Posouzení standardních hodnot zabezpečení
Platí pro:
- Microsoft Defender Správa zranitelností
- Microsoft Defender XDR
- Microsoft Defender pro servery – plán 2
Poznámka
Abyste mohli tuto funkci používat, budete potřebovat Microsoft Defender Správa zranitelností Standalone nebo pokud už jste zákazníkem Microsoft Defender for Endpoint Plan 2, Defender Správa zranitelností doplněk.
Místo spouštění nekonečných kontrol dodržování předpisů vám posouzení standardních hodnot zabezpečení pomůže nepřetržitě a snadno monitorovat dodržování standardních hodnot zabezpečení vaší organizace a identifikovat změny v reálném čase.
Profil standardních hodnot zabezpečení je přizpůsobený profil, který můžete vytvořit k posouzení a monitorování koncových bodů ve vaší organizaci podle oborových srovnávacích testů zabezpečení. Když vytváříte profil standardních hodnot zabezpečení, vytváříte šablonu, která se skládá z několika nastavení konfigurace zařízení a základního srovnávacího testu, který chcete porovnat.
Standardní hodnoty zabezpečení poskytují podporu pro srovnávací testy Center for Internet Security (CIS) pro Windows 10, Windows 11 a Windows Server 2008 R2 a novější a také srovnávací testy STIG (Security Technical Implementation Guide) pro Windows 10 a Windows Server 2019.
Poznámka
Srovnávací testy v současné době podporují pouze konfigurace objektu Zásady skupiny (GPO), a ne Microsoft Configuration Manager (Intune).
Tip
Věděli jste, že si můžete vyzkoušet všechny funkce v Microsoft Defender Správa zranitelností zdarma? Zjistěte, jak si zaregistrovat bezplatnou zkušební verzi.
Poznámka
Hodnocení standardních hodnot zabezpečení není podporováno, pokud je v Windows Server 2012 R2 povolené dfss (Dynamic Fair Share Scheduling).
Začínáme s posouzením standardních hodnot zabezpečení
Na portálu Microsoft Defender přejděte naposouzení standardních hodnotsprávy> ohrožení zabezpečení.
Vyberte kartu Profily v horní části a pak vyberte tlačítko Vytvořit profil .
Zadejte název a popis profilu standardních hodnot zabezpečení a vyberte Další.
Na stránce Rozsah standardního profilu nastavte nastavení profilu, jako je software, základní srovnávací test (CIS nebo STIG), a úroveň dodržování předpisů a vyberte Další.
Vyberte konfigurace, které chcete zahrnout do profilu.
Pokud chcete změnit hodnotu konfigurace prahové hodnoty pro vaši organizaci, vyberte Přizpůsobit .
Vyberte Další a zvolte skupiny zařízení a značky zařízení, které chcete zahrnout do základního profilu. Profil se v budoucnu automaticky použije na zařízení přidaná do těchto skupin.
Vyberte Další a zkontrolujte profil.
Vyberte Odeslat a vytvořte svůj profil.
Na poslední stránce vyberte Zobrazit stránku profilu a zobrazte výsledky posouzení.
Poznámka
Pro stejný operační systém můžete vytvořit více profilů s různými přizpůsobeními.
Když konfiguraci přizpůsobíte, zobrazí se vedle ní ikona, která označuje, že je přizpůsobená a že už nepoužívá doporučenou hodnotu. Výběrem tlačítka resetovat se vraťte k doporučené hodnotě.
Užitečné ikony, o které byste měli vědět:
– Tato konfigurace byla dříve přizpůsobena. Pokud při vytváření nového profilu vyberete Přizpůsobit, uvidíte dostupné varianty, ze které si můžete vybrat.
– Tato konfigurace byla přizpůsobena a nepoužívá výchozí hodnotu.
Přehled posouzení standardních hodnot zabezpečení
Na stránce přehledu posouzení standardních hodnot zabezpečení můžete zobrazit dodržování předpisů zařízením, dodržování předpisů v profilu, zařízení s nejvyšším selháním a chybně nakonfigurovaná zařízení s nejvyšší úrovní zabezpečení.
Kontrola výsledků posouzení profilu standardních hodnot zabezpečení
Na stránce Profily vyberte některý z vašich profilů a otevřete informační panel s dalšími informacemi.
Vyberte Otevřít stránku profilu. Stránka profilu obsahuje dvě karty Konfigurace a Zařízení.
Zobrazit podle konfigurace
Na kartě Konfigurace můžete zkontrolovat seznam konfigurací a posoudit jejich nahlášený stav dodržování předpisů.
Když v seznamu vyberete konfiguraci, zobrazí se vysouvací panel s podrobnostmi o nastavení zásad, včetně doporučené hodnoty (očekávaného rozsahu hodnot pro zařízení, které bude považovat za vyhovující) a zdroje použitého k určení aktuálního nastavení zařízení.
Na kartě Zařízení se zobrazuje seznam všech použitelných zařízení a jejich stavu dodržování předpisů pro tuto konkrétní konfiguraci. U každého zařízení můžete pomocí aktuální zjištěné hodnoty zjistit, proč zařízení vyhovuje předpisům nebo proč nedodržuje předpisy.
Zobrazit podle zařízení
Na hlavní kartě Zařízení můžete zkontrolovat seznam zařízení a posoudit jejich nahlášený stav dodržování předpisů.
Když vyberete zařízení v seznamu, zobrazí se vysouvací panel s dalšími podrobnostmi.
Vyberte kartu Konfigurace a zobrazte kompatibilitu tohoto konkrétního zařízení se všemi konfiguracemi profilu.
V horní části bočního panelu zařízení vyberte Otevřít stránku zařízení a přejděte na stránku zařízení v inventáři zařízení. Na stránce zařízení se zobrazí karta Dodržování standardních hodnot , která poskytuje podrobný přehled o dodržování předpisů zařízením.
Když v seznamu vyberete konfiguraci, zobrazí se vysouvací panel s podrobnostmi o dodržování předpisů pro nastavení zásad na tomto zařízení.
Vytváření a správa výjimek
Můžete narazit na případy, kdy nechcete posuzovat konkrétní konfigurace na určitých zařízeních. Zařízení může být například pod kontrolou třetí strany nebo už může mít alternativní omezení rizik. V těchto situacích můžete přidat výjimky, které vyloučí posouzení konkrétních konfigurací na zařízení.
Zařízení zahrnutá ve výjimkách nebudou hodnocena pro zadané konfigurace v základních profilech. To znamená, že to nebude mít vliv na metriky a skóre organizace a může to organizacím poskytnout jasnější přehled o dodržování předpisů.
Zobrazení výjimek:
- Na portálu Microsoft Defender přejděte naposouzení standardních hodnotsprávy> ohrožení zabezpečení.
- Nahoře vyberte kartu Výjimky .
Přidání nové výjimky:
Na kartě Výjimky vyberte tlačítko Vytvořit .
Vyplňte požadované podrobnosti, včetně odůvodnění a doby trvání.
Vyberte Další.
Na stránce Rozsah konfigurace zvolte software, základní srovnávací test a úroveň dodržování předpisů a vyberte Další.
Vyberte konfigurace, které chcete přidat k výjimce.
Vyberte Další a zvolte zařízení, která chcete zahrnout do výjimky. Výjimka se automaticky použije u zařízení.
Vyberte Další a zkontrolujte výjimku.
Vyberte Odeslat a vytvořte výjimku.
Na poslední stránce vyberte Zobrazit všechny výjimky a vraťte se na stránku výjimek.
Na stránce Výjimky vyberte některou z výjimek. Otevře se vysouvací podokno, kde můžete zobrazit stav, upravit nebo odstranit výjimku:
Použití rozšířeného proaktivního vyhledávání
Pokud chcete získat přehled o standardních hodnotách zabezpečení ve vaší organizaci, můžete spustit pokročilé dotazy proaktivního vyhledávání v následujících tabulkách:
- DeviceBaselineComplianceProfiles: Poskytuje podrobnosti o vytvořených profilech.
- DeviceBaselineComplianceAssessment: informace související s dodržováním předpisů zařízením.
- DeviceBaselineComplianceAssessmentKB: obecná nastavení pro srovnávací testy CIS a STIG (nesouvisí s žádným zařízením).
Známé problémy se shromažďováním dat
Víme o známých problémech ovlivňujících shromažďování dat v určitých verzích srovnávacích testů CIS, STIG a Microsoftu. Problémy můžou způsobit nepřesné nebo neúplné výsledky při spouštění testů v těchto verzích. Na těchto problémech se aktivně pracuje a budou vyřešeny v budoucích aktualizacích.
Při spouštění hodnocení doporučujeme vyloučit ovlivněné testy z profilu srovnávacího testu, abyste se vyhnuli dopadu těchto problémů.
Pokud vaše srovnávací verze není uvedená níže a dochází k problémům, obraťte se na podpora Microsoftu, abychom nám pomohli s dalším šetřením a pomohli vám s řešením.
Jsou ovlivněny následující srovnávací testy CIS, Microsoftu a STIG:
SNS
- CIS 17.1.1
- CIS 17.2.1
- CIS 17.3.1 až 17.3.2
- CIS 17.5.1 až 17.5.6
- CIS 17.6.1 až 17.6.4
- CIS 17.7.1 až 17.7.5
- CIS 17.8.1
- CIS 17.9.1 až 17.9.5
Cis Kontroluje sčítání
- CIS 2.3.7.3 až 2.3.7.5
- CIS 2.3.10.1
- CIS 1.1.5
Microsoft Checks
- Microsoft 2.1
- Microsoft 2.10
- Microsoft 2.12 až 2.30
- Microsoft 2.33 až 2.37
- Microsoft 2.40 až 2.50
- Microsoft 3.55
- Microsoft 3.57
- Microsoft 3.60
- Microsoft 3.72
Microsoft Certificate Store – kontroly pro Windows a Windows Server
- MCS 1.1 pro Windows 10 1909 (dočasné) 1.1.5
- MCS 2.0 pro Windows 10 1909 (dočasné) 1.1.5
- MCS 1.1 pro Windows 10 20H2 (dočasné) 1.1.5
- MCS 2.0 pro Windows 10 20H2 (dočasné) 1.1.5
- MCS 2.0 pro Windows 10 v21H2 1.1.5
- MCS 2.0 pro Windows 10 v22H2 1.1.5
- MCS 2.0 pro Windows 11 1.1.5
- MCS 2.0 pro Windows 11 23H2 1.1.5
- MCS 2.0 pro Windows Server 2022 1.1.5
- MCS 2.0 pro Windows Server 2022 Řadič domény 1.1.5
- MCS 2.0 pro Windows Server 2019 1.1.5
- MCS 2.0 pro Windows Server 2019 Řadič domény 1.1.5
- MCS 2.0 pro Windows Server 2016 1.1.5
- MCS 2.0 pro řadič domény Windows Server 2016 1.1.5
- MCS 2.0 pro Windows Server 2012_R2 1.1.5
- MCS 1.1 pro Windows Server 2008_R2 (dočasné) 1.1.5
- MCS 2.0 pro Windows Server 2022 Řadič domény 2.3.10.1
- MCS 2.0 pro Windows Server 2019 Řadič domény 2.3.10.1
- MCS 2.0 pro Windows Server 2016 řadič domény 2.3.10.1
Seznam STIG
- STIG SV-205678r569188
- STIG SV-220746r569187
- STIG SV-220754r569187
- STIG SV-220757r569187
- STIG SV-220760r569187
- STIG SV-220767r569187
- STIG SV-220768r569187
- STIG SV-220768r851975
- STIG SV-220775r569187
- STIG SV-220775r851978
- STIG SV-220786r569187
- STIG SV-220769r569187
- STIG SV-225273r569185
- STIG SV-225281r569185
- STIG SV-225284r569185
- STIG SV-225287r569185
- STIG SV-225292r569185
- STIG SV-225294r569185
- STIG SV-225294r852189
- STIG SV-225295r569185
- STIG SV-225302r569185
- STIG SV-225302r852194
- STIG SV-226092r569184
- STIG SV-226092r794343
- STIG SV-226099r569184
- STIG SV-226099r794279
- STIG SV-226102r569184
- STIG SV-226102r794335
- STIG SV-226107r569184
- STIG SV-226107r794336
- STIG SV-226110r569184
- STIG SV-226110r794366
- STIG SV-226117r569184
- STIG SV-226117r794356
- STIG SV-226117r852079
- STIG SV-226109r569184
- STIG SV-226109r794353
- STIG SV-226109r852074
- STIG SV-226063r569184
- STIG SV-226063r794292
- STIG SV-254271r848629
- STIG SV-224873r569186