数据与端点安全 (Protect data and apps)
我们来详细解读和阐述“数据与端点安全”中的这两个核心组成部分:应用程序管理和数据保护措施(BitLocker)。
这不仅是微软现代端点安全管理的最佳实践,也是构建企业安全防线的基础。
1. 管理应用程序
在现代化、移动化的办公环境中,员工使用各种设备(公司配发的、个人的、在办公室的、远程的)访问公司资源和数据。确保这些设备上运行的应用程序是受信任的、合规的、最新的,是端点安全的第一道关卡。
微软通过 Microsoft Intune 和 Microsoft Store for Business 提供了强大的集中式应用程序管理方案。
a. 使用 Intune 部署 Win32 和 MSI 应用
-
什么是 Win32 和 MSI 应用?
- MSI:是传统的 Windows 安装程序包格式,具有标准化的安装、修复、升级和卸载流程。
- Win32:是一个更广泛的概念,指代所有传统的 Windows 桌面应用程序(.exe, .msi等)。Intune 特别加强了对
.exe等格式的 Win32 应用的管理能力。
-
为什么用 Intune 管理?
- 云原生,无需本地基础设施:与传统 SCCM 不同,Intune 基于云,可以管理全球任何地点的设备,特别适合远程和混合办公模式。
- 自动化部署:IT管理员可以一次性将应用程序(如 Office 365、Adobe Reader、内部开发的业务软件)分配给特定的用户或设备组。新设备入职或用户入职时,应用会自动安装,无需手动干预。
- 生命周期管理:不仅负责安装,还能自动更新、修补和卸载应用。这确保了软件版本的一致性,及时修复安全漏洞。
- 依赖项和安装规则:可以处理复杂的安装场景,例如:
- 依赖项:安装主应用前,先安装 .NET Framework 或 VC++ 运行库。
- 检测规则:智能判断应用是否已安装,避免重复安装。
- 安装后行为:要求设备在安装完成后重启。
-
部署流程简介:
- 准备:将应用程序的安装文件(.msi, .exe)打包成
.intunewin格式(使用 Intune Win32 内容准备工具)。 - 上传:在 Microsoft Intune 管理中心创建新的“Win32 应用”,上传
.intunewin文件。 - 配置:填写应用信息,设置安装/卸载命令,定义检测规则(如何判断应用已安装)和依赖项。
- 分配:将应用分配给目标组(如“所有设备”、“财务部用户”)。可以设置为“必需”(强制安装)或“可用”(用户可从公司门户自助安装)。
- 监控:在管理中心查看安装状态(成功、失败、进行中),便于 troubleshooting。
- 准备:将应用程序的安装文件(.msi, .exe)打包成
b. 使用 Microsoft Store for Business
-
它是什么?
一个面向企业的在线商店,IT管理员可以集中采购、管理和分发免费的商业应用和付费应用。 -
与 Intune 集成的好处:
- 创建精选应用商店:IT管理员可以审批可用的应用列表,然后将 Microsoft Store for Business 同步到 Intune。员工通过“公司门户”看到的将只是一个经过审批的、精简的应用列表,而不是公共商店里的所有应用。这减少了安全风险和生产力浪费。
- 离线授权:对于关键业务应用,可以购买“离线许可证”。这意味着 Intune 可以将应用的安装包直接分发给设备,即使用户没有微软个人账户或设备无法访问公共互联网也能安装。这对于安全要求高的封闭环境非常重要。
- 简化更新:通过 Intune 管理的 Store 应用可以自动更新,确保所有用户都使用最新、最安全的版本。
总结:应用程序管理的目标是确保端点上的软件环境是受控、合规且安全的,从根本上减少被攻击的面。
2. 实施数据保护措施 - BitLocker 加密
设备丢失或被盗是导致数据泄露的最常见原因之一。仅仅有密码登录保护是不够的,因为攻击者完全可以将硬盘拆下,挂载到另一台电脑上直接读取数据。BitLocker 就是为了解决这个“静态数据”的安全风险。
什么是 BitLocker?
BitLocker 是微软 Windows 提供的一种全磁盘加密(FDE) 功能。它能够对整个操作系统驱动器、固定数据驱动器(如内部硬盘)和可移动驱动器(如U盘)进行加密。未经授权的用户无法访问已加密驱动器上的任何数据。
为什么通过 Intune 管理 BitLocker?
在大型企业中,手动为每台设备配置 BitLocker 是不现实的。通过 Intune 的 端点安全 策略可以集中、统一地管理和强制执行 BitLocker 策略。
-
集中配置策略:
- 加密方法:指定加密算法和强度(例如,XTS-AES 256位)。
- 启动恢复:控制启动时是否需要额外的身份验证(如TPM芯片+PIN码),增强启动安全性。
- 恢复密钥管理:这是最关键的安全策略。可以强制将 BitLocker 恢复密钥自动上传到用户的 Azure AD 账户。这样,如果用户忘记密码或设备启动出现问题,IT管理员或用户本人可以通过Azure AD门户安全地获取恢复密钥,从而恢复对数据的访问。这避免了用户将恢复密钥打印出来或存到不安全的地方。
- 对可移动驱动器的要求:可以强制要求所有写入U盘的数据都必须使用 BitLocker To Go 进行加密。
-
合规性强制:
- 可以创建一条设备合规性策略,规定“必须启用 BitLocker”是设备合规的一项必要条件。
- 然后将访问公司资源的条件访问策略与这条合规策略绑定。不符合要求的设备(未加密)将被禁止访问公司邮箱、文件服务器或云应用,从而强制用户启用加密以恢复访问。
-
监控与报告:
- 在 Intune 管理中心,可以查看哪些设备已加密,哪些还没有。
- 可以为特定设备检索恢复密钥,协助用户解决问题。
总结:BitLocker 是保护静态数据的最后一道、也是最坚固的防线。通过 Intune 管理,确保了加密策略的一致性、可恢复性和可执行性。
整体协同效应
这两个功能在 Intune 的管理下并非孤立工作,而是协同构成了强大的端点安全基础:
- 安全启动:一台新设备开机。
- 自动配置:通过 Intune 的自动化部署(Autopilot),设备自动加入公司域并注册到 Intune。
- 策略应用:Intune 立即下发安全策略,其中包括强制启用 BitLocker。硬盘开始在后台加密。
- 应用部署:同时,Intune 开始安装公司必需的应用程序(防病毒软件、Office、业务线软件等),所有这些应用都来自受信任的来源。
- 持续合规:设备被持续监控。如果用户自行卸载了安全软件或禁用了 BitLocker,设备会被标记为“不合规”,并失去访问公司数据的权限,直到问题修复。
通过这种方式,企业能够确保其数据和应用程序在任何端点上都得到最大程度的保护。