​Nesse artigo vamos mostrar como criar uma regra base de segurança no Microsoft Intune, para sistemas operacionais Windows 10. O Microsoft Intune nos proporciona muitas facilidades na aplicação de regras em massa para melhorar a segurança do nosso ambiente. O Baselines Security são regras de recomendações da Microsoft pré-definidas e já conhecidas na área de segurança da informação.

Vamos conhecer agora, como criar um regra de segurança e mostrar alguns dos recursos pré-definidos pelo baselines.

Abre a sua console de gerenciamento do Microsoft Intune:

 

Clique em "Endpoint Security":




Você encontrará 3 opções já pré-definidas pela Microsoft. Vamos escolher a primeira opção "Windows 10 Security baselines", pois acredito que seja a mais completa atualmente.




Clique em "Create Profile", para iniciarmos o nosso primeiro perfil de segurança.



Escolha um nome para a sua regra de perfil e clique em "Next":



O perfil, terá regras prontas e podemos alterá-las de acordo com a nossa necessidade. É muito importante analisar todas as regras, pois por padrão, todas são ativas para seus respectivos recursos. Vamos conhecer algumas regras importantes para a segurança do nosso ambiente.

O famoso "Autoplay" bloqueia a reprodução automática para os dispositivos que são conectados no Windows 10. Essa opção é muito conhecida pelos administradores e era uma das opções que bloqueamos em GPO. Dispensa comentários sobre sua importância em uma organização.



Auditoria de contas será ativada para as autenticações de sua organização. Veja mais opções de auditoria que podemos ter com essa regra. 



Bloqueio contra ataque RDP para o seu Windows 10. Destaco nessa regra os bloqueios de redirecionamentos para evitar vazamento de dados com mapeamento de unidades locais. O aumento da versão de segurança também é de extrema importância e um ponto de falha que encontramos em diversos ambientes  no Brasil.



"Firewall do Windows" sempre ativo e controlado por essa política. Dispensa comentários essa política tão antiga, mas que tem uma importância gigante para uma infraestrutura de TI.



"Políticas de segurança local", traz uma parte de segurança mais avançada. Um destaque de para a não permissão de logon remota para contas com senha em branco e prevenção contra acesso anônimo no arquivo SAM. São velhos ataques conhecidos no Windows, que podem ser bloqueados por essa simples regra.



O "Security Guide" que já desativa o SMBv1 e aplica o controle de contas de usuários para acesso a rede. Essa é uma das regras mais importantes desse baselines. São essenciais para uma segurança forte de infraestrutura. 



Por fim, o bloqueio para execução de scripts com o "Windows Powershell".



Destacamos acima algumas das principais regras do Security Baselines. Quando estiver seguro de todas as regras a serem aplicadas, clique em "Next" para prosseguir com o seu profile.

Selecione o escopo "Default" e clique em "Next":



Escolhe para quem você deseja aplicar esse profile de segurança. Em nosso caso, escolhemos apenas um grupo específico para a nosso demonstração. 

Importante: Antes de colocar essa regra em produção, efetue os testes e nunca aplica para "All Devices", pois uma regra incorreta poderá ocasionar transtornos em sua infraestrutura. Esteja ciente e seguro das regras que serão aplicadas, antes de enviar para produção.



Revise a sua regra e clique em "Create":



Depois de alguns minutos, em nosso Windows 10 já foram aplicadas as regras que escolhemos para o nosso perfil. Confira na imagem abaixo: 



Em Firewall do Windows, veja que a regra já foi aplicada e está sendo gerenciada via perfil pela administração de segurança do Microsoft Intune.




Esperamos que essa dica ajude a todos os administradores a aplicarem uma melhor segurança para as suas organização.