Als aanvulling op de eerdere blogpost over Microsoft Tenant Security en CIS voor Microsoft 365, is het belangrijk om ook te kijken naar de CIS Foundations Benchmark met betrekking tot Intune voor Windows 11. Intune is een onderdeel van Microsoft Endpoint Manager en maakt het mogelijk om apparaten en apps op afstand te beheren en te beveiligen, waaronder Windows 11-apparaten.

De volgende stappen kunnen helpen bij het integreren van de CIS Foundations Benchmark met betrekking tot Intune voor Windows 11 in uw Microsoft Tenant Security-strategie:

1. Evaluatie: Begin met het beoordelen van uw huidige Intune-configuratie en -beleid. Vergelijk uw instellingen met de aanbevelingen van de CIS Foundations Benchmark om eventuele hiaten in uw beveiligingsaanpak te identificeren.
2. Prioritering: Bepaal welke CIS-aanbevelingen het meest relevant zijn voor uw organisatie en prioriteer de implementatie ervan op basis van uw specifieke risico’s en vereisten. Houd rekening met zowel interne als externe factoren, zoals compliancevereisten, bedrijfsgrootte en de gevoeligheid van uw gegevens.
3. Implementatie: Werk systematisch aan het implementeren van de gekozen CIS-aanbevelingen in uw Intune-omgeving. Dit kan het aanpassen van bestaande configuraties en beleid omvatten, evenals het toevoegen van nieuwe beveiligingsmaatregelen en -functies waar nodig.

Enkele voorbeelden van CIS-aanbevelingen voor Intune en Windows 11-apparaten zijn:

• Afdwingen van BitLocker-codering: Gebruik Intune om BitLocker-codering af te dwingen op alle Windows 11-apparaten om de gegevens op de apparaten te beschermen tegen ongeoorloofde toegang.
• Beheer van apparaatupdates: Configureer Intune om automatische updates voor Windows 11-apparaten te beheren en ervoor te zorgen dat alle apparaten up-to-date zijn met de nieuwste beveiligingspatches.
• Implementeren van AppLocker: Gebruik Intune om AppLocker-beleid te implementeren om te bepalen welke applicaties op Windows 11-apparaten mogen worden uitgevoerd, waardoor het risico op malware-infecties wordt verminderd.

In de praktijk

De CIS Foundations voor Intune en Windows 11 bevatten aanbevelingen en best practices die specifiek zijn ontworpen om het beheer en de beveiliging van Windows 11-apparaten in uw organisatie te verbeteren. Hier zijn enkele belangrijke onderwerpen die worden behandeld in de CIS Foundations voor Intune en Windows 11:

1. Apparaatconfiguratieprofielen: Met Intune kunt u apparaatconfiguratieprofielen maken om beveiligingsinstellingen, beperkingen en andere configuraties toe te passen op uw Windows 11-apparaten. De CIS Foundations bevatten aanbevelingen voor het instellen van deze profielen, zoals het afdwingen van BitLocker-schijfversleuteling, het beheren van lokale beheerdersaccounts en het configureren van Windows Defender Antivirus.
2. Beheer van updates en patches: Intune biedt functies voor het beheren van updates en patches op Windows 11-apparaten, wat essentieel is voor het handhaven van een sterke beveiligingsbasis. De CIS Foundations beveelt aan om een beleid voor het automatisch installeren van beveiligingsupdates en patches in te stellen en om regelmatig controles uit te voeren om ervoor te zorgen dat alle apparaten up-to-date zijn.
3. Applicatiebeheer: Intune biedt mogelijkheden voor applicatiebeheer om ervoor te zorgen dat alleen goedgekeurde en veilige applicaties op uw Windows 11-apparaten worden geïnstalleerd. De CIS Foundations raadt aan om een applicatiecatalogus op te stellen en goedkeuringsprocessen in te stellen voor het installeren van nieuwe software.
4. Gegevensbescherming: Intune helpt bij het beschermen van bedrijfsgegevens op Windows 11-apparaten met behulp van functies zoals Mobile Application Management (MAM) en Mobile Device Management (MDM). De CIS Foundations beveelt aan om gegevensbeschermingsbeleid te configureren, zoals het afdwingen van versleuteling en het beperken van gegevensdeling tussen apps.
5. Monitoring en rapportage: Intune biedt monitoring- en rapportagetools om inzicht te krijgen in de beveiligingsstatus van uw Windows 11-apparaten. De CIS Foundations benadrukt het belang van regelmatige beoordelingen van apparaatbeveiligingsrapporten en het nemen van corrigerende maatregelen indien nodig.

Hoe nu verder?

Als organisatie is het noodzakelijk om te beginnen met het afstemmen van de boefte en toepasbaarheid van de Controls binnen deze Benchmark op uw spefifieke organisatie. Hierna is het mogelijk om de eerste controls te implementeren binnen uw omgevingen en de eerste test en acceptatie cyclus te starten. Zie als voorbeeld hieronder een aantal technische controls inclusief implementatiestappen:

Control: BitLocker-schijfversleuteling

Implementatie:

a. Log in op het Microsoft Endpoint Manager-beheercentrum (https://endpoint.microsoft.com).

b. Navigeer naar ‘Apparaten’ > ‘Configuratieprofielen’.

c. Klik op ‘Profiel maken’ en selecteer ‘Windows 11 en hoger’ als platform en kies ‘Endpoint Protection’ als profieltype.

d. Ga naar het gedeelte ‘BitLocker’ en configureer de gewenste instellingen, zoals het afdwingen van schijfversleuteling en het opslaan van herstelsleutels in Azure AD.

e. Klik op ‘Maken’ om het profiel op te slaan en toe te wijzen aan de gewenste apparaatgroepen.

Control: Windows Defender Antivirus

Implementatie:

a. Log in op het Microsoft Endpoint Manager-beheercentrum (https://endpoint.microsoft.com).

b. Navigeer naar ‘Apparaten’ > ‘Configuratieprofielen’.

c. Klik op ‘Profiel maken’ en selecteer ‘Windows 11 en hoger’ als platform en kies ‘Endpoint Protection’ als profieltype.

d. Ga naar het gedeelte ‘Windows Defender Antivirus’ en configureer de gewenste instellingen, zoals het inschakelen van realtime beveiliging en het plannen van regelmatige scans.

e. Klik op ‘Maken’ om het profiel op te slaan en toe te wijzen aan de gewenste apparaatgroepen.

Control: Firewall en netwerkbeveiliging

Implementatie:

a. Log in op het Microsoft Endpoint Manager-beheercentrum (https://endpoint.microsoft.com).

b. Navigeer naar ‘Apparaten’ > ‘Configuratieprofielen’.

c. Klik op ‘Profiel maken’ en selecteer ‘Windows 11 en hoger’ als platform en kies ‘Endpoint Protection’ als profieltype.

d. Ga naar het gedeelte ‘Windows Defender Firewall’ en configureer de gewenste instellingen, zoals het inschakelen van de firewall en het definiëren van inkomende en uitgaande regels.

e. Klik op ‘Maken’ om het profiel op te slaan en toe te wijzen aan de gewenste apparaatgroepen.

Control: Apparaatbeperkingen en configuratie

Implementatie:

a. Log in op het Microsoft Endpoint Manager-beheercentrum (https://endpoint.microsoft.com).

b. Navigeer naar ‘Apparaten’ > ‘Configuratieprofielen’.

c. Klik op ‘Profiel maken’ en selecteer ‘Windows 11 en hoger’ als platform en kies ‘Apparaatbeperkingen’ als profieltype.

d. Configureer de gewenste instellingen op basis van de CIS-aanbevelingen en uw organisatievereisten, zoals het uitschakelen van onnodige hardware, het beperken van externe opslagtoegang en het configureren van systeeminstellingen voor betere beveiliging.

e. Klik op ‘Maken’ om het profiel op te slaan en toe te wijzen aan de gewenste apparaatgroepen.

Control: Beveiligde opstart- en systeemintegriteit

Implementatie:

a. Log in op het Microsoft Endpoint Manager-beheercentrum (https://endpoint.microsoft.com).

b. Navigeer naar ‘Apparaten’ > ‘Configuratieprofielen’.

c. Klik op ‘Profiel maken’ en selecteer ‘Windows 11 en hoger’ als platform en kies ‘Apparaatbeperkingen’ als profieltype.

d. Ga naar het gedeelte ‘Apparaatbeveiliging’ en configureer de gewenste instellingen, zoals het inschakelen van beveiligde opstart, virtualisatiegebaseerde beveiliging en code-integriteitsbeleid.

e. Klik op ‘Maken’ om het profiel op te slaan en toe te wijzen aan de gewenste apparaatgroepen.

Control: Updatebeheer en beveiligingspatches

Implementatie:

a. Log in op het Microsoft Endpoint Manager-beheercentrum (https://endpoint.microsoft.com).

b. Navigeer naar ‘Apparaten’ > ‘Windows Update voor Bedrijven’.

c. Klik op ‘Beleid maken’ en configureer het updatebeleid op basis van uw organisatievereisten en CIS-aanbevelingen, zoals het afdwingen van beveiligingsupdates en het definiëren van onderhoudsvensters.

d. Klik op ‘Maken’ om het beleid op te slaan en toe te wijzen aan de gewenste apparaatgroepen.



Deze voorbeelden van technische controls en hun implementatie helpen bij het verbeteren van de beveiliging van uw Windows 11-apparaten met behulp van Microsoft Intune en CIS Foundations. Door deze beveiligingsmaatregelen in uw organisatie toe te passen, kunt u zorgen voor betere bescherming van uw gegevens en apparaten en bijdragen aan een algehele verbetering van de beveiliging van uw Microsoft-tenant.