Share via


Azure-beveiligingsbasislijn voor Azure Virtual Desktop

Deze beveiligingsbasislijn past richtlijnen van de Microsoft Cloud Security Benchmark versie 1.0 toe op Azure Virtual Desktop. De Microsoft Cloud Security-benchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op basis van de beveiligingsbesturingselementen die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op Azure Virtual Desktop.

U kunt deze beveiligingsbasislijn en de bijbehorende aanbevelingen bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de pagina Microsoft Defender voor cloudportal.

Wanneer een functie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen bij het meten van de naleving van de besturingselementen en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's mogelijk te maken.

Notitie

Functies die niet van toepassing zijn op Azure Virtual Desktop zijn uitgesloten. Als u wilt zien hoe Azure Virtual Desktop volledig is toegewezen aan de Microsoft Cloud Security-benchmark, raadpleegt u het volledige toewijzingsbestand voor azure Virtual Desktop-beveiligingsbasislijnen.

Beveiligingsprofiel

Het beveiligingsprofiel bevat een overzicht van gedrag met hoge impact van Azure Virtual Desktop, wat kan leiden tot verhoogde beveiligingsoverwegingen.

Kenmerk servicegedrag Waarde
Productcategorie Virtueel bureaublad
Klant heeft toegang tot HOST/besturingssysteem Volledige toegang
Service kan worden geïmplementeerd in het virtuele netwerk van de klant False
Inhoud van klanten in rust opgeslagen False

Netwerkbeveiliging

Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiliging voor meer informatie.

NS-1: netwerksegmentatiegrenzen vaststellen

Functies

Integratie van virtueel netwerk

Beschrijving: service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Opmerkingen bij de functie: Virtuele machines in de hostgroep moeten in een virtueel netwerk worden geplaatst.

Configuratierichtlijnen: Implementeer de service in een virtueel netwerk. Wijs privé-IP's toe aan de resource (indien van toepassing), tenzij er een sterke reden is om openbare IP-adressen rechtstreeks aan de resource toe te wijzen.

Naslaginformatie: Zelfstudie: Een hostgroep maken

Ondersteuning voor netwerkbeveiligingsgroepen

Beschrijving: servicenetwerkverkeer respecteert de regeltoewijzing van netwerkbeveiligingsgroepen in de subnetten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Functieopmerkingen: Virtuele machines die binnen de hostgroep worden gebruikt, ondersteunen het gebruik van netwerkbeveiligingsgroepen.

Configuratierichtlijnen: gebruik netwerkbeveiligingsgroepen (NSG) om verkeer te beperken of te bewaken op poort, protocol, bron-IP-adres of doel-IP-adres. Maak NSG-regels om de open poorten van uw service te beperken (zoals voorkomen dat beheerpoorten worden geopend vanuit niet-vertrouwde netwerken). Houd er rekening mee dat NSG's standaard al het binnenkomende verkeer weigeren, maar verkeer van een virtueel netwerk en Azure Load Balancers toestaan.

Naslaginformatie: Zelfstudie: Een hostgroep maken

NS-2: Cloudservices beveiligen met netwerkbesturing

Functies

Beschrijving: Serviceeigen IP-filtermogelijkheid voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Functieopmerkingen: Private Link met Azure Virtual Desktop is momenteel in preview.

Configuratierichtlijnen: implementeer privé-eindpunten voor alle Azure-resources die de functie Private Link ondersteunen, om een privétoegangspunt voor de resources tot stand te brengen.

Naslaginformatie: Azure Private Link gebruiken met Azure Virtual Desktop (preview)

Openbare netwerktoegang uitschakelen

Beschrijving: De service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Identiteitsbeheer

Zie de Microsoft Cloud Security Benchmark: Identity management (Identiteitsbeheer) voor meer informatie.

IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken

Functies

Azure AD verificatie vereist voor toegang tot gegevensvlak

Beschrijving: de service ondersteunt het gebruik van Azure AD verificatie voor toegang tot het gegevensvlak. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Gebruik Azure Active Directory (Azure AD) als de standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.

Naslaginformatie: Azure AD join voor Azure Virtual Desktop

IM-3: toepassingsidentiteiten veilig en automatisch beheren

Functies

Beheerde identiteiten

Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Gebruik indien mogelijk beheerde Azure-identiteiten in plaats van service-principals, die kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure Active Directory-verificatie (Azure AD). Referenties voor beheerde identiteiten worden volledig beheerd, geroteerd en beveiligd door het platform, waarbij in code vastgelegde referenties in broncode- of configuratiebestanden worden vermeden.

Naslaginformatie: Beheerde identiteiten instellen

Service-principals

Beschrijving: gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Er zijn momenteel geen microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.

Naslaginformatie: Zelfstudie: Service-principals en roltoewijzingen maken met PowerShell in Azure Virtual Desktop (klassiek)

IM-7: toegang tot resources beperken op basis van voorwaarden

Functies

Voorwaardelijke toegang voor gegevensvlak

Beschrijving: toegang tot gegevensvlakken kan worden beheerd met behulp van Azure AD beleid voor voorwaardelijke toegang. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: definieer de toepasselijke voorwaarden en criteria voor voorwaardelijke toegang van Azure Active Directory (Azure AD) in de workload. Overweeg veelvoorkomende gebruiksscenario's, zoals het blokkeren of verlenen van toegang vanaf specifieke locaties, het blokkeren van riskant aanmeldingsgedrag of het vereisen van door de organisatie beheerde apparaten voor specifieke toepassingen.

Naslaginformatie: Voorwaardelijke toegang inschakelen

IM-8: beperk de blootstelling van referenties en geheimen

Functies

Servicereferenties en geheimen ondersteunen integratie en opslag in Azure Key Vault

Beschrijving: gegevensvlak ondersteunt systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Bevoegde toegang

Zie microsoft cloud security benchmark: Privileged access (Microsoft Cloud Security Benchmark: Bevoegde toegang) voor meer informatie.

PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten

Functies

Lokale Beheer-accounts

Beschrijving: De service heeft het concept van een lokaal beheerdersaccount. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Functieopmerkingen: er wordt een beheerdersaccount voor lokale virtuele machines gemaakt voor virtuele machines die worden toegevoegd aan de hostgroep. Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.

Configuratierichtlijnen: als dit niet vereist is voor routinebeheerbewerkingen, schakelt u alle lokale beheerdersaccounts uit of beperkt u deze alleen voor noodgebruik.

PA-7: Volg het principe just enough administration (least privilege)

Functies

Azure RBAC voor gegevensvlak

Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om toegang tot Azure-resources te beheren via ingebouwde roltoewijzingen. Azure RBAC-rollen kunnen worden toegewezen aan gebruikers, groepen, service-principals en beheerde identiteiten.

Naslaginformatie: Ingebouwde Azure RBAC-rollen voor Azure Virtual Desktop

PA-8: toegangsproces voor ondersteuning van cloudproviders bepalen

Functies

Klanten-lockbox

Beschrijving: Customer Lockbox kan worden gebruikt voor toegang tot Microsoft-ondersteuning. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Gegevensbescherming

Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbescherming voor meer informatie.

DP-1: gevoelige gegevens detecteren, classificeren en labelen

Functies

Detectie en classificatie van gevoelige gegevens

Beschrijving: hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Functieopmerkingen: Gebruik Azure Information Protection (en het bijbehorende scanprogramma) voor gevoelige informatie in Office-documenten in Azure, on-premises, Office 365 en andere locaties.

Configuratierichtlijnen: gebruik hulpprogramma's zoals Azure Purview, Azure Information Protection en Azure SQL Gegevensdetectie en -classificatie om gevoelige gegevens centraal te scannen, classificeren en labelen die zich in Azure, on-premises, Microsoft 365 of andere locaties bevinden.

DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens

Functies

Preventie van gegevenslekken/-verlies

Beschrijving: De service ondersteunt de DLP-oplossing voor het bewaken van de verplaatsing van gevoelige gegevens (in de inhoud van de klant). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Microsoft

Functieopmerkingen: gebruik oplossingen voor preventie van gegevensverlies, zoals op host gebaseerde oplossingen, om detective- en/of preventieve controles af te dwingen om gegevensexfiltratie te voorkomen.

Oplossingen zoals DLP voor Microsoft Azure kunnen ook worden gebruikt voor uw Virtual Desktop-omgeving. Ga voor meer informatie naar Preventie van gegevensverlies (DLP) voor Microsoft Azure Azure Information Protection (AIP) biedt bewakingsmogelijkheden voor informatie die is geclassificeerd en gelabeld.

Configuratierichtlijnen: Indien vereist voor naleving van preventie van gegevensverlies (DLP), kunt u een hostgebaseerde DLP-oplossing van Azure Marketplace of een Microsoft 365 DLP-oplossing gebruiken om detective- en/of preventieve controles af te dwingen om gegevensexfiltratie te voorkomen.

DP-3: Gevoelige gegevens tijdens overdracht versleutelen

Functies

Versleuteling van gegevens in transit

Beschrijving: de service ondersteunt versleuteling van gegevens in transit voor gegevensvlak. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.

Naslaginformatie: Netwerken

DP-4: Versleuteling van data-at-rest standaard inschakelen

Functies

Data-at-rest-versleuteling met platformsleutels

Beschrijving: data-at-rest-versleuteling met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.

Naslaginformatie: Gegevensbescherming

DP-5: De optie door de klant beheerde sleutel gebruiken in data-at-rest-versleuteling indien nodig

Functies

Data-at-rest-versleuteling met cmk

Beschrijving: data-at-rest-versleuteling met behulp van door de klant beheerde sleutels wordt ondersteund voor klantinhoud die door de service wordt opgeslagen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

DP-6: Een beveiligd sleutelbeheerproces gebruiken

Functies

Sleutelbeheer in Azure Key Vault

Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle sleutels, geheimen of certificaten van klanten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

DP-7: Een beveiligd certificaatbeheerproces gebruiken

Functies

Certificaatbeheer in Azure Key Vault

Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Asset-management

Zie de Microsoft-cloudbeveiligingsbenchmark: Asset management voor meer informatie.

AM-2: Alleen goedgekeurde services gebruiken

Functies

Ondersteuning voor Azure Policy

Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: gebruik Microsoft Defender for Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources. Gebruik de effecten Azure Policy [weigeren] en [implementeren indien niet bestaat] om beveiligde configuratie af te dwingen voor Azure-resources.

Naslaginformatie: Azure-beveiligingsbasislijn voor Azure Virtual Desktop

AM-5: Alleen goedgekeurde toepassingen in virtuele machine gebruiken

Functies

Microsoft Defender voor cloud - adaptieve toepassingsregelaars

Beschrijving: de service kan beperken welke klanttoepassingen op de virtuele machine worden uitgevoerd met behulp van adaptieve toepassingsregelaars in Microsoft Defender for Cloud. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Opmerkingen bij de functie: Hoewel adaptief toepassingsbeheer via Microsoft Defender voor cloud niet wordt ondersteund, kunt u bij het kiezen van een implementatiemodel externe gebruikers toegang geven tot volledige virtuele bureaubladen of alleen bepaalde toepassingen. Externe toepassingen, of RemoteApps, bieden een naadloze ervaring wanneer de gebruiker met apps op het virtuele bureaublad werkt. RemoteApps verminderen het risico door de gebruiker alleen te laten werken met een subset van de externe computer die door de toepassing wordt weergegeven.

Ga voor meer informatie naar: Externe apps gebruiken

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Logboekregistratie en bedreidingsdetectie

Zie de Microsoft Cloud Security Benchmark: Logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: mogelijkheden voor detectie van bedreigingen inschakelen

Functies

Microsoft Defender voor service/productaanbod

Beschrijving: de service biedt een specifieke Microsoft Defender oplossing om beveiligingsproblemen te bewaken en te waarschuwen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Gebruik Azure Active Directory (Azure AD) als de standaardverificatiemethode om de toegang tot uw beheervlak te beheren. Wanneer u een waarschuwing krijgt van Microsoft Defender voor Key Vault, moet u de waarschuwing onderzoeken en erop reageren.

Naslaginformatie: Windows-apparaten onboarden in Azure Virtual Desktop

LT-4: logboekregistratie inschakelen voor beveiligingsonderzoek

Functies

Azure-resourcelogboeken

Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: schakel resourcelogboeken in voor de service. Key Vault ondersteunt bijvoorbeeld aanvullende resourcelogboeken voor acties die een geheim ophalen uit een sleutelkluis of en Azure SQL resourcelogboeken heeft die aanvragen naar een database bijhouden. De inhoud van resourcelogboeken verschilt per Azure-service en resourcetype.

Naslaginformatie: Diagnostische gegevens naar uw werkruimte pushen

Postuur en beheer van beveiligingsproblemen

Zie de Microsoft-cloudbeveiligingsbenchmark: Postuur en beheer van beveiligingsproblemen voor meer informatie.

PV-3: veilige configuraties voor rekenresources definiëren en instellen

Functies

Azure Automation State Configuration

Beschrijving: Azure Automation State Configuration kan worden gebruikt om de beveiligingsconfiguratie van het besturingssysteem te onderhouden. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Azure Policy-agent voor gastconfiguratie

Beschrijving: Azure Policy gastconfiguratieagent kan worden geïnstalleerd of geïmplementeerd als extensie voor rekenresources. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Aangepaste VM-installatiekopieën

Beschrijving: de service ondersteunt het gebruik van door de gebruiker geleverde VM-installatiekopieën of vooraf gebouwde installatiekopieën van de marketplace waarbij bepaalde basislijnconfiguraties vooraf zijn toegepast. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: gebruik een vooraf geconfigureerde beveiligde installatiekopieën van een vertrouwde leverancier, zoals Microsoft, of bouw een gewenste veilige configuratiebasislijn in de sjabloon voor de VM-installatiekopieën

Naslaginformatie: Besturingssystemen en licenties

Installatiekopieën van aangepaste containers

Beschrijving: De service ondersteunt het gebruik van door de gebruiker geleverde containerinstallatiekopieën of vooraf gebouwde installatiekopieën van de marketplace waarbij bepaalde basislijnconfiguraties vooraf zijn toegepast. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

PV-5: Evaluaties van beveiligingsproblemen uitvoeren

Functies

Evaluatie van beveiligingsproblemen met behulp van Microsoft Defender

Beschrijving: de service kan worden gescand op scan van beveiligingsproblemen met behulp van Microsoft Defender voor cloud- of andere Microsoft Defender services die zijn ingesloten in de evaluatie van beveiligingsproblemen (inclusief Microsoft Defender voor server, containerregister, App Service, SQL en DNS). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: volg de aanbevelingen van Microsoft Defender for Cloud voor het uitvoeren van evaluaties van beveiligingsproblemen op uw virtuele Azure-machines, containerinstallatiekopieën en SQL-servers.

Naslaginformatie: Microsoft Defender inschakelen voor cloud

PV-6: Beveiligingsproblemen snel en automatisch oplossen

Functies

Azure Automation-updatebeheer

Beschrijving: service kan Azure Automation Updatebeheer gebruiken om patches en updates automatisch te implementeren. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Eindpuntbeveiliging

Zie de Microsoft-cloudbeveiligingsbenchmark: Eindpuntbeveiliging voor meer informatie.

ES-1: Endpoint Detection and Response (EDR) gebruiken

Functies

EDR-oplossing

Beschrijving: EDR-functie (Endpoint Detection and Response), zoals Azure Defender voor servers, kan worden geïmplementeerd in het eindpunt. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Azure Defender voor servers (met Microsoft Defender voor Eindpunt geïntegreerd) biedt EDR de mogelijkheid om geavanceerde bedreigingen te voorkomen, te detecteren, te onderzoeken en erop te reageren. Gebruik Microsoft Defender for Cloud om Azure Defender voor servers voor uw eindpunt te implementeren en de waarschuwingen te integreren in uw SIEM-oplossing, zoals Azure Sentinel.

Naslaginformatie: Endpoint Protection inschakelen

ES-2: Moderne antimalwaresoftware gebruiken

Functies

Antimalwareoplossing

Beschrijving: Antimalwarefunctie, zoals Microsoft Defender Antivirus, Microsoft Defender voor Eindpunt op het eindpunt kunnen worden geïmplementeerd. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: voor Windows Server 2016 en hoger wordt Microsoft Defender voor Antivirus standaard geïnstalleerd. Voor Windows Server 2012 R2 en hoger kunnen klanten SCEP (System Center Endpoint Protection) installeren. Voor Linux kunnen klanten de keuze hebben om Microsoft Defender voor Linux te installeren. Als alternatief hebben klanten ook de keuze om antimalwareproducten van derden te installeren.

Naslaginformatie: Microsoft Defender inschakelen voor cloud

ES-3: Zorg ervoor dat antimalwaresoftware en -handtekeningen zijn bijgewerkt

Functies

Statuscontrole van antimalwareoplossing

Beschrijving: Antimalware-oplossing biedt statuscontrole voor platform-, engine- en automatische handtekeningupdates. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: configureer uw antimalwareoplossing om ervoor te zorgen dat het platform, de engine en de handtekeningen snel en consistent worden bijgewerkt en dat de status ervan kan worden bewaakt.

Naslaginformatie: Microsoft Defender inschakelen voor cloud

Back-ups maken en herstellen

Zie de Microsoft Cloud Security Benchmark: Back-up en herstel voor meer informatie.

BR-1: Zorgen voor regelmatige geautomatiseerde back-ups

Functies

Azure Backup

Beschrijving: er kan een back-up van de service worden gemaakt door de Azure Backup-service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: schakel Azure Backup in en configureer de back-upbron (zoals Azure Virtual Machines, SQL Server, HANA-databases of bestandsshares) op een gewenste frequentie en met een gewenste bewaarperiode. Voor Azure Virtual Machines kunt u Azure Policy gebruiken om automatische back-ups in te schakelen.

Naslaginformatie: Hoe verwerkt Azure Virtual Desktop back-ups?

Systeemeigen back-upmogelijkheid van service

Beschrijving: de service ondersteunt de eigen systeemeigen back-upmogelijkheid (als u Azure Backup niet gebruikt). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Functieopmerkingen: Azure Virtual Desktop maakt gebruik van Azure Backup.

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Volgende stappen