Azure-Sicherheitsbaseline für Virtual Machines – Windows Virtual Machines
Diese Sicherheitsbaseline wendet Anleitungen aus dem Microsoft Cloud Security Benchmark Version 1.0 auf Virtual Machines – Windows Virtual Machines an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft Cloud Security Benchmark definiert sind, und den entsprechenden Anleitungen, die für Virtual Machines – Windows Virtual Machines gelten.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen der Portalseite Microsoft Defender für Cloud aufgeführt.
Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Microsoft Cloud Security Benchmark-Kontrollen und Empfehlungen messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.
Hinweis
Features, die nicht für Virtual Machines gelten: Windows-Virtual Machines wurden ausgeschlossen. Informationen dazu, wie Virtual Machines – Windows Virtual Machines vollständig dem Microsoft Cloud Security Benchmark zugeordnet ist, finden Sie in der vollständigen Virtual Machines: Zuordnungsdatei für Windows Virtual Machines Sicherheitsbaseline.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten von Virtual Machines – Windows Virtual Machines zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Compute |
| Der Kunde kann auf HOST/OS zugreifen | Vollzugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | True |
| Speichert kundenbezogene Inhalte im Ruhezustand | True |
Netzwerksicherheit
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Grenzen für die Netzwerksegmentierung
Funktionen
Virtual Network-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Virtuelle Netzwerke und virtuelle Computer in Azure
Unterstützung von Netzwerksicherheitsgruppen
Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Netzwerksicherheitsgruppen (NSG), um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken oder zu überwachen. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. um zu verhindern, dass auf Verwaltungsports aus nicht vertrauenswürdigen Netzwerken zugegriffen wird). Beachten Sie, dass NSGs standardmäßig den gesamten eingehenden Datenverkehr verweigern, Datenverkehr aus virtuellen Netzwerken und Azure Load Balancer-Instanzen jedoch zulassen.
Wenn Sie einen virtuellen Azure-Computer (VM) erstellen, müssen Sie ein virtuelles Netzwerk erstellen oder ein vorhandenes virtuelles Netzwerk verwenden und die VM mit einem Subnetz konfigurieren. Stellen Sie sicher, dass auf alle bereitgestellten Subnetze eine Netzwerksicherheitsgruppe mit Netzwerkzugriffssteuerungen angewendet wurde, die für die vertrauenswürdigen Ports und Quellen der Anwendung spezifisch sind.
Referenz: Netzwerksicherheitsgruppen
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Disabled | 3.0.0 |
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Auf virtuelle Computer mit Internetzugang müssen Empfehlungen zur adaptiven Netzwerkhärtung angewendet werden. | Azure Security Center analysiert die Datenverkehrsmuster von virtuellen Computern mit Internetzugriff und stellt Empfehlungen zu NSG-Regeln (Netzwerksicherheitsgruppe) bereit, um die potenzielle Angriffsfläche zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen
Funktionen
Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des Zugriffs auf öffentliche Netzwerke entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Dienste auf Betriebssystemebene, z. B. Windows Defender Firewall, um Netzwerkfilterung bereitzustellen, um den öffentlichen Zugriff zu deaktivieren.
Identitätsverwaltung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Funktionen
Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebene. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf Datenebene zu steuern.
Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene
Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebene unterstützt werden, z. B. ein lokaler Benutzername und ein Kennwort. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Bei der ersten Bereitstellung des virtuellen Computers wird standardmäßig ein lokales Administratorkonto erstellt. Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Funktionen
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Die verwaltete Identität wird in der Regel von virtuellen Windows-Computern genutzt, um sich bei anderen Diensten zu authentifizieren. Wenn die Windows-VM die Azure AD-Authentifizierung unterstützt, wird möglicherweise die verwaltete Identität unterstützt.
Konfigurationsleitfaden: Verwenden Sie nach Möglichkeit verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory -Authentifizierung (Azure AD) unterstützen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden.
Dienstprinzipale
Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Dienstprinzipale können von Anwendungen verwendet werden, die auf der Windows-VM ausgeführt werden.
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Anleitungen für diese Featurekonfiguration. Überprüfen Sie, ob Ihr organization dieses Sicherheitsfeature konfigurieren möchte.
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen
Funktionen
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Verwenden Sie Azure AD als zentrale Authentifizierungsplattform für RDP in windows Server 2019 Datacenter Edition und höher oder Windows 10 1809 und höher. Sie können dann die Azure RBAC (Role-Based Access Control, rollenbasierte Zugriffssteuerung) und Richtlinien für bedingten Zugriff zentral steuern und erzwingen, die den Zugriff auf VMs zulassen oder verweigern.
Konfigurationsleitfaden: Definieren Sie die anwendbaren Bedingungen und Kriterien für den bedingten Azure Active Directory -Zugriff (Azure AD) in der Workload. Betrachten Sie gängige Anwendungsfälle wie das Blockieren oder Gewähren des Zugriffs von bestimmten Standorten aus, das Blockieren riskanter Anmeldeverhalten oder die Anforderung organization verwalteter Geräte für bestimmte Anwendungen.
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Funktionen
Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse
Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Innerhalb der Datenebene oder des Betriebssystems rufen Dienste möglicherweise Azure Key Vault für Anmeldeinformationen oder Geheimnisse auf.
Konfigurationsleitfaden: Stellen Sie sicher, dass Geheimnisse und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in Code- oder Konfigurationsdateien einzubetten.
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Privilegierter Zugriff.
PA-1: Trennen und Einschränken stark privilegierter Benutzer/Administratoren
Funktionen
Lokale Admin Konten
Beschreibung: Der Dienst hat das Konzept eines lokalen Administratorkontos. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Schnellstart: Erstellen eines virtuellen Windows-Computers im Azure-Portal
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Funktionen
Azure RBAC für Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Verwenden Sie Azure AD als Kernauthentifizierungsplattform für RDP in Windows Server 2019 Datacenter Edition und höher oder Windows 10 1809 und höher. Sie können dann die Azure RBAC (Role-Based Access Control, rollenbasierte Zugriffssteuerung) und Richtlinien für bedingten Zugriff zentral steuern und erzwingen, die den Zugriff auf VMs zulassen oder verweigern.
Konfigurationsleitfaden: Geben Sie mit RBAC an, wer sich bei einer VM als regulärer Benutzer oder mit Administratorrechten anmelden kann. Wenn Benutzer Ihrem Team beitreten, können Sie die Azure RBAC-Richtlinie für die VM aktualisieren, um den Zugriff entsprechend zu erteilen. Wenn Mitarbeiter Ihre Organisation verlassen und ihre Benutzerkonten in Azure AD deaktiviert oder entfernt werden, haben sie keinen Zugriff mehr auf Ihre Ressourcen.
PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern
Funktionen
Kunden-Lockbox
Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie in Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, die Kunden-Lockbox, um die datenzugriffsanforderungen von Microsoft zu überprüfen und dann zu genehmigen oder abzulehnen.
Schutz von Daten
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.
DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten
Funktionen
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Funktionen
Verhinderung von Datenlecks/Verlusten
Beschreibung: Der Dienst unterstützt die DLP-Lösung, um die Verschiebung vertraulicher Daten (in Kundeninhalten) zu überwachen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Funktionen
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung für die Datenebene. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Bestimmte Kommunikationsprotokolle wie SSH sind standardmäßig verschlüsselt. Andere Dienste wie HTTP müssen jedoch für die Verwendung von TLS für die Verschlüsselung konfiguriert werden.
Konfigurationsleitfaden: Aktivieren Sie die sichere Übertragung in Diensten, bei denen eine native Datenverschlüsselungsfunktion integriert ist. Erzwingen Sie HTTPS für alle Webanwendungen und Dienste, und stellen Sie sicher, dass TLS v1.2 oder höher verwendet wird. Legacyversionen wie SSL 3.0, TLS v1.0 sollten deaktiviert werden. Verwenden Sie für die Remoteverwaltung von Virtual Machines SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls.
Referenz: Verschlüsselung während der Übertragung auf virtuellen Computern
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Windows-Computer sollten für die Verwendung sicherer Kommunikationsprotokolle konfiguriert werden | Um die Privatsphäre der über das Internet übermittelten Informationen zu schützen, sollten Ihre Computer die neueste Version des kryptografischen Protokolls nach Branchenstandard verwenden, Transport Layer Security (TLS). TLS schützt die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Disabled | 4.1.1 |
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Funktionen
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt. Ruhende Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Standardmäßig verwenden verwaltete Datenträger plattformseitig verwaltete Verschlüsselungsschlüssel. Alle verwalteten Datenträger, Momentaufnahmen, Images und Daten, die auf vorhandene verwaltete Datenträger geschrieben wurden, werden im Ruhezustand automatisch mit von der Plattform verwalteten Schlüsseln verschlüsselt.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Serverseitige Verschlüsselung von Azure Disk Storage – Plattformverwaltete Schlüssel
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln | Standardmäßig werden die Datenträger für Betriebssystem und Daten für eine VM im Ruhezustand mithilfe plattformseitig verwalteter Schlüssel verschlüsselt. Temporäre Datenträger, Datencaches und zwischen Compute- und Speicherressourcen übertragene Daten werden nicht verschlüsselt. In folgenden Fällen sollten Sie diese Empfehlung ignorieren: 1. Verwenden der Verschlüsselung auf dem Host, oder 2. Die serverseitige Verschlüsselung in Managed Disks erfüllt Ihre Sicherheitsanforderungen. Weitere Informationen erhalten Sie unter „Serverseitige Verschlüsselung von Azure Disk Storage“ (https://aka.ms/disksse,) und „Übersicht über Verschlüsselungsoptionen für andere Datenträger“ (https://aka.ms/diskencryptioncomparison). | AuditIfNotExists, Disabled | 2.0.3 |
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Virtuelle Linux-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren. | Standardmäßig werden die Datenträger für Betriebssystem und Daten für eine VM im Ruhezustand mithilfe plattformseitig verwalteter Schlüssel verschlüsselt. Temporäre Datenträger und Datencaches werden nicht verschlüsselt, und Daten werden auch bei der Übertragung zwischen Compute- und Speicherressourcen nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost, um alle diese Daten zu verschlüsseln. Einen Vergleich der Verschlüsselungsangebote finden Sie unter https://aka.ms/diskencryptioncomparison. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.0-preview |
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
Funktionen
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von kundenseitig verwalteten Schlüsseln wird für Kundeninhalte unterstützt, die vom Dienst gespeichert werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Sie können die Verschlüsselung auf der Ebene jedes verwalteten Datenträgers mit Ihren eigenen Schlüsseln verwalten. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Vom Kunden verwaltete Schlüssel ermöglichen eine höhere Flexibilität bei der Verwaltung von Zugriffssteuerungen.
Konfigurationsleitfaden: Definieren Sie bei Bedarf für die Einhaltung gesetzlicher Bestimmungen den Anwendungsfall und den Dienstbereich, in dem eine Verschlüsselung mithilfe von kundenseitig verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe eines kundenseitig verwalteten Schlüssels in Diensten.
Virtuelle Datenträger auf Virtual Machines (VM) werden im Ruhezustand entweder mithilfe der serverseitigen Verschlüsselung oder der Azure-Datenträgerverschlüsselung (Azure Disk Encryption, ADE) verschlüsselt. Azure Disk Encryption nutzt das BitLocker-Feature von Windows zum Verschlüsseln verwalteter Datenträger mit vom Kunden verwalteten Schlüsseln innerhalb der Gast-VM. Die serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln bewirkt eine ADE-Verbesserung, indem Sie beliebige Betriebssystemtypen und Images für Ihre VMs verwenden können, indem Daten im Speicherdienst verschlüsselt werden.
Referenz: Serverseitige Verschlüsselung von Azure Disk Storage
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
Funktionen
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, Geheimnisse oder Zertifikate. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und Ihrem Dienst basierend auf einem definierten Zeitplan oder bei einem Ausfall oder einer Kompromittierung des Schlüssels. Wenn der kundenseitig verwaltete Schlüssel (Customer Managed Key, CMK) auf Workload-, Dienst- oder Anwendungsebene verwendet werden muss, sollten Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs des Diensts oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) für den Dienst verwenden müssen (z. B. das Importieren von HSM-geschützten Schlüsseln von Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien für die erste Schlüsselgenerierung und Schlüsselübertragung.
Referenz: Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption auf einer Windows-VM
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Funktionen
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenzertifikate. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Asset-Management
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Ausschließliches Verwenden genehmigter Dienste
Funktionen
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Azure Policy können verwendet werden, um das gewünschte Verhalten für die Windows-VMs und Linux-VMs Ihres organization zu definieren. Mithilfe von Richtlinien kann ein organization verschiedene Konventionen und Regeln im gesamten Unternehmen erzwingen und Standardsicherheitskonfigurationen für Azure Virtual Machines definieren und implementieren. Die Durchsetzung des gewünschten Verhaltens hilft dabei, Risiken zu mindern, und trägt gleichzeitig zum Erfolg des Unternehmens bei.
Referenz: Azure Policy integrierten Definitionen für Azure Virtual Machines
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung. | Audit, Deny, Disabled | 1.0.0 |
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung. | Audit, Deny, Disabled | 1.0.0 |
AM-5: Verwenden ausschließlich genehmigter Anwendungen auf VMs
Funktionen
Microsoft Defender für Cloud – Adaptive Anwendungssteuerung
Beschreibung: Der Dienst kann einschränken, welche Kundenanwendungen auf dem virtuellen Computer ausgeführt werden, indem adaptive Anwendungssteuerelemente in Microsoft Defender für Cloud verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für adaptive Cloud-Anwendungssteuerelemente, um Anwendungen zu ermitteln, die auf virtuellen Computern (VMs) ausgeführt werden, und generieren Sie eine Anwendungsgenehmigungsliste, um zu bestimmen, welche genehmigten Anwendungen in der VM-Umgebung ausgeführt werden können.
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein | Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. | AuditIfNotExists, Disabled | 3.0.0 |
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein | Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. | AuditIfNotExists, Disabled | 3.0.0 |
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Funktionen
Microsoft Defender for Service / Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen von Sicherheitsproblemen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Defender für Server erweitert den Schutz auf Ihre Windows- und Linux-Computer, die in Azure ausgeführt werden. Defender für Server ist in Microsoft Defender for Endpoint integriert, um Endpunkterkennung und -reaktion (EDR) bereitzustellen, und bietet außerdem eine Vielzahl zusätzlicher Features zum Schutz vor Bedrohungen, z. B. Sicherheitsbaselines und Bewertungen auf Betriebssystemebene, Überprüfung der Sicherheitsrisikobewertung, adaptive Anwendungssteuerungen (Adaptive Application Controls, AAC), Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) und vieles mehr.
Referenz: Planen Der Bereitstellung von Defender für Server
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). | AuditIfNotExists, Disabled | 2.0.0 |
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Funktionen
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und sie an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Azure Monitor beginnt automatisch mit der Erfassung von Metrikdaten für Ihren VM-Host, wenn Sie die VM erstellen. Um Protokolle und Leistungsdaten des Gastbetriebssystem des virtuellen Computers zu sammeln, müssen Sie jedoch den Azure Monitor-Agent installieren. Sie können den Agent installieren und die Sammlung entweder mithilfe von VM Insights oder durch Erstellen einer Datensammlungsregel konfigurieren.
Referenz: Übersicht über den Log Analytics-Agent
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
Status- und Sicherheitsrisikoverwaltung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Posture and Vulnerability Management.
PV-3: Definieren und Einrichten sicherer Konfigurationen für Computeressourcen
Funktionen
Azure Automation State Configuration
Beschreibung: Azure Automation State Configuration kann verwendet werden, um die Sicherheitskonfiguration des Betriebssystems zu verwalten. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Azure Automation State Configuration, um die Sicherheitskonfiguration des Betriebssystems zu verwalten.
Referenz: Konfigurieren eines virtuellen Computers mit Desired State Configuration
Azure Policy Gastkonfigurations-Agent
Beschreibung: Azure Policy Gastkonfigurations-Agent kann installiert oder als Erweiterung für Computeressourcen bereitgestellt werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Azure Policy Gastkonfiguration heißt jetzt Azure Automanage Machine Configuration.
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud und Azure Policy Gastkonfigurations-Agent, um Konfigurationsabweichungen auf Ihren Azure-Computeressourcen, einschließlich VMs, Containern und anderen, regelmäßig zu bewerten und zu beheben.
Referenz: Grundlegendes zum Computerkonfigurationsfeature von Azure Automanage
Benutzerdefinierte VM-Images
Beschreibung: Der Dienst unterstützt die Verwendung von benutzerseitig bereitgestellten VM-Images oder vorgefertigten Images aus dem Marketplace, wobei bestimmte Baselinekonfigurationen bereits angewendet wurden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie ein vorkonfiguriertes gehärtetes Image eines vertrauenswürdigen Anbieters wie Microsoft, oder erstellen Sie eine gewünschte sichere Konfigurationsbaseline in die VM-Imagevorlage.
Referenz: Tutorial: Erstellen von Windows-VM-Images mit Azure PowerShell
PV-4: Überwachen und Erzwingen sicherer Konfigurationen für Computeressourcen
Funktionen
Virtueller Computer mit vertrauenswürdigem Start
Beschreibung: Trusted Launch schützt vor erweiterten und persistenten Angriffstechniken, indem Infrastrukturtechnologien wie sicherer Start, vTPM und Integritätsüberwachung kombiniert werden. Jede Technologie bietet eine eigene Schutzschicht gegen komplexe Bedrohungen. Der vertrauenswürdige Start ermöglicht die sichere Bereitstellung virtueller Computer mit überprüften Startladeprogrammen, Betriebssystemkernkernen und Treibern und schützt Schlüssel, Zertifikate und Geheimnisse auf den virtuellen Computern sicher. Der vertrauenswürdige Start bietet auch Einblicke und Vertrauen in die Integrität der gesamten Startkette und stellt sicher, dass Workloads vertrauenswürdig und überprüfbar sind. Der vertrauenswürdige Start ist in Microsoft Defender für Cloud integriert, um sicherzustellen, dass VMs ordnungsgemäß konfiguriert sind, indem bestätigt wird, dass der virtuelle Computer fehlerfrei gestartet wurde. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweis: Vertrauenswürdiger Start ist für VMs der Generation 2 verfügbar. Der vertrauenswürdige Start erfordert die Erstellung neuer VMs. Sie können den vertrauenswürdigen Start nicht für vorhandene VMs aktivieren, die ursprünglich ohne vertrauenswürdigen Start erstellt wurden.
Konfigurationsleitfaden: Der vertrauenswürdige Start kann während der Bereitstellung des virtuellen Computers aktiviert werden. Aktivieren Sie alle drei - Überwachung des sicheren Starts, vTPM und Integritätsstarts, um den besten Sicherheitsstatus für den virtuellen Computer sicherzustellen. Beachten Sie, dass es einige Voraussetzungen gibt, z. B. das Onboarding Ihres Abonnements in Microsoft Defender für Cloud, das Zuweisen bestimmter Azure Policy Initiativen und das Konfigurieren von Firewallrichtlinien.
Referenz: Bereitstellen eines virtuellen Computers mit aktiviertem vertrauenswürdigem Start
PV-5: Durchführen von Sicherheitsrisikobewertungen
Funktionen
Sicherheitsrisikobewertung mithilfe von Microsoft Defender
Beschreibung: Der Dienst kann mithilfe von Microsoft Defender für cloud- oder andere eingebettete Microsoft Defender-Dienste (einschließlich Microsoft Defender für Server, Containerregistrierung, App Service, SQL und DNS) auf Sicherheitsrisikoüberprüfung überprüft werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Befolgen Sie die Empfehlungen von Microsoft Defender für Cloud, um Sicherheitsrisikobewertungen auf Ihren virtuellen Azure-Computern durchzuführen.
Referenz: Planen der Bereitstellung von Defender für Server
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. | AuditIfNotExists, Disabled | 3.0.0 |
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. | AuditIfNotExists, Disabled | 3.0.0 |
PV-6: Schnelles und automatisches Beheben von Sicherheitsrisiken
Funktionen
Azure Automation-Updateverwaltung
Beschreibung: Der Dienst kann Azure Automation Updateverwaltung verwenden, um Patches und Updates automatisch bereitzustellen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Azure Automation Updateverwaltung oder eine Drittanbieterlösung, um sicherzustellen, dass die neuesten Sicherheitsupdates auf Ihren Windows-VMs installiert sind. Stellen Sie bei virtuellen Windows-Computern sicher, dass Windows Update aktiviert wurde und auf „Automatisch Aktualisieren“ festgelegt ist.
Referenz: Verwalten von Updates und Patches für Ihre VMs
Azure Guest Patching Service
Beschreibung: Der Dienst kann Azure-Gastpatches verwenden, um Patches und Updates automatisch bereitzustellen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Dienste können die verschiedenen Updatemechanismen wie automatische Betriebssystemimageupgrades und automatische Gastpatches nutzen. Die Funktionen werden empfohlen, um die neuesten Sicherheits- und kritischen Updates auf das Gastbetriebssystem Ihres virtuellen Computers anzuwenden, indem Sie die Grundsätze für sichere Bereitstellung befolgen.
Mit automatischem Gastpatching können Sie Ihre virtuellen Azure-Computer automatisch bewerten und aktualisieren, um die Sicherheitskonformität mit den monatlich veröffentlichten kritischen Updates und Sicherheitsupdates zu gewährleisten. Updates werden außerhalb der Spitzenzeiten angewendet, einschließlich VMs innerhalb einer Verfügbarkeitsgruppe. Diese Funktion ist für die flexible Orchestrierung von VMSS verfügbar, mit zukünftiger Unterstützung für die Roadmap für Uniform Orchestration.
Wenn Sie eine zustandslose Workload ausführen, sind automatische Betriebssystemimageupgrades ideal, um das neueste Update für Ihre VMSS Uniform anzuwenden. Mit der Rollbackfunktion sind diese Updates mit Marketplace- oder benutzerdefinierten Images kompatibel. Zukünftige rollierende Upgradeunterstützung für die Roadmap für flexible Orchestrierung.
Referenz: Automatisches VM-Gastpatching für Azure-VMs
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Systemupdates sollten auf Ihren Computern installiert sein | Hiermit werden fehlende Sicherheitssystemupdates auf Ihren Servern über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 4.0.0 |
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Systemupdates sollten auf Ihren Computern installiert sein (über Update Center) | Auf Ihren Computern fehlen System-, Sicherheits- und kritische Updates. Softwareupdates enthalten häufig wichtige Patches für Sicherheitslücken. Da diese Lücken bei Angriffen mit Schadsoftware häufig ausgenutzt werden, ist es sehr wichtig, dass Sie Ihre Software immer auf dem aktuellen Stand halten. Führen Sie die Schritte zur Problembehebung aus, um alle ausstehenden Patches zu installieren und Ihre Computer zu schützen. | AuditIfNotExists, Disabled | 1.0.0-preview |
Endpunktsicherheit
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Endpunktsicherheit.
ES-1: Verwenden von Endpunkterkennung und -antwort (Endpoint Detection and Response, EDR)
Funktionen
EDR-Lösung
Beschreibung: Das EDR-Feature (Endpoint Detection and Response), z. B. Azure Defender für Server, kann im Endpunkt bereitgestellt werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Azure Defender für Server (mit integriertem Microsoft Defender for Endpoint) bietet EDR-Funktionen zum Verhindern, Erkennen, Untersuchen und Reagieren auf erweiterte Bedrohungen. Verwenden Sie Microsoft Defender für Cloud, um Azure Defender für Server für Ihren Endpunkt bereitzustellen und die Warnungen in Ihre SIEM-Lösung, z. B. Azure Sentinel, zu integrieren.
Referenz: Planen Der Bereitstellung von Defender für Server
ES-2: Verwenden moderner Antischadsoftware
Funktionen
Anti-Malware-Lösung
Beschreibung: Anti-Malware-Funktion wie Microsoft Defender Antivirus, Microsoft Defender for Endpoint können auf dem Endpunkt bereitgestellt werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Für Windows Server 2016 und höher ist Microsoft Defender für Antivirus standardmäßig installiert. Ab Windows Server 2012 R2 können Kunden SCEP (System Center Endpoint Protection) installieren. Alternativ haben Kunden auch die Wahl, Anti-Malware-Produkte von Drittanbietern zu installieren.
Referenz: Onboarding von Windows Server für Defender für Endpunkt
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Von Azure Security Center unterstützte Endpoint Protection-Lösungen sind unter https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions dokumentiert. Die Endpoint Protection-Bewertung ist unter https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection dokumentiert. | AuditIfNotExists, Disabled | 1.0.0 |
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Von Azure Security Center unterstützte Endpoint Protection-Lösungen sind unter https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions dokumentiert. Die Endpoint Protection-Bewertung ist unter https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection dokumentiert. | AuditIfNotExists, Disabled | 1.0.0 |
ES-3: Sicherstellen der Aktualisierung von Antischadsoftware und Signaturen
Funktionen
Integritätsüberwachung der Anti-Malware-Lösung
Beschreibung: Die Anti-Malware-Lösung bietet Integritätsüberwachung status für Plattform-, Engine- und automatische Signaturupdates. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Sicherheitsintelligenz und Produktupdates gelten für Defender für Endpunkt, die auf den Windows-VMs installiert werden können.
Konfigurationsleitfaden: Konfigurieren Sie Ihre Anti-Malware-Lösung, um sicherzustellen, dass Plattform, Engine und Signaturen schnell und konsistent aktualisiert werden und ihre status überwacht werden können.
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Von Azure Security Center unterstützte Endpoint Protection-Lösungen sind unter https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions dokumentiert. Die Endpoint Protection-Bewertung ist unter https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection dokumentiert. | AuditIfNotExists, Disabled | 1.0.0 |
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Von Azure Security Center unterstützte Endpoint Protection-Lösungen sind unter https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions dokumentiert. Die Endpoint Protection-Bewertung ist unter https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection dokumentiert. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Funktionen
Azure Backup
Beschreibung: Der Dienst kann durch den Azure Backup-Dienst gesichert werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Aktivieren Sie Azure Backup und konfigurieren Sie die Sicherungsquelle (z. B. Azure Virtual Machines, SQL Server, HANA-Datenbanken oder Dateifreigaben) für eine gewünschte Häufigkeit und mit einem gewünschten Aufbewahrungszeitraum. Für Azure Virtual Machines können Sie Azure Policy verwenden, um automatische Sicherungen zu aktivieren.
Referenz: Sicherungs- und Wiederherstellungsoptionen für virtuelle Computer in Azure
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Backup muss für Virtual Machines aktiviert sein. | Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. | AuditIfNotExists, Disabled | 3.0.0 |
Nächste Schritte
- Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark –Übersicht.
- Erfahren Sie mehr über Azure-Sicherheitsbaselines.