你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

操作系统配置错误

Microsoft Defender for Cloud 提供安全建议,以提高组织安全状况并降低风险。 风险降低的一个重要因素是强化整个业务环境中的计算机。

评估(Azure 机器配置扩展)

Defender for Cloud 使用内置的 Azure 策略计划评估并强制实施最佳做法安全配置。 Microsoft Cloud 安全基准 (MCSB) 是 Defender for Cloud 的默认计划。

MSCB 包括适用于 WindowsLinux 操作系统的 计算安全基线。

Defender for Cloud 的免费基础安全状况功能不包含基于这些 MCSB 计算安全基线的操作系统建议

  • 启用 Defender for Servers 计划 2 时,这些建议才可用。

  • 启用 Defender for Servers 计划 2 后,在订阅上启用相关的 Azure 策略:

    • “Windows 计算机应符合 Azure 计算安全基线的要求”
    • “Linux 计算机应符合 Azure 计算安全基线的要求”
  • 请确保不要移除这些策略,否则无法利用用于收集计算机数据的机器配置扩展。

数据收集

使用计算机上运行的 Azure 计算机配置扩展(以前称为 Azure Policy 来宾配置)收集计算机信息进行评估。

安装机器配置扩展

机器配置扩展安装方式如下:

不包含的功能

不包含 Defender for Cloud 外部的扩展计算机提供的其他功能,它们受 Azure Policy 机器配置定价的约束。

评估(Defender 漏洞管理)

Microsoft Defender for Cloud 与 Microsoft Defender for Endpoint 和 Microsoft Defender 漏洞管理原生集成,为计算机提供漏洞保护,以及终结点检测和响应 (EDR) 功能。

作为该集成的一部分,安全基线评估功能由 Defender 漏洞管理提供。

  • 安全基线评估使用定制的安全基线配置文件。
  • 配置文件基本上就是一个模板,其中包含设备配置设置,以及要与之进行比较的基准测试。

支持

  • 根据 Defender 漏洞管理安全基线评估配置文件评估设备的功能目前以公共预览版提供。

  • 必须启用 Defender for Servers 计划 2,并且 Defender for Endpoint 代理必须在要评估的计算机上运行。

  • 运行安全基线配置文件的计算机支持评估功能:

    • windows_server_2008_r2
    • windows_server_2016
    • windows_server_2019
    • windows_server_2022

查看建议

若要查看安全基线评估的建议,请搜索“应安全配置计算机(由 MDVM 提供支持)”这条建议,并查看所有资源的建议。

后续步骤