你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
查看强化建议
注意
本文引用了 CentOS,这是一个接近生命周期结束 (EOL) 状态的 Linux 发行版。 请相应地考虑你的使用和规划。 有关详细信息,请参阅 CentOS 生命周期结束指导。
注意
由于 Log Analytics 代理(也称为 MMA)将于 2024 年 8 月停用,因此当前依赖它的所有 Defender for Servers 功能(包括本页所述的功能)都将在停用日之前通过 Microsoft Defender for Endpoint 集成或无代理扫描提供。 有关当前依赖于 Log Analytics 代理的每个功能的路线图详细信息,请参阅此公告。
要减少计算机的攻击面并避免已知风险,请务必尽可能安全地配置操作系统 (OS)。
Microsoft 云安全基准包含有关 OS 强化的指导,为 Windows 和 Linux 生成了安全基线文档。
使用本文中所述的安全建议评估环境中的计算机,并执行以下操作:
- 确定安全配置中的缺口
- 了解如何修正这些缺口
可用性
| 方面 | 详细信息 |
|---|---|
| 发布状态: | 预览版。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。 |
| 定价: | 免费 |
| 先决条件: | 计算机必须 (1) 成为工作组成员,(2) 具有来宾配置扩展,(3) 具有系统分配的托管标识,(4) 正在运行受支持的 OS: • Windows Server 2012、2012r2、2016 或 2019 • Ubuntu 14.04、16.04、17.04、18.04 或 20.04 • Debian 7、8、9 或 10 • CentOS 7 或 8 • Red Hat Enterprise Linux (RHEL) 7 或 8 • Oracle Linux 7 或 8 • SUSE Linux Enterprise Server 12 |
| 所需角色和权限: | 要安装来宾配置扩展及其先决条件,需要在相关计算机上具有写入权限。 要查看建议并浏览 OS 基线数据,需要在订阅级别上具有读取权限 。 |
| 云: |  商用云 全国(Azure 政府、由世纪互联运营的 Microsoft Azure) |
什么是强化建议?
Microsoft Defender for Cloud 包含两个建议,用于检查环境中 Windows 和 Linux 计算机的配置是否符合 Azure 安全基线配置:
- 对于 Windows 计算机,应修正 Windows 计算机上安全配置中的漏洞(由来宾配置提供支持)将配置与 Windows 安全基线进行比较。
- 对于 Linux 计算机,应修正 Linux 计算机上安全配置中的漏洞(由来宾配置提供支持)将配置与 Linux 安全基线进行比较。
这些建议使用 Azure Policy 的来宾配置功能,将计算机的 OS 配置与 Microsoft 云安全基准中定义的基线进行比较。
将订阅中的计算机与 OS 安全基线进行比较
将计算机与 OS 安全基线进行比较:
在 Defender for Cloud 的门户页中,打开“建议”页。
搜索相关建议:
- 对于 Windows 计算机,应修正 Windows 计算机上的安全配置漏洞(由来宾配置提供支持)
- 对于 Linux 计算机,应修正 Linux 计算机上的安全配置漏洞(由来宾配置提供支持)
在建议详细信息页上,可看到:
- 受影响的资源。
- 失败的特定安全检查。
要了解有关特定发现结果的详细信息,请选择此发现结果。
其他调查可能性:
- 要查看已评估的计算机的列表,请打开“受影响的资源”。
- 要查看一台计算机的发现结果列表,请从“运行不正常的资源”选项卡中选择一台计算机。将打开一个页面,只列出该计算机的发现结果。
后续步骤
本文档介绍了如何使用 Defender for Cloud 的来宾配置建议将 OS 的强化与 Azure 安全基线进行比较。
要详细了解这些配置设置,请参阅:
- Windows 安全基线
- Linux 安全基线
- Microsoft 云安全基准
- 查看有关 Defender for Servers 的常见问题。