-gebruiker aan.

1. Voer het volgende in:

   • Naam - Beheerder van beveiligd werkstation
   • Gebruikersnaam - secure-ws-admin@contoso.com
   • Directory-rol - Beperkte beheerder en selecteer de rol Intune-beheerder .
   • Gebruikslocatie : bijvoorbeeld Verenigd Koninkrijk of uw gewenste locatie in de lijst.

2. Klik op Creëren.

Vervolgens maakt u vier groepen: Beveiligde Werkstationgebruikers, Beveiligde Werkstationbeheerders, Emergency BreakGlass en Beveiligde Werkstationapparaten.

Blader in de Azure portal naar Microsoft Entra ID>Groups>Nieuwe groep.

1. Voor de gebruikersgroep van het werkstation wilt u mogelijk groepslicenties configureren om het inrichten van licenties voor gebruikers te automatiseren.

2. Voer voor de gebruikersgroep van het werkstation het volgende in:

   • Groepstype - Beveiliging
   • Groepsnaam - Gebruikers van beveiligd werkstation
   • Lidmaatschapstype - Toegewezen

3. Voeg uw beveiligde werkstationgebruiker toe: secure-ws-user@contoso.com

4. U kunt alle andere gebruikers toevoegen die beveiligde werkstations gebruiken.

5. Klik op Creëren.

6. Voer voor de groep Bevoegde werkstationadministrators het volgende in:

   • Groepstype - Beveiliging
   • Groepsnaam - Beveiligde werkstationbeheerders
   • Lidmaatschapstype - Toegewezen

7. Voeg uw beveiligde werkstationgebruiker toe: secure-ws-admin@contoso.com

8. U kunt alle andere gebruikers toevoegen die beveiligde werkstations beheren.

9. Klik op Creëren.

10. Voer voor de groep Emergency BreakGlass het volgende in:

    • Groepstype - Beveiliging
    • Groepsnaam - Emergency BreakGlass
    • Lidmaatschapstype - Toegewezen

11. Klik op Creëren.

12. Voeg accounts voor noodtoegang toe aan deze groep.

13. Voer voor de groep werkstationapparaten het volgende in:

    • Groepstype - Beveiliging
    • Groepsnaam - Beveiligde werkstationapparaten
    • Lidmaatschapstype - Dynamisch apparaat
    • Dynamische lidmaatschapsregels - (device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")

14. Klik op Creëren.

apparaatconfiguratie Microsoft Entra

Opgeven wie apparaten kan toevoegen aan Microsoft Entra ID

Configureer de instellingen voor uw apparaten in Active Directory zodat uw beveiligingsgroep met beheerdersrechten apparaten aan uw domein kan koppelen. Ga als volgt te werk om deze instelling te configureren vanuit de Azure-portal:

1. Ga naar Microsoft Entra ID>Devices>Device settings.
2. Kies Selected onder Gebruikers kunnen apparaten toevoegen aan Microsoft Entra ID en selecteer vervolgens de groep Beveiligd werkstationgebruikers.

Lokale beheerdersrechten verwijderen

Voor deze methode moeten gebruikers van de VIP-, DevOps- en Privileged-werkstations geen beheerdersrechten hebben op hun computers. Ga als volgt te werk om deze instelling te configureren vanuit de Azure-portal:

1. Ga naar Microsoft Entra ID>Devices>Device settings.
2. Selecteer None onder Aangevoegde lokale beheerders op Microsoft Entra gekoppelde apparaten.

Raadpleeg Het beheren van de lokale beheerdersgroep op Microsoft Entra gekoppelde apparaten voor meer informatie over het beheren van leden van de lokale beheerdersgroep.

Meervoudige verificatie vereisen om apparaten te koppelen

Om het proces van het toevoegen van apparaten aan Microsoft Entra ID verder te versterken:

1. Ga naar Microsoft Entra ID>Devices>Device settings.
2. Selecteer Ja onder Multi-Factor Authentication vereisen om apparaten aan te melden.
3. Selecteer Opslaan.

Mobile Device Management configureren

Vanuit de Azure-portal:

1. Blader naar Microsoft Entra ID>Mobility (MDM en MAM)>Microsoft Intune.
2. Wijzig de instelling van het MDM-gebruikersbereik in Alles.
3. Selecteer Opslaan.

Met deze stappen kunt u elk apparaat beheren met Microsoft Intune. Zie Automatische inschrijving instellen voor Windows 10/11-apparaten voor meer informatie. U maakt Intune-configuratiebeleid en -nalevingsbeleid in een toekomstige stap.

Voorwaardelijke toegang Microsoft Entra

Microsoft Entra voorwaardelijke toegang kan helpen bij het beperken van bevoegde beheertaken tot compatibele apparaten. Vooraf gedefinieerde leden van de groep Gebruikers van beveiligd werkstation zijn vereist voor het uitvoeren van meervoudige verificatie bij het aanmelden bij cloudtoepassingen. Het is een best practice om accounts voor toegang tot noodgevallen uit te sluiten van het beleid. Voor meer informatie, zie Beheeraccounts voor noodgevallen in Microsoft Entra ID.

Voorwaardelijke toegang waardoor beveiligde werkstations alleen toegang hebben tot Azure-portal

Organisaties moeten voorkomen dat bevoegde gebruikers vanaf niet-PAW-apparaten verbinding kunnen maken met cloudbeheerinterfaces, portals en PowerShell.

Als u wilt voorkomen dat onbevoegde apparaten toegang hebben tot cloudbeheerinterfaces, volgt u de richtlijnen in het artikel Voorwaardelijke toegang: Filters voor apparaten (preview). Het is essentieel dat u bij het implementeren van deze functie, rekening houdt met de accountfunctionaliteit voor noodtoegang. Deze accounts mogen alleen worden gebruikt voor extreme gevallen en moeten beheerd worden door middel van beleid.

Deze beleidsset zorgt ervoor dat uw beheerders een apparaat moeten gebruiken dat een specifieke waarde voor het apparaatkenmerk kan presenteren, dat aan MFA is voldaan en dat het apparaat is gemarkeerd als compatibel door Microsoft Intune en Microsoft Defender voor Eindpunt.

Organisaties moeten ook overwegen verouderde verificatieprotocollen in hun omgevingen te blokkeren. Zie het artikel Hoe to: Verouderde verificatie blokkeren voor Microsoft Entra ID met voorwaardelijke toegang voor meer informatie over het blokkeren van verouderde verificatieprotocollen.

configuratie van Microsoft Intune

Weigeren BYOD voor apparaatinschrijving

In ons voorbeeld raden we aan dat BYOD-apparaten niet zijn toegestaan. Door gebruik te maken van Intune BYOD-inschrijving kunnen gebruikers apparaten inschrijven die minder of helemaal niet worden vertrouwd. Het is echter belangrijk om te weten dat organisaties met een beperkt budget voor de aanschaf van nieuwe apparaten, die het gebruik van hun bestaande hardwarevloot overwegen of niet-Windows-apparaten in beschouwing nemen, rekening kunnen houden met de BYOD-functionaliteit in Intune om het Enterprise-profiel te implementeren.

De volgende richtlijnen configureren inschrijving voor implementaties die BYOD-toegang weigeren.

Inschrijvingsbeperkingen instellen die BYOD verhinderen

1. In het Microsoft Intune-beheercentrum kies je >Apparaten>Registratiebeperkingen> kies de standaardbeperking Alle gebruikers
2. Selecteer Eigenschappen> Platforminstellingen Bewerken
3. Selecteer Block voor alle typen, met uitzondering van Windows MDM.
4. Selecteer Blokkeren voor alle items in persoonlijk eigendom.

Een Autopilot-implementatieprofiel maken

Nadat u een apparaatgroep hebt gemaakt, moet u een implementatieprofiel maken om de Autopilot-apparaten te configureren.

1. In het Microsoft Intune-beheercentrum, kies Device-inschrijving>Windows enrollment>Deployment Profiles>Create Profile.

2. Voer het volgende in:

   • Naam: implementatieprofiel voor beveiligd werkstation.
   • Beschrijving: implementatie van beveiligde werkstations.
   • Stel Alle doelapparaten omzetten naar Autopilot in op Ja. Deze instelling zorgt ervoor dat alle apparaten in de lijst worden geregistreerd bij de Autopilot-implementatieservice. 48 uur toestaan voordat de registratie wordt verwerkt.

3. Kies Volgende.

   • Kies Self-Deploying (preview) voor deimplementatiemodus. Apparaten met dit profiel zijn gekoppeld aan de gebruiker die het apparaat inschrijft. Tijdens de implementatie is het raadzaam om de kenmerken van de zelf-implementatiemodus te gebruiken om het volgende te omvatten:
     • Hiermee wordt het apparaat ingeschreven bij Intune Microsoft Entra automatische MDM-inschrijving en wordt alleen toegang tot een apparaat toegestaan totdat alle beleidsregels, toepassingen, certificaten en netwerkprofielen op het apparaat zijn ingericht.
     • Gebruikersreferenties zijn vereist om het apparaat in te schrijven. Het is essentieel om te weten dat u met het implementeren van een apparaat in de modus Zelf implementeren laptops in een gedeeld model kunt implementeren. Er gebeurt geen gebruikerstoewijzing totdat het apparaat voor het eerst is toegewezen aan een gebruiker. Als gevolg hiervan wordt gebruikersbeleid zoals BitLocker pas ingeschakeld als een gebruikertoewijzing is voltooid. Zie geselecteerde profielen voor meer informatie over het aanmelden bij een beveiligd apparaat.
   • Selecteer uw taal (regio), standaard gebruikersaccounttype.

4. Kies Volgende.

   • Selecteer een scoptag als u er vooraf een hebt geconfigureerd.

5. Kies Volgende.

6. Kies Toewijzingen>toewijzen aan>geselecteerde groepen. In Groepen selecteren die u wilt opnemen, kies Beveiligde werkstationapparaten.

7. Kies Volgende.

8. Selecteer Maken om het profiel te maken. Het Autopilot-implementatieprofiel is nu beschikbaar om toe te wijzen aan apparaten.

Apparaatinschrijving in Autopilot biedt een andere gebruikerservaring op basis van het apparaattype en de rol. In ons implementatievoorbeeld laten we een model zien waarin de beveiligde apparaten bulksgewijs worden geïmplementeerd en kunnen worden gedeeld, maar wanneer het voor het eerst wordt gebruikt, wordt het apparaat toegewezen aan een gebruiker. Zie Windows Autopilot registratie voor meer informatie.

Pagina Status van inschrijving

Op de pagina Status van inschrijving (ESP) wordt de voortgang van de configuratie weergegeven nadat een nieuw apparaat is geregistreerd. Om ervoor te zorgen dat apparaten volledig zijn geconfigureerd voordat ze worden gebruikt, biedt Intune een middel om apparaatgebruik te blokkeren totdat alle apps en profielen zijn geïnstalleerd.

Paginaprofiel voor inschrijvingsstatus maken en toewijzen

1. Kies in het Microsoft Intune-beheercentrumDevices>Windows>Windows inschrijving>Pagina Status van inschrijving>Profiel maken.
2. Geef een naam en beschrijving op.
3. Kies Maken.
4. Kies het nieuwe profiel in de lijst statuspagina van de inschrijving.
5. Stel de voortgang van de installatie van het app-profiel in op Ja.
6. Stel apparaatgebruik blokkeren in totdat alle apps en profielen zijn geïnstalleerd op Ja.
7. Kies Toewijzingen>Selecteer groepen> kies Secure Workstation groep >Selecteer>Opslaan.
8. Kies Instellingen> de instellingen die u wilt toepassen op dit profiel >Opslaan.

Windows Update configureren

Het up-to-date houden van Windows 10 is een van de belangrijkste dingen die u kunt doen. Als u Windows in een veilige status wilt behouden, implementeert u een update-ring om het tempo te beheren dat updates worden toegepast op werkstations.

Deze richtlijnen raden u aan een nieuwe updatering te maken en de volgende standaardinstellingen te wijzigen:

1. Kies in het Microsoft Intune-beheercentrumDevices>Software-updates>Windows 10 Update-ringen.

2. Voer het volgende in:

   • Naam Azure-beheerde werkstationupdates
   • Servicekanaal - Halfjaarlijks kanaal
   • Uitstel van kwaliteitsupdate (dagen) - 3
   • Uitstelperiode voor onderdelenupdates (dagen) - 3
   • Gedrag van automatische updates - Automatisch installeren en opnieuw opstarten zonder controle van eindgebruikers
   • Voorkomen dat gebruiker Windows-updates kan pauzeren - Block
   • Goedkeuring van de gebruiker vereisen om buiten werkuren opnieuw op te starten - vereist
   • Gebruiker toestaan opnieuw op te starten (gepland opnieuw opstarten) - vereist
   • Gebruikers overschakelen naar betrokken herstart na een automatisch opnieuw opstarten (dagen) - 3
   • Herinnering voor het uitstellen van opnieuw opstarten (dagen) - 3
   • Instellen van de deadline voor hangende herstarts (dagen) - 3

3. Klik op Creëren.

4. Voeg op het tabblad Toewijzingen de groep Beveiligde werkstations toe.

Zie Policy CSP - Update voor meer informatie over Windows Update beleidsregels.

Microsoft Defender voor Eindpunt Intune-integratie

Microsoft Defender voor Eindpunt en Microsoft Intune samenwerken om beveiligingsschendingen te voorkomen. Ze kunnen ook de impact van schendingen beperken. Deze mogelijkheden bieden realtime detectie van bedreigingen en maken uitgebreide controle en logboekregistratie van de eindpuntapparaten mogelijk.

De integratie van Windows Defender voor Eindpunt en Microsoft Intune configureren:

1. Kies in het Microsoft Intune-beheercentrumEndpoint Security>Microsoft Defender ATP.

2. Selecteer bij stap 1 onder Configuring Windows Defender ATP: "Connect Windows Defender ATP to Microsoft Intune in Windows Defender Security Center".

3. In het Windows Defender Security Center:

   1. Selecteer Instellingen>Geavanceerde functies.
   2. Voor Microsoft Intune-verbinding kiest u On.
   3. Selecteer Voorkeuren voor opslaan.

4. Nadat een verbinding tot stand is gebracht, gaat u terug naar Microsoft Intune en selecteert u bovenaan Refresh.

5. Stel de Windows-apparaten versie(20H2) 19042.450 en hoger in op Windows Defender ATP op Aan.

6. Selecteer Opslaan.

Het apparaatconfiguratieprofiel maken om Windows apparaten te onboarden

1. Meld u aan bij het Microsoft Intune-beheercentrum en kies Beveiliging>Dedpoint-detectie en -respons>Profiel maken.

2. Voor Platform selecteert u Windows 10 en later.

3. Voor profieltype selecteert u eindpuntdetectie en -respons en vervolgens maken.

4. Op de pagina Basics, voer een PAW - Defender in voor Eindpunt in het veld Naam en Description (optioneel) voor het profiel en kies vervolgens Volgend.

5. Configureer op de pagina Configuratie-instellingen de volgende optie in Eindpuntdetectie en -antwoord:

   • Sample Sharing voor alle bestanden: retourneert of stelt de configuratieparameter van Microsoft Defender Advanced Threat Protection Sample Sharing in.

     Windows 10-machines onboarden met behulp van Microsoft Endpoint Configuration Manager bevat meer informatie over deze Microsoft Defender ATP-instellingen.

6. Selecteer Volgende om de Scope-tags pagina te openen. Bereiktags zijn optioneel. Selecteer Volgende om door te gaan.

7. Selecteer op de pagina Toewijzingen de groep Beveiligd werkstation . Raadpleeg Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.

   Kies Volgende.

8. Kies op de pagina Controleren en maken de optie Maken zodra u klaar bent. Het nieuwe profiel wordt weergegeven in de lijst wanneer u het beleidstype selecteert voor het profiel dat u hebt gemaakt. OK en maak vervolgens uw wijzigingen op, waardoor het profiel wordt gemaakt.

Zie Windows Defender Advanced Threat Protection voor meer informatie.

Werkstationprofielversterking voltooien

Om de hardening van de oplossing succesvol te voltooien, download en voer het juiste script uit. Zoek de downloadkoppelingen voor het gewenste profielniveau:

Nadat het script is uitgevoerd, kunt u updates aanbrengen in profielen en beleidsregels in Intune. Met de scripts worden beleidsregels en profielen voor u gemaakt, maar u moet het beleid toewijzen aan de apparaatgroep Secure Workstations .

• Hier vindt u de Intune-apparaatconfiguratieprofielen die zijn gemaakt met de scripts: Azure portal>Microsoft Intune>Configuratie>Profiles.
• Hier vindt u het Intune-nalevingsbeleid voor apparaten dat door de scripts is gemaakt: Azure portal>Microsoft Intune>Device Compliance>Policies.

Voer het Intune-script voor gegevensexport uit DeviceConfiguration_Export.ps1 uit de DeviceConfiguration GitHub opslagplaats om alle huidige Intune-profielen te exporteren voor vergelijking en evaluatie van de profielen.

Regels instellen in het Endpoint Protection-configuratieprofiel voor Microsoft Defender Firewall

Windows firewallbeleidsinstellingen zijn opgenomen in het Endpoint Protection-configuratieprofiel. Het gedrag van het toegepaste beleid zoals beschreven in de volgende tabel.

Enterprise: Deze configuratie is het meest permissieve, omdat deze het standaardgedrag van een Windows-installatie weerspiegelt. Al het binnenkomende verkeer wordt geblokkeerd, met uitzondering van regels die expliciet zijn gedefinieerd in de lokale beleidsregels omdat het samenvoegen van lokale regels is ingesteld op toegestaan. Al het uitgaande verkeer is toegestaan.

Gespecialiseerd: deze configuratie is restrictiever omdat alle lokaal gedefinieerde regels op het apparaat worden genegeerd. Al het binnenkomende verkeer wordt geblokkeerd, inclusief lokaal gedefinieerde regels die het beleid bevat twee regels om Delivery Optimization naar behoren te laten functioneren. Al het uitgaande verkeer is toegestaan.

Bevoegd: al het binnenkomende verkeer wordt geblokkeerd, inclusief lokaal gedefinieerde regels. Het beleid bevat echter twee regels om ervoor te zorgen dat Delivery Optimization functioneert zoals bedoeld. Uitgaand verkeer wordt ook geblokkeerd, afgezien van expliciete regels die DNS-, DHCP-, NTP-, NSCI-, HTTP- en HTTPS-verkeer toestaan. Deze configuratie vermindert niet alleen het aanvalsoppervlak gepresenteerd door het apparaat aan het netwerk, maar beperkt ook de uitgaande verbindingen die het apparaat kan maken tot alleen die verbindingen die nodig zijn voor het beheren van clouddiensten.

U kunt indien nodig aanvullende wijzigingen aanbrengen in het beheer van zowel binnenkomende als uitgaande regels voor uw toegestane en geblokkeerde services. Zie de firewallconfiguratieservice voor meer informatie.

URL-vergrendelingsproxy

Beperkend URL-verkeerbeheer omvat:

• Al het uitgaande verkeer weigeren, behalve geselecteerde Azure en Microsoft-services, waaronder Azure Cloud Shell en de mogelijkheid om selfservice voor wachtwoordherstel toe te staan.
• Het privileged profiel beperkt de internet-eindpunten waarmee het apparaat verbinding kan maken via de volgende URL-lockproxyconfiguratie.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

De eindpunten die worden vermeld in de proxyOverride-lijst, zijn beperkt tot die eindpunten die nodig zijn voor verificatie bij Microsoft Entra ID en toegang tot Azure- of Office 365-beheerinterfaces. Als u wilt uitbreiden naar andere cloudservices, voegt u de beheer-URL toe aan de lijst. Deze benadering is ontworpen om de toegang tot het bredere internet te beperken om bevoegde gebruikers te beschermen tegen aanvallen op internet. Als deze benadering te beperkend wordt geacht, kunt u overwegen de volgende benadering te gebruiken voor de bevoorrechte rol.

Microsoft Defender voor Cloud Apps inschakelen, beperkte lijst van URL's wijzigen naar goedgekeurde URL's (meeste toestaan)

In onze implementatie van rollen wordt aanbevolen dat voor Enterprise- en Gespecialiseerde implementaties, waarbij een strikte alles weigeren van surfen op internet niet wenselijk is, de mogelijkheden van een cloud access security broker (CASB) zoals Microsoft Defender for Cloud Apps worden benut om de toegang tot riskante en twijfelachtige websites te blokkeren. De oplossing is een eenvoudige manier om toepassingen en websites te blokkeren die zijn gecureerd. Deze oplossing is vergelijkbaar met het verkrijgen van toegang tot de blokkeringslijst van sites zoals het Spamhaus-project dat de Domain Blocklist (DBL) beheert: een goede bron om te gebruiken als een geavanceerde set van regels die moeten worden geïmplementeerd om sites te blokkeren.

De oplossing biedt u:

• Zichtbaarheid: alle cloudservices detecteren; wijs elk een risicoclassificatie toe; alle gebruikers en niet-Microsoft-apps identificeren die zich kunnen aanmelden
• Gegevensbeveiliging: gevoelige informatie identificeren en beheren (DLP); reageren op classificatielabels op inhoud
• Bedreigingsbeveiliging: adaptief toegangsbeheer (AAC) aanbieden; gebruikers- en entiteitsgedragsanalyse (UEBA) bieden; malware beperken
• Naleving: rapporten en dashboards leveren om cloudgovernance te demonstreren; helpt bij de inspanningen om te voldoen aan vereisten voor gegevenslocatie en naleving van regelgeving

Schakel Defender voor Cloud-apps in en maak verbinding met Defender ATP om de toegang tot de riskante URL's te blokkeren:

• Stel in Microsoft Defender-beveiligingscentrum> Instellingen > Geavanceerde functies de integratie van Microsoft Defender for Cloud Apps >aan in
• Stel in Microsoft Defender-beveiligingscentrum> Instellingen > Geavanceerde functies aangepaste netwerkindicatoren in >AAN
• In Microsoft Defender for Cloud Apps portal> Instellingen > Microsoft Defender voor Endpoint > Selecteer Toegang tot app afdwingen

Lokale toepassingen beheren

Het beveiligde werkstation bereikt een echt geharde staat wanneer lokale toepassingen, inclusief productiviteitstoepassingen, worden verwijderd. Hier voegt u Visual Studio Code toe om verbinding met Azure DevOps toe te staan voor GitHub om codeopslagplaatsen te beheren.

"De Bedrijfsportal configureren voor uw aangepaste apps"

Een door Intune beheerde kopie van de Bedrijfsportal biedt u on-demand toegang tot aanvullende hulpprogramma's die u naar gebruikers van de beveiligde werkstations kunt pushen.

In een beveiligde modus is de installatie van toepassingen beperkt tot beheerde toepassingen die worden geleverd door Bedrijfsportal. Voor het installeren van de Bedrijfsportal is echter toegang tot Microsoft Store vereist. In uw beveiligde oplossing voegt u de Windows 10 Bedrijfsportal-app toe en wijst u deze toe aan door Autopilot ingerichte apparaten.

Toepassingen implementeren met Intune

In sommige gevallen zijn toepassingen zoals de Microsoft Visual Studio Code vereist op het beveiligde werkstation. In het volgende voorbeeld vindt u instructies voor het installeren van Microsoft Visual Studio Code voor gebruikers in de beveiligingsgroep Secure Workstation Users.

Visual Studio Code wordt geleverd als een EXE-pakket en moet daarom worden verpakt als een .intunewin-bestand voor implementatie met Microsoft Intune met de Microsoft Win32 Content Prep Tool.

Download het Microsoft Win32 Content Prep Tool lokaal naar een werkstation en kopieer het naar een map voor pakketten, bijvoorbeeld C:\Packages. Maak vervolgens een bron- en uitvoermap onder C:\Packages.

Pakket Microsoft Visual Studio Code

1. Download het offline-installatieprogramma Visual Studio Code voor Windows 64-bits.
2. Kopieer het gedownloade Visual Studio Code exe-bestand naar C:\Packages\Source
3. Open een PowerShell-console en navigeer naar C:\Packages
4. Typ .\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1
5. Typ Y om de nieuwe uitvoermap te maken. Het intunewin-bestand voor Visual Studio Code wordt in deze map gemaakt.

VS Code uploaden naar Microsoft Intune

1. Blader in het Microsoft Intune-beheercentrum naar Apps>Windows>Toevoegen
2. Kies onder Type app selecteren, Windows-app (Win32)
3. Klik op App-pakketbestand selecteren, klik op Een bestand selecteren en selecteer vervolgens de VSCodeUserSetup-x64-1.51.1.intunewin uit C:\Packages\Output\VSCodeUserSetup-x64-1.51.1. Klik op OK
4. Voer Visual Studio Code 1.51.1 in het veld Naam in
5. Voer een beschrijving in voor Visual Studio Code in het veld Description
6. Voer Microsoft Corporation in het veld Publisher in
7. Download https://jsarray.com/images/page-icons/visual-studio-code.png en selecteer een afbeelding voor het logo. Volgende selecteren
8. Voer VSCodeSetup-x64-1.51.1.exe /SILENT in het opdrachtveld Installeren in
9. Voer C:\Program Files\Microsoft VS Code\unins000.exe in het veld Uninstall commando
10. Selecteer Gedrag bepalen op basis van retourcodes in de vervolgkeuzelijst Apparaat opnieuw opstarten . Volgende selecteren
11. Selecteer 64-bits in de vervolgkeuzelijst besturingssysteemarchitectuur
12. Selecteer Windows 10 1903 in het dropdownmenu van het selectievak Minimumbedrijfsysteem. Volgende selecteren
13. Selecteer handmatig configureren van detectieregels in de vervolgkeuzelijst Regels-indeling
14. Klik op Toevoegen en selecteer Bestand in de vervolgkeuzelijst Regeltype
15. Voer C:\Program Files\Microsoft VS Code in het veld Path
16. Voer unins000.exe in het veld Bestand of map in
17. Selecteer Bestand of map bestaat uit de vervolgkeuzelijst, selecteer OK en selecteer daarna Volgende
18. Selecteer Volgende omdat er geen afhankelijkheden zijn voor dit pakket
19. Selecteer Groep toevoegen onder Beschikbaar voor ingeschreven apparaten, groep Bevoegde gebruikers toevoegen. Klik op Selecteren om de groep te bevestigen. Volgende selecteren
20. Klik op Maken

PowerShell gebruiken om aangepaste apps en instellingen te maken

Er zijn enkele configuratie-instellingen die we aanbevelen, waaronder twee Aanbevelingen voor Defender voor Eindpunt die moeten worden ingesteld met behulp van PowerShell. Deze configuratiewijzigingen kunnen niet worden ingesteld via beleid in Intune.

U kunt Ook PowerShell gebruiken om de mogelijkheden voor hostbeheer uit te breiden. Het script PAW-DeviceConfig.ps1 uit GitHub is een voorbeeldscript waarmee de volgende instellingen worden geconfigureerd:

• Verwijdert Internet Explorer
• PowerShell 2.0 wordt verwijderd
• Verwijdert Windows Media Player
• Verwijdert de client voor werkmappen
• XPS-afdrukken verwijderen
• Schakelt Sluimeren in en configureert het.
• Hiermee wordt een registratie-aanpassing geïmplementeerd om de verwerking van AppLocker DLL-regels in te schakelen.
• Hiermee worden registerinstellingen geïmplementeerd voor twee Microsoft Defender voor Eindpunt aanbevelingen die niet kunnen worden ingesteld met Endpoint Manager.
  • Gebruikers verplichten om machtigingen te verhogen bij het instellen van de locatie van een netwerk
  • Opslaan van netwerkreferenties voorkomen
• Netwerklocatiewizard uitschakelen - voorkomt dat gebruikers de netwerklocatie instellen als Privé en daardoor wordt het aanvaloppervlak vergroot dat door Windows Firewall wordt blootgesteld.
• Configureert Windows Tijd voor het gebruik van NTP en stelt de automatische tijd-service in op Automatisch
• Hiermee downloadt en stelt u de bureaubladachtergrond in op een specifieke afbeelding om het apparaat eenvoudig te identificeren als een geschikt, bevoegd werkstation.

Het script PAW-DeviceConfig.ps1 uit GitHub.

1. Download het script PAW-DeviceConfig.ps1 naar een lokaal apparaat.
2. Blader naar de Azure portal>Microsoft Intune>Device-configuratie>PowerShell-scripts>Toevoegen. vProvide een naam voor het script en geef de scriptlocatie op.
3. Selecteer Configureren.
   1. Stel Dit script uitvoeren in met de aanmeldingsreferenties op Nee.
   2. Kies OK.
4. Klik op Creëren.
5. Selecteer Toewijzingen>Groepen selecteren.
   1. Voeg de beveiligingsgroep Beveiligde werkstations toe.
   2. Selecteer Opslaan.

Uw implementatie valideren en testen met uw eerste apparaat

Bij deze inschrijving wordt ervan uitgegaan dat u een fysiek computerapparaat gebruikt. Het wordt aanbevolen dat de OEM, reseller, distributeur of partner als onderdeel van het inkoopproces apparaten registreert in Windows Autopilot.

Voor het testen is het echter mogelijk om Virtual Machines op te staan als testscenario. Houd er echter rekening mee dat de inschrijving van apparaten die persoonlijk zijn gekoppeld, moet worden herzien om deze methode toe te staan om lid te worden van een client.

Deze methode werkt voor Virtual Machines of fysieke apparaten die nog niet eerder zijn geregistreerd.

1. Start het apparaat en wacht totdat het gebruikersnaamdialoogvenster wordt weergegeven.
2. Druk SHIFT + F10 om de opdrachtprompt weer te geven
3. Typ PowerShell druk op Enter
4. Typ Set-ExecutionPolicy RemoteSigned en druk op Enter
5. Typ Install-Script Get-WindowsAutopilotInfo en druk op Enter
6. Typ Y en klik op Enter om path-omgevingswijziging te accepteren
7. Typ Y en klik op Enter om de NuGet-provider te installeren
8. Type Y om de opslagplaats te vertrouwen
9. Type Uitvoeren Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv
10. Kopieer het CSV-bestand van de virtuele machine of het fysieke apparaat

Apparaten importeren in Autopilot

1. In het Microsoft Intune-beheercentrum, ga naar Devices>Windows Devices>Windows enrollment>Devices

2. Selecteer Importeren en kies uw CSV-bestand.

3. Wacht totdat de Group Tag is bijgewerkt naar PAW en de Profile Status verandert in Assigned.

   Notitie

   De groepstag wordt gebruikt door de dynamische groep Beveiligd werkstation om het apparaat lid te maken van de groep,

4. Voeg het apparaat toe aan de beveiligingsgroep Beveiligde werkstations .

5. Ga op het Windows 10 apparaat dat u wilt configureren naar Windows SettingsUpdate & BeveiligingHerstel.

   1. Kies Aan de slag onder Deze pc opnieuw instellen.
   2. Volg de aanwijzingen om het apparaat opnieuw in te stellen en opnieuw te configureren met het geconfigureerde profiel- en nalevingsbeleid.

Nadat u het apparaat hebt geconfigureerd, voert u een beoordeling uit en controleert u de configuratie. Controleer of het eerste apparaat correct is geconfigureerd voordat u doorgaat met de implementatie.

Apparaten toewijzen

Als u apparaten en gebruikers wilt toewijzen, moet u de geselecteerde profielen toewijzen aan uw beveiligingsgroep. Alle nieuwe gebruikers die machtigingen voor de service nodig hebben, moeten ook worden toegevoegd aan de beveiligingsgroep.

Het gebruik van Microsoft Defender voor Eindpunt om beveiligingsincidenten te bewaken en erop te reageren

• Beveiligingsproblemen en onjuiste configuraties continu observeren en bewaken
• Gebruik Microsoft Defender voor Eindpunt om prioriteit te geven aan dynamische bedreigingen in het wild
• Correlatie van beveiligingsproblemen met EDR-waarschuwingen (eindpuntdetectie en -respons) stimuleren
• Het dashboard gebruiken om beveiligingsproblemen op machineniveau te identificeren tijdens onderzoeken
• Herstelacties naar Intune verzenden

Configureer uw Microsoft Defender-beveiligingscentrum. Overzicht van het dashboard voor bedreigings- en kwetsbaarheidsbeheer met gebruik van richtlijnen.

Toepassingsactiviteit bewaken met Advanced Threat Hunting

Vanaf het gespecialiseerde werkstation is AppLocker ingeschakeld voor het bewaken van toepassingsactiviteiten op een werkstation. Defender voor Eindpunt legt standaard AppLocker-gebeurtenissen en Geavanceerde opsporingsquery's vast om te bepalen welke toepassingen, scripts, DLL-bestanden worden geblokkeerd door AppLocker.

Gebruik in het deelvenster Advanced Hunting van Microsoft Defender-beveiligingscentrum de volgende query om AppLocker-gebeurtenissen terug te geven.

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

Controleren

• Meer informatie over het beoordelen van uw blootstellingsscore
• Beveiligingsaanbeveling controleren
• Beveiligingsherstels beheren
• Eindpuntdetectie en -respons beheren
• Profielen bewaken met Intune-profielbewaking.

Volgende stappen

• Overzicht van het beveiligen van bevoegde toegang
• Strategie voor bevoegde toegang
• Succes meten
• Beveiligingsniveaus
• Bevoegde toegangsaccounts
• Intermediairs
• Interfaces
• Geprivilegieerde toegangsapparaten
• Toegangsmodel voor ondernemingen