HOWTO: 通过 Intune 配置 Windows 客户端拒绝向移动存储写入数据
HOWTO: 通过 Intune 配置 Windows 客户端拒绝向移动存储写入数据
在企业环境下一些 Windows 客户端将受到严格的管控,尤其是在一些涉及敏感数据的场景中,通常需要禁止将本机数据写入到 USB 等移动存储设备中,以避免数据泄露。如果企业正在使用 Intune 管理这些客户端和策略,那将很轻松的能够实现这些需求,并且提供了更为灵活全面的管控方案。今天就跟随 gOxiA 来做这个配置实践,首先登录 Microsoft Intune 管理中心,进入“设备 – Windows - 配置文件”,然后“创建”配置文件,“平台”这里选择“Windows 10 和更高版本”,“配置文件类型”选择“设置目录”。
进入“创建配置文件”向导页面,先为配置文件填入一个名称,本例为“Deny Removable Storage Write Access”。
然后,找到“Storage”类别(也可以通过搜索找到),然后选中“Remove Disk Deny Write Access”,之后将左侧内容窗格中的配置启用 - “Enabled”即可。
OK!到这里主要配置完成,是不是非常轻松便捷!但是我们从备注中可以了解到,一旦启用该配置,将拒绝所有移动存储的写入。对于那些希望允许将数据写入移动存储已启用 Bitlocker To Go 的组织,则建议改用“Computer Configuration\Administrative Templates\Windows Components\Bitlocker Drive Encryption\Removable Data Drivers”进行配置,如果希望改用则继续关注后面的截图。
我们可以搜索“Bitlocker”分类,找到“Administrative Templates\Windows Components\Bitlocker Drive Encryption\Removable Data Drives”,勾选“Deny write access to removable drives not protected by Bitlocker”,这里我们应当留意它的子选项“Do not allow write access to devices configured in another organization”,这将禁止写入到非授权的设备,即使它已经使用 Bitlocker。此外,我们还要注意,这个分类配置会被前面的“Remove Disk Deny Write Access”覆盖,所以不能同时配置。
OK,一旦决定采用的限制方案即可完成配置进入配置文件分配的页面,最后宣告完成。
如果您希望创建更为复杂的限制策略,可以搜索“Removable”,在“Removable Storage Access”分类中提供了多达38个策略,其中我们可以使用“Custom Classes”为特定设备配置禁止访问的权限。通过“Device Installation Restrictions”还可以允许安装特定的设备进行更为复杂全面的管控,多管齐下的方案总有能够适配组织安全需求的。
最后,如果我们推送了“Remove Disk Deny Write Access”策略,并希望在客户端上验证是否应用了该策略,可以通过事件日志查看器找到“Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider”,并查阅事件ID813的日志,其中能够看到相关的记录。
HOWTO: 使用 Intune 配置 LAPS
HOWTO: 使用 Intune 配置 LAPS
大家在熟悉“HOWTO: 使用 Intune 为 Windows 启用本地管理员”之后,接下来就跟随 gOxiA 了解如何为 Entra(AAD)账号启用 LAPS(Windows Local Administrator Password Solution),以及使用 Intune 配置 LAPS 策略。首先我们需要先在 Microsoft Entra 管理中心为设备启用本地管理员密码解决方案(LAPS)。
进入 Microsoft Entra 管理中心导航至“标识 - 设备 - 设备设置”,在右侧内容窗格中找到“本地管理员设置”,将“启用 Microsoft Entra 本地管理员密码解决方案(LAPS)”配置为“是”。简单一部便可谓云账号启用 LAPS,实属方便!但需要注意只有安装了2023年4月11日累计更新的 Windows 10/11/Server 2019/Server 2022 才受支持。
此外,若要允许对应管理员查看密码和密码元数据,需要授予相关权限:
- microsoft.directory/deviceLocalCredentials/password/read操作
- microsoft.directory/deviceLocalCredentials/standard/read操作
如果列出所有通过 LAPS 管理的设备,可以在 Microsoft Entra 管理中心导航至“标识 - 设备 - 本地管理员密码恢复”进行查阅。也可以通过 Intune 管理中心,找到设备,在监视器选项中找到“本地管理员密码”。
若要使用 Intune 来配置 LAPS 策略,可以在 Intune 管理中心 导航至“终结点安全性 - 账户保护”创建 LAPS 默认策略。
此外,也可以通过设备配置文件为 LAPS 创建策略(配置文件类型:模板;模板名称:管理模板,可找到 LAPS),其中包含以下几项:
- Do not allow password expiration time longer than required by policy
- 启用此设置时,不允许计划的密码过期时间超过“密码设置”策略规定的密码期限。当检测到此类过期时,会立即更改密码,并根据策略设置密码过期。 禁用或未配置此设置时,密码过期时间可能比“密码设置”策略所需的时间长。
- Enable local admin password management
- 启用本地管理员帐户的密码管理 如果启用此设置,则管理本地管理员密码 如果禁用或未配置此设置,则不会管理本地管理员密码。
- Name of administrator account to manage
- 管理员帐户名称:要管理其密码的本地帐户的名称。 使用内置管理员帐户时不要配置。内置管理员帐户由已知 SID 自动检测,即使在重命名时也是如此。
- Password Settings
- 配置密码参数 密码复杂性:生成新密码时使用哪些字符 默认值:大写字母 + 小写字母 + 数字 + 特殊字符 密码长度 最少:8 个字符 最大值:64 个字符 默认值:14 个字符 密码期限(以天为单位) 最短:1 天 最长:365 天 默认值:30 天
基于 Microsoft Entra ID 对 LAPS 的支持包括以下功能:
- 使用 Microsoft Entra ID 启用 Windows LAPS - 启用租户范围的策略和客户端策略,以将本地管理员密码备份到 Microsoft Entra ID。
- 本地管理员密码管理 - 配置客户端策略以设置帐户名、密码期限、长度、复杂性、手动密码重置等。
- 恢复本地管理员密码 - 使用 API/门户体验恢复本地管理员密码。
- 枚举所有启用了 Windows LAPS 的设备 - 使用 API/门户体验枚举启用了 Windows LAPS 的 Microsoft Entra ID 中的所有 Windows 设备。
- 本地管理员密码恢复授权 - 将基于角色的访问控制 (RBAC) 策略与自定义角色和管理单元结合使用。
- 审核本地管理员密码更新和恢复 - 使用审核日志 API/门户体验来监视密码更新和恢复事件。
- 本地管理员密码恢复的条件访问策略 - 在具有密码恢复授权的目录角色上配置条件访问策略。
毋庸置疑,基于Microsoft Entra ID 的 LAPS 方案以及通过 Intune 管理的 LAPS 策略是最易于部署和配置的。
官方参考资料:
HOWTO: 使用 Intune 为 Windows 启用本地管理员
HOWTO: 使用 Intune 为 Windows 启用本地管理员
前面 gOxiA 与大家分享了“HOWTO: 启用本地 Windows Autopilot 重置设备”,文中提到要使用该功能必须要启用本地管理员。对基于 Intune 管理的 Windows PC 来说实施起来并不复杂,今天我们就快速熟悉这一操作流程。
在 Intune 管理中心 转至 设备-配置-策略,新建策略,平台为 Windows 10 和更高版本,配置文件类型为 设置目录。
在 设置选取器 中找到 本地策略安全选项,然后勾选“账户 - 启用 Administrator 账户状态”。
该策略对应的 CSP 为 Accounts_EnableAdministratorAccountStatus,详细信息如下:
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus
格式:Int
值:1 启用;0 禁用(默认)
需要注意:如果在禁用管理员帐户后尝试重新启用管理员帐户,并且当前管理员密码不符合密码要求,则无法重新启用该帐户。
最后分配该策略,例如:所有设备,完成这些操作即完成配置。出于安全性考虑,我们也可以同时勾选“账户 - 重命名 Administrator 账户”,以降低穷举类的攻击。该策略对应的 CSP 为 Accounts_RenameAdministratorAccount,详细信息如下:
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount
格式:chr
虽然很轻松的完成了启用本地管理员的配置,但本地管理员的密码管理问题不容忽视。在过去我们需要编写一个脚本来配置本地管理员(Administrator)的密码,但无法实现动态维护,且存在一些安全隐患。现在,Microsoft Entra(AAD)内置了 LAPS(Windows Local Administrator Password Solution)的支持,可以很轻松的实现本地管理员密码轮换和管理,针对 LAPS 的启用会另起一篇日志与大家分享。