Usare le baseline di sicurezza per proteggere i dispositivi Windows gestiti con Microsoft Intune
Con le baseline di sicurezza di Microsoft Intune, è possibile distribuire rapidamente un comportamento di sicurezza consigliato ai dispositivi Windows gestiti per le baseline di sicurezza di Windows per proteggere e proteggere utenti e dispositivi.
Anche se Windows e Windows Server sono progettati per essere protetti, molte organizzazioni vogliono comunque un controllo più granulare sulle configurazioni di sicurezza. Per esplorare il numero elevato di controlli, le organizzazioni spesso cercano indicazioni sulla configurazione di varie funzionalità di sicurezza. Microsoft fornisce queste linee guida sotto forma di baseline di sicurezza.
Questa funzionalità si applica a:
- Windows 10 versione 1809 e successive
- Windows 11
panoramica della baseline di sicurezza Intune
Ogni baseline di sicurezza è un gruppo di impostazioni di Windows preconfigurate che consentono di applicare e applicare impostazioni di sicurezza granulari consigliate dai team di sicurezza pertinenti. È anche possibile personalizzare ogni baseline distribuita per applicare solo le impostazioni e i valori necessari. Quando si crea un profilo di baseline di sicurezza in Intune, si crea un modello costituito da più profili di configurazione del dispositivo.
Le impostazioni in ogni baseline sono impostazioni di configurazione del dispositivo come quelle disponibili in vari criteri di Intune. Ogni impostazione in una linea di base funziona con il provider di servizi di configurazione per il prodotto pertinente presente in un dispositivo Windows gestito.
Per altre informazioni sul motivo e sul momento in cui è possibile distribuire le baseline di sicurezza, vedere Baseline di sicurezza di Windows nella documentazione sulla sicurezza di Windows.
Le baseline di sicurezza vengono distribuite a gruppi di utenti o dispositivi in Intune e le impostazioni si applicano ai dispositivi che eseguono Windows 10 o 11. Ad esempio, la configurazione predefinita della baseline di sicurezza per Windows 10 e versioni successive abilita automaticamente BitLocker per le unità rimovibili, richiede automaticamente una password per sbloccare un dispositivo, disabilita automaticamente l'autenticazione di base e altro ancora. Quando un valore predefinito non funziona per l'ambiente, personalizzare la baseline per applicare le impostazioni necessarie.
Nota
Nel maggio 2023 Intune iniziato l'implementazione di un nuovo formato di baseline di sicurezza per ogni nuova versione di base o aggiornamento della versione. Il nuovo formato aggiorna le impostazioni di base per accettare direttamente il nome e le opzioni di configurazione dal provider di servizi di configurazione (CSP) gestito dall'impostazione di base.
Intune introdotto anche un nuovo processo che consente di eseguire la migrazione di un profilo di base di sicurezza esistente alla versione di base più recente. Questo nuovo comportamento è un processo una tantum che sostituisce il normale comportamento di aggiornamento quando si passa dalla versione più recente di un profilo precedente a una versione più recente che è diventata disponibile a maggio 2023 o versioni successive.
Vantaggi dell'uso delle linee di base:
Le baseline di sicurezza consentono di avere un flusso di lavoro sicuro end-to-end quando si usa Microsoft 365. Alcuni dei vantaggi includono:
- Per impostazione predefinita, ogni baseline di sicurezza è configurata per soddisfare le procedure consigliate e le raccomandazioni per le impostazioni che influiscono sulla sicurezza. Intune partner con lo stesso team di sicurezza di Windows che crea baseline di sicurezza dei criteri di gruppo. Queste raccomandazioni si basano su indicazioni e su un'ampia esperienza.
- Se non si ha familiari Intune e non si è certi di dove iniziare, le baseline di sicurezza offrono un vantaggio. È possibile creare e distribuire rapidamente un profilo sicuro, sapendo che si sta contribuendo a proteggere le risorse e i dati dell'organizzazione.
- Se attualmente si usano criteri di gruppo, la migrazione a Intune per la gestione è più semplice con queste linee di base. Queste baseline sono integrate in modo nativo in Intune e includono un'esperienza di gestione moderna.
Impostazioni predefinite tra più baseline:
Tipi di baseline separati, ad esempio la baseline di sicurezza MDM per Windows e la baseline per Microsoft Defender, possono includere le stesse impostazioni e usare valori predefiniti diversi per tali impostazioni. Intune non è in grado di determinare quale configurazione è più adatta all'utente o anche in quale ambiente o scenario è consigliabile usare una raccomandazione predefinita delle baseline rispetto a un'altra:
- È importante comprendere le impostazioni predefinite nelle baseline usate e quindi modificare ogni baseline in base alle esigenze dell'organizzazione.
- Per impostazione predefinita, ogni baseline viene preconfigurata usando le raccomandazioni specifiche per il prodotto a cui si applica.
- In alcuni casi, una configurazione consigliata Microsoft Defender potrebbe non essere la configurazione predefinita per impostazioni simili se consigliata da Windows. In tali situazioni, è importante esaminare ogni impostazione in modo da comprenderne la finalità in base ai dettagli del provider di servizi di configurazione e all'ambito più ampio dei due prodotti.
In quasi tutti gli scenari, le impostazioni predefinite nelle baseline di sicurezza sono le più restrittive. È consigliabile verificare che queste impostazioni non siano in conflitto con altre impostazioni o funzionalità dei criteri nell'ambiente.
Ad esempio, le impostazioni predefinite per la configurazione del firewall potrebbero non unire le regole di sicurezza della connessione e le regole dei criteri locali con le regole MDM. Pertanto, se si usa l'ottimizzazione del recapito, è necessario convalidare queste configurazioni prima di assegnare la baseline di sicurezza.
Nota
Microsoft non consiglia di usare versioni di anteprima delle baseline di sicurezza in un ambiente di produzione. Le impostazioni in una baseline di anteprima potrebbero cambiare nel corso dell'anteprima.
Baseline di sicurezza disponibili
Le istanze della baseline di sicurezza seguenti sono disponibili per l'uso con Intune. Usare i collegamenti per visualizzare le impostazioni per le istanze recenti di ogni baseline.
- Baseline di sicurezza per Windows 10 e versioni successive:
Microsoft Defender per endpoint baseline:
Per usare questa baseline, l'ambiente deve soddisfare i prerequisiti per l'uso di Microsoft Defender per endpoint).Nota
La baseline di sicurezza Microsoft Defender per endpoint è stata ottimizzata per i dispositivi fisici e attualmente non è consigliata per l'uso in macchine virtuali (VM) o endpoint VDI. Alcune impostazioni di base possono influire sulle sessioni interattive remote in ambienti virtualizzati. Per altre informazioni, vedere Aumentare la conformità alla baseline di sicurezza Microsoft Defender per endpoint nella documentazione di Windows.
Microsoft 365 Apps per l'organizzazione:
- Versione 2306 (baseline di Office)Rilasciata a novembre 2023
- Maggio 2023 (baseline di Office)
Baseline di Microsoft Edge:
- Microsoft Edge versione 117 - Novembre 2023
- Microsoft Edge versione 112 e successive - Maggio 2023
- Microsoft Edge versione 85 e successive - Settembre 2020
- Microsoft Edge versione 80 e successive - Aprile 2020
- Anteprima: Microsoft Edge versione 77 e successive - Ottobre 2019
baseline di sicurezza Windows 365:
Quando una nuova versione per un profilo diventa disponibile, le impostazioni nei profili basate sulle versioni precedenti diventano di sola lettura. È possibile continuare a usare questi profili meno recenti. È anche possibile modificare i nomi dei profili, la descrizione e le assegnazioni, ma non supportano una modifica alla configurazione delle impostazioni e non è possibile creare nuovi profili in base alle versioni precedenti.
Quando si è pronti per usare la versione di base più recente, è possibile creare nuovi profili o aggiornare i profili esistenti alla nuova versione. Vedere Modificare la versione di base per un profilo nell'articolo Gestire i profili di baseline di sicurezza .
Informazioni sulle versioni e le istanze di base
Ogni nuova istanza della versione di una baseline può aggiungere o rimuovere impostazioni o introdurre altre modifiche. Ad esempio, quando le nuove impostazioni di Windows diventano disponibili con le nuove versioni di Windows 10/11, Baseline di sicurezza per Windows 10 e versioni successive potrebbe ricevere una nuova istanza della versione che include le impostazioni più recenti.
È possibile visualizzare l'elenco delle baseline disponibili nell'interfaccia di amministrazione Microsoft Intune, in Baseline di sicurezza>degli endpoint. L'elenco include:
- Nome di ogni modello di baseline di sicurezza.
- Quanti profili si hanno che usano quel tipo di baseline.
- Quante istanze separate (versioni) del tipo di baseline sono disponibili.
- Data ultima pubblicazione che identifica quando è diventata disponibile la versione più recente del modello di base.
Per visualizzare altre informazioni sulle versioni di base usate, selezionare un tipo di baseline, ad esempio Baseline di sicurezza per Windows 10 e versioni successive per aprire il riquadro Profili e quindi selezionare Versioni. Intune visualizza i dettagli sulle versioni di tale baseline in uso nei profili. I dettagli includono la versione di base più recente e corrente. È possibile selezionare una singola versione per visualizzare dettagli più approfonditi sui profili che usano tale versione.
È possibile scegliere di modificare la versione di una baseline in uso con un determinato profilo. Quando si modifica la versione, non è necessario creare un nuovo profilo di base per sfruttare le versioni aggiornate. È invece possibile selezionare un profilo di base e usare l'opzione predefinita per modificare la versione dell'istanza per tale profilo in una nuova versione.
Evitare conflitti
È possibile usare contemporaneamente una o più baseline disponibili nell'ambiente Intune. È anche possibile usare più istanze delle stesse baseline di sicurezza con personalizzazioni diverse.
Quando si usano più baseline di sicurezza, esaminare le impostazioni in ognuna per identificare quando le diverse configurazioni di base introducono valori in conflitto per la stessa impostazione. Poiché è possibile distribuire baseline di sicurezza progettate per finalità diverse e distribuire più istanze della stessa baseline che includono impostazioni personalizzate, è possibile creare conflitti di configurazione per i dispositivi che devono essere esaminati e risolti.
Inoltre, le baseline di sicurezza gestiscono spesso le stesse impostazioni che è possibile impostare con i profili di configurazione del dispositivo o altri tipi di criteri. Pertanto, tenere presente e considerare gli altri criteri e profili per le impostazioni quando si cerca di evitare o risolvere i conflitti.
Per informazioni utili per identificare e risolvere i conflitti, vedere:
Q & A
Perché queste impostazioni?
Il team di sicurezza Microsoft ha anni di esperienza nel collaborare direttamente con gli sviluppatori Windows e la community della sicurezza per creare queste raccomandazioni. Le impostazioni in questa baseline sono considerate le opzioni di configurazione correlate alla sicurezza più rilevanti. In ogni nuova build di Windows, il team modifica le raccomandazioni in base alle funzionalità appena rilasciate.
Esiste una differenza nelle raccomandazioni per le baseline di sicurezza di Windows per Criteri di gruppo rispetto a Intune?
Lo stesso team di sicurezza Microsoft ha scelto e organizzato le impostazioni per ogni baseline. Intune include tutte le impostazioni pertinenti nella baseline di sicurezza Intune. Nella baseline di Criteri di gruppo sono presenti alcune impostazioni specifiche di un controller di dominio locale. Queste impostazioni sono escluse dalle raccomandazioni di Intune. Tutte le altre impostazioni sono le stesse.
Le baseline di sicurezza Intune CIS o NIST sono conformi?
In senso stretto, no. Il team di sicurezza Microsoft consulta le organizzazioni, ad esempio CIS, per compilare le raccomandazioni. Tuttavia, non esiste un mapping uno-a-uno tra le baseline "conformi a CIS" e microsoft.
Quali certificazioni hanno le baseline di sicurezza di Microsoft?
Microsoft continua a pubblicare linee di base di sicurezza per criteri di gruppo e Security Compliance Toolkit, come da molti anni. Queste linee di base vengono usate da molte organizzazioni. Le raccomandazioni contenute in queste linee di base provengono dall'impegno del team di sicurezza Microsoft con clienti aziendali e agenzie esterne, tra cui il Dipartimento della Difesa (DoD), il National Institute of Standards and Technology (NIST) e altro ancora. Le raccomandazioni e le linee di base vengono condivise con queste organizzazioni. Queste organizzazioni hanno anche le proprie raccomandazioni che rispecchiano da vicino le raccomandazioni di Microsoft. Man mano che la gestione dei dispositivi mobili (MDM) continua a crescere nel cloud, Microsoft ha creato raccomandazioni MDM equivalenti di queste baseline di criteri di gruppo. Molte di queste baseline sono integrate in Microsoft Intune e includono report di conformità su utenti, gruppi e dispositivi che seguono (o non seguono) la baseline.
Molti clienti usano le raccomandazioni di base Intune come punto di partenza e quindi le personalizzano per soddisfare le esigenze IT e di sicurezza. Il modello di base Windows 10 e versioni successive di Microsoft è stato la prima linea di base a essere rilasciata. Questa baseline viene creata come un'infrastruttura generica che consente ai clienti di importare altre baseline di sicurezza basate su CIS, NIST e altri standard.
La migrazione da criteri di gruppo Active Directory locale a una soluzione cloud pura usando Microsoft Entra ID con Microsoft Intune è un percorso. Per semplificare, usare i vari strumenti di Security Compliance Toolkit che consentono di identificare le opzioni basate sul cloud dalle baseline di sicurezza che possono sostituire le configurazioni degli oggetti Criteri di gruppo locali.
Dove è possibile trovare informazioni dettagliate sull'uso o sulla configurazione delle impostazioni disponibili in una baseline di sicurezza?
Ogni baseline di sicurezza gestisce le configurazioni dei dispositivi applicando le opzioni disponibili in un provider di servizi di configurazione in un dispositivo. Ad esempio, le impostazioni che si applicano a Microsoft Defender vengono prese dal Microsoft Defender CSP. Poiché Intune è un veicolo di configurazione per tali opzioni e non ne determina la funzionalità o l'ambito, la documentazione CSP è proprietaria del contenuto per la configurazione di ogni opzione.
All'interno dell'interfaccia utente dei criteri di base di sicurezza Intune, Intune fornisce testo informativo tratto dal CSP di origine e fornisce un collegamento a tale CSP. In alcuni casi, il provider di servizi di configurazione può far parte di un set di contenuti più ampio che include indicazioni proattive che rimangono al di fuori dell'ambito di Intune da includere o duplicare nel contenuto. Tuttavia, Intune documenta l'elenco delle impostazioni in ogni versione della baseline di sicurezza e la relativa configurazione predefinita.
Passaggi successivi
Controllare lo stato e monitorare la linea di base e il profilo
Visualizzare le impostazioni nelle versioni più recenti delle baseline disponibili: