你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
操作系统配置错误
Microsoft Defender for Cloud 提供安全建议,以提高组织安全状况并降低风险。 风险降低的一个重要因素是强化整个业务环境中的计算机。
评估(Azure 机器配置扩展)
Defender for Cloud 使用内置的 Azure 策略计划评估并强制实施最佳做法安全配置。 Microsoft Cloud 安全基准 (MCSB) 是 Defender for Cloud 的默认计划。
MSCB 包括适用于 Windows 和 Linux 操作系统的 计算安全基线。
Defender for Cloud 的免费基础安全状况功能不包含基于这些 MCSB 计算安全基线的操作系统建议
启用 Defender for Servers 计划 2 时,这些建议才可用。
启用 Defender for Servers 计划 2 后,在订阅上启用相关的 Azure 策略:
- “Windows 计算机应符合 Azure 计算安全基线的要求”
- “Linux 计算机应符合 Azure 计算安全基线的要求”
请确保不要移除这些策略,否则无法利用用于收集计算机数据的机器配置扩展。
数据收集
使用计算机上运行的 Azure 计算机配置扩展(以前称为 Azure Policy 来宾配置)收集计算机信息进行评估。
安装机器配置扩展
机器配置扩展安装方式如下:
- Azure:在 Azure 计算机上,通过修正来宾配置扩展应安装在计算机上这条建议来进行安装。
- AWS/GCP:在 AWS 和 GCP计算机上,在 AWS 或 GCP 连接器中选择 Arc 预配时,默认安装机器配置。
- 本地:对于本地计算机,将本地 VM 作为已启用 Azure Arc 的 VM 加入时,将默认启用机器配置。
- Azure VM:(仅针对未启用 Arc 的 Azure VM)必须通过修正应使用系统分配的托管标识来部署虚拟机的来宾配置扩展这条建议向计算机分配托管标识。
不包含的功能
不包含 Defender for Cloud 外部的扩展计算机提供的其他功能,它们受 Azure Policy 机器配置定价的约束。
评估(Defender 漏洞管理)
Microsoft Defender for Cloud 与 Microsoft Defender for Endpoint 和 Microsoft Defender 漏洞管理原生集成,为计算机提供漏洞保护,以及终结点检测和响应 (EDR) 功能。
作为该集成的一部分,安全基线评估功能由 Defender 漏洞管理提供。
- 安全基线评估使用定制的安全基线配置文件。
- 配置文件基本上就是一个模板,其中包含设备配置设置,以及要与之进行比较的基准测试。
支持
根据 Defender 漏洞管理安全基线评估配置文件评估设备的功能目前以公共预览版提供。
必须启用 Defender for Servers 计划 2,并且 Defender for Endpoint 代理必须在要评估的计算机上运行。
运行安全基线配置文件的计算机支持评估功能:
- windows_server_2008_r2
- windows_server_2016
- windows_server_2019
- windows_server_2022
查看建议
若要查看安全基线评估的建议,请搜索“应安全配置计算机(由 MDVM 提供支持)”这条建议,并查看所有资源的建议。
后续步骤
- 安装 Azure Policy 机器配置。
- 修正 OS 基线配置错误。