Implantação de acesso privilegiado

Este documento orienta você na implementação dos componentes técnicos da estratégia de acesso privilegiado, incluindo a proteção de contas, estações de trabalho e dispositivos, além de segurança de interface (com política de acesso condicional).

Resumo dos perfis de nível de segurança

Estas diretrizes configuram todos os perfis para todos os três níveis de segurança e devem ser atribuídos a todas as funções das organizações com base nas diretrizes de Níveis de segurança de acesso privilegiado. A Microsoft recomenda configurar esses perfis na ordem descrita no plano de modernização rápida (RAMPA)

Requisitos de licença

Os conceitos abordados nesse guia pressupõem que você tenha o Microsoft 365 Enterprise E5 ou um produto equivalente. Algumas das recomendações neste guia podem ser implementadas com outras licenças. Para obter mais informações, confira Planos de licenciamento do Microsoft 365 Enterprise.

Para automatizar o provisionamento de licenças, considere o licenciamento baseado em grupo para seus usuários.

Configuração de Microsoft Entra

O Microsoft Entra ID gerencia usuários, grupos e dispositivos para suas estações de trabalho de administrador. Habilite os recursos e serviços de identidade com uma conta de administrador.

Quando você cria a conta de administrador da estação de trabalho segura, você expõe a conta para sua estação de trabalho atual. Use um dispositivo seguro conhecido para fazer essa configuração inicial e todas as configurações globais. Para reduzir a exposição ao ataque na primeira experiência, considere seguir as diretrizes para evitar infecções por malware.

Exija a autenticação multifator, pelo menos para seus administradores. Consulte Acesso condicional: Exigir MFA para administradores para ver as diretrizes de implementação.

Usuários e grupos do Microsoft Entra

  1. No portal do Azure, navegue até Microsoft Entra ID>Usuários>Novo usuário.

  2. Crie o usuário do dispositivo seguindo as etapas no tutorial de criação de usuário.

  3. Digite:

    • Nome: Usuário da Estação de Trabalho Segura
    • Nome de usuário - secure-ws-user@contoso.com
    • Função do diretório - Administrador limitado e selecione a função Administrador do Intune.
    • Local de uso: por exemplo, Reino Unido, ou seu local desejado na lista.
  4. Selecione Criar.

Crie o usuário administrador do dispositivo.

  1. Digite:

    • Nome: administrador de estação de trabalho segura
    • Nome de usuário - secure-ws-admin@contoso.com
    • Função do diretório - Administrador limitado e selecione a função Administrador do Intune.
    • Local de uso: por exemplo, Reino Unido, ou seu local desejado na lista.
  2. Selecione Criar.

Em seguida, crie quatro grupos: Usuários da estação de trabalho segura, Administradores da estação de trabalho segura, Acesso de emergência e Dispositivos da estação de trabalho segura.

No portal do Azure, navegue até Microsoft Entra ID>Grupos>Novo grupo.

  1. Para o grupo usuários da estação de trabalho, talvez você queira configurar o licenciamento baseado em grupo para automatizar o provisionamento de licenças para os usuários.

  2. Para o grupo de usuários da estação de trabalho, insira:

    • Tipo de grupo - Segurança
    • Nome do grupo - Usuários da estação de trabalho segura
    • Tipo de associação - Atribuída
  3. Adicione o usuário da estação de trabalho segura: secure-ws-user@contoso.com

  4. Você pode adicionar qualquer outro usuário que usam estações de trabalho seguras.

  5. Selecione Criar.

  6. Para o grupo administradores da estação de trabalho privilegiada, insira:

    • Tipo de grupo - Segurança
    • Nome do grupo - Administradores da estação de trabalho segura
    • Tipo de associação - Atribuída
  7. Adicione o usuário da estação de trabalho segura: secure-ws-admin@contoso.com

  8. Você pode adicionar quaisquer outros usuários que gerenciem estações de trabalho seguras.

  9. Selecione Criar.

  10. Para o grupo acesso de emergência, digite:

    • Tipo de grupo - Segurança
    • Nome do grupo - Acesso de emergência
    • Tipo de associação - Atribuída
  11. Selecione Criar.

  12. Adicione contas de acesso de emergência a esse grupo.

  13. Para o grupo dispositivos da estação de trabalho, digite:

    • Tipo de grupo - Segurança
    • Nome do grupo – Dispositivos da estação de trabalho segura
    • Tipo de associação - Dispositivo dinâmico
    • Regras de associação dinâmica - (device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")
  14. Selecione Criar.

Configuração do dispositivo Microsoft Entra

Especificar quem pode ingressar em dispositivos no Microsoft Entra ID

Defina a configuração dos seus dispositivos no Active Directory para permitir que seu grupo de segurança administrativa ingresse dispositivos no seu domínio. Para definir essa configuração no portal do Azure:

  1. Vá para Microsoft Entra ID>Dispositivos>Configurações de dispositivos.
  2. Escolha Selecionado em Usuários que podem ingressar dispositivos no Microsoft Entra ID e, em seguida, selecione o grupo "Usuários da estação de trabalho segura".

Remover direitos de administrador local

Esse método exige que os usuários das estações de trabalho VIP, DevOps e Privileged não tenham direitos de administrador em seus computadores. Para definir essa configuração no portal do Azure:

  1. Vá para Microsoft Entra ID>Dispositivos>Configurações de dispositivos.
  2. Selecione Nenhum em Administradores locais adicionais nos dispositivos ingressados no Microsoft Entra.

Consulte Como gerenciar o grupo local de administradores em dispositivos ingressados no Microsoft Entra para obter detalhes sobre como gerenciar membros do grupo local de administradores.

Requerer autenticação multifator para ingressar dispositivos

Para reforçar ainda mais o processo de ingressar dispositivos no Microsoft Entra ID:

  1. Vá para Microsoft Entra ID>Dispositivos>Configurações de dispositivos.
  2. Defina Sim em Exigir Autenticação Multifator para ingressar dispositivos.
  3. Selecione Salvar.

Configurar gerenciamento de dispositivo móvel

No Portal do Azure:

  1. Navegue até Microsoft Entra ID>Mobilidade (MDM e MAM)>Microsoft Intune.
  2. Altere a configuração Escopo de usuários do MDM para Todos.
  3. Selecione Salvar.

Estas etapas permitem que você gerencie qualquer dispositivo com o Microsoft Endpoint Manager. Para obter mais informações, consulte Início Rápido do Intune: configurar o registro automático para dispositivos Windows 10. Você criará políticas de conformidade e configurações do Intune em uma etapa futura.

Acesso Condicional do Microsoft Entra.

O Acesso Condicional do Microsoft Entra pode ajudar a restringir tarefas administrativas privilegiadas para dispositivos em conformidade. Membros predefinidos do grupo Usuários da Estação de Trabalho Segura são obrigados a executar a autenticação multifator ao entrar em aplicativos de nuvem. Uma melhor prática é excluir contas de acesso de emergência da política. Para obter mais informações, confira Gerenciar contas de acesso de emergência no Microsoft Entra ID.

Acesso condicional permitindo que somente a estação de trabalho protegida tenha capacidade de acessar o portal do Azure

As organizações devem impedir que Usuários Privilegiados possam se conectar a interfaces de gerenciamento de nuvem, portais e ao PowerShell usando dispositivos não PAW.

Para impedir que dispositivos não autorizados possam acessar as interfaces de gerenciamento de nuvem, siga as diretrizes no artigo Acesso condicional: filtros para dispositivos (versão prévia). É essencial que, ao implantar esse recurso, você considere a funcionalidade conta de acesso de emergência. Essas contas devem ser usadas apenas para casos extremos e para a conta gerenciada por meio da política.

Observação

Será necessário criar um grupo de usuários e incluir o usuário de emergência que pode ignorar a política de acesso condicional. Para nosso exemplo, temos um grupo de segurança chamado Acesso de emergência

Esse conjunto de políticas garante que os Administradores usem um dispositivo capaz de apresentar um valor de atributo de dispositivo específico, que a MFA seja satisfeita e que o dispositivo seja marcado como "em conformidade" pelo Microsoft Endpoint Manager e pelo Microsoft Defender para Ponto de Extremidade.

As organizações também devem considerar bloquear protocolos de autenticação herdados em seus ambientes. Para saber como bloquear protocolos de autenticação herdados, confira o artigo Como bloquear a autenticação herdada no Microsoft Entra ID com Acesso Condicional.

Configuração do Microsoft Intune

Registro de dispositivo nega BYOD

Em nosso exemplo, recomendamos que dispositivos BYOD não sejam permitidos. O uso do registro BYOD do Intune permite que os usuários registrem dispositivos que são menos confiáveis ou não confiáveis. No entanto, é importante observar que em organizações que têm um orçamento limitado para comprar novos dispositivos, buscando usar a frota de hardware existente ou considerando dispositivos que não são do Windows, podem considerar o recurso BYOD no Intune para implantar o perfil Enterprise.

As diretrizes a seguir configuram o registro para implantações que negarão o acesso BYOD.

Definir restrições de registro para impedir BYOD

  1. No centro de administração do Microsoft Intune, escolha > >Dispositivos>Restrições de registro>, escolha a restrição padrão Todos os Usuários
  2. Selecione Propriedades> Configurações de plataforma Editar
  3. Selecione Bloquear para Todos os tipos, exceto MDM do Windows.
  4. Selecione Bloquear para Todos os itens de propriedade pessoal.

Criar um perfil de implantação do Autopilot

Depois de criar um grupo de dispositivos, você deve criar um perfil de implantação para configurar os dispositivos do Autopilot.

  1. No centro de administração do Microsoft Intune, selecione Registro de dispositivos>Registro do Windows>Perfis de implantação>Criar perfil.

  2. Digite:

    • Nome - Perfil de implantação de estação de trabalho segura.
    • Descrição - Implantação de estações de trabalho seguras.
    • Defina Converter todos os dispositivos de destino em Autopilot como Sim. Essa configuração garante que todos os dispositivos na lista sejam registrados no serviço de implantação do Autopilot. Aguarde 48 horas para que o registro seja processado.
  3. Selecione Avançar.

    • Para o Modo de implantação, escolha Autoimplantação (visualização). Dispositivos com esse perfil são associados ao usuário que registra o dispositivo. Durante a implantação, é aconselhável usar os recursos do modo Autoimplantação incluindo:
      • Registra o dispositivo no registro de MDM automático do Intune no Microsoft Entra e permite que apenas um dispositivo seja acessado até que todas as políticas, aplicativos, certificados e perfis de rede sejam provisionados no dispositivo.
      • As credenciais do usuário são necessárias para registrar o dispositivo. É essencial observar que a implantação de um dispositivo no modo de Autoimplantação permitirá que você implante laptops em um modelo compartilhado. Nenhuma atribuição de usuário ocorrerá até que o dispositivo seja atribuído a um usuário pela primeira vez. Como resultado, qualquer política de usuário, como, por exemplo, o BitLocker, não será habilitada até que uma atribuição de usuário seja efetuada. Para obter mais informações sobre como fazer logon em um dispositivo protegido, veja os perfis selecionados.
    • Selecione seu idioma (região) e tipo de conta de usuário padrão.
  4. Selecione Avançar.

    • Selecione uma marca de escopo se você tiver pré-configurado uma.
  5. Selecione Avançar.

  6. Escolha Atribuições>Atribuir a>Grupos selecionados. Em Selecionar grupos a serem incluídos, escolha Dispositivos de Estações de Trabalho Seguras.

  7. Selecione Avançar.

  8. Selecione Criar para criar o perfil. O perfil de implantação do Autopilot agora está disponível para ser atribuído aos dispositivos.

O registro de dispositivo no Autopilot fornece uma experiência de usuário diferenciada com base no tipo de dispositivo e na função. Em nosso exemplo de implantação, ilustramos um modelo em que os dispositivos protegidos são implantados em massa e podem ser compartilhados, mas quando usado pela primeira vez, o dispositivo é atribuído a um usuário. Para obter mais informações, confira Registro de dispositivo no Autopilot do Intune.

Página de Status do Registro

A Página de Status do Registro (ESP) exibe o progresso do provisionamento depois que um novo dispositivo é registrado. Para garantir que os dispositivos estejam totalmente configurados antes do uso, o Intune fornece um meio para Bloquear o uso do dispositivo até que todos os aplicativos e perfis sejam instalados.

Criar e atribuir o perfil da página de status do registro

  1. No Centro de administração do Microsoft Intune, escolha Dispositivos>Windows>Registro do Windows>Página de Status do Registro>Criar perfil.
  2. Forneça um Nome e uma Descrição.
  3. Escolha Criar.
  4. Escolha o novo perfil na lista Página de Status do Registro.
  5. Defina Mostrar progresso da instalação do perfil de aplicativo como Sim.
  6. Defina Bloquear o uso do dispositivo até que todos os perfis e aplicativos sejam instalados como Sim.
  7. Escolha Atribuições>Selecionar grupos> escolha o grupo Secure Workstation>Selecionar>Salvar.
  8. Escolha Configurações> escolha as configurações que deseja aplicar a este perfil >Salvar.

Configurar o Windows Update

Manter o Windows 10 atualizado é uma das coisas mais importantes que você pode fazer. Para manter o Windows em um estado seguro, implante um anel de atualização para gerenciar o ritmo que as atualizações são aplicadas às estações de trabalho.

Estas diretrizes recomendam que você crie um novo anel de atualização e altere as seguintes configurações padrão:

  1. No centro de administração do Microsoft Intune, escolha Dispositivos>Atualizações de software>Anéis de Atualização do Windows 10.

  2. Digite:

    • Nome - Atualizações de estações de trabalho gerenciadas pelo Azure
    • Canal de manutenção - Canal semianual
    • Adiamento da atualização de qualidade (dias) - 3
    • Período de adiamento da atualização de recursos (dias) - 3
    • Comportamento de atualização automática - Instalação e reinicialização automática sem controle de usuário final
    • Impedir que o usuário pause as atualizações do Windows - Bloquear
    • Exigir aprovação do usuário para reiniciar fora do horário de trabalho - Obrigatório
    • Permitir que o usuário reinicie (reinício estabelecido) - Obrigatório
    • Transição de usuários para o reinício estabelecido após um reinício automático (dias) - 3
    • Adiar lembrete de reinício estabelecido (dias) - 3
    • Definir prazo para reinicializações pendentes (dias) - 3
  3. Selecione Criar.

  4. Na guia Atribuições, adicione o grupo Estações de trabalho seguras.

Para obter mais informações sobre as políticas do Windows Update, consulte Política de CSP - Atualização.

Integração do Microsoft Defender para Ponto de Extremidade e do Intune

O Microsoft Defender para Ponto de Extremidade e o Microsoft Intune trabalham juntos para ajudar a evitar violações de segurança. Ambos também podem limitar o impacto de violações. Essas funcionalidades fornecem detecção de ameaças em tempo real, bem como habilitam a auditoria extensiva e o registro em log dos dispositivos de ponto de extremidade.

Para configurar a integração do Windows Defender para Ponto de Extremidade e o Microsoft Endpoint Manager:

  1. No centro de administração do Microsoft Intune, escolha Segurança de ponto de extremidade>Microsoft Defender ATP.

  2. Na etapa 1 em Configurar o Windows Defender ATP, selecione Conectar o Windows Defender ATP ao Microsoft Intune na Central de Segurança do Windows Defender.

  3. Na Central de Segurança do Windows Defender:

    1. Selecione Configurações>Recursos avançados.
    2. Para Conexão do Microsoft Intune, escolha Ativado.
    3. Selecione Salvar preferências.
  4. Depois que uma conexão for estabelecida, retorne ao Microsoft Endpoint Manager e selecione Atualizar na parte superior.

  5. Defina Conectar dispositivos Windows versão (20H2) 19042.450 e superior ao Windows Defender ATP como Ativado.

  6. Selecione Salvar.

Criar o perfil de configuração de dispositivo para integrar dispositivos Windows

  1. Entre no centro de administração do Microsoft Intune, escolha Segurança de ponto de extremidade>Detecção e resposta de ponto de extremidade>Criar perfil.

  2. Em Plataforma, selecione Windows 10 e posteriores.

  3. Para Tipo de perfil, selecione Detecção e resposta de ponto de extremidade e selecione Criar.

  4. Na página Informações básicas, insira um PAW - Defender para Ponto de Extremidade no campo Nome e Descrição (opcional) para o perfil e escolha Próximo.

  5. Na página Definições de configuração, configure a seguinte opção em Detecção e Resposta de Ponto de Extremidade:

  6. Selecione Avançar para abrir a página Marcas de escopo. As marcas de escopo são opcionais. Selecione Avançar para continuar.

  7. Na página Atribuições, selecione o grupo Estação de trabalho segura. Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.

    Selecione Avançar.

  8. Na página Revisar + criar, quando terminar, escolha Criar. O novo perfil é exibido na lista quando você seleciona o tipo de política para o perfil que você criou. OK e, em seguida em Criar para salvar suas alterações, o que cria o perfil.

Para saber mais, confira Proteção Avançada contra Ameaças do Windows Defender.

Concluir a proteção de perfis da estação de trabalho

Para concluir com êxito a proteção da solução, baixe e execute o script apropriado. Localize os links de download para o nível de perfil desejado:

Perfil Local de download Filename
Enterprise https://aka.ms/securedworkstationgit Enterprise-Workstation-Windows10-(20H2).ps1
Especializada https://aka.ms/securedworkstationgit Specialized-Windows10-(20H2).ps1
Com privilégios https://aka.ms/securedworkstationgit Privileged-Windows10-(20H2).ps1

Observação

A remoção dos direitos de administrador e do acesso, assim como do controle de execução de aplicativo (AppLocker), é gerenciada pelos perfis de política implantados.

Depois que o script for executado com êxito, você poderá fazer atualizações de perfis e políticas no Intune. Os scripts criarão políticas e perfis, mas você deve atribuir as políticas ao seu grupo de dispositivos das Estações de trabalho seguras.

  • Aqui está onde você pode encontrar os perfis de configuração de dispositivos do Intune criados pelos scripts: portal do Azure>Microsoft Intune>Configuração de dispositivos>Perfis.
  • Aqui está onde você pode encontrar as políticas de conformidade de dispositivos do Intune criadas pelos scripts: portal do Azure>Microsoft Intune>Conformidade de dispositivos>Políticas.

Execute o script de exportação de dados DeviceConfiguration_Export.ps1 do Intune no repositório do GitHub DeviceConfiguration para exportar todos os perfis atuais do Intune para comparação e avaliação dos perfis.

Definir regras no perfil de configuração do Endpoint Protection para o firewall do Microsoft Defender

As configurações de políticas do Firewall do Windows estão incluídas no perfil de Configuração do Endpoint Protection. O comportamento da política aplicada está descrito na tabela a seguir.

Perfil Regras de Entrada Regras de saída Comportamento de mesclagem
Empresa Bloquear Allow Allow
Especializada Bloquear Allow Bloquear
Com privilégios Bloquear Bloquear Bloquear

Enterprise: essa configuração é a mais permissiva, pois espelha o comportamento padrão de uma Instalação do Windows. Todo o tráfego de entrada é bloqueado, exceto pelas regras definidas explicitamente nas regras de política local, pois a mesclagem de regras locais é definida como permitida. Todo o tráfego de saída é permitido.

Especializado: essa configuração é mais restritiva, pois ignora todas as regras definidas localmente no dispositivo. Todo o tráfego de entrada é bloqueado, incluindo regras definidas localmente, sendo que a política inclui duas regras para permitir que a Otimização de Entrega funcione conforme designado. Todo o tráfego de saída é permitido.

Privilegiado: todo o tráfego de entrada é bloqueado, incluindo regras definidas localmente, sendo que a política inclui duas regras para permitir que a Otimização de Entrega funcione conforme designado. O tráfego de saída também é bloqueado separadamente das regras explícitas que permitem o tráfego DNS, DHCP, NTP, NSCI, HTTP e HTTPS. Essa configuração não apenas reduz a superfície de ataque apresentada pelo dispositivo para a rede, como também limita as conexões de saída que o dispositivo pode estabelecer para somente aquelas conexões necessárias para administrar serviços de nuvem.

Regra Direção Ação Aplicativo / Serviço Protocolo Portas Locais Portas Remotas
Serviços de World Wide Web (HTTP Traffic-out) Saída Allow Tudo TCP Todas as portas 80
Serviços de World Wide Web (HTTPS Traffic-out) Saída Allow Tudo TCP Todas as portas 443
Rede Principal - Protocolo DHCP para IPv6 (DHCPV6-Out) Saída Allow %SystemRoot%\system32\svchost.exe TCP 546 547
Rede Principal - Protocolo DHCP para IPv6 (DHCPV6-Out) Saída Allow Dhcp TCP 546 547
Rede Principal - Protocolo DHCP para IPv6 (DHCP-Out) Saída Allow %SystemRoot%\system32\svchost.exe TCP 68 67
Rede Principal - Protocolo DHCP para IPv6 (DHCP-Out) Saída Allow Dhcp TCP 68 67
Rede Principal - DNS (UDP-Out) Saída Allow %SystemRoot%\system32\svchost.exe UDP Todas as portas 53
Rede Principal - DNS (UDP-Out) Saída Allow Dnscache UDP Todas as portas 53
Rede Principal - DNS (TCP-Out) Saída Allow %SystemRoot%\system32\svchost.exe TCP Todas as portas 53
Rede Principal - DNS (TCP-Out) Saída Allow Dnscache TCP Todas as portas 53
Investigação NSCI (TCP-Out) Saída Allow %SystemRoot%\system32\svchost.exe TCP Todas as portas 80
Investigação NSCI - DNS (TCP-Out) Saída Allow NlaSvc TCP Todas as portas 80
Horário do Windows (UDP-Out) Saída Allow %SystemRoot%\system32\svchost.exe TCP Todas as portas 80
Investigação de Horário do Windows - DNS (UDP-Out) Saída Allow W32Time UDP Todas as portas 123
Otimização de Entrega (TCP-In) Entrada Allow %SystemRoot%\system32\svchost.exe TCP 7680 Todas as portas
Otimização de Entrega (TCP-In) Entrada Allow DoSvc TCP 7680 Todas as portas
Otimização de Entrega (UDP-In) Entrada Allow %SystemRoot%\system32\svchost.exe UDP 7680 Todas as portas
Otimização de Entrega (UDP-In) Entrada Allow DoSvc UDP 7680 Todas as portas

Observação

Há duas regras definidas para cada regra na configuração de firewall do Microsoft Defender. Para restringir as regras de entrada e saída para os serviços do Windows, por exemplo, cliente DNS, o nome do serviço, DNSCache, e o caminho do executável, C:\Windows\System32\svchost.exe, precisam ser definidos como uma regra separada, em vez de uma única regra que seja possível usando Política de Grupo.

Você pode fazer alterações adicionais no gerenciamento de regras de entrada e saída, conforme necessário, para os serviços permitidos e bloqueados. Para obter mais informações, consulte Serviço de configuração de firewall.

Proxy de bloqueio de URL

O gerenciamento de tráfego de URL restritivo inclui:

  • Negar Tudo no que se refere ao tráfego de saída, exceto os serviços do Azure e da Microsoft, incluindo o Azure Cloud Shell e a capacidade de permitir a redefinição de senha self-service.
  • O perfil Privilegiado restringe os pontos de extremidade na Internet aos quais o dispositivo pode se conectar usando a configuração de proxy de bloqueio de URL a seguir.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

Os pontos de extremidade listados na lista ProxyOverride são limitados a esses pontos de extremidade necessários para autenticação no Microsoft Entra ID e acesso às interfaces de gerenciamento do Azure ou do Office 365. Para estender para outros serviços de nuvem, adicione a URL de administração deles à lista. Essa abordagem foi projetada para limitar o acesso à Internet mais ampla para proteger usuários com privilégios contra ataques baseados na Internet. Se essa abordagem for considerada muito restritiva, considere usar a abordagem descrita abaixo para a função com privilégios.

Habilitar Microsoft Defender para Aplicativos de Nuvem, lista de URLs restritos a URLs aprovados (Permitir a maioria)

Em nossa implantação de funções, é recomendável que, para implantações Especializadas e do nível Enterprise, sempre que uma regra negar tudo rigorosa para a navegação na web não for desejável, funcionalidades de um agente de segurança de acesso à nuvem (CASB) — como o Microsoft Defender para Aplicativos de Nuvem — poderão ser utilizadas para bloquear o acesso a sites suspeitos e questionáveis. A solução trata uma maneira simples de bloquear aplicativos e sites que foram selecionados. Essa solução é semelhante a obter acesso a uma lista de bloqueio de sites como o Projeto Spamhaus, que mantém a Lista de Bloqueio de Domínios (DBL): um bom recurso para usar como um conjunto avançado de regras a ser implementado para bloquear sites.

A solução fornece a você:

  • Visibilidade: detectar todos os serviços de nuvem; atribuir a cada uma classificação de risco; identificar todos os usuários e aplicativos capazes de fazer logon que não são da Microsoft
  • Segurança de dados: identificar e controlar informações confidenciais (DLP); responder a rótulos de classificação no conteúdo
  • Proteção contra ameaças: ofereça controle de acesso adaptável (AAC); forneça análise de comportamento de usuários e entidades (UEBA); reduza o malware
  • Conformidade: forneça relatórios e painéis para demonstrar a governança da nuvem; auxilie nos esforços de conformidade com a residência de dados e com os requisitos de conformidade regulamentar.

Habilite o Defender para Aplicativos de Nuvem e conecte-se ao Defender ATP para bloquear o acesso aos URLs suspeitos:

Gerenciar aplicativos locais

A estação de trabalho segura passa para um estado verdadeiramente protegido quando os aplicativos locais são removidos, incluindo aplicativos de produtividade. Aqui, você adiciona o Visual Studio Code para permitir que a conexão com o Azure DevOps para GitHub gerencie repositórios de códigos.

Configurar o Portal da Empresa para seus aplicativos personalizados

Uma cópia gerenciada pelo Intune do Portal da Empresa fornece acesso sob demanda a ferramentas adicionais que você pode enviar por push para os usuários das estações de trabalho protegidas.

Em um modo seguro, a instalação do aplicativo fica restrita a aplicativos gerenciados entregues pelo Portal da Empresa. No entanto, a instalação do Portal da Empresa requer acesso à Microsoft Store. Em sua solução segura, você adiciona e atribui o aplicativo Windows 10 do Portal da Empresa para dispositivos provisionados por Autopilot.

Observação

Certifique-se de atribuir o aplicativo do Portal da Empresa ao grupo de Marcação de Dispositivo de estação de trabalho segura usado para atribuir o perfil do Autopilot.

Implantar aplicativos usando o Intune

Em algumas situações, aplicativos como o Microsoft Visual Studio Code são necessários na estação de trabalho protegida. O exemplo a seguir fornece instruções para instalar o Microsoft Visual Studio Code para usuários no grupo de segurança Usuários da estação de trabalho segura.

O Visual Studio Code é fornecido como um pacote EXE para que ele seja empacotado como um .intunewin arquivo de formato para implantação com o Microsoft Endpoint Manager usando a Ferramenta de Preparação de Conteúdo do Win32.

Baixe a Ferramenta de Preparação de Conteúdo do Win32 da Microsoft localmente em uma estação de trabalho e copie-a em um diretório para empacotamento, por exemplo, C:\Packages. Em seguida, crie um diretório de Origem e de Saída em C:\Packages.

Pacote Microsoft Visual Studio Code

  1. Baixe o instalador offline Visual Studio Code para Windows 64 bits.
  2. Copie o arquivo exe do Visual Studio Code baixado para C:\Packages\Source
  3. Abra um console do PowerShell e navegue até C:\Packages
  4. Digite .\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1
  5. Digite Y para criar a nova pasta de saída. O arquivo intunewin para o Visual Studio Code será criado nessa pasta.

Carregar o VS Code para o Microsoft Endpoint Manager

  1. No centro de administração do Microsoft Endpoint Manager, navegue até Aplicativos>Windows>Adicionar
  2. Em Selecionar tipo de aplicativo, escolha Aplicativo do Windows (Win32)
  3. Clique em Selecionar arquivo do pacote do aplicativo, clique em Selecionar um arquivo e, em seguida, selecione o VSCodeUserSetup-x64-1.51.1.intunewin de C:\Packages\Output\VSCodeUserSetup-x64-1.51.1. Clique em OK
  4. Insira Visual Studio Code 1.51.1 no campo Nome
  5. Insira uma descrição para o Visual Studio Code no campo Descrição
  6. Insira Microsoft Corporation no campo Publicador
  7. Baixe https://jsarray.com/images/page-icons/visual-studio-code.png e selecione a imagem para o logotipo. Selecione Avançar
  8. Insira VSCodeSetup-x64-1.51.1.exe /SILENT no campo Comando de instalação
  9. Insira C:\Program Files\Microsoft VS Code\unins000.exe no campo Comando de desinstalação
  10. Selecione Determinar comportamento baseado em códigos de retorno na lista suspensa Comportamento de reinicialização do dispositivo. Selecione Avançar
  11. Selecione 64 bits na caixa de seleção suspensa Arquitetura do sistema operacional
  12. Selecione Windows 10 1903 na caixa de seleção suspensa Sistema operacional mínimo. Selecione Avançar
  13. Selecione Configurar manualmente as regras de detecção na lista suspensa Formato de regras
  14. Clique em Adicionar e, a seguir, selecione Arquivo na lista suspensa Tipo de regra
  15. Insira C:\Program Files\Microsoft VS Code no campo Caminho
  16. Insira unins000.exe no campo Arquivo ou pasta
  17. Selecione Arquivo ou pasta existente na lista suspensa, selecione OK e, em seguida, selecione Avançar
  18. Selecione Avançar, pois não há dependências nesse pacote
  19. Selecione Adicionar grupo em Disponível para dispositivos registrados, adicione Grupo de usuários com privilégios. Clique em Selecionar para confirmar o grupo. Selecione Avançar
  20. Clique em Criar

Usar o PowerShell para criar configurações e aplicativos personalizados

Existem algumas definições de configuração que recomendamos, incluindo duas recomendações do Defender para Ponto de Extremidade, que devem ser feitas usando o PowerShell. Essas alterações de configuração não podem ser definidas por meio de políticas no Intune.

Também é possível usar o PowerShell para estender os recursos de gerenciamento de host. O script PAW-DeviceConfig.ps1 do GitHub é um script de amostra que define as seguintes configurações:

  • Remove o Internet Explorer
  • Remove o PowerShell 2.0
  • Remove o Windows Media Player
  • Remove o Cliente de Pastas de Trabalho
  • Remove a Impressão XPS
  • Habilita e configura o modo de Hibernação
  • Implementa a correção de registro para habilitar o processamento da regra de DLL do AppLocker
  • Implementa configurações do registro para duas recomendações do Microsoft Defender para Ponto de Extremidade que não podem ser definidas usando o Endpoint Manager.
    • Exige que os usuários sejam elevados ao configurar um local de rede
    • Impede o salvamento de credenciais de rede
  • Desabilitar o Assistente para Local de Rede impede que os usuários definam o local de rede como Particular e aumentando assim a superfície de ataque exposta no firewall do Windows
  • Configura o Horário do Windows para usar o NTP e define o serviço de Fuso Horário Automático como automático
  • Baixa e define a tela de fundo da área de trabalho com uma imagem específica, a fim de identificar facilmente o dispositivo como uma estação de trabalho com privilégios pronta para uso.

O script PAW-DeviceConfig.ps1 do GitHub.

  1. Baixe o script [PAW-DeviceConfig.ps1] em um dispositivo local.
  2. Navegue até o portal do Azure>Microsoft Intune>Configuração de dispositivos>Scripts do PowerShell>Adicionar. Forneça um Nome para o script e especifique o Local do script.
  3. Selecione Configurar.
    1. Defina Executar este script usando as credenciais de logon como Não.
    2. Selecione OK.
  4. Selecione Criar.
  5. Selecione Atribuições>Selecionar grupos.
    1. Adicione o grupo de segurança Estação de trabalho seguras.
    2. Selecione Salvar.

Validar e testar sua implantação com seu primeiro dispositivo

Esse registro pressupõe que você usa um dispositivo de computação físico. É recomendável que, como parte do processo de aquisição, o fabricante original, o revendedor, o distribuidor ou o parceiro registrem dispositivos no Windows Autopilot.

No entanto, para fins de teste, é possível estabelecer Máquinas Virtuais como um cenário de teste. Entretanto, observe que o registro de dispositivos ingressados pessoalmente precisa ser revisado para permitir esse método de ingressar em um cliente.

Esse método funciona para Máquinas Virtuais ou dispositivos físicos que não foram registrados anteriormente.

  1. Iniciar o dispositivo e aguardar a caixa de diálogo de nome de usuário ser apresentada
  2. Pressione SHIFT + F10 para exibir o prompt de comando
  3. Digite PowerShell e pressione Enter
  4. Digite Set-ExecutionPolicy RemoteSigned e pressione Enter
  5. Digite Install-Script Get-WindowsAutopilotInfo e pressione Enter
  6. Digite Y e clique em Enter para aceitar a alteração do ambiente PATH
  7. Digite Y e clique em Enter para instalar o provedor NuGet
  8. Digite Y para confiar no repositório
  9. Digite Run Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv
  10. Copiar o CSV da máquina virtual ou do dispositivo físico

Importar dispositivos para o Autopilot

  1. No centro de administração do Microsoft Endpoint Manager, acesse Dispositivos>Dispositivos Windows>Registro no Windows>Dispositivos

  2. Selecione Importar e escolha o arquivo CSV.

  3. Aguarde até que Group Tag seja atualizado para PAW e Profile Status altere para Assigned.

    Observação

    A Marca de Grupo é usada pelo grupo dinâmico de estação de trabalho segura para tornar o dispositivo membro de seu grupo,

  4. Adicione o dispositivo ao grupo de segurança Estações de trabalho seguras.

  5. No dispositivo Windows 10 que você deseja configurar, vá para Configurações do Windows>Atualização e Segurança>Recuperação.

    1. Escolha Iniciar em Redefinir este computador.
    2. Siga as solicitações para redefinir e reconfigurar o dispositivo com o perfil e as políticas de conformidade configuradas.

Depois de configurar o dispositivo, faça um exame completo e verifique a configuração. Confirme se o primeiro dispositivo está configurado corretamente antes de continuar a implantação.

Atribuir dispositivos

Para atribuir dispositivos e usuários, você precisa mapear os perfis selecionados para o grupo de segurança. Todos os novos usuários que precisam de permissões para o serviço também devem ser adicionados ao grupo de segurança.

Usar o Microsoft Defender para Ponto de Extremidade para monitorar e responder incidentes de segurança

  • Observar e monitorar continuamente vulnerabilidades e configurações incorretas
  • Utilize o Microsoft Defender para Ponto de Extremidade para priorizar ameaças dinâmicas em um estado coringa
  • Direcionar a correlação de vulnerabilidades com alertas de EDR (detecção e resposta de ponto de extremidade)
  • Use o painel para identificar a vulnerabilidade no nível da máquina durante investigações
  • Enviar por push as correções para o Intune

Configure sua Central de Segurança do Microsoft Defender. Use as diretrizes em Visão geral do painel de gerenciamento de ameaças e vulnerabilidades.

Monitorar a atividade dos aplicativos usando a busca de ameaças avançada

A partir da estação de trabalho Especializada, o AppLocker é habilitado para o monitoramento da atividade de aplicativos em uma estação de trabalho. Por padrão, o Defender para Ponto de Extremidade captura eventos do AppLocker e consultas de busca avançada podem ser usadas para determinar quais aplicativos, scripts, arquivos DLL estão sendo bloqueados pelo AppLocker.

Observação

Os perfis de estação de trabalho Especializado e Privilegiado contêm as políticas do AppLocker. A implantação das políticas é necessária para o monitoramento da atividade do aplicativo em um cliente.

No painel de busca avançada da Central de Segurança do Microsoft Defender, use a consulta a seguir para retornar eventos do AppLocker

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

Monitoramento

Próximas etapas