Sicherheitsempfehlungen

Artikel
04/01/2024

In diesem Artikel werden alle Sicherheitsempfehlungen aufgeführt, die In Microsoft Defender für Cloud möglicherweise angezeigt werden. Die Empfehlungen, die in Ihrer Umgebung angezeigt werden, basieren auf den Ressourcen, die Sie schützen und auf Ihrer angepassten Konfiguration.

Empfehlungen in Defender for Cloud beruhen auf dem Microsoft Cloud-Sicherheitsbenchmark. Der Microsoft Cloud Security Benchmark ist der von Microsoft verfasste Satz von Richtlinien für bewährte Methoden für Sicherheit und Compliance. Dieser weit angesehene Benchmark baut auf Kontrollen aus dem Center for Internet Security (CIS) und dem National Institute of Standards and Technology (NIST) auf, wobei der Schwerpunkt auf cloudorientierter Sicherheit liegt.

Informationen zu Aktionen, die Sie als Reaktion auf diese Empfehlungen ausführen können, finden Sie unter "Korrekturempfehlungen" in Defender für Cloud.

Ihre Sicherheitsbewertung basiert auf der Anzahl der von Ihnen abgeschlossenen Sicherheitsempfehlungen. Um zu entscheiden, welche Empfehlungen zuerst behoben werden sollen, sehen Sie sich den Schweregrad jeder Empfehlung und die potenziellen Auswirkungen auf Ihre Sicherheitsbewertung an.

Tipp

Wenn die Beschreibung einer Empfehlung "Keine verwandte Richtlinie" lautet, liegt dies in der Regel daran, dass diese Empfehlung von einer anderen Empfehlung und ihrer Richtlinie abhängig ist.

Die Empfohlene Endpunktschutz-Integritätsfehler sollten beispielsweise behoben werden, indem empfohlen wird, dass überprüft wird, ob eine Endpunktschutzlösung sogar installiert ist (Endpoint Protection-Lösung sollte installiert werden). Die zugrunde liegende Empfehlung verfügt über eine Richtlinie. Die Richtlinien nur auf die grundlegende Empfehlung zu beschränken, vereinfacht die Richtlinienverwaltung.

AppServices-Empfehlungen

Auf API-Apps sollte nur über HTTPS zugegriffen werden können

Beschreibung: Die Verwendung von HTTPS stellt die Server-/Dienstauthentifizierung sicher und schützt Daten während der Übertragung vor Lauschangriffen auf Netzwerkebene. (Verwandte Richtlinie: Auf DIE API-App sollte nur über HTTPS zugegriffen werden.

Schweregrad: Mittel

CORS sollte nicht zulassen, dass jede Ressource auf API-Apps zugreift.

Beschreibung: Die ursprungsübergreifende Ressourcenfreigabe (CROSS-Origin Resource Sharing, CORS) sollte nicht zulassen Standard auf Ihre API-App zuzugreifen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer API-App. (Verwandte Richtlinie: CORS sollte nicht zulassen, dass jede Ressource auf Ihre API-App zugreifen kann).

Schweregrad: Niedrig

CORS darf nicht jeder Ressource Zugriff auf Funktions-Apps erteilen.

Beschreibung: Die cross-Origin Resource Sharing (CORS) sollte nicht alle do Standard s erlauben, auf Ihre Funktions-App zuzugreifen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. (Verwandte Richtlinie: CORS sollte nicht zulassen, dass jede Ressource auf Ihre Funktions-Apps zugreifen kann).

Schweregrad: Niedrig

CORS sollte nicht zulassen, dass jede Ressource auf Webanwendungen zugreift.

Beschreibung: Die ursprungsübergreifende Ressourcenfreigabe (Cross-Origin Resource Sharing, CORS) sollte nicht alle do Standard s erlauben, auf Ihre Webanwendung zuzugreifen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Web-App. (Verwandte Richtlinie: CORS sollte nicht zulassen, dass jede Ressource auf Ihre Webanwendungen zugreifen kann).

Schweregrad: Niedrig

Diagnoseprotokolle in App Service müssen aktiviert sein

Beschreibung: Aktivieren von Diagnoseprotokollen in der App überwachen. Auf diese Weise können Sie Aktivitätspfade zu Untersuchungszwecken neu erstellen, wenn ein Sicherheitsvorfall auftritt oder Ihr Netzwerk kompromittiert ist (keine verwandte Richtlinie).

Schweregrad: Mittel

Sicherstellen, dass „Clientzertifikate (eingehende Clientzertifikate)“ für die API-App auf „Ein“ festgelegt ist

Beschreibung: Clientzertifikate ermöglichen es der App, ein Zertifikat für eingehende Anforderungen anzufordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. (Verwandte Richtlinie: Stellen Sie sicher, dass die API-App "Clientzertifikate (Eingehende Clientzertifikate)" auf "Ein" festgelegt ist.

Schweregrad: Mittel

FTPS sollte in API-Apps erforderlich sein.

Beschreibung: Aktivieren sie die FTPS-Erzwingung für erhöhte Sicherheit (verwandte Richtlinie: FTPS sollte nur in Ihrer API-App erforderlich sein).

Schweregrad: hoch

FTPS sollte in Funktions-Apps erforderlich sein.

Beschreibung: Aktivieren sie die FTPS-Erzwingung für erhöhte Sicherheit (verwandte Richtlinie: FTPS sollte nur in Ihrer Funktions-App erforderlich sein).

Schweregrad: hoch

FTPS sollte in Web-Apps erforderlich sein.

Beschreibung: Aktivieren Sie die FTPS-Erzwingung für erhöhte Sicherheit (verwandte Richtlinie: FTPS sollte in Ihrer Web App erforderlich sein).

Schweregrad: hoch

Zugriff auf Funktions-App nur über HTTPS gestatten

Beschreibung: Die Verwendung von HTTPS stellt die Server-/Dienstauthentifizierung sicher und schützt Daten während der Übertragung vor Lauschangriffen auf Netzwerkebene. (Verwandte Richtlinie: Auf die Funktions-App sollte nur über HTTPS zugegriffen werden.

Schweregrad: Mittel

Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein.

Beschreibung: Clientzertifikate ermöglichen es der App, ein Zertifikat für eingehende Anforderungen anzufordern. Nur Clients mit gültigen Zertifikaten können auf die App zugreifen. (Verwandte Richtlinie: Funktions-Apps sollten "Clientzertifikate (Eingehende Clientzertifikate)" aktiviert sein.

Schweregrad: Mittel

Java sollte auf die neueste Version für API-Apps aktualisiert werden.

Beschreibung: In regelmäßigen Abständen werden neuere Versionen für Java entweder aufgrund von Sicherheitsfehlern oder durch zusätzliche Funktionen veröffentlicht. Es wird empfohlen, die aktuelle Python-Version für API-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. (Verwandte Richtlinie: Stellen Sie sicher, dass "Java-Version" die neueste version ist, wenn sie als Teil der API-App verwendet wird).

Schweregrad: Mittel

Die verwaltete Identität sollte in API-Apps verwendet werden.

Beschreibung: Verwenden Sie für die erweiterte Authentifizierungssicherheit eine verwaltete Identität. In Azure brauchen Entwickler dank verwalteter Identitäten keine Anmeldeinformationen mehr zu verwalten. Für die Azure-Ressource in Azure AD wird eine Identität bereitgestellt, mit der Azure Active Directory (Azure AD)-Token abgerufen werden. (Verwandte Richtlinie: Verwaltete Identität sollte in Ihrer API-App verwendet werden.

Schweregrad: Mittel

Die verwaltete Identität sollte in Funktions-Apps verwendet werden.

Schweregrad: Mittel

Die verwaltete Identität sollte in Web-Apps verwendet werden.

Schweregrad: Mittel

Microsoft Defender für App Service muss aktiviert sein.

Beschreibung: Microsoft Defender für App Service nutzt den Umfang der Cloud und die Sichtbarkeit, die Azure als Cloudanbieter hat, um auf allgemeine Web-App-Angriffe zu überwachen. Microsoft Defender für App Service kann Angriffe auf Ihre Anwendungen erkennen und neu auftretende Angriffe identifizieren.

Wichtig: Wenn Sie diese Empfehlung umsetzen, fallen Gebühren für den Schutz Ihrer App Service-Pläne an. Wenn Sie in diesem Abonnement über keine App Service-Pläne verfügen, fallen keine Gebühren an. Wenn Sie App Service-Pläne in diesem Abonnement erstellen, werden diese automatisch geschützt, und die Gebühren beginnen ab diesem Zeitpunkt. Weitere Informationen finden Sie unter Schützen Ihrer Web-Apps und APIs. (Verwandte Richtlinie: Azure Defender für App Service sollte aktiviert sein).

Schweregrad: hoch

PHP sollte auf die neueste Version für API-Apps aktualisiert werden.

Beschreibung: In regelmäßigen Abständen werden neuere Versionen für PHP-Software veröffentlicht, entweder aufgrund von Sicherheitsfehlern oder durch zusätzliche Funktionen. Es wird empfohlen, die aktuelle PHP-Version für API-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. (Verwandte Richtlinie: Stellen Sie sicher, dass "PHP-Version" die neueste ist, wenn sie als Teil der API-App verwendet wird).

Schweregrad: Mittel

Python sollte auf die neueste Version für API-Apps aktualisiert werden.

Beschreibung: In regelmäßigen Abständen werden neuere Versionen für Python-Software veröffentlicht, entweder aufgrund von Sicherheitsfehlern oder um zusätzliche Funktionen einzuschließen. Es wird empfohlen, die aktuelle Python-Version für API-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. (Verwandte Richtlinie: Stellen Sie sicher, dass "Python-Version" die neueste version ist, wenn sie als Teil der API-App verwendet wird).

Schweregrad: Mittel

Remotedebuggen für API-App deaktivieren

Beschreibung: Für das Remotedebugging müssen eingehende Ports in einer API-App geöffnet werden. Das Remotedebuggen muss deaktiviert werden. (Verwandte Richtlinie: Remotedebugging sollte für API-Apps deaktiviert werden.

Schweregrad: Niedrig

Remotedebuggen sollte für Funktions-Apps deaktiviert werden

Beschreibung: Für das Remotedebugging müssen eingehende Ports in einer Azure-Funktions-App geöffnet werden. Das Remotedebuggen muss deaktiviert werden. (Verwandte Richtlinie: Remotedebugging sollte für Funktions-Apps deaktiviert werden.

Schweregrad: Niedrig

Remotedebuggen sollte für Webanwendungen deaktiviert werden

Beschreibung: Für das Remotedebugging müssen eingehende Ports in einer Webanwendung geöffnet werden. Das Remotedebuggen ist derzeit aktiviert. Falls Sie das Remotedebuggen nicht mehr benötigen, sollten Sie diese Funktion ausschalten. (Verwandte Richtlinie: Remotedebugging sollte für Webanwendungen deaktiviert sein.

Schweregrad: Niedrig

TLS sollte auf die neueste Version für API-Apps aktualisiert werden.

Beschreibung: Upgrade auf die neueste TLS-Version. (Verwandte Richtlinie: Die neueste TLS-Version sollte in Ihrer API-App verwendet werden.

Schweregrad: hoch

TLS sollte auf die neueste Version für Funktions-Apps aktualisiert werden.

Beschreibung: Upgrade auf die neueste TLS-Version. (Verwandte Richtlinie: Die neueste TLS-Version sollte in Ihrer Funktions-App verwendet werden.

Schweregrad: hoch

TLS sollte auf die neueste Version für Web-Apps aktualisiert werden.

Beschreibung: Upgrade auf die neueste TLS-Version. (Verwandte Richtlinie: Die neueste TLS-Version sollte in Ihrer Web App verwendet werden.

Schweregrad: hoch

Zugriff auf Webanwendung nur über HTTPS gestatten

Beschreibung: Die Verwendung von HTTPS stellt die Server-/Dienstauthentifizierung sicher und schützt Daten während der Übertragung vor Lauschangriffen auf Netzwerkebene. (Verwandte Richtlinie: Auf Webanwendungen sollte nur über HTTPS zugegriffen werden.

Schweregrad: Mittel

Web-Apps sollten ein SSL-Zertifikat für alle eingehenden Anforderungen anfordern

Beschreibung: Clientzertifikate ermöglichen es der App, ein Zertifikat für eingehende Anforderungen anzufordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. (Verwandte Richtlinie: Stellen Sie sicher, dass die WEB-App "Clientzertifikate (Eingehende Clientzertifikate)" auf "Ein" festgelegt ist.

Schweregrad: Mittel

Computeempfehlungen

Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein

Beschreibung: Aktivieren Sie Anwendungssteuerelemente, um die Liste der auf Ihren Computern ausgeführten bekannten Anwendungen zu definieren, und benachrichtigen Sie, wenn andere Anwendungen ausgeführt werden. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Defender für Cloud Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. (Verwandte Richtlinie: Adaptive Anwendungssteuerelemente zum Definieren sicherer Anwendungen sollten auf Ihren Computern aktiviert sein.

Schweregrad: hoch

Zulassungslistenregeln in der Richtlinie für die adaptive Anwendungssteuerung müssen aktualisiert werden

Beschreibung: Überwachen sie auf Verhaltensänderungen auf Computergruppen, die für die Überwachung durch die adaptiven Anwendungssteuerelemente von Defender für Cloud konfiguriert sind. Defender für Cloud nutzt Machine Learning, um die ausgeführten Prozesse auf Ihren Computern zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. Diese werden als zuzulassende Apps in den Richtlinien für die adaptive Anwendungssteuerung empfohlen. (Verwandte Richtlinie: Zulassungslistenregeln in Der Richtlinie für adaptive Anwendungssteuerungen sollten aktualisiert werden.

Schweregrad: hoch

Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein

Beschreibung: Obwohl SSH selbst eine verschlüsselte Verbindung bereitstellt, lässt die Verwendung von Kennwörtern mit SSH die VM weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem virtuellen Azure-Computer unter Linux über SSH besteht in der Verwendung eines Schlüsselpaars aus öffentlichem und privatem Schlüssel (SSH-Schlüssel). Weitere Informationen finden Sie unter Ausführliche Schritte: Erstellen und Verwalten von SSH-Schlüsseln für die Authentifizierung bei einer Linux-VM in Azure. (Verwandte Richtlinie: Überwachen Sie Linux-Computer, die keinen SSH-Schlüssel für die Authentifizierung verwenden).

Schweregrad: Mittel

Automation-Kontovariablen sollten verschlüsselt werden

Beschreibung: Es ist wichtig, die Verschlüsselung von variablen Ressourcen für Automatisierungskonten beim Speichern vertraulicher Daten zu aktivieren. (Verwandte Richtlinie: Automatisierungskontovariablen sollten verschlüsselt werden).

Schweregrad: hoch

Azure Backup sollte für virtuelle Computer aktiviert sein

Beschreibung: Schützen Sie die Daten auf Ihren virtuellen Azure-Computern mit Azure Backup. Azure Backup ist eine Azure-native und kostengünstige Lösung zum Schutz von Daten. Azure Backup erstellt Wiederherstellungspunkte, die in geografisch redundanten Recovery-Tresoren gespeichert werden. Wenn Sie eine Wiederherstellung von einem Wiederherstellungspunkt durchführen, können Sie den gesamten virtuellen Computer oder bestimmte Dateien wiederherstellen. (Verwandte Richtlinie: Azure Backup sollte für virtuelle Computer aktiviert sein).

Schweregrad: Niedrig

Containerhosts müssen sicher konfiguriert sein.

Beschreibung: Beheben sie Sicherheitsrisiken in der Sicherheitskonfiguration auf Computern, auf denen Docker installiert ist, um sie vor Angriffen zu schützen. (Verwandte Richtlinie: Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden.

Schweregrad: hoch

Diagnoseprotokolle in Azure Stream Analytics sollten aktiviert werden

Beschreibung: Aktivieren Sie Protokolle, und bewahren Sie sie für bis zu einem Jahr auf. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. (Verwandte Richtlinie: Diagnoseprotokolle in Azure Stream Analytics sollten aktiviert sein.

Schweregrad: Niedrig

Diagnoseprotokolle in Batch-Konten sollten aktiviert sein

Schweregrad: Niedrig

Diagnoseprotokolle in Event Hubs sollten aktiviert sein

Schweregrad: Niedrig

In Logic Apps sollten Diagnoseprotokolle aktiviert sein

Beschreibung: Um sicherzustellen, dass Sie Aktivitätspfade für Untersuchungszwecke neu erstellen können, wenn ein Sicherheitsvorfall auftritt oder Ihr Netzwerk kompromittiert wird, aktivieren Sie die Protokollierung. Wenn Ihre Diagnoseprotokolle nicht an einen Log Analytics-Arbeitsbereich, ein Azure Storage-Konto oder azure Event Hub gesendet werden, stellen Sie sicher, dass Sie Diagnoseeinstellungen konfiguriert haben, um Plattformmetriken und Plattformprotokolle an die relevanten Ziele zu senden. Weitere Informationen finden Sie unter „Erstellen von Diagnoseeinstellungen zum Senden von Plattformprotokollen und Metriken an verschiedene Ziele“. (Verwandte Richtlinie: Diagnoseprotokolle in Logik-Apps sollten aktiviert sein).

Schweregrad: Niedrig

In den Search-Diensten sollten Diagnoseprotokolle aktiviert sein

Schweregrad: Niedrig

Diagnoseprotokolle in Service Bus aktivieren

Schweregrad: Niedrig

In VM-Skalierungsgruppen sollten Diagnoseprotokolle aktiviert sein

Schweregrad: hoch

EDR-Konfigurationsprobleme sollten auf virtuellen Computern behoben werden

Beschreibung: Um virtuelle Computer vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen, beheben Sie alle identifizierten Konfigurationsprobleme mit der installierten Endpunkterkennungs- und Reaktionslösung (EDR).
Hinweis: Derzeit gilt diese Empfehlung nur für Ressourcen, für die Microsoft Defender for Endpoint (MDE) aktiviert ist.

Schweregrad: Niedrig

EDR-Lösung sollte auf virtuellen Computern installiert sein

Beschreibung: Die Installation einer Endpunkterkennungs- und Reaktionslösung (EDR) auf virtuellen Computern ist wichtig für den Schutz vor erweiterten Bedrohungen. EDRs helfen bei der Verhinderung, Erkennung, Untersuchung und Reaktion auf diese Bedrohungen. Microsoft Defender für Server kann zum Bereitstellen von Microsoft Defender für Endpunkt verwendet werden. Wenn eine Ressource als "Unhealthy" klassifiziert wird, gibt sie das Fehlen einer unterstützten EDR-Lösung an. Wenn eine EDR-Lösung installiert, aber nicht durch diese Empfehlung auffindbar ist, kann sie ausgenommen werden. Ohne eine EDR-Lösung gefährden die virtuellen Computer fortgeschrittene Bedrohungen.

Schweregrad: hoch

Endpoint Protection-Integritätsprobleme in VM-Skalierungsgruppen sollten behoben werden.

Beschreibung: Beheben von Integritätsfehlern beim Endpunktschutz auf Ihrem virtuellen Computer, um sie vor Bedrohungen und Sicherheitsrisiken zu schützen. (Verwandte Richtlinie: Die Endpunktschutzlösung sollte auf Skalierungssätzen für virtuelle Computer installiert werden.

Schweregrad: Niedrig

Auf VM-Skalierungsgruppen (Virtual Machine Scale Sets, VMSS) muss Endpoint Protection installiert sein.

Beschreibung: Installieren Sie eine Endpunktschutzlösung auf Ihren VM-Skalierungssätzen, um sie vor Bedrohungen und Sicherheitsrisiken zu schützen. (Verwandte Richtlinie: Die Endpunktschutzlösung sollte auf Skalierungssätzen für virtuelle Computer installiert werden.

Schweregrad: hoch

Für Computer sollte die Überwachung der Dateiintegrität aktiviert sein

Beschreibung: Defender für Cloud hat Computer identifiziert, auf denen eine Dateiintegritätsüberwachungslösung fehlt. Aktivieren Sie die Überwachung der Dateiintegrität, um auf Ihren Servern kritische Dateien, Registrierungsschlüssel und mehr zu überwachen. Wenn die Lösung zur Überwachung der Dateiintegrität aktiviert ist, müssen Sie Datensammlungsregeln erstellen, um die zu überwachenden Dateien zu definieren. Um Regeln zu definieren oder die Dateien anzuzeigen, die auf Computern mit vorhandenen Regeln geändert wurden, wechseln Sie zur Verwaltungsseite für die Dateiintegritätsüberwachung. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Für unterstützte Linux-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein

Beschreibung: Installieren Sie die Erweiterung für den Gastnachweis auf unterstützten skalierungsfähigen virtuellen Linux-Computern, damit Microsoft Defender for Cloud proaktiv die Startintegrität bestätigen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt nur für vertrauenswürdige startfähige Linux-VM-Skalierungsgruppen.

Wichtig: Der vertrauenswürdige Start erfordert die Erstellung neuer virtueller Computer. Sie können den vertrauenswürdigen Start nicht für vorhandene VMs aktivieren, die ursprünglich ohne vertrauenswürdigen Start erstellt wurden. Weitere Informationen finden Sie unter Vertrauenswürdiger Start für Azure-VMs. (Keine zugehörige Richtlinie)

Schweregrad: Niedrig

Für unterstützte Linux-VMs muss die Erweiterung für den Gastnachweis installiert sein

Beschreibung: Installieren Sie die Erweiterung für den Gastnachweis auf unterstützten virtuellen Linux-Computern, damit Microsoft Defender for Cloud proaktiv die Startintegrität nachweist und überwacht. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt nur für vertrauenswürdige startfähige Linux-VMs.

Schweregrad: Niedrig

Für unterstützte Windows-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein

Beschreibung: Installieren Sie die Erweiterung für den Gastnachweis auf unterstützten Skalierungssätzen für virtuelle Computer, damit Microsoft Defender for Cloud proaktiv die Startintegrität nachweist und überwacht. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt nur für vertrauenswürdige startfähige VM-Skalierungsgruppen.

Schweregrad: Niedrig

Für unterstützte Windows-VMs muss die Erweiterung für den Gastnachweis installiert sein

Beschreibung: Installieren Sie die Erweiterung für den Gastnachweis auf unterstützten virtuellen Computern, damit Microsoft Defender für Cloud proaktiv die Startintegrität bestätigen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt nur für vertrauenswürdige startfähige VMs.

Schweregrad: Niedrig

Erweiterung „Gastkonfiguration“ muss auf den Computern installiert sein.

Beschreibung: Um sichere Konfigurationen von Gasteinstellungen Ihres Computers sicherzustellen, installieren Sie die Gastkonfigurationserweiterung. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation stehen Gastrichtlinien zur Verfügung, z . B. Windows Exploit Guard, sollte aktiviert werden. (Verwandte Richtlinie: Virtuelle Computer sollten über die Erweiterung "Gastkonfiguration" verfügen.

Schweregrad: Mittel

Endpoint Protection-Lösung auf virtuellen Computern installieren

Beschreibung: Installieren Sie eine Endpunktschutzlösung auf Ihren virtuellen Computern, um sie vor Bedrohungen und Sicherheitsrisiken zu schützen. (Verwandte Richtlinie: Überwachen Fehlender Endpoint Protection im Azure Security Center).

Schweregrad: hoch

Virtuelle Linux-Computer sollten eine Überprüfung der Kernelmodulsignatur erzwingen

Beschreibung: Um die Ausführung bösartiger oder nicht autorisierter Code im Kernelmodus zu vermeiden, erzwingen Sie die Kernelmodulsignaturüberprüfung auf unterstützten virtuellen Linux-Computern. Die Überprüfung der Kernelmodulsignatur stellt sicher, dass nur vertrauenswürdige Kernelmodule ausgeführt werden dürfen. Diese Bewertung gilt nur für virtuelle Linux-Computer, auf denen der Azure Monitor-Agent installiert ist. (Keine zugehörige Richtlinie)

Schweregrad: Niedrig

Virtuelle Linux-Computer sollten nur signierte und vertrauenswürdige Startkomponenten verwenden

Beschreibung: Wenn der sichere Start aktiviert ist, müssen alle Betriebssystemstartkomponenten (Startladeprogramm, Kernel, Kerneltreiber) von vertrauenswürdigen Herausgebern signiert werden. Defender für Cloud hat nicht vertrauenswürdige Betriebssystemstartkomponenten auf einem oder mehreren Ihrer Linux-Computer identifiziert. Um Ihre Computer vor potenziell schädlichen Komponenten zu schützen, fügen Sie sie Ihrer Positivliste hinzu, oder entfernen Sie die identifizierten Komponenten. (Keine zugehörige Richtlinie)

Schweregrad: Niedrig

Virtuelle Linux-Computer sollten den sicheren Start verwenden

Beschreibung: Um vor der Installation von malwarebasierten Rootkits und Boot Kits zu schützen, aktivieren Sie den sicheren Start auf unterstützten virtuellen Linux-Computern. „Sicherer Start“ stellt sicher, dass nur signierte Betriebssysteme und Treiber ausgeführt werden können. Diese Bewertung gilt nur für virtuelle Linux-Computer, auf denen der Azure Monitor-Agent installiert ist. (Keine zugehörige Richtlinie)

Schweregrad: Niedrig

Log Analytics-Agent muss auf Linux-basierten Computern mit Azure Arc-Unterstützung installiert sein.

Beschreibung: Defender für Cloud verwendet den Log Analytics-Agent (auch als OMS bezeichnet), um Sicherheitsereignisse von Ihren Azure Arc-Computern zu sammeln. Führen Sie die Schritte zur Problembehebung aus, um den Agent auf allen Azure Arc-Computern bereitzustellen. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Log Analytics-Agent muss für VM-Skalierungsgruppen installiert sein.

Beschreibung: Defender für Cloud sammelt Daten von Ihren virtuellen Azure-Computern (VMs), um Sicherheitsrisiken und Bedrohungen zu überwachen. Die Daten werden mithilfe des Log Analytics-Agents (ehemals Microsoft Monitoring Agent, MMA) gesammelt. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer und kopiert die Daten zur Analyse in Ihren Arbeitsbereich. Sie müssen diese Schritte auch ausführen, wenn die virtuellen Computer von einem verwalteten Azure-Dienst wie Azure Kubernetes Service oder Azure Service Fabric verwendet werden. Sie können nicht die automatische Bereitstellung des Agents für Azure-VM-Skalierungsgruppen konfigurieren. Befolgen Sie zum Bereitstellen des Agents in VM-Skalierungsgruppen (einschließlich derjenigen, die von verwalteten Azure-Diensten wie Azure Kubernetes Service und Azure Service Fabric verwendet werden) das Verfahren in den Wartungsschritten. (Verwandte Richtlinie: Der Log Analytics-Agent sollte auf Ihren Vm-Skalierungssätzen für die Azure Security Center-Überwachung installiert werden.

Schweregrad: hoch

Der Log Analytics-Agent sollte auf virtuellen Computern installiert sein.

Beschreibung: Defender für Cloud sammelt Daten von Ihren virtuellen Azure-Computern (VMs), um Sicherheitsrisiken und Bedrohungen zu überwachen. Die Daten werden mithilfe des Log Analytics-Agents (ehemals Microsoft Monitoring Agent, MMA) gesammelt. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer und kopiert die Daten zur Analyse in den Log Analytics-Arbeitsbereich. Dieser Agent ist auch erforderlich, wenn die VMs von einem verwalteten Azure-Dienst wie Azure Kubernetes Service oder Azure Service Fabric verwendet werden. Wir empfehlen Ihnen, die automatische Bereitstellung des Agents zu konfigurieren. Wenn Sie keine automatische Bereitstellung verwenden möchten, stellen Sie den Agent manuell mithilfe der Anweisungen in den Wartungsschritten auf Ihren virtuellen Computern bereit. (Verwandte Richtlinie: Der Log Analytics-Agent sollte auf Ihrem virtuellen Computer für die Azure Security Center-Überwachung installiert werden.

Schweregrad: hoch

Log Analytics-Agent muss auf Windows-basierten Computern mit Azure Arc-Unterstützung installiert sein.

Beschreibung: Defender für Cloud verwendet den Log Analytics-Agent (auch als MMA bezeichnet), um Sicherheitsereignisse von Ihren Azure Arc-Computern zu sammeln. Führen Sie die Schritte zur Problembehebung aus, um den Agent auf allen Azure Arc-Computern bereitzustellen. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Computer müssen sicher konfiguriert sein.

Beschreibung: Beheben Sie Sicherheitsrisiken in der Sicherheitskonfiguration auf Ihren Computern, um sie vor Angriffen zu schützen. (Verwandte Richtlinie: Sicherheitsrisiken in der Sicherheitskonfiguration auf Ihren Computern sollten behoben werden.

Schweregrad: Niedrig

Computer müssen neu gestartet werden, um Aktualisierungen an der Sicherheitskonfiguration anzuwenden

Beschreibung: Um Sicherheitsupdates anzuwenden und vor Sicherheitsrisiken zu schützen, starten Sie Ihre Computer neu. Diese Bewertung gilt nur für virtuelle Linux-Computer, auf denen der Azure Monitor-Agent installiert ist. (Keine zugehörige Richtlinie)

Schweregrad: Niedrig

Computer sollten über eine Lösung zur Sicherheitsrisikobewertung verfügen.

Beschreibung: Defender für Cloud überprüft regelmäßig Ihre verbundenen Computer, um sicherzustellen, dass sie Tools zur Sicherheitsrisikobewertung ausführen. Verwenden Sie diese Empfehlung, um eine Lösung zur Sicherheitsrisikobewertung bereitzustellen. (Verwandte Richtlinie: Eine Lösung zur Sicherheitsrisikobewertung sollte auf Ihren virtuellen Computern aktiviert werden.

Schweregrad: Mittel

Ermittelte Sicherheitsrisiken für Computer müssen behoben werden.

Beschreibung: Beheben Sie die Ergebnisse aus den Lösungen für die Sicherheitsrisikobewertung auf Ihren virtuellen Computern. (Verwandte Richtlinie: Eine Lösung zur Sicherheitsrisikobewertung sollte auf Ihren virtuellen Computern aktiviert werden.

Schweregrad: Niedrig

Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden

Beschreibung: Defender für Cloud hat einige übermäßig zulässige eingehende Regeln für Verwaltungsports in Ihrer Netzwerksicherheitsgruppe identifiziert. Aktivieren Sie die Just-In-Time-Zugriffssteuerung, um Ihre VM vor Brute-Force-Angriffen aus dem Internet zu schützen. Weitere Informationen finden Sie unter Grundlegendes zum Just-In-Time (JIT)-VM-Zugriff. (Verwandte Richtlinie: Die Verwaltungsports virtueller Computer sollten durch just-in-time-Netzwerkzugriffskontrolle geschützt werden.

Schweregrad: hoch

Microsoft Defender für Server sollte aktiviert sein.

Beschreibung: Microsoft Defender für Server bietet Echtzeit-Bedrohungsschutz für Ihre Serverworkloads und generiert Härtungsempfehlungen sowie Warnungen zu verdächtigen Aktivitäten. Mit diesen Informationen können Sie schnell Sicherheitsprobleme lösen und die Sicherheit Ihrer Server verbessern.

Wichtig: Wenn Sie diese Empfehlung umsetzen, fallen Gebühren für den Schutz Ihrer Server an. Es fallen keine Gebühren an, falls Sie in diesem Abonnement nicht über Server verfügen. Wenn Sie Server in diesem Abonnement erstellen, werden diese automatisch geschützt, und die Gebühren beginnen ab diesem Zeitpunkt. Weitere Informationen finden Sie unter Einführung in Microsoft Defender für Server. (Verwandte Richtlinie: Azure Defender für Server sollte aktiviert sein).

Schweregrad: hoch

Microsoft Defender für Server sollte in Arbeitsbereichen aktiviert sein.

Beschreibung: Microsoft Defender für Server bietet Bedrohungserkennung und erweiterte Abwehrmechanismen für Ihre Windows- und Linux-Computer. Wenn dieser Defender-Plan für Ihre Abonnements, aber nicht für Ihre Arbeitsbereiche aktiviert ist, zahlen Sie für die volle Leistungsfähigkeit von Microsoft Defender für Server, verpassen aber einige der Vorteile. Wenn Sie Microsoft Defender für Server in einem Arbeitsbereich aktivieren, wird Microsoft Defender für Server allen Computern, die diesem Arbeitsbereich zugeordnet sind, in Rechnung gestellt - auch wenn sie Abonnements ohne aktivierte Defender-Tarife angehören. Wenn Sie Microsoft Defender nicht auch für Server im Abonnement aktivieren, können diese Maschinen nicht die Vorteile von Just-in-Time-VM-Zugriff, adaptiver Anwendungssteuerung und Netzwerkerkennung für Azure-Ressourcen nutzen. Weitere Informationen finden Sie unter Einführung in Microsoft Defender für Server. (Keine zugehörige Richtlinie)

Schweregrad: Mittel

Für unterstützte Windows-VMs muss der sichere Start aktiviert werden

Beschreibung: Aktivieren des sicheren Starts auf unterstützten virtuellen Windows-Computern, um böswillige und nicht autorisierte Änderungen an der Startkette abzumildern. Nach der Aktivierung dürfen nur vertrauenswürdige Bootloader, Kernel- und Kerneltreiber ausgeführt werden. Diese Bewertung gilt nur für vertrauenswürdige startfähige Windows-VMs.

Schweregrad: Niedrig

Service Fabric Cluster sollten die Eigenschaft ClusterProtectionLevel auf EncryptAndSign setzen

Beschreibung: Service Fabric bietet drei Schutzebenen (None, Sign, and EncryptAndSign) für die Kommunikation zwischen Knoten und Knoten mithilfe eines primären Clusterzertifikats. Legen Sie die Schutzebene fest, um sicherzustellen, dass alle zwischen zwei Knoten übertragenen Nachrichten verschlüsselt und digital signiert werden. (Verwandte Richtlinie: Service Fabric-Cluster sollten die ClusterProtectionLevel-Eigenschaft auf EncryptAndSign festgelegt haben.

Schweregrad: hoch

Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden

Beschreibung: Ausführen der Clientauthentifizierung nur über Azure Active Directory in Service Fabric (verwandte Richtlinie: Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden).

Schweregrad: hoch

Systemupdates für VM-Skalierungsgruppen sollten installiert werden

Beschreibung: Installieren Sie fehlende Systemsicherheit und wichtige Updates, um Ihre Skalierungssätze für Windows und Linux zu sichern. (Verwandte Richtlinie: Systemupdates auf Skalierungssätzen für virtuelle Computer sollten installiert werden.

Schweregrad: hoch

Systemupdates sollten auf Ihren Computern installiert sein

Beschreibung: Installieren Sie fehlende Systemsicherheit und wichtige Updates, um Ihre virtuellen Windows- und Linux-Computer und -Computer zu schützen (verwandte Richtlinie: Systemupdates sollten auf Ihren Computern installiert werden).

Schweregrad: hoch

Systemupdates sollten auf Ihren Computern installiert sein (über Update Center)

Beschreibung: Ihre Computer fehlen System-, Sicherheits- und kritische Updates. Softwareupdates enthalten häufig wichtige Patches für Sicherheitslücken. Da diese Lücken bei Angriffen mit Schadsoftware häufig ausgenutzt werden, ist es sehr wichtig, dass Sie Ihre Software immer auf dem aktuellen Stand halten. Führen Sie die Schritte zur Problembehebung aus, um alle ausstehenden Patches zu installieren und Ihre Computer zu schützen. (Keine zugehörige Richtlinie)

Schweregrad: hoch

VM-Skalierungsgruppen (Virtual Machine Scale Sets, VMSS) müssen sicher konfiguriert sein.

Beschreibung: Beheben sie Sicherheitsrisiken in der Sicherheitskonfiguration auf Ihrem virtuellen Computermaßstab, um sie vor Angriffen zu schützen. (Verwandte Richtlinie: Sicherheitsrisiken bei der Sicherheitskonfiguration auf Ihren Skalierungssätzen für virtuelle Computer sollten behoben werden.

Schweregrad: hoch

Der Gastnachweisstatus der virtuellen Computer sollte fehlerfrei sein.

Beschreibung: Der Gastnachweis wird durchgeführt, indem ein vertrauenswürdiges Protokoll (TCGLog) an einen Nachweisserver gesendet wird. Der Server verwendet diese Protokolle zur Ermittlung, ob Startkomponenten vertrauenswürdig sind. Diese Bewertung soll Kompromittierungen der Startkette erkennen, was das Ergebnis einer Bootkit- oder Rootkit-Infektion sein kann. Diese Bewertung gilt nur für virtuelle Computer mit aktiviertem vertrauenswürdigen Start, auf denen die Erweiterung für den Gastnachweis installiert ist. (Keine zugehörige Richtlinie)

Schweregrad: Mittel

VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden

Beschreibung: Für die Gastkonfigurationserweiterung ist eine vom System zugewiesene verwaltete Identität erforderlich. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen (verwandte Richtlinie: Gastkonfigurationserweiterung sollte auf virtuellen Azure-Computern mit vom System zugewiesener verwalteter Identität bereitgestellt werden).

Schweregrad: Mittel

VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden

Beschreibung: Virtuelle Computer (klassisch) sind veraltet, und diese VMs sollten zu Azure Resource Manager migriert werden. Da Azure Resource Manager jetzt über vollständige IaaS-Funktionen und andere Erweiterungen verfügt, haben wir am 28. Februar 2020 begonnen, die Verwaltung von IaaS-VMs über Azure Service Manager (ASM) einzustellen. Diese Funktionalität wird am 1. März 2023 vollständig eingestellt.

Wählen Sie auf der Registerkarte „Verzeichnisse + Abonnements“ alle Ihre Azure-Abonnements aus, um alle betroffenen klassischen virtuellen Computer anzuzeigen.

Verfügbare Ressourcen und Informationen zu diesem Tool und zur Migration: Übersicht über die veralteten virtuellen Computer (klassisch), Schritt-für-Schritt-Prozess für Migration und verfügbare Microsoft-Ressourcen.Details zum Migrationstool "Migration zu Azure Resource Manager".Migrieren Sie mithilfe von PowerShell zu Azure Resource Manager-Migrationstool. (Verwandte Richtlinie: Virtuelle Computer sollten zu neuen Azure Resource Manager-Ressourcen migriert werden.

Schweregrad: hoch

Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln

Beschreibung: Standardmäßig werden das Betriebssystem und die Datenträger eines virtuellen Computers mithilfe von plattformverwalteten Schlüsseln verschlüsselt, temporäre Datenträger und Datencaches werden nicht verschlüsselt, und Daten werden beim Fluss zwischen Compute- und Speicherressourcen nicht verschlüsselt. Einen Vergleich der verschiedenen Datenträgerverschlüsselungstechnologien in Azure finden Sie unter https://aka.ms/diskencryptioncomparison. Verwenden Sie Azure Disk Encryption, um sämtliche dieser Daten zu verschlüsseln. In folgenden Fällen sollten Sie diese Empfehlung ignorieren:

Sie verwenden das Feature „Verschlüsselung auf dem Host“. Oder: 2. Die serverseitige Verschlüsselung in Managed Disks erfüllt Ihre Sicherheitsanforderungen. Weitere Informationen finden Sie unter Serverseitige Verschlüsselung von Azure Disk Storage. (Zugehörige Richtlinie: Auf virtuellen Computern sollte die Datenträgerverschlüsselung angewendet werden)

Schweregrad: hoch

Für unterstützte VMs muss ein virtuelles TPM-Gerät aktiviert werden

Beschreibung: Aktivieren Sie virtuelle TPM-Geräte auf unterstützten virtuellen Computern, um den kontrollierten Start und andere Betriebssystemsicherheitsfeatures zu vereinfachen, die ein TPM erfordern. Nach der Aktivierung kann ein virtuelles TPM verwendet werden, um die Startintegrität nachzuweisen. Diese Bewertung gilt nur für vertrauenswürdige startfähige VMs.

Schweregrad: Niedrig

Sicherheitsrisiken in der Sicherheitskonfiguration auf Ihren Linux-Computern sollten beseitigt werden (unterstützt von der Gastkonfiguration)

Beschreibung: Beheben Sie Sicherheitsrisiken in der Sicherheitskonfiguration auf Ihren Linux-Computern, um sie vor Angriffen zu schützen. (Verwandte Richtlinie: Linux-Computer sollten die Anforderungen für die Azure-Sicherheitsbasislinie erfüllen.

Schweregrad: Niedrig

Sicherheitsrisiken in der Sicherheitskonfiguration auf Ihren Windows-Computern sollten beseitigt werden (unterstützt von der Gastkonfiguration)

Beschreibung: Beheben Sie Sicherheitsrisiken in der Sicherheitskonfiguration auf Ihren Windows-Computern, um sie vor Angriffen zu schützen. (Keine zugehörige Richtlinie)

Schweregrad: Niedrig

Windows Defender Exploit Guard muss auf den Computern aktiviert sein.

Beschreibung: Windows Defender Exploit Guard verwendet den Azure Policy Guest Configuration Agent. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). (Verwandte Richtlinie: Überwachen von Windows-Computern, auf denen Windows Defender Exploit Guard nicht aktiviert ist).

Schweregrad: Mittel

Windows-Webserver müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein

Beschreibung: Um den Datenschutz der über das Internet kommunizierten Informationen zu schützen, sollten Ihre Webserver die neueste Version des branchenübden kryptografischen Protokolls,Transport Layer Security (TLS) verwenden. TLS schützt die Kommunikation über ein Netzwerk, indem Sicherheitszertifikate zum Verschlüsseln einer Verbindung zwischen Computern verwendet werden. (Verwandte Richtlinie: Überwachen von Windows-Webservern, die keine sicheren Kommunikationsprotokolle verwenden).

Schweregrad: hoch

[Vorschau]: Virtuelle Linux-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren.

Beschreibung: Standardmäßig werden das Betriebssystem und die Datenträger eines virtuellen Computers mithilfe von plattformverwalteten Schlüsseln verschlüsselt, temporäre Datenträger und Datencaches werden nicht verschlüsselt, und Daten werden beim Fluss zwischen Compute- und Speicherressourcen nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost, um alle diese Daten zu verschlüsseln. Besuchen Sie https://aka.ms/diskencryptioncomparison, um die Verschlüsselungsangebote zu vergleichen. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. (Verwandte Richtlinie: [Vorschau]: Virtuelle Linux-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren.

Schweregrad: hoch

[Vorschau]: Virtuelle Windows-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren.

Beschreibung: Standardmäßig werden das Betriebssystem und die Datenträger eines virtuellen Computers mithilfe von plattformverwalteten Schlüsseln verschlüsselt, temporäre Datenträger und Datencaches werden nicht verschlüsselt, und Daten werden beim Fluss zwischen Compute- und Speicherressourcen nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost, um alle diese Daten zu verschlüsseln. Besuchen Sie https://aka.ms/diskencryptioncomparison, um die Verschlüsselungsangebote zu vergleichen. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. (Verwandte Richtlinie: [Vorschau]: Virtuelle Windows-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren).

Schweregrad: hoch

Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein

Beschreibung: Verwenden Sie die Verschlüsselung auf host, um End-to-End-Verschlüsselung für Ihren virtuellen Computer und Skalierungsdaten des virtuellen Computers zu erhalten. Die Verschlüsselung auf dem Host ermöglicht die Verschlüsselung ruhender Daten für die Caches Ihrer temporären Datenträger und Ihrer Datenträger für Betriebssystem und Daten. Temporäre und kurzlebige Betriebssystemdatenträger werden mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn die Verschlüsselung auf dem Host aktiviert ist. Die Caches der Datenträger für Betriebssystem und Daten werden im Ruhezustand entweder mit einem kundenseitig oder einem plattformseitig verwalteten Schlüssel verschlüsselt. Dies richtet sich danach, welcher Verschlüsselungstyp für den Datenträger ausgewählt wurde. Weitere Informationen finden Sie unter Verwenden der Azure-Portal, um die End-to-End-Verschlüsselung mithilfe der Verschlüsselung auf dem Host zu aktivieren. (Verwandte Richtlinie: Für virtuelle Computer und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein.)

Schweregrad: Mittel

(Vorschau): Azure Stack HCI-Server sollten Anforderungen für gesicherte Kerne erfüllen

Beschreibung: Stellen Sie sicher, dass alle Azure Stack HCI-Server die Anforderungen für gesicherte Kerne erfüllen. (Verwandte Richtlinie: Die Erweiterung für die Gastkonfiguration sollte auf Computern installiert werden – Microsoft Azure).

Schweregrad: Niedrig

(Vorschau): Azure Stack HCI-Server sollten über einheitlich durchgesetzte Anwendungssteuerungsrichtlinien verfügen

Beschreibung: Wenden Sie mindestens die Microsoft WDAC-Basisrichtlinie im erzwungenen Modus auf allen Azure Stack HCI-Servern an. Angewendete WDAC (Windows Defender Application Control)-Richtlinien müssen auf allen Servern im selben Cluster einheitlich sein. (Verwandte Richtlinie: Die Erweiterung für die Gastkonfiguration sollte auf Computern installiert werden – Microsoft Azure).

Schweregrad: hoch

(Vorschau): Azure Stack HCI-Systeme sollten über verschlüsselte Volumes verfügen

Beschreibung: Verwenden Sie BitLocker, um das Betriebssystem und datenvolumes auf Azure Stack HCI-Systemen zu verschlüsseln. (Verwandte Richtlinie: Die Erweiterung für die Gastkonfiguration sollte auf Computern installiert werden – Microsoft Azure).

Schweregrad: hoch

(Vorschau): Host- und VM-Netzwerke auf Azure Stack HCI-Systemen sollten geschützt sein

Beschreibung: Schützen sie Daten im Netzwerk des Azure Stack HCI-Hosts und auf Netzwerkverbindungen virtueller Computer. (Verwandte Richtlinie: Die Erweiterung für die Gastkonfiguration sollte auf Computern installiert werden – Microsoft Azure).

Schweregrad: Niedrig

Containerempfehlungen

[Vorschau] Bei Containerimages in der Azure-Registrierung sollten ermittelte Sicherheitsrisiken behoben sein.

Beschreibung: Defender für Cloud überprüft Ihre Registrierungsimages auf bekannte Sicherheitsrisiken (CVEs) und stellt detaillierte Ergebnisse für jedes gescannte Bild bereit. Das Scannen und Beheben von Sicherheitsrisiken für Containerimages in der Registrierung trägt dazu bei, eine sichere und zuverlässige Softwarelieferkette aufrechtzuerhalten, das Risiko von Sicherheitsvorfällen zu verringern und die Einhaltung von Branchenstandards sicherzustellen.

Schweregrad: hoch

Typ: Sicherheitsrisikobewertung

[Vorschau] Bei in Azure ausgeführten Containern sollten ermittelte Sicherheitsrisiken behoben sein.

Beschreibung: Defender für Cloud erstellt einen Bestand aller Containerarbeitslasten, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden, und stellt Sicherheitsrisikenberichte für diese Workloads bereit, indem sie den verwendeten Images und den für die Registrierungsimages erstellten Sicherheitsrisikoberichte entsprechen. Das Scannen und Beheben von Sicherheitsrisiken in Containerworkloads ist von entscheidender Bedeutung, um eine stabile und sichere Softwarelieferkette zu gewährleisten, das Risiko von Sicherheitsvorfällen zu verringern und die Einhaltung von Branchenstandards sicherzustellen.

Schweregrad: hoch

Typ: Sicherheitsrisikobewertung

(Bei Bedarf aktivieren) Containerregistrierungen sollten mit einem vom Kunden verwalteten Schlüssel (CMK) verschlüsselt werden.

Beschreibung: Empfehlungen zur Verwendung von vom Kunden verwalteten Schlüsseln für die Verschlüsselung ruhender Daten werden nicht standardmäßig bewertet, stehen jedoch zur Verfügung, um anwendbare Szenarien zu aktivieren. Daten werden automatisch verschlüsselt, indem plattformseitig verwaltete Schlüssel verwendet werden. Daher sollten kundenseitig verwaltete Schlüssel nur angewendet werden, wenn dies aufgrund der Anforderungen von Konformitäts- oder restriktiven Richtlinien obligatorisch ist. Navigieren Sie zur Aktivierung dieser Empfehlung zu Ihrer Sicherheitsrichtlinie für den betreffenden Bereich, und aktualisieren Sie den Parameter Effect für die entsprechende Richtlinie, um die Verwendung von kundenseitig verwalteten Schlüsseln zu überwachen oder zu erzwingen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsrichtlinien. Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für den Inhalt Ihrer Registrierungen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel (Customer-Managed Key, CMK) sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit CMKs können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zur CMK-Verschlüsselung finden Sie unter https://aka.ms/acr/CMK. (Verwandte Richtlinie: Containerregistrierungen sollten mit einem vom Kunden verwalteten Schlüssel (CMK) verschlüsselt werden.

Schweregrad: Niedrig

Typ: Steuerebene

Azure Arc-fähigen Kubernetes-Cluster sollten die Azure Policy-Erweiterung installiert haben

Beschreibung: Die Azure-Richtlinienerweiterung für Kubernetes erweitert Gatekeeper v3, einen Regler-Webhook für Open Policy Agent (OPA), um skalierte Erzwingungen und Garantien für Ihre Cluster auf eine zentralisierte, konsistente Weise anzuwenden. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Typ: Steuerebene

Azure Arc-fähige Kubernetes-Cluster sollten die Defender-Erweiterung installiert haben.

Beschreibung: Die Defender-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Steuerebenenknoten (Masterknoten) im Cluster und sendet sie zur weiteren Analyse an das Back-End von Microsoft Defender für Kubernetes in der Cloud. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Typ: Steuerebene

Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein

Beschreibung: Microsoft Defender für Container bietet cloudeigene Kubernetes-Sicherheitsfunktionen, einschließlich Umgebungshärtung, Workloadschutz und Laufzeitschutz. Wenn Sie das Profil „SecurityProfile.AzureDefender“ in Ihrem Azure Kubernetes Service-Cluster aktivieren, wird ein Agent in Ihrem Cluster bereitgestellt, um Sicherheitsereignisdaten zu sammeln. Weitere Informationen finden Sie unter Einführung in Microsoft Defender für Container. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Typ: Steuerebene

Azure Kubernetes Service-Cluster sollten das Azure Policy Add-On für Kubernetes installiert haben

Beschreibung: Das Azure-Richtlinien-Add-On für Kubernetes erweitert Gatekeeper v3, einen Regler-Webhook für Open Policy Agent (OPA), um skalierte Erzwingungen und Garantien für Ihre Cluster auf eine zentralisierte, konsistente Weise anzuwenden. Für Defender für Cloud ist es erforderlich, dass das Add-On Sicherheitsfunktionen und Compliance in Ihren Clustern überwacht und erzwingt. Weitere Informationen Kubernetes v1.14.0 oder höher erforderlich. (Verwandte Richtlinie: Das Azure-Richtlinien-Add-On für Kubernetes-Dienst (AKS) sollte auf Ihren Clustern installiert und aktiviert werden.

Schweregrad: hoch

Typ: Steuerebene

Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen

Beschreibung: Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in jedem Netzwerk. Lassen Sie den Zugriff nur über bestimmte öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über eine IP-/Firewallregel oder ein konfiguriertes virtuelles Netzwerk verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet. (Verwandte Richtlinie: Containerregistrierungen sollten keinen uneingeschränkten Netzwerkzugriff zulassen).

Schweregrad: Mittel

Typ: Steuerebene

Containerregistrierungen müssen Private Link verwenden

Beschreibung: Mit Azure Private Link können Sie Ihr virtuelles Netzwerk ohne öffentliche IP-Adresse an der Quelle oder am Ziel mit Azure-Diensten verbinden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. (Verwandte Richtlinie: Containerregistrierungen sollten einen privaten Link verwenden).

Schweregrad: Mittel

Typ: Steuerebene

Diagnoseprotokolle in Kubernetes-Diensten sollten aktiviert sein.

Beschreibung: Aktivieren Sie Diagnoseprotokolle in Ihren Kubernetes-Diensten, und behalten Sie sie bis zu einem Jahr bei. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen. (Keine zugehörige Richtlinie)

Schweregrad: Niedrig

Typ: Steuerebene

Kubernetes-API-Server muss mit eingeschränktem Zugriff konfiguriert werden

Beschreibung: Um sicherzustellen, dass nur Anwendungen von zulässigen Netzwerken, Computern oder Subnetzen auf Ihren Cluster zugreifen können, beschränken Sie den Zugriff auf Ihren Kubernetes-API-Server. Sie können den Zugriff einschränken, indem Sie autorisierte IP-Bereiche definieren oder Ihre API-Server als private Cluster einrichten, wie im Erstellen eines privaten Azure Kubernetes-Dienstclusters erläutert. (Verwandte Richtlinie: Autorisierte IP-Bereiche sollten für Kubernetes-Dienste definiert werden.

Schweregrad: hoch

Typ: Steuerebene

Für Kubernetes-Dienste muss die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) verwendet werden

Beschreibung: Verwenden Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), um berechtigungen in Kubernetes-Dienstclustern zu verwalten und relevante Autorisierungsrichtlinien zu konfigurieren. (Verwandte Richtlinie: Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Services verwendet werden.

Schweregrad: hoch

Typ: Steuerebene

Microsoft Defender für Container sollte aktiviert sein

Beschreibung: Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multicloud Kubernetes-Umgebungen. Mit diesen Informationen können Sie schnell Sicherheitsprobleme lösen und die Sicherheit Ihrer Container verbessern.

Wichtig: Wenn Sie diese Empfehlung umsetzen, fallen Gebühren für den Schutz Ihrer Kubernetes-Cluster an. Es fallen keine Gebühren an, falls Sie in diesem Abonnement nicht über Kubernetes-Cluster verfügen. Wenn Sie in diesem Abonnement Kubernetes-Cluster erstellen, werden diese automatisch geschützt, und die Abrechnung der Gebühren beginnt ab diesem Zeitpunkt. Weitere Informationen finden Sie unter Einführung in Microsoft Defender für Container. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Typ: Steuerebene

Für Container müssen CPU- und Arbeitsspeicherlimits erzwungen werden

Beschreibung: Das Erzwingen von CPU- und Speichergrenzen verhindert Ressourcenausschöpfungsangriffe (eine Form des Denial-of-Service-Angriffs).

Es wird empfohlen, durch Grenzwerte für Container sicherzustellen, dass die Runtime den Container daran hindert, mehr als die konfigurierten Ressourcengrenzwerte zu verwenden.

Schweregrad: Mittel