Fehlkonfigurationen des Betriebssystems

Microsoft Defender for Cloud bietet Sicherheitsempfehlungen, um die Sicherheit von Unternehmen zu verbessern und Risiken zu reduzieren. Ein wichtiges Element zur Risikoreduzierung ist die Härtung von Maschinen in Ihrer gesamten geschäftlichen Umgebung.

Bewertung (Erweiterung für die Azure-Computerkonfiguration)

Defender for Cloud bewertet und erzwingt bewährte Sicherheitskonfigurationen mithilfe integrierter Azure-Richtlinieninitiativen. Die Microsoft Cloud Security Benchmark (MCSB) ist die Standardinitiative von Defender for Cloud.

MCSB umfasst Baselines für die Computesicherheit von Windows- und Linux-Betriebssystemen.

Betriebssystemempfehlungen, die auf diesen MCSB-Computesicherheitsbaselines basieren, sind nicht als Teil der kostenlosen, grundlegenden Sicherheitsstatusfunktionen von Defender for Cloud enthalten.

• Die Empfehlungen sind verfügbar, wenn Defender for Servers Plan 2 aktiviert ist.

• Wenn Defender for Servers Plan 2 aktiviert ist, werden relevante Azure-Richtlinien im Abonnement aktiviert:

  • „Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen“
  • „Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen“

• Stellen Sie sicher, dass Sie diese Richtlinien nicht entfernen, da Sie sonst die Computerkonfigurationserweiterung nicht nutzen können, die zum Sammeln von Computerdaten verwendet wird.

Datensammlung

Computerinformationen werden zur Bewertung mithilfe der Azure-Computerkonfigurationserweiterung (ehemals Azure Policy-Gastkonfiguration) auf dem Computer gesammelt.

Installieren der Computerkonfigurationserweiterung

Die Computerkonfigurationserweiterung wird folgendermaßen installiert:

• Azure: Zur Installation auf Azure-Computern folgen Sie der Empfehlung Gastkonfigurationserweiterung sollte auf Computern installiert werden.
• AWS/GCP: Auf AWS- und GCP-Computern wird die Computerkonfiguration standardmäßig installiert, wenn Sie die Arc-Bereitstellung im AWS- oder GCP-Connector auswählen.
• Lokal: Für lokale Computer wird die Computerkonfiguration standardmäßig aktiviert, wenn Sie lokale VMs als Azure Arc-fähige VMs integrieren.
• Azure-VMs: Nur auf Azure-VMs (nicht auf Arc-fähigen VMs) müssen Sie dem Computer eine verwaltete Identität zuweisen, indem Sie dieser Empfehlung folgen: Gastkonfigurationserweiterung für virtuelle Computer sollte mit der systemseitig zugewiesenen verwalteten Identität bereitgestellt werden.

Nicht enthaltene Komponenten

Zusätzliche Features, die vom Erweiterungscomputer außerhalb von Defender for Cloud bereitgestellt werden, sind nicht enthalten und unterliegen den Preisen für die Azure Policy-Computerkonfiguration.

• Beispielsweise Wartungs- und benutzerdefinierte Richtlinien.
• Überprüfen Sie die Details auf der Seite mit den Preisen für die Azure Policy-Computerkonfiguration.

Bewertung (Defender Vulnerability Management)

Microsoft Defender for Cloud kann nativ in Microsoft Defender for Endpoint und Microsoft Defender Vulnerability Management integriert werden, um Computern Sicherheitsrisikoschutz und Funktionen für Erkennung und Reaktion am Endpunkt (EDR) bereitzustellen.

Im Rahmen dieser Integration wird eine Bewertung der Sicherheitsbaselines von Defender Vulnerability Management bereitgestellt.

• Die Bewertung von Sicherheitsbaselines verwendet benutzerdefinierte Sicherheitsbaselineprofile.
• Profile sind im Grunde eine Vorlage, die aus Gerätekonfigurationseinstellungen und Benchmarks besteht, mit denen sie verglichen werden sollen.

Unterstützung

• Die Bewertung von Geräten anhand der Sicherheitsbaselineprofile von Defender Vulnerability Management ist derzeit in der öffentlichen Vorschau verfügbar.

• Defender for Servers Plan 2 muss aktiviert sein, und der Defender for Endpoint-Agent muss auf den Computern ausgeführt werden, die Sie bewerten möchten.

• Die Bewertung wird für Computer unterstützt, auf denen Sicherheitsbaselineprofile ausgeführt werden:

  • windows_server_2008_r2
  • windows_server_2016
  • windows_server_2019
  • windows_server_2022

Überprüfen von Empfehlungen

Um Empfehlungen der Bewertungen von Sicherheitsbaselines zu überprüfen, suchen Sie nach der Empfehlung „**Computer sollten sicher konfiguriert werden (unterstützt von MDVM)“, und zeigen Sie die Empfehlung für alle Ressourcen an.

Nächste Schritte

• Installieren Sie die Azure Policy-Computerkonfiguration.
• Beheben Sie Fehlkonfigurationen der Betriebssystembaselines.