试用用户指南：Microsoft Defender 漏洞管理

此用户指南是一个简单的工具，可帮助你设置和充分利用免费Microsoft Defender 漏洞管理试用版。 按照 Microsoft 安全团队建议的步骤，你将了解漏洞管理如何帮助你保护用户和数据。

重要

Microsoft Defender 漏洞管理试用版产品/服务目前不适用于：

• 使用 GCC High 和 DoD 的美国政府客户
• Microsoft Defender 商业版客户

什么是 Microsoft Defender 漏洞管理？

降低网络风险需要一个全面的基于风险的漏洞管理计划来识别、评估、修正和跟踪最关键资产中的重要漏洞。

Microsoft Defender 漏洞管理提供资产可见性、持续实时发现和漏洞评估、上下文感知威胁 & 业务优先级以及内置的修正流程。 它包括功能，使你的团队可以智能地评估、确定优先级并无缝地修正组织面临的最大风险。

观看以下视频，详细了解Defender 漏洞管理：

让我们开始吧

步骤 1：设置

注意

用户必须在 Microsoft Entra ID 中分配适当的角色才能执行此任务。 有关详细信息，请参阅 开始试用所需的角色。

1. 检查 权限和先决条件。。

2. 可通过多种方式访问Microsoft Defender 漏洞管理试用版：

   • 与经销商合作。 如果尚未与经销商合作，请参阅 Microsoft安全合作伙伴。

   • 使用Microsoft Defender门户。 在门户的导航窗格中，选择“ 试用版”。

     • 如果你有 Defender for Endpoint 计划 2，请找到Defender 漏洞管理加载项卡并选择“立即试用”。
     • 如果你是新客户或现有的 Defender for Endpoint P1 或Microsoft 365 E3客户，请选择Defender 漏洞管理卡并选择“立即试用”。

     

   • 通过Microsoft 365 管理中心注册。

   注意

   有关如何注册试用版的更多选项，请参阅注册Microsoft Defender 漏洞管理。

3. 查看试用版中包含的内容的相关信息，然后选择“ 开始试用”。 激活试用版后，新功能最多可能需要 6 小时才能在门户中可用。

   • Defender 漏洞管理加载项试用期为 90 天。

   • Defender 漏洞管理独立试用版持续 90 天。

4. 准备好开始使用后，请访问Microsoft Defender门户，并在左侧导航栏中选择“漏洞管理”，开始使用Defender 漏洞管理试用版。

注意

如果你是云客户的Microsoft Defender，请参阅服务器的漏洞管理功能，详细了解组织可用的 Defender 漏洞管理功能。

试用Defender 漏洞管理

步骤 1：了解在单个视图中要保护的内容

即使设备未连接到公司网络，内置和无代理扫描程序也会持续监视和检测风险。 扩展的资产覆盖范围将软件应用程序、数字证书、浏览器扩展以及硬件和固件合并到单个清单视图中。

1. 设备清单：设备清单显示网络中设备的列表。 默认情况下，该列表显示过去 30 天内看到的设备。 一目了然地可以看到域、风险级别、OS 平台、关联的 CVE 和其他详细信息，以便轻松识别风险最大的设备。 有关详细信息，请参阅设备清单。

2. 在单个合并清单视图中发现和评估组织的软件：

   • 软件应用程序清单：Defender 漏洞管理 中的软件清单是组织中已知应用程序的列表。 该视图包括已安装软件的漏洞和错误配置见解，以及优先级影响分数和详细信息，例如 OS 平台、供应商、弱点数量、威胁以及公开设备的实体级视图。 有关详细信息，请参阅 软件清单。

   • 浏览器扩展评估：浏览器扩展页显示跨组织中不同浏览器安装的扩展的列表。 扩展通常需要不同的权限才能正常运行。 Defender 漏洞管理提供有关每个扩展请求的权限的详细信息，并标识具有最高关联风险级别的权限、已启用扩展的设备、已安装的版本等。 有关详细信息，请参阅 Microsoft Defender 漏洞管理 中的浏览器扩展评估。

   • 证书清单：使用证书清单，可以在单个视图中发现、评估和管理整个组织内安装的数字证书。 这可以帮助你：

     • 确定即将过期的证书，以便可以更新证书并防止服务中断。

     • 检测由于使用弱签名算法 (（例如 SHA-1-RSA) 、短密钥大小 (例如 RSA 512 位) 或弱签名哈希算法 (例如 MD5) ）而导致的潜在漏洞。

     • 确保符合法规准则和组织策略。

     有关详细信息，请参阅 证书清单。

   • 硬件和固件：硬件和固件清单提供组织中已知硬件和固件的列表。 它为系统型号、处理器和 BIOS 提供单独的清单。 每个视图都包含详细信息，例如供应商名称、弱点数、威胁见解以及公开的设备数。 有关详细信息，请参阅 证书清单。

3. Windows 的身份验证扫描：使用 Windows 的经过身份验证的扫描，可以按 IP 范围或主机名远程定位，并通过提供Defender 漏洞管理凭据来远程访问设备来扫描 Windows 服务。 配置后，将定期扫描目标非托管设备是否存在软件漏洞。 有关详细信息，请参阅 Windows 的经过身份验证的扫描。

4. 分配设备值：定义设备值有助于区分资产优先级。 设备值用于将单个资产的风险偏好纳入Defender 漏洞管理风险评分计算中。 分配为“高价值”的设备将获得更多的权重。 设备值选项包括低、正常 (默认) 和高。 还可以使用 设置设备值 API。 有关详细信息，请参阅 分配设备值。

步骤 2：跟踪和缓解修正活动

1. 请求修正：漏洞管理功能通过修正请求工作流弥合安全性和 IT 管理员之间的差距。 安全管理员可以请求 IT 管理员从 Microsoft Intune 中的“建议”页修正漏洞。 有关详细信息，请参阅 请求修正。

2. 查看修正活动：从“安全建议”页提交修正请求时，它会启动修正活动。 系统会创建可在“修正”页上跟踪的安全任务，并在 Intune 中创建修正票证。 有关详细信息，请参阅 查看修正活动。

3. 阻止易受攻击的应用程序：修复漏洞需要时间，并且可能取决于 IT 团队的职责和资源。 安全管理员可以通过立即采取措施阻止所有当前已知的易受攻击的应用程序版本，或者在打开易受攻击的应用版本之前警告用户，直到修正请求完成，从而暂时降低漏洞风险。 阻止选项使 IT 团队有时间修补应用程序，而安全管理员无需担心在此期间会利用这些漏洞。

   • 如何阻止易受攻击的应用程序

   • 查看修正活动

   • 查看阻止的应用程序

   • 取消阻止应用程序

   注意

   试用结束后，阻止的应用程序会立即解除阻止。 在删除基线配置文件之前，可能会存储更长的时间。

4. 使用增强的评估功能（例如 网络共享分析 ）来保护易受攻击的网络共享。 由于网络用户可以轻松访问网络共享，因此较小的常见弱点可能会使其易受攻击。 攻击者通常将这些类型的错误配置用于横向移动、侦察、数据外泄等。 这就是为什么我们在 Defender 漏洞管理 中构建了一个新的配置评估类别，用于识别将终结点暴露给 Windows 网络共享中的攻击途径的常见弱点。 这有助于：

   • 禁止脱机访问共享

   • 从根文件夹中删除共享

   • 删除设置为“每个人”的共享写入权限

   • 设置共享的文件夹枚举

5. 使用“易受攻击的设备”报表查看和监视组织的设备，该报表显示包含易受攻击设备趋势和当前统计信息的图形和条形图。 目标是让你了解设备曝光的广度和范围。

步骤 3：设置安全基线评估

安全基线评估可帮助你根据行业安全基准实时持续主动监视组织的合规性，而不是运行时间点合规性扫描。 安全基线配置文件是一种自定义配置文件，可创建该配置文件，用于根据行业安全基准 (CIS、NIST、MS) 来评估和监视组织中的终结点。 创建安全基线配置文件时，将创建一个模板，其中包含多个设备配置设置和要与之进行比较的基本基准。

安全基线支持 Internet 安全中心 (CIS) Windows 10、Windows 11 和 Windows Server 2008 R2 及更高版本的基准，以及 2019 Windows 10 和 Windows Server (STIG) 基准的安全技术实施指南。

1. 安全基线评估入门。

2. 查看 安全基线配置文件评估结果。

3. 使用高级搜寻。

注意

试用结束后，在删除安全基线配置文件之前，可能会存储一段时间。

步骤 4：使用 API 和高级搜寻创建有意义的报表以获取深入见解

Defender 漏洞管理 API 可以通过自定义视图了解安全状况和自动化漏洞管理工作流，帮助提高组织中的清晰度。 通过数据收集、风险评分分析以及与其他组织流程和解决方案集成来缓解安全团队的工作负荷。 有关更多信息，请参阅：

• 导出每个设备的评估方法和属性

• Defender 漏洞管理 API 博客

高级搜寻允许灵活访问Defender 漏洞管理原始数据，从而可以主动检查实体中已知和潜在威胁。 有关详细信息，请参阅 搜寻公开的设备。

许可和试用信息

作为试用设置的一部分，新的Defender 漏洞管理试用版许可证会自动应用于用户。 因此，无需许可证分配 许可证在试用期间处于活动状态。

试用版入门

一旦在Microsoft Defender门户中看到Defender 漏洞管理功能，就可以开始使用它们。 不会自动创建任何内容，用户不受影响。 导航到每个解决方案时，系统可能会引导你进行额外的设置配置以开始使用功能。

延长试用期

在试用期的最后 15 天内，可以 请求 延长当前试用版的 30 天。 如有任何问题，请联系现场销售人员。

结束试用

管理员可以随时禁用试用版。 在Microsoft Defender门户中的导航窗格中，选择“试用版”，转到Defender 漏洞管理试用版卡，然后选择“结束试用”。

除非另有说明，否则在永久删除之前，你的试用版通常会保留 180 天。 在该时间之前，你可以继续访问在试用期间收集的数据。

其他资源

• 条款和条件：请参阅Microsoft 365 试用版的 条款和条件 。
• 比较产品/服务：Microsoft Defender 漏洞管理
• Defender 漏洞管理文档
• 数据表：Microsoft Defender 漏洞管理：通过持续发现和评估漏洞、基于风险的优先级以及修正来降低网络风险