适用于 虚拟机 的 Azure 安全基线 - Windows 虚拟机

此安全基线将 Microsoft 云安全基准版本 1.0 中的指南应用于 虚拟机 - Windows 虚拟机。 Microsoft Cloud 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按 Microsoft 云安全基准定义的安全控制以及适用于 虚拟机 - Windows 虚拟机的相关指南进行分组。

可以使用 Microsoft Defender for Cloud 监视此安全基线及其建议。 Azure Policy定义将在“Microsoft Defender云门户”页的“法规符合性”部分列出。

当某个功能具有相关的Azure Policy定义时,这些定义将列在此基线中,以帮助你衡量对 Microsoft 云安全基准控制和建议的合规性。 某些建议可能需要付费Microsoft Defender计划来实现某些安全方案。

注意

不适用于虚拟机的功能 - Windows 虚拟机已被排除。 若要查看 虚拟机 - Windows 虚拟机如何完全映射到 Microsoft 云安全基准,请参阅完整的虚拟机 - Windows 虚拟机安全基线映射文件

安全配置文件

安全配置文件汇总了虚拟机 - Windows 虚拟机的高影响行为,这可能会导致安全注意事项增加。

服务行为属性
产品类别 计算
客户可以访问主机/OS 完全访问权限
可将服务部署到客户的虚拟网络中 True
存储客户静态内容 True

网络安全性

有关详细信息,请参阅 Microsoft 云安全基准:网络安全

NS-1:建立网络分段边界

功能

虚拟网络集成

说明:服务支持部署到客户的专用虚拟网络 (VNet) 。 了解详细信息

支持 默认启用 配置责任
True True Microsoft

配置指南:无需其他配置,因为默认部署已启用此功能。

参考Azure 中的虚拟网络和虚拟机

网络安全组支持

说明:服务网络流量遵循其子网上的网络安全组规则分配。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:使用网络安全组 (NSG) 按端口、协议、源 IP 地址或目标 IP 地址限制或监视流量。 创建 NSG 规则以限制服务的开放端口(例如阻止从不受信任的网络访问管理端口)。 请注意,默认情况下,NSG 会拒绝所有入站流量,但会允许来自虚拟网络和 Azure 负载均衡器的流量。

(VM) 创建 Azure 虚拟机时,必须创建虚拟网络或使用现有虚拟网络,并使用子网配置 VM。 确保所有部署的子网都应用了网络安全组,且具有特定于应用程序受信任端口和源的网络访问控制。

参考网络安全组

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.ClassicCompute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应限制在与虚拟机关联的网络安全组上使用所有网络端口 Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 AuditIfNotExists、Disabled 3.0.0

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在面向 Internet 的虚拟机上应用自适应网络强化建议 Azure 安全中心会分析面向虚拟机的 Internet 的流量模式,并提供可减小潜在攻击面的网络安全组规则建议 AuditIfNotExists、Disabled 3.0.0

NS-2:使用网络控制保护云服务

功能

禁用公用网络访问

说明:服务支持通过使用服务级别 IP ACL 筛选规则 (而不是 NSG 或 Azure 防火墙) ,或使用“禁用公用网络访问”切换开关来禁用公用网络访问。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:使用 OS 级别的服务(例如Windows Defender防火墙)提供网络筛选来禁用公共访问。

身份管理

有关详细信息,请参阅 Microsoft 云安全基准:标识管理

IM-1:使用集中式标识和身份验证系统

功能

数据平面访问所需的 Azure AD 身份验证

说明:服务支持使用 Azure AD 身份验证进行数据平面访问。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:使用 Azure Active Directory (Azure AD) 作为默认身份验证方法来控制数据平面访问。

参考使用 Azure AD(包括无密码)登录到 Azure 中的 Windows 虚拟机

数据平面访问的本地身份验证方法

说明:数据平面访问支持的本地身份验证方法,例如本地用户名和密码。 了解详细信息

支持 默认启用 配置责任
True True Microsoft

功能说明:默认在虚拟机的初始部署期间创建本地管理员帐户。 避免使用本地身份验证方法或帐户,应尽可能禁用这些方法或帐户。 请尽可能使用 Azure AD 进行身份验证。

配置指南:无需其他配置,因为默认部署上已启用此功能。

IM-3:安全且自动地管理应用程序标识

功能

托管标识

说明:数据平面操作支持使用托管标识进行身份验证。 了解详细信息

支持 默认启用 配置责任
True False 客户

功能说明:Windows VM 通常利用托管标识向其他服务进行身份验证。 如果 Windows VM 支持 Azure AD 身份验证,则可能支持托管标识。

配置指南:尽可能使用 Azure 托管标识而不是服务主体,该服务主体可以向支持 Azure Active Directory (Azure AD) 身份验证的 Azure 服务和资源进行身份验证。 托管标识凭据由平台完全托管、轮换和保护,避免了在源代码或配置文件中使用硬编码凭据。

服务主体

说明:数据平面支持使用服务主体进行身份验证。 了解详细信息

支持 默认启用 配置责任
True False 客户

功能说明:Windows VM 中运行的应用程序可以使用服务主体。

配置指南:此功能配置目前没有 Microsoft 指南。 请查看并确定组织是否要配置此安全功能。

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.1

IM-7:根据条件限制资源访问

功能

数据平面的条件访问

说明:可以使用 Azure AD 条件访问策略控制数据平面访问。 了解详细信息

支持 默认启用 配置责任
True False 客户

功能说明:使用 Azure AD 作为核心身份验证平台,通过 RDP 连接到 Windows Server 2019 Datacenter 版本及更高版本,或Windows 10 1809 及更高版本。 然后可以集中控制并强制实施允许或拒绝访问 VM 的 Azure 基于角色的访问控制 (RBAC) 和条件访问策略。

配置指南:在工作负载中定义 Azure Active Directory (Azure AD) 条件访问的适用条件和条件。 请考虑常见用例,例如阻止或授予来自特定位置的访问权限、阻止有风险的登录行为,或要求组织管理的设备用于特定应用程序。

参考使用 Azure AD(包括无密码)登录到 Azure 中的 Windows 虚拟机

IM-8:限制凭据和机密的泄露

功能

服务凭据和机密支持 Azure 密钥保管库中的集成和存储

说明:数据平面支持将 Azure 密钥保管库本机用于凭据和机密存储。 了解详细信息

支持 默认启用 配置责任
True False 客户

功能说明:在数据平面或操作系统中,服务可能会调用 Azure 密钥保管库以获取凭据或机密。

配置指南:确保机密和凭据存储在 Azure 密钥保管库 等安全位置,而不是将它们嵌入代码或配置文件中。

特权访问

有关详细信息,请参阅 Microsoft 云安全基准:特权访问

PA-1:隔离和限制高度特权/管理用户

功能

本地管理员帐户

说明:服务具有本地管理帐户的概念。 了解详细信息

支持 默认启用 配置责任
True True Microsoft

功能说明:避免使用本地身份验证方法或帐户,应尽可能禁用这些方法或帐户。 请尽可能使用 Azure AD 进行身份验证。

配置指南:无需其他配置,因为默认部署上已启用此功能。

参考快速入门:在Azure 门户中创建 Windows 虚拟机

PA-7:遵循 Just Enough Administration(最小特权)原则

功能

用于数据平面的 Azure RBAC

说明:Azure Role-Based 访问控制 (Azure RBAC) 可用于管理对服务的数据平面操作的访问。 了解详细信息

支持 默认启用 配置责任
True False 客户

功能说明:使用 Azure AD 作为核心身份验证平台,通过 RDP 连接到 Windows Server 2019 Datacenter 版本及更高版本,或Windows 10 1809 及更高版本。 然后可以集中控制并强制实施允许或拒绝访问 VM 的 Azure 基于角色的访问控制 (RBAC) 和条件访问策略。

配置指南:使用 RBAC,指定谁可以普通用户或管理员权限登录到 VM。 当用户加入团队时,你可以更新 VM 的 Azure RBAC 策略,根据需要授予访问权限。 员工在离开你的组织时,其用户帐户会被禁用或从 Azure AD 中删除,然后他们就再也不能访问你的资源。

参考使用 Azure AD(包括无密码)登录到 Azure 中的 Windows 虚拟机

PA-8:确定云提供商支持的访问流程

功能

客户密码箱

说明:客户密码箱可用于 Microsoft 支持访问。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:在 Microsoft 需要访问你的数据的支持方案中,请使用客户密码箱查看,然后批准或拒绝 Microsoft 的每个数据访问请求。

数据保护

有关详细信息,请参阅 Microsoft 云安全基准:数据保护

DP-1:对敏感数据进行发现、分类和标记

功能

敏感数据发现和分类

说明:Azure Purview 或 Azure 信息保护) 等工具 (可用于服务中的数据发现和分类。 了解详细信息

支持 默认启用 配置责任
False 不适用 不适用

配置指南:不支持此功能来保护此服务。

DP-2:监视针对敏感数据的异常情况和威胁

功能

数据泄露/丢失防护

说明:服务支持 DLP 解决方案,用于监视客户内容) 中的敏感数据移动 (。 了解详细信息

支持 默认启用 配置责任
False 不适用 不适用

配置指南:不支持此功能来保护此服务。

DP-3:加密传输中的敏感数据

功能

传输中数据加密

说明:服务支持数据平面的传输中数据加密。 了解详细信息

支持 默认启用 配置责任
True False 客户

功能说明:某些通信协议(如 SSH)默认加密。 但是,其他服务(如 HTTP)必须配置为使用 TLS 进行加密。

配置指南:在内置本机数据传输加密功能的服务中启用安全传输。 对任何 Web 应用程序和服务强制实施 HTTPS,并确保使用 TLS v1.2 或更高版本。 应禁用 SSL 3.0、TLS v1.0 等旧版本。 若要远程管理虚拟机,请使用适用于 Linux 的 SSH () 或适用于 Windows) 的 RDP/TLS (,而不是未加密的协议。

参考VM 中的传输中加密

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Windows 计算机应配置为使用安全通信协议 为了保护通过 Internet 通信的信息的隐私,计算机应使用最新版本的行业标准加密协议传输层安全性 (TLS) 。 TLS 通过加密计算机之间的连接来保护网络上的通信。 AuditIfNotExists、Disabled 4.1.1

DP-4:默认启用静态数据加密

功能

使用平台密钥加密静态数据

说明:支持使用平台密钥的静态数据加密,任何客户静态内容都使用这些 Microsoft 托管密钥进行加密。 了解详细信息

支持 默认启用 配置责任
True True Microsoft

功能说明:默认情况下,托管磁盘使用平台管理的加密密钥。 所有写入现有托管磁盘的托管磁盘、快照、映像和数据都会自动使用平台托管密钥进行静态加密。

配置指南:无需其他配置,因为默认部署已启用此功能。

参考Azure 磁盘存储的服务器端加密 - 平台管理的密钥

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.ClassicCompute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 默认情况下,虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密。 临时磁盘、数据缓存以及在计算和存储之间流动的数据未加密。 如果存在以下情况,请忽略此建议:1. 使用“主机加密”,或者 2. 托管磁盘上的服务器端加密满足安全要求。 若要了解详细信息,请参阅 Azure 磁盘存储的服务器端加密:https://aka.ms/disksse,不同的磁盘加密产品/服务:https://aka.ms/diskencryptioncomparison AuditIfNotExists、Disabled 2.0.3

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:Linux 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost。 默认情况下,虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密;临时磁盘和数据缓存不加密,数据在计算和存储资源之间流动时也不加密。 使用 Azure 磁盘加密或 EncryptionAtHost 来加密所有这些数据。要对加密产品/服务进行比较,请访问 https://aka.ms/diskencryptioncomparison。 此策略需要将两个先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.2.0-preview

DP-5:需要时在静态数据加密中使用客户管理的密钥选项

功能

使用 CMK 进行静态数据加密

说明:服务存储的客户内容支持使用客户管理的密钥进行静态数据加密。 了解详细信息

支持 默认启用 配置责任
True False 客户

功能说明:可以选择使用自己的密钥在每个托管磁盘的级别管理加密。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户托管密钥可以更灵活地管理访问控制。

配置指南:如果需要符合法规要求,请定义需要使用客户管理的密钥进行加密的用例和服务范围。 使用客户管理的密钥为这些服务启用和实施静态数据加密。

虚拟机 (VM) 上的虚拟磁盘使用服务器端加密或 Azure 磁盘加密 (ADE) 进行静态加密。 Azure 磁盘加密利用 Windows 的 BitLocker 功能,通过来宾 VM 中的客户托管密钥来加密托管磁盘。 使用客户托管密钥的服务器端加密改进了 ADE,它通过加密存储服务中的数据使你可以为 VM 使用任何 OS 类型和映像。

参考Azure 磁盘存储的服务器端加密

DP-6:使用安全密钥管理流程

功能

Azure 密钥保管库中的密钥管理

说明:该服务支持任何客户密钥、机密或证书的 Azure 密钥保管库集成。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:使用 Azure 密钥保管库创建和控制加密密钥的生命周期,包括密钥生成、分发和存储。 根据定义的计划或者密钥停用或泄露时轮换和撤销 Azure 密钥保管库 和服务中的密钥。 如果需要在工作负载、服务或应用程序级别使用客户管理的密钥 (CMK) ,请确保遵循密钥管理的最佳做法:使用密钥层次结构生成单独的数据加密密钥, (DEK) 密钥加密密钥 (KEK) 密钥保管库中。 确保密钥注册到 Azure 密钥保管库,并通过服务或应用程序的密钥 ID 引用。 如果需要将自己的密钥 (BYOK) 引入服务 (,例如将受 HSM 保护的密钥从本地 HSM 导入 Azure 密钥保管库) ,请按照建议的准则执行初始密钥生成和密钥传输。

参考在 Windows VM 上为 Azure 磁盘加密创建和配置密钥保管库

DP-7:使用安全证书管理流程

功能

Azure 密钥保管库中的证书管理

说明:该服务支持任何客户证书的 Azure 密钥保管库集成。 了解详细信息

支持 默认启用 配置责任
False 不适用 不适用

配置指南:不支持此功能来保护此服务。

资产管理

有关详细信息,请参阅 Microsoft 云安全基准:资产管理

AM-2:仅使用已获批准的服务

功能

Azure Policy 支持

说明:可以通过Azure Policy监视和强制实施服务配置。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:Azure Policy可用于定义组织的 Windows VM 和 Linux VM 的所需行为。 通过使用策略,组织可以在整个企业中强制实施各种约定和规则,并为 Azure 虚拟机定义和实施标准安全配置。 强制实施所需行为有助于消除风险,同时为组织的成功做出贡献。

参考Azure Policy Azure 虚拟机 的内置定义

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.ClassicCompute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应将虚拟机迁移到新的 Azure 资源管理器资源 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 Audit、Deny、Disabled 1.0.0

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应将虚拟机迁移到新的 Azure 资源管理器资源 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 Audit、Deny、Disabled 1.0.0

AM-5:仅在虚拟机中使用已获批准的应用程序

功能

Microsoft Defender for Cloud - 自适应应用程序控制

说明:服务可以使用 Microsoft Defender for Cloud 中的自适应应用程序控制来限制虚拟机上运行的客户应用程序。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:使用 Microsoft Defender for Cloud 自适应应用程序控制发现虚拟机 (VM) 上运行的应用程序,并生成应用程序允许列表,以规定哪些已批准的应用程序可以在 VM 环境中运行。

参考使用自适应应用程序控制来减少计算机的攻击面

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.ClassicCompute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在计算机中启用自适应应用程序控制以定义安全应用程序 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 AuditIfNotExists、Disabled 3.0.0

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在计算机中启用自适应应用程序控制以定义安全应用程序 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 AuditIfNotExists、Disabled 3.0.0

日志记录和威胁检测

有关详细信息,请参阅 Microsoft 云安全基准:日志记录和威胁检测

LT-1:启用威胁检测功能

功能

适用于服务/产品的 Microsoft Defender

说明:服务具有特定于产品/服务的Microsoft Defender解决方案,用于监视安全问题并发出警报。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:Defender for Servers 将保护扩展到 Azure 中运行的 Windows 和 Linux 计算机。 Defender for Servers 与 Microsoft Defender for Endpoint 集成, (EDR) 提供终结点检测和响应,还提供大量其他威胁防护功能,例如安全基线和 OS 级别评估、漏洞评估扫描、自适应应用程序控制 (AAC) 、文件完整性监视 (FIM) 等。

参考规划 Defender for Servers 部署

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在计算机上启用 Windows Defender 攻击防护 Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 AuditIfNotExists、Disabled 2.0.0

LT-4:启用日志记录以进行安全调查

功能

Azure 资源日志

说明:服务生成可提供增强的服务特定指标和日志记录的资源日志。 客户可以配置这些资源日志,并将其发送到自己的数据接收器,例如存储帐户或日志分析工作区。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:创建 VM 时,Azure Monitor 开始自动收集虚拟机主机的指标数据。 但是,若要从虚拟机的来宾操作系统收集日志和性能数据,必须安装 Azure Monitor 代理。 可以使用 VM 见解 或通过 创建数据收集规则来安装代理并配置集合。

参考Log Analytics 代理概述

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 AuditIfNotExists、Disabled 1.0.2-preview

态势和漏洞管理

有关详细信息,请参阅 Microsoft 云安全基准:状况和漏洞管理

PV-3:定义并建立计算资源的安全配置

功能

Azure 自动化状态配置

说明:Azure 自动化 State Configuration可用于维护操作系统的安全配置。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:使用 Azure 自动化 State Configuration 维护操作系统的安全配置。

参考使用 Desired State Configuration 配置 VM

Azure Policy来宾配置代理

说明:Azure Policy来宾配置代理可以作为计算资源的扩展进行安装或部署。 了解详细信息

支持 默认启用 配置责任
True False 客户

功能说明:Azure Policy来宾配置现在称为 Azure Automanage 计算机配置。

配置指南:使用 Microsoft Defender for Cloud 和 Azure Policy 来宾配置代理定期评估和修正 Azure 计算资源(包括 VM、容器等)上的配置偏差。

参考了解 Azure Automanage 的计算机配置功能

自定义 VM 映像

说明:服务支持使用用户提供的 VM 映像或预应用了某些基线配置的市场中预生成的映像。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:使用来自受信任供应商(例如 Microsoft)的预配置强化映像,或在 VM 映像模板中构建所需的安全配置基线

参考教程:使用 Azure PowerShell 创建 Windows VM 映像

PV-4:审核并强制执行计算资源的安全配置

功能

受信任的启动虚拟机

说明:受信任的启动通过组合安全启动、vTPM 和完整性监视等基础结构技术来防范高级和持久性攻击技术。 每种技术都针对错综复杂的威胁提供另一层防御。 受信任的启动允许使用经过验证的启动加载程序、OS 内核和驱动程序的安全部署虚拟机,并安全地保护虚拟机中的密钥、证书和机密。 受信任的启动还提供对整个启动链完整性的见解和信心,并确保工作负载受信任且可验证。 受信任的启动与 Microsoft Defender for Cloud 集成,通过远程证明 VM 以正常方式启动,以确保正确配置 VM。 了解详细信息

支持 默认启用 配置责任
True False 客户

功能说明:受信任的启动可用于第 2 代 VM。 受信任启动要求创建新的虚拟机。 如果现有的虚拟机在最初创建时未配置受信任启动,则无法在其上启用受信任启动。

配置指南:在部署 VM 期间,可能会启用受信任的启动。 启用这三项 - 安全启动、vTPM 和完整性启动监视,以确保虚拟机的最佳安全状况。 请注意,有一些先决条件,包括将订阅加入到 Microsoft Defender for Cloud、分配某些Azure Policy计划以及配置防火墙策略。

参考部署启用了受信任启动的 VM

PV-5:执行漏洞评估

功能

使用 Microsoft Defender 进行漏洞评估

说明:可以使用 Microsoft Defender for Cloud 或其他Microsoft Defender服务嵌入式漏洞评估功能扫描服务, (包括服务器、容器注册表、App 服务、SQL 和 DNS) 的Microsoft Defender。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:遵循 Microsoft Defender for Cloud 中有关在 Azure 虚拟机上执行漏洞评估的建议。

参考规划 Defender for Servers 部署

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.ClassicCompute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在虚拟机上启用漏洞评估解决方案 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 AuditIfNotExists、Disabled 3.0.0

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在虚拟机上启用漏洞评估解决方案 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 AuditIfNotExists、Disabled 3.0.0

PV-6:快速自动地修正漏洞

功能

Azure 自动化更新管理

说明:服务可以使用Azure 自动化更新管理来自动部署修补程序和更新。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:使用Azure 自动化更新管理或第三方解决方案来确保在 Windows VM 上安装最新的安全更新。 对于 Windows 虚拟机,请确保已启用 Windows 更新并将其设置为自动更新。

参考管理 VM 的更新和修补程序

Azure 来宾修补服务

说明:服务可以使用 Azure 来宾修补来自动部署修补程序和更新。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:服务可以利用不同的更新机制,例如 自动 OS 映像升级自动来宾修补。 建议遵循安全部署原则,使用这些功能将最新的安全和关键更新应用于虚拟机的来宾 OS。

通过自动来宾修补,可以自动评估和更新 Azure 虚拟机,以保持每月发布的“关键”和“安全更新”的安全合规性。 汇报在非高峰时段应用,包括可用性集中的 VM。 此功能适用于 VMSS 灵活业务流程,未来在统一业务流程路线图上提供支持。

如果运行无状态工作负荷,则自动 OS 映像升级非常适合为 VMSS Uniform 应用最新更新。 借助回滚功能,这些更新与市场或自定义映像兼容。 灵活业务流程路线图上的未来滚动升级支持。

参考Azure VM 的自动 VM 来宾修补

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.ClassicCompute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在计算机上安装系统更新 建议通过 Azure 安全中心监视服务器上缺失的安全系统更新 AuditIfNotExists、Disabled 4.0.0

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:应在计算机上安装系统更新(由更新中心提供支持) 计算机缺少系统、安全和关键更新。 软件更新通常包括安全漏洞的关键补丁。 恶意软件攻击中经常会利用这些漏洞,因此保持软件更新至关重要。 若要安装所有重要补丁并保护你的计算机,请遵循修正步骤。 AuditIfNotExists、Disabled 1.0.0-preview

终结点安全性

有关详细信息,请参阅 Microsoft 云安全基准:终结点安全性

ES-1:使用终结点检测和响应 (EDR)

功能

EDR 解决方案

说明:终结点检测和响应 (EDR) 功能(例如适用于服务器的 Azure Defender)可以部署到终结点中。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:azure Defender for servers (Microsoft Defender for Endpoint 集成) 提供 EDR 功能来预防、检测、调查和响应高级威胁。 使用 Microsoft Defender for Cloud 为终结点部署适用于服务器的 Azure Defender,并将警报集成到 SIEM 解决方案,例如 Azure Sentinel。

参考规划 Defender for Servers 部署

ES-2:使用新式反恶意软件

功能

反恶意软件解决方案

说明:可在终结点上部署反恶意软件功能,例如 Microsoft Defender 防病毒、Microsoft Defender for Endpoint。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:对于Windows Server 2016及更高版本,默认安装防病毒Microsoft Defender。 对于 Windows Server 2012 R2 及更高版本,客户可以安装 SCEP (System Center Endpoint Protection) 。 或者,客户还可以选择安装第三方反恶意软件产品。

参考Defender for Endpoint 载入 Windows Server

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.ClassicCompute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在计算机上解决 Endpoint Protection 运行状况问题 解决虚拟机上的 Endpoint Protection 运行状况问题,以保护其免受最新威胁和漏洞的侵害。 此文档 https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions介绍了 Azure 安全中心支持的终结点保护解决方案。 此文档 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection介绍了终结点保护评估。 AuditIfNotExists、Disabled 1.0.0

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在计算机上解决 Endpoint Protection 运行状况问题 解决虚拟机上的 Endpoint Protection 运行状况问题,以保护其免受最新威胁和漏洞的侵害。 此文档 https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions介绍了 Azure 安全中心支持的终结点保护解决方案。 此文档 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection介绍了终结点保护评估。 AuditIfNotExists、Disabled 1.0.0

ES-3:确保反恶意软件和签名已更新

功能

反恶意软件解决方案运行状况监视

说明:反恶意软件解决方案为平台、引擎和自动签名更新提供运行状况监视。 了解详细信息

支持 默认启用 配置责任
True False 客户

功能说明:安全智能和产品更新适用于可安装在 Windows VM 上的 Defender for Endpoint。

配置指南:配置反恶意软件解决方案,以确保快速且一致地更新平台、引擎和签名,并可以监视其状态。

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.ClassicCompute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在计算机上解决 Endpoint Protection 运行状况问题 解决虚拟机上的 Endpoint Protection 运行状况问题,以保护其免受最新威胁和漏洞的侵害。 此文档 https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions介绍了 Azure 安全中心支持的终结点保护解决方案。 此文档 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection介绍了终结点保护评估。 AuditIfNotExists、Disabled 1.0.0

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在计算机上解决 Endpoint Protection 运行状况问题 解决虚拟机上的 Endpoint Protection 运行状况问题,以保护其免受最新威胁和漏洞的侵害。 此文档 https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions介绍了 Azure 安全中心支持的终结点保护解决方案。 此文档 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection介绍了终结点保护评估。 AuditIfNotExists、Disabled 1.0.0

备份和恢复

有关详细信息,请参阅 Microsoft 云安全基准:备份和恢复

BR-1:确保定期执行自动备份

功能

Azure 备份

说明:服务可由Azure 备份服务备份。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:启用Azure 备份,并配置备份源 (,例如 Azure 虚拟机、SQL Server、HANA 数据库或文件共享,) 所需的频率和所需的保留期。 对于 Azure 虚拟机,可以使用 Azure Policy 启用自动备份。

参考Azure 中虚拟机的备份和还原选项

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应为虚拟机启用 Azure 备份 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 AuditIfNotExists、Disabled 3.0.0

后续步骤