Tags: Intune, Sicherheit, Gruppenrichtlinien
Restriktive Sicherheitseinstellungen für Endgeräte sind eine wesentliche Maßnahme im Schutz gegen Angriffe. Die unkontrollierte Installation von USB-Geräten öffnet Einfallstore für Malware und erhöht das Risiko für Datendiebstahl. Mit Microsoft Intune können Admins Endbenutzer daran hindern, USB-Peripherie auf ihren PCs zu installieren.
Intune sieht Profile für verschiedene Gerätetypen vor. Zu den unterstützten Plattformen gehören IOS/iPadOS, Android, Android Enterprise und Windows.
Microsoft hat zudem mehrere Vorlagen für verschiedene Anwendungsfälle integriert, um bestimmte Einstellungen schnell auf die Zielgeräte anzuwenden. Die folgende Abbildung zeigt die Templates, welche standardmäßig für Konfigurationsprofile verfügbar sind.
Verwalten von Sicherheitseinstellungen
Zu den Szenarien für die Verwaltung von Sicherheitseinstellungen mit Intune gehören:
- Sperren von USB- und Wechseldatenträgern
- Implementieren einer Security Baseline
- Erstellen einer Compliance-Richtlinie
Alle drei haben sehr ähnliche Workflows für die Erstellung und Anpassung, das betrifft auch das Anlegen von Profilen und deren Zuweisung an bestimmte Geräte.
Sperren von USB- und Wechselspeichern
Eine häufige sicherheitsbezogene Aufgabe für Administratoren ist die Kontrolle bzw. Sperrung von USB- und anderen Wechselmedien. Navigieren Sie dazu nach Devices => Configuration profiles. Klicken Sie auf das +-Symbol, um ein Profil zu erstellen.
Wählen Sie anschließend das gewünschte Betriebssystem, einen Profiltyp und den Namen der Vorlage, auf der das Profil beruhen soll. Klicken Sie auf Create.
Nun startet der Wizard zum Erstellen eines Profils. Im ersten Schritt gibt man diesem einen Namen.
Im nächsten Schritt suchen wir im Abschnitt Configuration settings nach dem Begriff "prevent installation of devices", um die Einstellung Prevent installation of devise not described by other policy settings zu finden.
Wählen Sie diese aus und aktivieren Sie diese im Einstellungsbereich.
Mithilfe von Scope tags können Sie im nächsten Schritt die Anwendung der Geräterichtlinie anpassen.
Anschließend können Sie auf dem Bildschirm Assignments das Profil einer Gruppe zuweisen, in meinem Beispiel nehme ich dafür "Windows10Computers".
Zum Abschluss klickt man auf dem Bildschirm Review + Create auf die Schaltfläche Create.
Die Übersicht für die Konfigurationsprofile zeigt nun das frisch erstellte Profil zum Blockieren von USB-Geräten.
Wenn Unternehmen bestimmte Geräte zulassen müssen, können Administratoren dafür die GUIDs der Geräteklassen hinzufügen, die erlaubt sein sollen. Zuständig ist in diesem Fall die Einstellung Allow installation of devices using drivers that match these device setup classes.
Fazit
Microsoft Intune kann die Installation nicht zugelassener USB-Geräte auf Windows-PCs blockieren, wenn diese mit Azure AD verbunden sind. Dies kann entweder durch einen direkten Join oder über eine hybride AD-Umgebung erfolgen.
Profile machen diese Aufgabe sehr einfach und bieten ähnliche Optionen wie die entsprechenden Einstellungen in den Gruppenrichtlinien.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- GPOs zu MDM konvertieren mit Intune Group Policy Analytics
- NTLM-Authentifizierung überwachen oder blockieren mit Gruppenrichtlinien
- Empfohlene Sicherheitseinstellungen und neue Gruppenrichtlinien für Microsoft Edge (ab 107)
- Windows 10 22H2: Neue Gruppenrichtlinien und Security Baseline, kein ADK
- Security Baseline für Windows 11 2022: Neue empfohlene Einstellungen für Drucker, Defender, NetBIOS, LSASS, VBS
Weitere Links