操作系統設定錯誤

適用於雲端的 Microsoft Defender 提供安全性建議，以改善組織安全性狀態並降低風險。 風險降低的一個重要元素是強化整個商務環境中的電腦。

評定 （Azure Machine 組態擴充功能）

適用於雲端的 Defender 使用內建的 Azure 原則計劃來評估和強制執行最佳做法安全性設定。 Microsoft雲端安全性效能評定 （MCSB） 是 適用於雲端的 Defender 的預設方案。

MSCB 包含適用於 Windows 和 Linux 作業系統的計算安全性基準。

根據這些 MCSB 計算安全性基準的操作系統建議不會包含在 適用於雲端的 Defender 免費基礎安全性狀態功能的一部分

• 啟用適用於伺服器方案 2 的 Defender 時，可以使用這些建議。

• 啟用適用於伺服器的 Defender 方案 2 時，訂用帳戶上會啟用相關的 Azure 原則：

  • 「Windows 機器應符合 Azure 計算安全性基準的需求」
  • 「Linux 機器應符合 Azure 計算安全性基準的需求」

• 請確定您不會移除這些原則，或您將無法利用用來收集計算機數據的機器組態延伸模組。

資料集合

計算機資訊是使用在機器上執行的 Azure 計算機組態延伸模組（先前稱為 Azure 原則 客體設定）進行評量而收集。

安裝計算機組態延伸模組

電腦組態延伸模組的安裝方式如下：

• Azure：在 Azure 機器上，應藉由補救建議 的客體設定擴充功能，安裝在機器上。
• AWS/GCP：在 AWS 和 GCP 機器上，當您在 AWS 或 GCP 連接器中選取 [Arc 布建] 時，預設會安裝機器設定。
• 內部部署：針對內部部署機器，當您 將內部部署 VM 上線為已啟用 Azure Arc 的 VM 時，預設會啟用機器設定。
• Azure VM：僅限在 Azure VM 上（未啟用 Arc 的 VM）上，您必須藉由補救建議 虛擬機客體設定擴充功能，使用系統指派的受控識別來將受控識別指派給機器。

不包含的內容

適用於雲端的 Defender 以外的擴充功能不會包含其他功能，而且受限於 Azure 原則 計算機組態定價。

• 例如， 補救 和 自定義原則。
• 檢閱 Azure 原則 計算機設定定價頁面上的詳細數據。

評估 （Defender 弱點管理）

適用於雲端的 Microsoft Defender 原生整合 適用於端點的 Microsoft Defender 和 Microsoft Defender 弱點管理，以提供計算機弱點保護，以及 端點偵測及回應 （EDR）能力。

在整合中， Defender 弱點管理會提供安全性基準評估 。

• 安全性基準評估會使用自定義的安全性基準配置檔。
• 配置檔基本上是包含裝置組態設定的範本，以及要與其比較的基準檢驗。

支援

• 針對 Defender 弱點管理安全性基準評估配置檔評估裝置目前可在公開預覽中取得。

• 必須啟用適用於伺服器的 Defender 方案 2，且適用於端點的 Defender 代理程式必須在您想要評估的電腦上執行。

• 執行安全性基準設定檔的機器支援評量：

  • windows_server_2008_r2
  • windows_server_2016
  • windows_server_2019
  • windows_server_2022

檢閱建議

若要檢視安全性基準評量提出的建議，請搜尋建議 **應安全地設定機器（由 MDVM 提供電源），並檢視所有資源的建議。

下一步

• 安裝 Azure 原則 電腦設定。
• 補救OS基準設定錯誤。