.png "Windows Intune a licencjonowanie"){kind=icon}
.png "Windows Intune – zarządzanie prosto z chmury")
Windows Intune – zarządzanie klientami za pomocą polityk
.png "Udostępnij na: Facebook")
Autor: Marek Krupa
Opublikowano: 2011-08-09
Z poprzedniego artykułu dowiedziałeś się, jakie są koszty wykupienia subskrypcji Windows Intune oraz jak za pomocą tej usługi można zarządzać licencjami oprogramowania firmy Microsoft w przedsiębiorstwie. W tym artykule przeczytasz o sposobach zarządzania politykami bezpieczeństwa za pomocą Windows Intune.
Wprowadzenie
Jednym z ważniejszych elementów każdej infrastruktury informatycznej jest szeroko rozumiane bezpieczeństwo. W tym ogólnym pojęciu mieści się również odpowiednia konfiguracja systemów klienckich. Słowo „bezpieczne” możemy w tym wypadku tłumaczyć jako skonfigurowanie systemów operacyjnych zgodnie z pewnymi politykami.
Systemy operacyjne mogą być konfigurowane ręcznie przez administratora. Metoda taka jest czasochłonna i ryzykowna. Ryzykowna, bo zawsze istnieje niebezpieczeństwo przeoczenia pewnego ustawienia na kilku komputerach. Można powiedzieć, że Twoja sieć jest tak dobrze zabezpieczona, jak najgorzej skonfigurowany komputer.
W środowisku domenowym naturalnym sposobem konfiguracji ustawień zabezpieczeń są polityki grupowe (GPO). Za pomocą odpowiednio skonfigurowanej polityki administrator jest w stanie w identyczny sposób skonfigurować zabezpieczenia wszystkich komputerów klienckich w swojej sieci. Rozwiązanie idealne.
Windows Intune w obecnej wersji również posiada namiastkę polis grupowych znanych ze środowiska domenowego. Ustawienia, które możemy za ich pomocą konfigurować, nie są tak bardzo szerokie jak w GPO i dotyczą głównie konfiguracji elementów systemu Windows Intune.
Polityki usługi Windows Intune
Windows Intune w ograniczonym zakresie pozwala administratorom na konfigurowanie polityk zabezpieczeń bezpośrednio z panelu administracyjnego. Dostęp do obszaru zarządzania politykami uzyskamy, wybierając menu Policy (rysunek 1).
.jpg "Panel zarządzania politykami")
**Rysunek 1. Panel zarządzania politykami.
Aby zobaczyć listę wszystkich skonfigurowanych polityk w obszarze Policy, należy wybrać łącze All Policies (rysunek 2).
.jpg "Lista wszystkich skonfigurowanych polityk")
Rysunek 2. Lista wszystkich skonfigurowanych polityk.
Po zaznaczeniu wybranej polityki możemy ją edytować, usunąć oraz zarządzać wdrażaniem. Zarządzanie wdrażaniem polega na przypisaniu polityki do odpowiedniej grupy komputerów. W szczególności może to być grupa All Computers, wtedy polityka skonfiguruje zabezpieczenia wszystkich zarejestrowanych w Windows Intune komputerów. Zaznaczając wybraną politykę, w dolnej części okna pojawią się ogólne informacje na jej temat, takie jak grupa, do której została przypisana, oraz data ostatniej modyfikacji.
Tworzenie nowej polityki
Nową politykę możemy utworzyć na dwa sposoby:
- klikając łącze Create New Policy w obszarze zadań w panelu Policy\Overview (rysunek 1),
- klikając łącze New w obszarze Policy\All Policies (rysunek 2).
Polityka tworzona jest za pomocą kreatora, czyli w kolejnych krokach będą konfigurowane kolejne jej elementy. W pierwszym kroku tworzenia nowej polityki należy wybrać odpowiedni szablon, który będzie determinował obszar konfiguracyjny (rysunek 3).
.jpg "Kreator konfigurowania nowej polityki – wybór szablonu")
**Rysunek 3. Kreator konfigurowania nowej polityki – wybór szablonu.
Do wyboru mamy trzy szablony:
- Windows Intune Agent Settings – pozwala skonfigurować opcje programu antywirusowego (EndpointProtection) oraz pobierania i instalowania aktualizacji,
- Windows Intune Center Settings – umożliwiający skonfigurowanie opcji programu Centrum Windows Intune,
- Windows Firewall Settings – przygotowany do konfigurowania opcji programu Zapora Systemu Windows.
Polityka konfigurująca opcje agenta Windows Intune
Szablon polityki konfigurującej agenta Windows Intune składa się z trzech obszarów (rysunek 4):
- General (ogólny),
- EndpointProtection, oraz
- Updates.
W obszarze General należy wpisać nazwę nowo tworzonej polityki oraz można opcjonalnie wpisać krótki opis (rysunek 4).
.jpg "Konfigurowanie ustawień ogólnych nowej polityki")
**Rysunek 4. Konfigurowanie ustawień ogólnych nowej polityki.
Obszar konfiguracyjny programu EndpointProtection składa się z kilku podpunktów, w których można skonfigurować różne elementy programu antywirusowego:
- EndpointProtection Service – pozwala na włączenie/wyłączenie programu antywirusowego, skonfigurowanie okresu, w którym będą tworzone punkty przywracania systemu, oraz ustawienie okresu, w którym będą śledzone próby rozwiązania problemów ze złośliwym oprogramowaniem;
- Real-timeProtection – czyli ochrona w czasie rzeczywistym; w tym miejscu można skonfigurować jakie elementy będą chronione w czasie rzeczywistym. Skonfigurować można między innymi: skanowanie wszystkich pobieranych z Internetu plików, skanowanie plików i programów aktywnych na komputerze, skanowanie skryptów, monitorowanie behawioralne komputera, włączenie systemu inspekcji sieci;
- Scan Schedule – punkt pozwalający na skonfigurowanie harmonogramu skanowania, czyli kiedy będzie skanowany komputer i w jaki sposób (pełne skanowanie lub szybkie);
- Scan Options – opcje skanowania pozwalają skonfigurować takie opcje, jak skanowanie e-maili, skanowanie plików spakowanych, sprawdzanie i pobranie najnowszych definicji wirusów przed rozpoczęciem skanowania, skanowanie plików pobranych z udziałów sieciowych, skanowanie zamapowanych udziałów sieciowych, ograniczenie użycia procesora podczas skanowania;
- Default Action – pozwala skonfigurować domyślne działanie programu EndpointProtection podczas wykrycia złośliwego oprogramowania i zaklasyfikowania go do różnych wskaźników ważności. W zależności od współczynnika ważności, dopuszczalne są opcje: kwarantanna, usunięcie lub zezwolenie na działanie programu;
- Exclude Files and Folders – miejsce, gdzie możemy zdefiniować pliki i foldery, które nie będą skanowane przez program;
- Exclude Process – pozwala na zdefiniowanie usług, które nie będą podlegały skanowaniu;
- Exclude File Types – w tym miejscu możemy zdefiniować typy plików, które nie będą podlegały skanowaniu. Typy plików definiowane są poprzez rozszerzenia, np. txt, docx;
- **Microsft SpyNet – **ostatni element konfiguracyjny programu antywirusowego; w tym miejscu definiujemy, czy komputery mają zostać członkiem społeczności Microsoft SpyNet, na jakim poziomie członkostwa (podstawowy lub zaawansowany) oraz czy mają być pobierane dynamiczne definicje w oparciu o raporty Microsoft SpyNet.
Ostatnim obszarem jest konfigurowanie ustawień dotyczących pobierania i instalowania aktualizacji na komputerach (rysunek 5).
.jpg "Konfigurowanie opcji aktualizacji")
**Rysunek 5. Konfigurowanie opcji aktualizacji.
Skonfigurować za pomocą tej polityki można między innymi:
- częstotliwość sprawdzania aktualizacji (w godzinach),
- sposób instalowania aktualizacji (automatyczny lub ręczny przez użytkownika). Zaleca się skonfigurowanie instalowania automatycznego, wtedy całym procesem zatwierdzania aktualizacji oraz dystrybuowania możemy zarządzać za pomocą konsoli administracyjnej usługi Windows Intune,
- opcje związane restartem systemu operacyjnego po zainstalowaniu aktualizacji.
Po skonfigurowaniu wszystkich opcji nowo utworzoną politykę możemy zapisać, klikając przycisk Save Policy. Po zapisaniu polityki system zapyta administratora, czy chce od razu wdrożyć skonfigurowaną politykę. Jeżeli wyrazimy zgodę, to pojawi się okno przedstawiające hierarchię grup komputerów (rysunek 6).
.jpg "Wybór grupy komputerów do wdrożenia polityki")
**Rysunek 6. Wybór grupy komputerów do wdrożenia polityki.
W oknie tym należy zaznaczyć, do której grupy chcemy przypisać utworzoną politykę. Po jej wybraniu i zatwierdzeniu system prześle ustawienia polityki do wybranych komputerów podczas najbliższego skontaktowania się komputerów z usługą.
Polityka konfigurująca Centrum Windows Intune
Proces rejestracji komputera w usłudze Windows Intune obejmuje również zainstalowanie na komputerze klienckim programu o nazwie Windows Intune Center – okno programu zostało przedstawione na rysunku 7.
.jpg "Standardowe okno programu Windows Intune Center")
**Rysunek 7. Standardowe okno programu Windows Intune Center.
Z poziomu tej aplikacji użytkownik może sprawdzić, czy są do pobrania nowej aktualizacje, uruchomić program antywirusowy Windows Intune Endpoint Protection lub poprosić o zdalną pomoc za pomocą aplikacji Microsoft Easy Assist.
Za pomocą odpowiedniej polityki możemy też nieco zmodyfikować program Windows Intune Center. Okno konfiguracji polityki dotyczącej tego programu zostało przedstawione na rysunku 8.
.jpg "Konfigurowanie polityki dla Centrum Windows Intune")
**Rysunek 8. Konfigurowanie polityki dla Centrum Windows Intune.
Polityka dotycząca Windows Intune Center pozwala na skonfigurowanie informacji kontaktowych z centrum wsparcia użytkowników, takich jak:
- nazwa centrum wsparcia,
- numer telefonu,
- adres e-mail,
- nazwa strony internetowej,
- adres URL strony internetowej.
Po skonfigurowaniu polityki należy ją oczywiście przypisać do określonej grupy komputerów.
Po zadziałaniu polityki na wybrane komputery informacje skonfigurowane w polityce pojawią się w Windows Intune Center na wybranych komputerach klienckich. Zmodyfikowane okno Windows Intune Center zostało przedstawione na rysunku 9.
.jpg "Okno Windows Intune Center po zadziałaniu polityki")
**Rysunek 9. Okno Windows Intune Center po zadziałaniu polityki.
Polityka konfigurująca ustawienia zapory systemu Windows
Ostatnim typem szablonu, który możemy wykorzystać w Windows Intune, jest szablon pozwalający konfigurować ustawienia zapory systemu Windows. Szablon ten składa się z dwóch zasadniczych elementów:
- Profile Settings oraz
- Predefinied Exceptions
Profile Settings pozwala na skonfigurowanie zachowania zapory systemu Windows w różnych profilach. W obszarze tym możemy włączyć lub wyłączyć zaporę w różnych profilach sieciowych, skonfigurować działanie zapory dla ruchu przychodzącego w różnych profilach oraz ustawić opcję powiadamiania podczas blokowania nowych programów. Wszystkie możliwe opcje, jakie można skonfigurować, zostały przedstawione na rysunku 10.
.jpg "Opcje dostępne w polityce konfigurującej zaporę systemu Windows – profile sieciowe")
**Rysunek 10. Opcje dostępne w polityce konfigurującej zaporę systemu Windows – profile sieciowe.
Drugim elementem, który możemy skonfigurować w tego typu polityce, są wyjątki. Konfigurujemy je w obszarze Predefinied Exceptions. Element ten posiada listę predefiniowanych wyjątków (usług) działających w systemie Windows 7, takich jak: usługa Branch Cache, Udostępnianie plików i drukarek, grupa domowa, zdalna pomoc, zdalny pulpit i inne.
Po włączeniu wybranego wyjątku należy dodatkowo zaznaczyć, w jakich typach sieci (domenowy, prywatny lub publiczny) dany wyjątek ma obowiązywać (rysunek 11).
.jpg "Konfigurowanie wyjątków dla programu zapora systemu Windows")
**Rysunek 11. Konfigurowanie wyjątków dla programu zapora systemu Windows.
Po skonfigurowaniu wszystkich żądanych elementów należy politykę przypisać do określonej grupy komputerów.
Rozwiązywanie konfliktów ustawień
Windows Intune wprowadza trzeci mechanizm wdrażania polityk zabezpieczeń. Dwa pozostałe to oczywiście lokalne zabezpieczenia komputera oraz obiekty grupowych polityk domenowych (GPO). Polityki Windows Intune w głównej mierze konfigurują ustawienia specyficzne dla samej usługi, ale mogą również pokrywać się z ustawieniami wdrażanymi za pomocą innego mechanizmu. W jaki sposób takie konflikty będą rozwiązywane?
Jeżeli to samo ustawienie zostanie skonfigurowane przez lokalne polityki zabezpieczeń oraz przez politykę Windows Intune, wtedy wygrywa konfiguracja wdrażania przez Windows Intune.
Bardziej skomplikowana sytuacja występuje w przypadku polityk wdrażanych przez domenę oraz Windows Intune.
W normalnych warunkach, tzn. jeżeli komputer skontaktuje się z kontrolerem domeny, wtedy wygrywają polityki domenowe nad ustawieniami Windows Intune. Natomiast w przypadku, gdy komputer nie skontaktuje się z kontrolerem domeny, wtedy precedens przejmują polityki Windows Intune. Z punktu widzenia administratora jest to stan trochę nieustalony, gdyż nigdy nie można być pewnym, która polityka skonfiguruje ustawienie komputera. Przypadków takich należy unikać!
Możliwe są cztery rozwiązania tego problemu:
- utworzenie nowej jednostki organizacyjnej, w której zostaną umieszczone konta komputerów zarejestrowanych w Windows Intune. Skonfigurowanie filtrowania GPO (np. poprzez blokowanie dziedziczenia ustawień na OU), tak aby GPO będące w konflikcie z ustawieniami polityk Windows Intune nie działały na konta komputerów znajdujące się w utworzonej jednostce organizacyjnej;
- skonfigurowanie odpowiednich uprawnień dla polityk domenowych (GPO) będących w konflikcie z ustawieniami Windows Intune, tzw. filtrowanie poprzez uprawnienia;
- uzależnienie przetwarzania konfliktowych GPO od odpowiedniego filtru WMI sprawdzającego, czy dany komputer jest zarejestrowany w Windows Intune;
- zmiana ustawień polityk domenowych poprzez usunięcie konfliktowych ustawień.
Podsumowanie
W artykule omówiono zasady konfigurowania oraz wdrażania polityk zabezpieczeń za pomocą Windows Intune. Omówiono szczegółowo wszystkie dostępne szablony polityk oraz wyjaśniono występowanie precedensów w przypadku ustawień zarządzanych przez Windows Intune, lokalne zasady zabezpieczeń oraz domenowych obiektów polityk grupowych (GPO).