Felkonfigurationer av operativsystem

Microsoft Defender för molnet ger säkerhetsrekommendationer för att förbättra organisationens säkerhetsstatus och minska risken. En viktig del i riskminskningen är att härda datorer i hela företagsmiljön.

Utvärdering (Azure Machine Configuration-tillägg)

Defender för molnet utvärderar och tillämpar säkerhetskonfigurationer med bästa praxis med hjälp av inbyggda Azure-principinitiativ. Microsoft Cloud Security Benchmark (MCSB) är Defender för molnet standardinitiativ.

MCSB innehåller beräkningssäkerhetsbaslinjer för Windows- och Linux-operativsystem.

Operativsystemrekommendationer baserade på dessa MCSB-beräkningssäkerhetsbaslinjer ingår inte som en del av Defender för molnet kostnadsfria grundläggande säkerhetsstatusfunktioner

• Rekommendationerna är tillgängliga när Defender för servrar plan 2 är aktiverad.

• När Defender för servrar plan 2 är aktiverat aktiveras relevanta Azure-principer för prenumerationen:

  • "Windows-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning"
  • "Linux-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen"

• Se till att du inte tar bort dessa principer eller att du inte kan använda datorkonfigurationstillägget som används för att samla in datordata.

Datainsamling

Datorinformation samlas in för utvärdering med hjälp av Azure-datorkonfigurationstillägget (tidigare kallat Azure Policy-gästkonfiguration) som körs på datorn.

Installera datorkonfigurationstillägget

Datorkonfigurationstillägget installeras på följande sätt:

• Azure: Installera på Azure-datorer genom att åtgärda rekommendationen gästkonfigurationstillägg bör installeras på datorer.
• AWS/GCP: På AWS- och GCP-datorer installeras datorkonfigurationen som standard när du väljer Arc-etablering i AWS- eller GCP-anslutningsappen.
• Lokalt: För lokala datorer är datorkonfigurationen aktiverad som standard när du registrerar lokala virtuella datorer som Azure Arc-aktiverade virtuella datorer.
• Virtuella Azure-datorer: Endast på virtuella Azure-datorer (inte arcaktiverade virtuella datorer) måste du tilldela en hanterad identitet till datorn genom att åtgärda rekommendationen Gästkonfigurationstillägg för virtuella datorer ska distribueras med systemtilldelad hanterad identitet.

Vad ingår inte

Ytterligare funktioner som tillhandahålls av tilläggsdatorn utanför Defender för molnet ingår inte och omfattas av prissättning för Azure Policy-datorkonfiguration.

• Till exempel reparation och anpassade principer.
• Läs mer på sidan med prissättning för Azure Policy-datorkonfiguration.

Utvärdering (Defender Sårbarhetshantering)

Microsoft Defender för molnet integreras internt med Microsoft Defender för Endpoint och Microsoft Defender – hantering av säkerhetsrisker för att ge datorer sårbarhetsskydd, och identifiering och åtgärd på slutpunkt-funktioner (EDR).

Som en del av den integreringen tillhandahålls utvärdering av säkerhetsbaslinjer av Defender Vulnerability Management.

• Utvärderingen av säkerhetsbaslinjer använder anpassade säkerhetsbaslinjeprofiler.
• Profiler är i princip en mall som består av enhetskonfigurationsinställningar och riktmärken som du kan jämföra dem med.

Support

• Utvärdering av enheter mot utvärderingsprofilerna för Säkerhetsbaslinjer för Defender Vulnerability Management är för närvarande tillgängligt i offentlig förhandsversion.

• Defender for Servers Plan 2 måste vara aktiverat och Defender för Endpoint-agenten måste köras på datorer som du vill utvärdera.

• Utvärdering stöds för datorer som kör säkerhetsbaslinjeprofiler:

  • windows_server_2008_r2
  • windows_server_2016
  • windows_server_2019
  • windows_server_2022

Granska rekommendationer

Om du vill granska rekommendationer från utvärderingar av säkerhetsbaslinjer söker du efter rekommendationen **Datorer bör konfigureras på ett säkert sätt (drivs av MDVM)" och visar rekommendationen för alla resurser.

Nästa steg

• Installera konfigurationen av Azure Policy-datorn.
• Åtgärda felkonfigurationer av os-baslinjen.