使用Intune强化macOS安全：从基础到全面防护

macOS安全与Intune——从基础到全面防护

让我们面对现实——“全面防护安全"听起来很酷，但在网络安全领域，这更像是个神话而非现实。威胁的演变速度远超我们的修补能力，总会有聪明的黑客在寻找破解你macOS安全的方法。这里的目标不是追求完美，而是保持领先优势，最小化风险，并准备好应对突发事件。

实施安全措施至关重要，但让我们面对现实，许多组织在这项任务上都很吃力——根据我的个人经验，对于那些负责管理和加固macOS设备团队的人来说，这一点更为明显。这就是为什么我创建了一个macOS安全基线GitHub仓库，其中包含了专门为使用Intune进行macOS安全加固而量身定制的脚本和配置配置文件。希望您能发现它的价值。

您准备好提升您的macOS安全水平了吗？直接前往macOS安全基线仓库

注意：虽然有很多优秀的仓库在做类似的工作，但我在这里尝试加入了自己的特色。我为每个设置和脚本都包含了详细的文档——分解了它的功能以及为什么它很重要。此外，我将持续更新它以在不断变化的安全世界中保持领先！

CIS基准：快速概述

CIS基准是一套由网络安全专家开发的安全配置指南，旨在帮助组织加强其防御能力。它们提供了安全配置系统的详细建议，包括macOS安全。该项目提供了一系列脚本和配置文件，旨在匹配CIS（互联网安全中心）基准——这些基本的网络安全设置非常适合大多数旨在加强其安全基础的组织。

CIS基准的两个级别：

级别1：基础级别——易于设置、不会破坏任何功能并能保持系统平稳运行的安全设置。
级别2：适用于高安全环境——更严格的设置，但可能会以功能减少为代价。

这些基准是保护您的macOS设备群的绝佳起点。如果您正在使用Intune，您知道目前仍然没有macOS安全基线。有关更多详细信息，请查看官方的Apple macOS CIS基准。

仓库里有什么？

macOS安全基线仓库包含了许多好东西，让您的macOS安全之旅更加顺畅。在深入之前，请始终检查是否可以使用Intune的本机策略配置某些内容。从设置目录开始，然后转到设备限制，再尝试自定义配置文件（.mobileconfig或.plist）。如果没有合适的，脚本是您的最后选择。这也是我尝试构建这个项目的方式。

注意：该仓库目前包括级别1的建议。级别2正在开发中——敬请期待！

使用我仓库中的配置配置文件和脚本并不意味着您符合CIS或任何其他基准。我仓库中的配置遵循了大部分建议，但也包括建议和CIS控制措施的自定义实现。如果您想根据CIS评估您的部署，请查看CIS控制自我评估工具（CIS CSAT）。

设置目录

这些JSON文件来自我的开发租户的导出。您可以直接将它们导入Intune，或使用IntuneManagement等工具。

配置示例：

屏幕锁定：在无活动后自动锁定屏幕以保护用户隐私。
防火墙激活：确保macOS防火墙始终启用以阻止未经授权的访问。
启用系统完整性保护（SIP）：保护macOS根文件系统免受篡改。
审计日志：为用户活动和安全事件启用详细日志记录。
应用程序日志记录：跟踪应用程序活动以进行取证调查。
查看更多…

自定义配置文件

某些设置（目前）无法通过Intune的设置目录处理。这时.mobileconfig和.plist文件就派上用场了。

自定义配置文件示例：

禁用快速用户切换：防止未经授权的会话访问，同时保持Touch ID功能以便利使用。
登录窗口强化：通过自定义登录消息强制执行CIS 2.10合规性，禁用自动登录，并移除密码提示以增强安全性。
Safari安全和隐私：阻止不安全的下载，启用欺诈网站警告，并强制执行更严格的存储策略。
显示Wi-Fi和蓝牙状态：确保连接状态始终在菜单栏中可见，满足CIS建议。
以及更多

脚本

当其他方法都不起作用时，脚本可以自动化本机Intune策略无法处理的任务。

脚本示例：

禁用Root账户：防止未经授权的超级用户访问并减少攻击面。
启用Sudo日志记录：记录所有sudo命令以实现更好的问责制和审计跟踪。
将Sudo超时设置为零：要求每次sudo命令都重新输入密码以最小化权限提升风险。
在此处查看所有脚本…

自定义属性

想要监控您的配置吗？自定义属性为您提供关于设备群的额外洞察。

示例：

监控App Store自动更新：检查是否自动下载更新。
监控Sudo超时期限：验证sudo是否要求每次命令都重新输入密码。
监控软件更新状态：确保macOS更新可用且系统连接到Apple的更新服务器。
基于这些示例创建您自己的自定义属性脚本

macOS安全——实战经验

经过无数次部署，以下是我学到的一些该做和不该做的事情：

该做的：

从简单开始：首先制定合规策略，然后逐步添加高级配置。
通知用户：像登录屏幕调整这样的更改可能会使用户感到困惑——请让他们知情。
测试配置：在受控环境中验证更改，然后再全面部署。

不该做的：

仓促配置：慢慢来——安全需要彻底性。
忽视密码策略：设置不当可能会导致同步问题。
忘记影响：始终了解更改如何影响您的用户和系统。

从基础到全面防护

基础：

每个坚实的安全设置都从基础开始。这些是一些必备配置，可以在不破坏功能的情况下保护设备。

合规策略：定义您必须具备的安全设置。
设备限制：阻止诸如屏幕共享和访客账户等功能。
操作系统和软件更新：保持设备修补和保护。

必备项：

这些是关键配置，更进一步保护用户行为和数据。它们有助于在保持可用性的同时最小化风险。

禁用密码自动填充和共享。
锁定共享功能，如SMB和蓝牙。
关闭iCloud服务以保持数据本地化和安全。

高级配置：

一旦您掌握了基础和必备项，就是时候升级了。这些高级设置为您的安全策略增加了更深入的洞察和自动化。

使用自定义属性进行详细报告。
在需要时使用脚本自动化。
探索诸如Jamf Compliance Editor和iMazing Profile Editor等工具以获得灵活性。

让我们开始使用macOS安全！

克隆仓库：

1

git clone https://github.com/oktay-sari/Intune-Goodies.git

将JSON文件导入Intune或使用.mobileconfig和.plist文件。部署脚本并监控合规性。

理解影响！

始终考虑您所做的任何更改的影响——说真的，这很重要！理解您正在实施什么以及它如何影响您的系统是必须的。这里有一个例子：

登录窗口配置：不要显示用户名！您应该通知用户他们可以期待什么。他们可能不知道自己的macOS本地账户用户名！

JAMF合规编辑器

另一个让您入门的好工具是JAMF合规编辑器。Jamf Compliance Editor就像是您的安全助手，让您超级轻松地开始为所有Apple设备——macOS、iOS、iPadOS，甚至visionOS——建立合规基线。

它由macOS安全合规项目提供支持（感谢NIST在GitHub上托管它），所以您知道它有一些严肃的可信度。

最后思考

使用Intune进行macOS安全不一定是件令人头疼的事。有了这个仓库，您就拥有了设置、保护和扩展设备群所需的一切。那么，您还在等什么？查看仓库，深入探索，让我们使您的macOS设备群变得坚不可摧！

有问题或反馈吗？给我留言或在GitHub上提出问题。

资源：