Freigeben über


Azure-Sicherheitsbaseline für Virtual Machines – Windows Virtual Machines

Diese Sicherheitsbaseline wendet Anleitungen aus dem Microsoft Cloud Security Benchmark Version 1.0 auf Virtual Machines – Windows Virtual Machines an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft Cloud Security Benchmark definiert sind, und den entsprechenden Anleitungen, die für Virtual Machines – Windows Virtual Machines gelten.

Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen der Portalseite Microsoft Defender für Cloud aufgeführt.

Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Microsoft Cloud Security Benchmark-Kontrollen und Empfehlungen messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.

Hinweis

Features, die nicht für Virtual Machines gelten: Windows-Virtual Machines wurden ausgeschlossen. Informationen dazu, wie Virtual Machines – Windows Virtual Machines vollständig dem Microsoft Cloud Security Benchmark zugeordnet ist, finden Sie in der vollständigen Virtual Machines: Zuordnungsdatei für Windows Virtual Machines Sicherheitsbaseline.

Sicherheitsprofil

Das Sicherheitsprofil fasst das Verhalten von Virtual Machines – Windows Virtual Machines zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.

Dienstverhaltensattribut Wert
Produktkategorie Compute
Der Kunde kann auf HOST/OS zugreifen Vollzugriff
Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. True
Speichert kundenbezogene Inhalte im Ruhezustand True

Netzwerksicherheit

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.

NS-1: Einrichten von Grenzen für die Netzwerksegmentierung

Funktionen

Virtual Network-Integration

Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

Referenz: Virtuelle Netzwerke und virtuelle Computer in Azure

Unterstützung von Netzwerksicherheitsgruppen

Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie Netzwerksicherheitsgruppen (NSG), um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken oder zu überwachen. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. um zu verhindern, dass auf Verwaltungsports aus nicht vertrauenswürdigen Netzwerken zugegriffen wird). Beachten Sie, dass NSGs standardmäßig den gesamten eingehenden Datenverkehr verweigern, Datenverkehr aus virtuellen Netzwerken und Azure Load Balancer-Instanzen jedoch zulassen.

Wenn Sie einen virtuellen Azure-Computer (VM) erstellen, müssen Sie ein virtuelles Netzwerk erstellen oder ein vorhandenes virtuelles Netzwerk verwenden und die VM mit einem Subnetz konfigurieren. Stellen Sie sicher, dass auf alle bereitgestellten Subnetze eine Netzwerksicherheitsgruppe mit Netzwerkzugriffssteuerungen angewendet wurde, die für die vertrauenswürdigen Ports und Quellen der Anwendung spezifisch sind.

Referenz: Netzwerksicherheitsgruppen

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. AuditIfNotExists, Disabled 3.0.0

Integrierte Azure Policy-Definitionen – Microsoft.Compute:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Auf virtuelle Computer mit Internetzugang müssen Empfehlungen zur adaptiven Netzwerkhärtung angewendet werden. Azure Security Center analysiert die Datenverkehrsmuster von virtuellen Computern mit Internetzugriff und stellt Empfehlungen zu NSG-Regeln (Netzwerksicherheitsgruppe) bereit, um die potenzielle Angriffsfläche zu verringern. AuditIfNotExists, Disabled 3.0.0

NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen

Funktionen

Deaktivieren des Zugriffs aus öffentlichen Netzwerken

Beschreibung: Der Dienst unterstützt das Deaktivieren des Zugriffs auf öffentliche Netzwerke entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie Dienste auf Betriebssystemebene, z. B. Windows Defender Firewall, um Netzwerkfilterung bereitzustellen, um den öffentlichen Zugriff zu deaktivieren.

Identitätsverwaltung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Identitätsverwaltung.

IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems

Funktionen

Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich

Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebene. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf Datenebene zu steuern.

Referenz: Anmelden bei einem virtuellen Windows-Computer in Azure mithilfe von Azure AD, einschließlich kennwortlos

Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene

Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebene unterstützt werden, z. B. ein lokaler Benutzername und ein Kennwort. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Featurehinweise: Bei der ersten Bereitstellung des virtuellen Computers wird standardmäßig ein lokales Administratorkonto erstellt. Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten

Funktionen

Verwaltete Identitäten

Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweise: Die verwaltete Identität wird in der Regel von virtuellen Windows-Computern genutzt, um sich bei anderen Diensten zu authentifizieren. Wenn die Windows-VM die Azure AD-Authentifizierung unterstützt, wird möglicherweise die verwaltete Identität unterstützt.

Konfigurationsleitfaden: Verwenden Sie nach Möglichkeit verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory -Authentifizierung (Azure AD) unterstützen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden.

Dienstprinzipale

Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweise: Dienstprinzipale können von Anwendungen verwendet werden, die auf der Windows-VM ausgeführt werden.

Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Anleitungen für diese Featurekonfiguration. Überprüfen Sie, ob Ihr organization dieses Sicherheitsfeature konfigurieren möchte.

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.Compute:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1

IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen

Funktionen

Bedingter Zugriff für Datenebene

Beschreibung: Der Zugriff auf Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweise: Verwenden Sie Azure AD als zentrale Authentifizierungsplattform für RDP in windows Server 2019 Datacenter Edition und höher oder Windows 10 1809 und höher. Sie können dann die Azure RBAC (Role-Based Access Control, rollenbasierte Zugriffssteuerung) und Richtlinien für bedingten Zugriff zentral steuern und erzwingen, die den Zugriff auf VMs zulassen oder verweigern.

Konfigurationsleitfaden: Definieren Sie die anwendbaren Bedingungen und Kriterien für den bedingten Azure Active Directory -Zugriff (Azure AD) in der Workload. Betrachten Sie gängige Anwendungsfälle wie das Blockieren oder Gewähren des Zugriffs von bestimmten Standorten aus, das Blockieren riskanter Anmeldeverhalten oder die Anforderung organization verwalteter Geräte für bestimmte Anwendungen.

Referenz: Anmelden bei einem virtuellen Windows-Computer in Azure mithilfe von Azure AD, einschließlich kennwortlos

IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen

Funktionen

Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse

Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweise: Innerhalb der Datenebene oder des Betriebssystems rufen Dienste möglicherweise Azure Key Vault für Anmeldeinformationen oder Geheimnisse auf.

Konfigurationsleitfaden: Stellen Sie sicher, dass Geheimnisse und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in Code- oder Konfigurationsdateien einzubetten.

Privilegierter Zugriff

Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Privilegierter Zugriff.

PA-1: Trennen und Einschränken stark privilegierter Benutzer/Administratoren

Funktionen

Lokale Admin Konten

Beschreibung: Der Dienst hat das Konzept eines lokalen Administratorkontos. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

Referenz: Schnellstart: Erstellen eines virtuellen Windows-Computers im Azure-Portal

PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)

Funktionen

Azure RBAC für Datenebene

Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweise: Verwenden Sie Azure AD als Kernauthentifizierungsplattform für RDP in Windows Server 2019 Datacenter Edition und höher oder Windows 10 1809 und höher. Sie können dann die Azure RBAC (Role-Based Access Control, rollenbasierte Zugriffssteuerung) und Richtlinien für bedingten Zugriff zentral steuern und erzwingen, die den Zugriff auf VMs zulassen oder verweigern.

Konfigurationsleitfaden: Geben Sie mit RBAC an, wer sich bei einer VM als regulärer Benutzer oder mit Administratorrechten anmelden kann. Wenn Benutzer Ihrem Team beitreten, können Sie die Azure RBAC-Richtlinie für die VM aktualisieren, um den Zugriff entsprechend zu erteilen. Wenn Mitarbeiter Ihre Organisation verlassen und ihre Benutzerkonten in Azure AD deaktiviert oder entfernt werden, haben sie keinen Zugriff mehr auf Ihre Ressourcen.

Referenz: Anmelden bei einem virtuellen Windows-Computer in Azure mithilfe von Azure AD, einschließlich kennwortlosem Kennwort

PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern

Funktionen

Kunden-Lockbox

Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie in Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, die Kunden-Lockbox, um die datenzugriffsanforderungen von Microsoft zu überprüfen und dann zu genehmigen oder abzulehnen.

Schutz von Daten

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.

DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten

Funktionen

Ermittlung und Klassifizierung vertraulicher Daten

Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten

Funktionen

Verhinderung von Datenlecks/Verlusten

Beschreibung: Der Dienst unterstützt die DLP-Lösung, um die Verschiebung vertraulicher Daten (in Kundeninhalten) zu überwachen. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten

Funktionen

Verschlüsselung von Daten während der Übertragung

Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung für die Datenebene. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweise: Bestimmte Kommunikationsprotokolle wie SSH sind standardmäßig verschlüsselt. Andere Dienste wie HTTP müssen jedoch für die Verwendung von TLS für die Verschlüsselung konfiguriert werden.

Konfigurationsleitfaden: Aktivieren Sie die sichere Übertragung in Diensten, bei denen eine native Datenverschlüsselungsfunktion integriert ist. Erzwingen Sie HTTPS für alle Webanwendungen und Dienste, und stellen Sie sicher, dass TLS v1.2 oder höher verwendet wird. Legacyversionen wie SSL 3.0, TLS v1.0 sollten deaktiviert werden. Verwenden Sie für die Remoteverwaltung von Virtual Machines SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls.

Referenz: Verschlüsselung während der Übertragung auf virtuellen Computern

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.Compute:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Windows-Computer sollten für die Verwendung sicherer Kommunikationsprotokolle konfiguriert werden Um die Privatsphäre der über das Internet übermittelten Informationen zu schützen, sollten Ihre Computer die neueste Version des kryptografischen Protokolls nach Branchenstandard verwenden, Transport Layer Security (TLS). TLS schützt die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. AuditIfNotExists, Disabled 4.1.1

DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten

Funktionen

Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln

Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt. Ruhende Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Featurehinweise: Standardmäßig verwenden verwaltete Datenträger plattformseitig verwaltete Verschlüsselungsschlüssel. Alle verwalteten Datenträger, Momentaufnahmen, Images und Daten, die auf vorhandene verwaltete Datenträger geschrieben wurden, werden im Ruhezustand automatisch mit von der Plattform verwalteten Schlüsseln verschlüsselt.

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

Referenz: Serverseitige Verschlüsselung von Azure Disk Storage – Plattformverwaltete Schlüssel

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln Standardmäßig werden die Datenträger für Betriebssystem und Daten für eine VM im Ruhezustand mithilfe plattformseitig verwalteter Schlüssel verschlüsselt. Temporäre Datenträger, Datencaches und zwischen Compute- und Speicherressourcen übertragene Daten werden nicht verschlüsselt. In folgenden Fällen sollten Sie diese Empfehlung ignorieren: 1. Verwenden der Verschlüsselung auf dem Host, oder 2. Die serverseitige Verschlüsselung in Managed Disks erfüllt Ihre Sicherheitsanforderungen. Weitere Informationen erhalten Sie unter „Serverseitige Verschlüsselung von Azure Disk Storage“ (https://aka.ms/disksse,) und „Übersicht über Verschlüsselungsoptionen für andere Datenträger“ (https://aka.ms/diskencryptioncomparison). AuditIfNotExists, Disabled 2.0.3

Integrierte Azure Policy-Definitionen – Microsoft.Compute:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Virtuelle Linux-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren. Standardmäßig werden die Datenträger für Betriebssystem und Daten für eine VM im Ruhezustand mithilfe plattformseitig verwalteter Schlüssel verschlüsselt. Temporäre Datenträger und Datencaches werden nicht verschlüsselt, und Daten werden auch bei der Übertragung zwischen Compute- und Speicherressourcen nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost, um alle diese Daten zu verschlüsseln. Einen Vergleich der Verschlüsselungsangebote finden Sie unter https://aka.ms/diskencryptioncomparison. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.2.0-preview

DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf

Funktionen

Verschlüsselung ruhender Daten mithilfe von CMK

Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von kundenseitig verwalteten Schlüsseln wird für Kundeninhalte unterstützt, die vom Dienst gespeichert werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweise: Sie können die Verschlüsselung auf der Ebene jedes verwalteten Datenträgers mit Ihren eigenen Schlüsseln verwalten. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Vom Kunden verwaltete Schlüssel ermöglichen eine höhere Flexibilität bei der Verwaltung von Zugriffssteuerungen.

Konfigurationsleitfaden: Definieren Sie bei Bedarf für die Einhaltung gesetzlicher Bestimmungen den Anwendungsfall und den Dienstbereich, in dem eine Verschlüsselung mithilfe von kundenseitig verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe eines kundenseitig verwalteten Schlüssels in Diensten.

Virtuelle Datenträger auf Virtual Machines (VM) werden im Ruhezustand entweder mithilfe der serverseitigen Verschlüsselung oder der Azure-Datenträgerverschlüsselung (Azure Disk Encryption, ADE) verschlüsselt. Azure Disk Encryption nutzt das BitLocker-Feature von Windows zum Verschlüsseln verwalteter Datenträger mit vom Kunden verwalteten Schlüsseln innerhalb der Gast-VM. Die serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln bewirkt eine ADE-Verbesserung, indem Sie beliebige Betriebssystemtypen und Images für Ihre VMs verwenden können, indem Daten im Speicherdienst verschlüsselt werden.

Referenz: Serverseitige Verschlüsselung von Azure Disk Storage

DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses

Funktionen

Schlüsselverwaltung in Azure Key Vault

Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, Geheimnisse oder Zertifikate. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und Ihrem Dienst basierend auf einem definierten Zeitplan oder bei einem Ausfall oder einer Kompromittierung des Schlüssels. Wenn der kundenseitig verwaltete Schlüssel (Customer Managed Key, CMK) auf Workload-, Dienst- oder Anwendungsebene verwendet werden muss, sollten Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs des Diensts oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) für den Dienst verwenden müssen (z. B. das Importieren von HSM-geschützten Schlüsseln von Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien für die erste Schlüsselgenerierung und Schlüsselübertragung.

Referenz: Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption auf einer Windows-VM

DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses

Funktionen

Zertifikatverwaltung in Azure Key Vault

Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenzertifikate. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Asset-Management

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.

AM-2: Ausschließliches Verwenden genehmigter Dienste

Funktionen

Azure Policy-Unterstützung

Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Azure Policy können verwendet werden, um das gewünschte Verhalten für die Windows-VMs und Linux-VMs Ihres organization zu definieren. Mithilfe von Richtlinien kann ein organization verschiedene Konventionen und Regeln im gesamten Unternehmen erzwingen und Standardsicherheitskonfigurationen für Azure Virtual Machines definieren und implementieren. Die Durchsetzung des gewünschten Verhaltens hilft dabei, Risiken zu mindern, und trägt gleichzeitig zum Erfolg des Unternehmens bei.

Referenz: Azure Policy integrierten Definitionen für Azure Virtual Machines

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung. Audit, Deny, Disabled 1.0.0

Integrierte Azure Policy-Definitionen – Microsoft.Compute:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung. Audit, Deny, Disabled 1.0.0

AM-5: Verwenden ausschließlich genehmigter Anwendungen auf VMs

Funktionen

Microsoft Defender für Cloud – Adaptive Anwendungssteuerung

Beschreibung: Der Dienst kann einschränken, welche Kundenanwendungen auf dem virtuellen Computer ausgeführt werden, indem adaptive Anwendungssteuerelemente in Microsoft Defender für Cloud verwendet werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für adaptive Cloud-Anwendungssteuerelemente, um Anwendungen zu ermitteln, die auf virtuellen Computern (VMs) ausgeführt werden, und generieren Sie eine Anwendungsgenehmigungsliste, um zu bestimmen, welche genehmigten Anwendungen in der VM-Umgebung ausgeführt werden können.

Referenz: Verwenden von adaptiven Anwendungssteuerelementen, um die Angriffsflächen Ihrer Computer zu reduzieren

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. AuditIfNotExists, Disabled 3.0.0

Integrierte Azure Policy-Definitionen – Microsoft.Compute:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. AuditIfNotExists, Disabled 3.0.0

Protokollierung und Bedrohungserkennung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.

LT-1: Aktivieren von Funktionen für die Bedrohungserkennung

Funktionen

Microsoft Defender for Service / Produktangebot

Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen von Sicherheitsproblemen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Defender für Server erweitert den Schutz auf Ihre Windows- und Linux-Computer, die in Azure ausgeführt werden. Defender für Server ist in Microsoft Defender for Endpoint integriert, um Endpunkterkennung und -reaktion (EDR) bereitzustellen, und bietet außerdem eine Vielzahl zusätzlicher Features zum Schutz vor Bedrohungen, z. B. Sicherheitsbaselines und Bewertungen auf Betriebssystemebene, Überprüfung der Sicherheitsrisikobewertung, adaptive Anwendungssteuerungen (Adaptive Application Controls, AAC), Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) und vieles mehr.

Referenz: Planen Der Bereitstellung von Defender für Server

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.Compute:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). AuditIfNotExists, Disabled 2.0.0

LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung

Funktionen

Azure-Ressourcenprotokolle

Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und sie an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Azure Monitor beginnt automatisch mit der Erfassung von Metrikdaten für Ihren VM-Host, wenn Sie die VM erstellen. Um Protokolle und Leistungsdaten des Gastbetriebssystem des virtuellen Computers zu sammeln, müssen Sie jedoch den Azure Monitor-Agent installieren. Sie können den Agent installieren und die Sammlung entweder mithilfe von VM Insights oder durch Erstellen einer Datensammlungsregel konfigurieren.

Referenz: Übersicht über den Log Analytics-Agent

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.Compute:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview

Status- und Sicherheitsrisikoverwaltung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Posture and Vulnerability Management.

PV-3: Definieren und Einrichten sicherer Konfigurationen für Computeressourcen

Funktionen

Azure Automation State Configuration

Beschreibung: Azure Automation State Configuration kann verwendet werden, um die Sicherheitskonfiguration des Betriebssystems zu verwalten. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie Azure Automation State Configuration, um die Sicherheitskonfiguration des Betriebssystems zu verwalten.

Referenz: Konfigurieren eines virtuellen Computers mit Desired State Configuration

Azure Policy Gastkonfigurations-Agent

Beschreibung: Azure Policy Gastkonfigurations-Agent kann installiert oder als Erweiterung für Computeressourcen bereitgestellt werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweise: Azure Policy Gastkonfiguration heißt jetzt Azure Automanage Machine Configuration.

Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud und Azure Policy Gastkonfigurations-Agent, um Konfigurationsabweichungen auf Ihren Azure-Computeressourcen, einschließlich VMs, Containern und anderen, regelmäßig zu bewerten und zu beheben.

Referenz: Grundlegendes zum Computerkonfigurationsfeature von Azure Automanage

Benutzerdefinierte VM-Images

Beschreibung: Der Dienst unterstützt die Verwendung von benutzerseitig bereitgestellten VM-Images oder vorgefertigten Images aus dem Marketplace, wobei bestimmte Baselinekonfigurationen bereits angewendet wurden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie ein vorkonfiguriertes gehärtetes Image eines vertrauenswürdigen Anbieters wie Microsoft, oder erstellen Sie eine gewünschte sichere Konfigurationsbaseline in die VM-Imagevorlage.

Referenz: Tutorial: Erstellen von Windows-VM-Images mit Azure PowerShell

PV-4: Überwachen und Erzwingen sicherer Konfigurationen für Computeressourcen

Funktionen

Virtueller Computer mit vertrauenswürdigem Start

Beschreibung: Trusted Launch schützt vor erweiterten und persistenten Angriffstechniken, indem Infrastrukturtechnologien wie sicherer Start, vTPM und Integritätsüberwachung kombiniert werden. Jede Technologie bietet eine eigene Schutzschicht gegen komplexe Bedrohungen. Der vertrauenswürdige Start ermöglicht die sichere Bereitstellung virtueller Computer mit überprüften Startladeprogrammen, Betriebssystemkernkernen und Treibern und schützt Schlüssel, Zertifikate und Geheimnisse auf den virtuellen Computern sicher. Der vertrauenswürdige Start bietet auch Einblicke und Vertrauen in die Integrität der gesamten Startkette und stellt sicher, dass Workloads vertrauenswürdig und überprüfbar sind. Der vertrauenswürdige Start ist in Microsoft Defender für Cloud integriert, um sicherzustellen, dass VMs ordnungsgemäß konfiguriert sind, indem bestätigt wird, dass der virtuelle Computer fehlerfrei gestartet wurde. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweis: Vertrauenswürdiger Start ist für VMs der Generation 2 verfügbar. Der vertrauenswürdige Start erfordert die Erstellung neuer VMs. Sie können den vertrauenswürdigen Start nicht für vorhandene VMs aktivieren, die ursprünglich ohne vertrauenswürdigen Start erstellt wurden.

Konfigurationsleitfaden: Der vertrauenswürdige Start kann während der Bereitstellung des virtuellen Computers aktiviert werden. Aktivieren Sie alle drei - Überwachung des sicheren Starts, vTPM und Integritätsstarts, um den besten Sicherheitsstatus für den virtuellen Computer sicherzustellen. Beachten Sie, dass es einige Voraussetzungen gibt, z. B. das Onboarding Ihres Abonnements in Microsoft Defender für Cloud, das Zuweisen bestimmter Azure Policy Initiativen und das Konfigurieren von Firewallrichtlinien.

Referenz: Bereitstellen eines virtuellen Computers mit aktiviertem vertrauenswürdigem Start

PV-5: Durchführen von Sicherheitsrisikobewertungen

Funktionen

Sicherheitsrisikobewertung mithilfe von Microsoft Defender

Beschreibung: Der Dienst kann mithilfe von Microsoft Defender für cloud- oder andere eingebettete Microsoft Defender-Dienste (einschließlich Microsoft Defender für Server, Containerregistrierung, App Service, SQL und DNS) auf Sicherheitsrisikoüberprüfung überprüft werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Befolgen Sie die Empfehlungen von Microsoft Defender für Cloud, um Sicherheitsrisikobewertungen auf Ihren virtuellen Azure-Computern durchzuführen.

Referenz: Planen der Bereitstellung von Defender für Server

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. AuditIfNotExists, Disabled 3.0.0

Integrierte Azure Policy-Definitionen – Microsoft.Compute:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. AuditIfNotExists, Disabled 3.0.0

PV-6: Schnelles und automatisches Beheben von Sicherheitsrisiken

Funktionen

Azure Automation-Updateverwaltung

Beschreibung: Der Dienst kann Azure Automation Updateverwaltung verwenden, um Patches und Updates automatisch bereitzustellen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie Azure Automation Updateverwaltung oder eine Drittanbieterlösung, um sicherzustellen, dass die neuesten Sicherheitsupdates auf Ihren Windows-VMs installiert sind. Stellen Sie bei virtuellen Windows-Computern sicher, dass Windows Update aktiviert wurde und auf „Automatisch Aktualisieren“ festgelegt ist.

Referenz: Verwalten von Updates und Patches für Ihre VMs

Azure Guest Patching Service

Beschreibung: Der Dienst kann Azure-Gastpatches verwenden, um Patches und Updates automatisch bereitzustellen. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Dienste können die verschiedenen Updatemechanismen wie automatische Betriebssystemimageupgrades und automatische Gastpatches nutzen. Die Funktionen werden empfohlen, um die neuesten Sicherheits- und kritischen Updates auf das Gastbetriebssystem Ihres virtuellen Computers anzuwenden, indem Sie die Grundsätze für sichere Bereitstellung befolgen.

Mit automatischem Gastpatching können Sie Ihre virtuellen Azure-Computer automatisch bewerten und aktualisieren, um die Sicherheitskonformität mit den monatlich veröffentlichten kritischen Updates und Sicherheitsupdates zu gewährleisten. Updates werden außerhalb der Spitzenzeiten angewendet, einschließlich VMs innerhalb einer Verfügbarkeitsgruppe. Diese Funktion ist für die flexible Orchestrierung von VMSS verfügbar, mit zukünftiger Unterstützung für die Roadmap für Uniform Orchestration.

Wenn Sie eine zustandslose Workload ausführen, sind automatische Betriebssystemimageupgrades ideal, um das neueste Update für Ihre VMSS Uniform anzuwenden. Mit der Rollbackfunktion sind diese Updates mit Marketplace- oder benutzerdefinierten Images kompatibel. Zukünftige rollierende Upgradeunterstützung für die Roadmap für flexible Orchestrierung.

Referenz: Automatisches VM-Gastpatching für Azure-VMs

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Systemupdates sollten auf Ihren Computern installiert sein Hiermit werden fehlende Sicherheitssystemupdates auf Ihren Servern über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 4.0.0

Integrierte Azure Policy-Definitionen – Microsoft.Compute:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Systemupdates sollten auf Ihren Computern installiert sein (über Update Center) Auf Ihren Computern fehlen System-, Sicherheits- und kritische Updates. Softwareupdates enthalten häufig wichtige Patches für Sicherheitslücken. Da diese Lücken bei Angriffen mit Schadsoftware häufig ausgenutzt werden, ist es sehr wichtig, dass Sie Ihre Software immer auf dem aktuellen Stand halten. Führen Sie die Schritte zur Problembehebung aus, um alle ausstehenden Patches zu installieren und Ihre Computer zu schützen. AuditIfNotExists, Disabled 1.0.0-preview

Endpunktsicherheit

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Endpunktsicherheit.

ES-1: Verwenden von Endpunkterkennung und -antwort (Endpoint Detection and Response, EDR)

Funktionen

EDR-Lösung

Beschreibung: Das EDR-Feature (Endpoint Detection and Response), z. B. Azure Defender für Server, kann im Endpunkt bereitgestellt werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Azure Defender für Server (mit integriertem Microsoft Defender for Endpoint) bietet EDR-Funktionen zum Verhindern, Erkennen, Untersuchen und Reagieren auf erweiterte Bedrohungen. Verwenden Sie Microsoft Defender für Cloud, um Azure Defender für Server für Ihren Endpunkt bereitzustellen und die Warnungen in Ihre SIEM-Lösung, z. B. Azure Sentinel, zu integrieren.

Referenz: Planen Der Bereitstellung von Defender für Server

ES-2: Verwenden moderner Antischadsoftware

Funktionen

Anti-Malware-Lösung

Beschreibung: Anti-Malware-Funktion wie Microsoft Defender Antivirus, Microsoft Defender for Endpoint können auf dem Endpunkt bereitgestellt werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Für Windows Server 2016 und höher ist Microsoft Defender für Antivirus standardmäßig installiert. Ab Windows Server 2012 R2 können Kunden SCEP (System Center Endpoint Protection) installieren. Alternativ haben Kunden auch die Wahl, Anti-Malware-Produkte von Drittanbietern zu installieren.

Referenz: Onboarding von Windows Server für Defender für Endpunkt

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Von Azure Security Center unterstützte Endpoint Protection-Lösungen sind unter https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions dokumentiert. Die Endpoint Protection-Bewertung ist unter https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection dokumentiert. AuditIfNotExists, Disabled 1.0.0

Integrierte Azure Policy-Definitionen – Microsoft.Compute:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Von Azure Security Center unterstützte Endpoint Protection-Lösungen sind unter https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions dokumentiert. Die Endpoint Protection-Bewertung ist unter https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection dokumentiert. AuditIfNotExists, Disabled 1.0.0

ES-3: Sicherstellen der Aktualisierung von Antischadsoftware und Signaturen

Funktionen

Integritätsüberwachung der Anti-Malware-Lösung

Beschreibung: Die Anti-Malware-Lösung bietet Integritätsüberwachung status für Plattform-, Engine- und automatische Signaturupdates. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweise: Sicherheitsintelligenz und Produktupdates gelten für Defender für Endpunkt, die auf den Windows-VMs installiert werden können.

Konfigurationsleitfaden: Konfigurieren Sie Ihre Anti-Malware-Lösung, um sicherzustellen, dass Plattform, Engine und Signaturen schnell und konsistent aktualisiert werden und ihre status überwacht werden können.

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Von Azure Security Center unterstützte Endpoint Protection-Lösungen sind unter https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions dokumentiert. Die Endpoint Protection-Bewertung ist unter https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection dokumentiert. AuditIfNotExists, Disabled 1.0.0

Integrierte Azure Policy-Definitionen – Microsoft.Compute:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Von Azure Security Center unterstützte Endpoint Protection-Lösungen sind unter https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions dokumentiert. Die Endpoint Protection-Bewertung ist unter https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection dokumentiert. AuditIfNotExists, Disabled 1.0.0

Sicherung und Wiederherstellung

Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Sicherung und Wiederherstellung.

BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen

Funktionen

Azure Backup

Beschreibung: Der Dienst kann durch den Azure Backup-Dienst gesichert werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Aktivieren Sie Azure Backup und konfigurieren Sie die Sicherungsquelle (z. B. Azure Virtual Machines, SQL Server, HANA-Datenbanken oder Dateifreigaben) für eine gewünschte Häufigkeit und mit einem gewünschten Aufbewahrungszeitraum. Für Azure Virtual Machines können Sie Azure Policy verwenden, um automatische Sicherungen zu aktivieren.

Referenz: Sicherungs- und Wiederherstellungsoptionen für virtuelle Computer in Azure

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.Compute:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Backup muss für Virtual Machines aktiviert sein. Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. AuditIfNotExists, Disabled 3.0.0

Nächste Schritte