Chybné konfigurace operačního systému
Microsoft Defender for Cloud poskytuje doporučení zabezpečení ke zlepšení stavu zabezpečení organizace a snížení rizika. Důležitým prvkem snížení rizik je posílení počítačů v rámci vašeho firemního prostředí.
Posouzení (rozšíření konfigurace počítače Azure)
Defender for Cloud vyhodnocuje a vynucuje konfigurace zabezpečení osvědčených postupů pomocí předdefinovaných iniciativ zásad Azure. Srovnávací test microsoft cloudového zabezpečení (MCSB) je výchozí iniciativa Defenderu pro cloud.
MCSB zahrnuje standardní hodnoty zabezpečení výpočetních prostředků pro operační systémy Windows a Linux .
Doporučení operačního systému založená na těchto standardních hodnotách zabezpečení výpočetních prostředků MCSB nejsou zahrnutá jako součást funkcí bezplatného zabezpečení v programu Defender for Cloud .
Doporučení jsou dostupná, když je povolený Defender for Servers Plan 2.
Pokud je povolený Defender for Servers Plan 2, povolí se v předplatném příslušné zásady Azure:
- Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure.
- Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure.
Ujistěte se, že tyto zásady neodeberete nebo nebudete moct využít rozšíření konfigurace počítače, které se používá ke shromažďování dat počítače.
Shromažďování dat
Informace o počítači se shromažďují k posouzení pomocí rozšíření konfigurace počítače Azure (dříve označované jako konfigurace hosta Azure Policy) spuštěného na počítači.
Instalace rozšíření konfigurace počítače
Rozšíření konfigurace počítače se nainstaluje takto:
- Azure: Na počítačích Azure by se na počítačích měla nainstalovat instalace opravou rozšíření konfigurace hosta.
- AWS/GCP: Na počítačích AWS a GCP se konfigurace počítače nainstaluje ve výchozím nastavení, když v konektoru AWS nebo GCP vyberete zřizování Arc.
- Místní: Pro místní počítače je konfigurace počítače ve výchozím nastavení povolená, když nasadíte místní virtuální počítače jako virtuální počítače s podporou Azure Arc.
- Virtuální počítače Azure: Pouze na virtuálních počítačích Azure (nikoli virtuálních počítačích s podporou Arc) musíte k počítači přiřadit spravovanou identitu nápravou tím, že opravíte rozšíření Konfigurace hosta virtuálních počítačů s přiřazenou systémem.
Co není součástí
Další funkce poskytované rozšiřujícím počítačem mimo Defender pro cloud nejsou zahrnuté a podléhají ceně konfigurace počítačů azure Policy.
- Například náprava a vlastní zásady.
- Projděte si podrobnosti na stránce s cenami konfigurace počítače Azure Policy.
Posouzení (správa ohrožení zabezpečení v programu Defender)
Microsoft Defender for Cloud se nativně integruje s Microsoft Defenderem for Endpoint a Microsoft Defender Správa zranitelností, aby poskytoval počítače s ochranou před ohroženími zabezpečení a funkcemi detekce a reakce u koncových bodů (EDR).
V rámci této integrace poskytuje posouzení standardních hodnot zabezpečení služba Defender Vulnerability Management.
- Posouzení standardních hodnot zabezpečení používá přizpůsobené profily standardních hodnot zabezpečení.
- Profily jsou v podstatě šablona, která se skládá z nastavení konfigurace zařízení a srovnávacích testů, se kterými je chcete porovnat.
Technická podpora
Posouzení zařízení proti profilům posouzení standardních hodnot zabezpečení v rámci správy ohrožení zabezpečení v programu Defender je v současné době k dispozici ve verzi Public Preview.
Musí být povolený Defender for Servers Plan 2 a agent Defender for Endpoint musí být spuštěný na počítačích, které chcete posoudit.
Hodnocení se podporuje u počítačů se standardními hodnotami zabezpečení:
- windows_server_2008_r2
- windows_server_2016
- windows_server_2019
- windows_server_2022
Kontrola doporučení
Pokud chcete zkontrolovat doporučení provedená posouzeními standardních hodnot zabezpečení, vyhledejte doporučení **Počítače by měly být nakonfigurovány bezpečně (s využitím MDVM) a podívejte se na doporučení pro všechny prostředky.
Další kroky
- Nainstalujte konfiguraci počítače Azure Policy.
- Opravte chybné konfigurace standardních hodnot operačního systému.