Linha de base de segurança do Microsoft 365 Apps para Grandes Empresas

A linha de base de segurança do Microsoft 365 Apps para Grandes Empresas é publicada duas vezes por ano, normalmente em junho e dezembro. A versão mais atual é a Versão 2306, lançada a 29 de junho de 2023.

Para obter a linha de base de segurança do Microsoft 365 Apps para Grandes Empresas, transfira o Toolkit de Conformidade de Segurança.

Descrição geral das linhas de base de segurança

Uma linha de base de segurança é uma definição de configuração recomendada pela Microsoft para os clientes empresariais implementarem na sua organização. Destinam-se a agir como um ponto de partida para os administradores de TI avaliarem e equilibrarem os benefícios de segurança com as necessidades de produtividade dos seus utilizadores e ajustarem-se em conformidade. Estas definições baseiam-se no feedback das equipas de engenharia de segurança da Microsoft, grupos de produtos, parceiros e clientes.

Estão disponíveis linhas de base de segurança para os seguintes produtos Microsoft:

• Windows 11, Windows 10 e Windows Server 2022
• Microsoft 365 Apps para Grandes Empresas
• Microsoft Edge

Para obter uma lista das linhas de base de segurança mais recentes, veja esta matriz de versões.

Descrição geral do Toolkit de Conformidade de Segurança

O Toolkit de Conformidade de Segurança é um conjunto de ferramentas que permite que os administradores de segurança empresarial transfiram, analisem, testem, editem e armazenem linhas de base de configuração de segurança recomendadas pela Microsoft para produtos Microsoft.

Com o toolkit, os administradores podem comparar os gpOs atuais com as linhas de base de GPO recomendadas pela Microsoft ou outras linhas de base, editá-los, armazená-los no formato de ficheiro de cópia de segurança de GPO e aplicá-los amplamente através do Active Directory ou individualmente através da política local.

Para obter mais informações, consulte Microsoft Security Compliance Toolkit 1.0.

Conteúdo da linha de base de segurança do Microsoft 365 Apps para Grandes Empresas

A transferência da linha de base de segurança do Microsoft 365 Apps para Grandes Empresas inclui documentação, relatórios GP, GPOs, scripts e o modelo Administrativo "Guia de Segurança da MS". As secções seguintes fornecem informações adicionais sobre algumas destas áreas.

Objetos de Política de Grupo (GPOs)

A transferência da linha de base de segurança do Microsoft 365 Apps para Grandes Empresas inclui vários Objetos de Política de Grupo (GPOs) pré-configurados.

A maioria das organizações pode implementar, sem problemas, as definições recomendadas que estão incluídas no Computador e nos GPOs de Utilizador .

No entanto, existem algumas definições que irão causar problemas operacionais para algumas organizações. Dividemos grupos relacionados de tais definições nos seus próprios GPOs para facilitar a adição ou remoção destas restrições como um conjunto. Essas definições estão incluídas nos quatro GPOs separados seguintes:

• Bloco DDE - Utilizador, que é um GPO de Configuração de Utilizador que bloqueia a utilização da DDE para procurar processos de servidor DDE existentes ou para iniciar novos.

• Bloco de Ficheiros Legado - Utilizador, que é um GPO de Configuração de Utilizador que impede as aplicações do Office de abrir ou guardar formatos de ficheiro legados.

• Bloco JScript Legado - Computador, que é um GPO de Configuração do Computador que desativa a execução de JScript legado para sites na Zona de Internet e Zona de Sites Restritos.

• Exigir Assinatura de Macros - Utilizador, que é um GPO de Configuração de Utilizador que desativa macros não assinadas em cada uma das aplicações do Office.

O script de política local, denominado Baseline-LocalInstall.ps1, oferece opções de linha de comandos para controlar se estes GPOs estão instalados.

Modelo administrativo "Guia de Segurança do MS"

A transferência da linha de base de segurança do Microsoft 365 Apps para Grandes Empresas inclui o modelo Administrativo "Guia de Segurança da MS". Os ficheiros SecGuide ADMX/ADML incluem duas definições de interesse para os administradores do Office:

• Bloquear a ativação flash em documentos do Office
• Restringir a execução de JScript legado para o Office

A definição "Bloquear ativação flash em documentos do Office" só está disponível no modelo Administrativo "Guia de Segurança da MS". A definição "Restringir a execução de JScript legado para o Office" também está disponível como um GPO na transferência da linha de base de segurança, conforme indicado na secção anterior.

Estas definições são apresentadas em Configuração do Computador\Políticas\Modelos Administrativos\Guia de Segurança MS na Consola de Gestão de Políticas de Grupo.

Documentação que lista as políticas disponíveis e as recomendações de linha de base de segurança

A transferência da linha de base de segurança do Microsoft 365 Apps para Grandes Empresas inclui um ficheiro do Excel, que lista as políticas de Configuração do Computador e Configuração do Utilizador disponíveis. O ficheiro também inclui as definições disponíveis no modelo Administrativo "Guia de Segurança da MS".

Pode filtrar a coluna Área na Linha de Base de Segurança para ver as políticas que fazem parte da linha de base de segurança. Também pode ver como a definição está configurada na linha de base de segurança para cada uma dessas políticas.

Também pode filtrar a coluna Categoria da Área para encontrar agrupamentos de políticas relacionadas. Por exemplo, pode filtrar em FileBlock ou macros.

Além disso, existe codificação de cores na coluna Linha base do MSFT Office 365 para indicar quais as políticas abrangidas pelos quatro GPOs separados mencionados anteriormente. Para a legenda explicar as cores, consulte a Folha de informações no ficheiro do Excel.

O ficheiro do Excel inclui as seguintes colunas.

Algumas informações adicionais sobre estas políticas podem ser encontradas no ficheiro do Excel que está incluído na transferência dos ficheiros de Modelo Administrativo da Política de Grupo (ADMX/ADML) para o Office.