分享方式:


適用於 虛擬機器 的 Azure 安全性基準 - Windows 虛擬機器

此安全性基準會將 Microsoft 雲端安全性基準檢驗 1.0 版的指引套用至 虛擬機器 - Windows 虛擬機器。 Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 內容會依 Microsoft 雲端安全性基準所定義的安全性控件分組,以及適用於 虛擬機器 - Windows 虛擬機器 的相關指引。

您可以使用 Microsoft Defender for Cloud 來監視此安全性基準及其建議。 Azure 原則 定義將會列在雲端入口網站 Microsoft Defender 的法規合規性一節中。

當功能有相關的 Azure 原則 定義時,這些定義會列在此基準中,以協助您測量與 Microsoft 雲端安全性基準檢驗控件和建議的合規性。 某些建議可能需要付費 Microsoft Defender 方案,才能啟用特定安全性案例。

注意

不適用於 虛擬機器 的功能 - 已排除 Windows 虛擬機器。 若要查看 虛擬機器 - Windows 虛擬機器 如何完全對應至 Microsoft 雲端安全性基準檢驗,請參閱完整的 虛擬機器 - Windows 虛擬機器 安全性基準對應檔案

安全性配置檔

安全性配置檔摘要說明 虛擬機器 的高影響行為 - Windows 虛擬機器,這可能會導致安全性考慮增加。

服務行為屬性
產品類別 計算
客戶可以存取主機/OS 完整存取
服務可以部署至客戶的虛擬網路
儲存待用客戶內容

網路安全性

如需詳細資訊,請參閱 Microsoft 雲端安全性基準:網路安全性

NS-1:建立網路分割界限

功能

虛擬網路整合

描述:服務支援將部署至客戶的私人 虛擬網路 (VNet) 。 深入瞭解

支援 默認啟用 設定責任
Microsoft

設定指引:預設部署上啟用此設定時不需要其他設定。

參考Azure 中的虛擬網路和虛擬機

網路安全組支援

描述:服務網路流量會遵守其子網上的網路安全組規則指派。 深入瞭解

支援 默認啟用 設定責任
False 客戶

設定指引:使用網路安全組 (NSG) 來限制或監視埠、通訊協定、來源 IP 位址或目的地 IP 位址的流量。 建立 NSG 規則來限制服務的開放連接埠 (例如防止從不受信任的網路存取管理連接埠)。 請注意,NSG 預設會拒絕所有輸入流量,但允許來自虛擬網路和 Azure Load Balancer 的流量。

當您建立 Azure 虛擬機 (VM) 時,您必須建立虛擬網路或使用現有的虛擬網路,並使用子網設定 VM。 確保所有已部署的子網路都有一個網路安全性群組,其是使用應用程式受信任連接埠和來源特有的網路存取控制所套用的。

參考網路安全組

適用於雲端的 Microsoft Defender 監視

Azure 原則 內建定義 - Microsoft.ClassicCompute

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 AuditIfNotExists, Disabled 3.0.0

Azure 原則 內建定義 - Microsoft.Compute

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應在網際網路對應的虛擬機器上套用自適性網路強化建議 Azure 資訊安全中心會分析網際網路對向虛擬機器的流量模式,然後提供降低潛在攻擊面的網路安全性群組規則建議 AuditIfNotExists, Disabled 3.0.0

NS-2:使用網路控制保護雲端服務

功能

停用公用網路存取

描述:服務支援透過使用服務層級IP ACL篩選規則來停用公用網路存取, (非NSG或 Azure 防火牆) 或使用[停用公用網路存取] 切換開關。 深入瞭解

支援 默認啟用 設定責任
False 客戶

設定指引:使用操作系統層級的服務,例如 Windows Defender 防火牆,以提供網路篩選來停用公用存取。

身分識別管理

如需詳細資訊,請參閱 Microsoft 雲端安全性基準:身分識別管理

IM-1:使用集中式身分識別和驗證系統

功能

資料平面存取所需的 Azure AD 驗證

描述:服務支援使用 Azure AD 驗證進行數據平面存取。 深入瞭解

支援 默認啟用 設定責任
False 客戶

設定指引:使用 Azure Active Directory (Azure AD) 作為預設驗證方法來控制數據平面存取。

參考使用 Azure AD 登入 Azure 中的 Windows 虛擬機,包括無密碼

資料平面存取的本機驗證方法

描述:數據平面存取支援的本機驗證方法,例如本機使用者名稱和密碼。 深入瞭解

支援 默認啟用 設定責任
Microsoft

功能注意事項:預設會在虛擬機的初始部署期間建立本機系統管理員帳戶。 請避免使用本機驗證方法或帳戶,請盡可能停用這些方法。 請改用 Azure AD 在可能的情況下進行驗證。

設定指引:預設部署上啟用此設定時不需要其他設定。

IM-3:安全且自動地管理應用程式身分識別

功能

受控識別

描述:數據平面動作支援使用受控識別進行驗證。 深入瞭解

支援 默認啟用 設定責任
False 客戶

功能注意事項:Windows VM 通常會利用受控識別向其他服務進行驗證。 如果 Windows VM 支援 Azure AD 驗證,則可能會支援受控識別。

設定指引:盡可能使用 Azure 受控識別,而不是服務主體,以便向支援 Azure Active Directory 的 Azure 服務和資源進行驗證 (Azure AD) 驗證。 受控識別認證完全受平台管理、輪替和保護,且避開原始程式碼或組態檔中的硬式編碼認證。

服務主體

描述:數據平面支援使用服務主體進行驗證。 深入瞭解

支援 默認啟用 設定責任
False 客戶

功能注意事項:服務主體可由在 Windows VM 中執行的應用程式使用。

設定指引:這項功能設定目前沒有 Microsoft 指導方針。 請檢閱並判斷您的組織是否要設定此安全性功能。

適用於雲端的 Microsoft Defender 監視

Azure 原則 內建定義 - Microsoft.Compute

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 來賓設定擴充功能需要系統指派的受控識別。 安裝客體設定延伸模組但是沒有系統指派受控識別時,此原則範圍內的 Azure 虛擬機器將會不符合規範。 深入了解:https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

IM-7:根據條件限制資源存取

功能

資料平面的條件式存取

描述:您可以使用 Azure AD 條件式存取原則來控制數據平面存取。 深入瞭解

支援 默認啟用 設定責任
False 客戶

功能注意事項:使用 Azure AD 作為核心驗證平臺,將 RDP 連線到 Windows Server 2019 Datacenter 版本和更新版本,或 Windows 10 1809 和更新版本。 接著您可以集中控制並強制執行 Azure 角色型存取控制 (RBAC) 和條件式存取原則,以允許或拒絕 VM 的存取權。

設定指引:在工作負載中定義 Azure Active Directory (Azure AD) 條件式存取適用的條件和準則。 請考慮常見的使用案例,例如封鎖或授與特定位置的存取權、封鎖有風險的登入行為,或要求特定應用程式的組織管理裝置。

參考使用 Azure AD 登入 Azure 中的 Windows 虛擬機,包括無密碼

IM-8:限制認證和祕密的公開

功能

Azure Key Vault 中服務認證和秘密支援整合和儲存

描述:數據平面支援針對認證和秘密存放區使用 Azure 金鑰保存庫。 深入瞭解

支援 默認啟用 設定責任
False 客戶

功能注意事項:在數據平面或操作系統內,服務可能會針對認證或秘密呼叫 Azure 金鑰保存庫。

設定指引:確定秘密和認證會儲存在安全的位置,例如 Azure 金鑰保存庫,而不是將它們內嵌到程式碼或組態檔中。

特殊權限存取

如需詳細資訊,請參閱 Microsoft 雲端安全性基準:特殊許可權存取

PA-1:劃分和限制高度權限/系統管理使用者

功能

本機 管理員 帳戶

描述:服務具有本機系統管理帳戶的概念。 深入瞭解

支援 默認啟用 設定責任
Microsoft

功能注意事項:避免使用本機驗證方法或帳戶,請盡可能停用這些方法。 請改用 Azure AD 在可能的情況下進行驗證。

設定指引:在預設部署上啟用此設定時,不需要任何其他設定。

參考快速入門:在 Azure 入口網站 中建立 Windows 虛擬機

PA-7:受保護的系統管理員

功能

適用於數據平面的 Azure RBAC

描述:Azure Role-Based 存取控制 (Azure RBAC) 可用來管理服務數據平面動作的存取權。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

功能注意事項:使用 Azure AD 作為核心驗證平臺,以 RDP 連線到 Windows Server 2019 Datacenter 版本和更新版本,或 Windows 10 1809 和更新版本。 接著您可以集中控制並強制執行 Azure 角色型存取控制 (RBAC) 和條件式存取原則,以允許或拒絕 VM 的存取權。

設定指引:使用 RBAC,指定誰可以以一般使用者或系統管理員許可權登入 VM。 當使用者加入您的團隊時,您可以更新 VM 的 Azure RBAC 原則來授與適當的存取權。 當員工離開您的組織時,其使用者帳戶會從 Azure AD 中停用或移除,且他們將無法再存取您的資源。

參考使用 Azure AD 登入 Azure 中的 Windows 虛擬機,包括無密碼

PA-8:判斷雲端提供者支援的存取程序

功能

客戶加密箱

描述:客戶加密箱可用於 Microsoft 支援存取。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:在 Microsoft 需要存取數據的支援案例中,使用客戶加密箱來檢閱,然後核准或拒絕每個 Microsoft 的數據存取要求。

資料保護

如需詳細資訊,請參閱 Microsoft 雲端安全性基準:數據保護

DP-1:探索、分類及標記敏感性資料

功能

敏感數據探索和分類

描述:Azure Purview 或 Azure 資訊保護) 等工具 (可用於服務中的數據探索和分類。 深入瞭解

支援 默認為啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

DP-2:監視以敏感性資料為目標的異常和威脅

功能

數據外洩/外洩防護

描述:服務支援 DLP 解決方案,以監視客戶內容) 中的敏感數據移動 (。 深入瞭解

支援 默認為啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

DP-3:加密傳輸中的敏感性資料

功能

傳輸中資料加密

描述:服務支持數據平面的數據傳輸中加密。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

功能注意事項:預設會加密某些通訊協定,例如 SSH。 不過,HTTP 等其他服務必須設定為使用 TLS 進行加密。

設定指引:在內建原生數據傳輸加密功能的服務中啟用安全傳輸。 在任何 Web 應用程式和服務上強制執行 HTTPS,並確保使用 TLS v1.2 或更新版本。 應停用舊版的 SSL 3.0、TLS v1.0。 若要遠端管理 虛擬機器,請使用適用於 Linux 的 SSH () 或適用於 Windows) 的 RDP/TLS (,而不是未加密的通訊協定。

參考VM 中的傳輸中加密

適用於雲端的 Microsoft Defender 監視

Azure 原則 內建定義 - Microsoft.Compute

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
Windows 計算機應設定為使用安全通訊協定 若要保護透過因特網通訊的資訊隱私權,您的計算機應該使用最新版的業界標準密碼編譯通訊協定傳輸層安全性 (TLS) 。 TLS 透過網路保護通訊,方法是加密計算機之間的連線。 AuditIfNotExists, Disabled 4.1.1

DP-4:預設啟用待用資料加密

功能

使用平台金鑰進行待用數據加密

描述:支援使用平臺密鑰進行待用數據加密,任何待用客戶內容都會使用這些 Microsoft 管理的密鑰加密。 深入瞭解

支援 默認為啟用 設定責任
Microsoft

功能注意事項:根據預設,受控磁碟會使用平臺管理的加密密鑰。 所有新的受控磁碟、快照集、映像和寫入至現有受控磁碟的資料都會使用平台管理的金鑰自動加密待用資料。

設定指引:在預設部署上啟用此設定時,不需要任何其他設定。

參考Azure 磁碟記憶體的伺服器端加密 - 平臺管理的密鑰

適用於雲端的 Microsoft Defender 監視

Azure 原則 內建定義 - Microsoft.ClassicCompute

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 根據預設,系統會使用平台代控金鑰對虛擬機器的作業系統和資料磁碟進行待用加密。 暫存磁碟、資料快取,以及在計算與儲存體之間流動的資料不會加密。 如果發生下列情形,則忽略此建議:1. 使用主機上的加密,或 2。 受控磁碟上的伺服器端加密符合您的安全性需求。 深入了解:Azure 磁碟儲存體的伺服器端加密:https://aka.ms/disksse,不同磁碟加密供應項目:https://aka.ms/diskencryptioncomparison AuditIfNotExists, Disabled 2.0.3

Azure 原則 內建定義 - Microsoft.Compute

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
[預覽]:Linux 虛擬機應該啟用 Azure 磁碟加密或 EncryptionAtHost。 根據預設,虛擬機的OS和數據磁碟會使用平臺管理的密鑰進行待用加密;暫存磁碟和數據快取不會加密,而且在計算和記憶體資源之間流動時不會加密數據。 使用 Azure 磁碟加密或 EncryptionAtHost 來加密所有這些數據。請造訪 https://aka.ms/diskencryptioncomparison 以比較加密供應專案。 此原則需要將兩個必要條件部署到原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol AuditIfNotExists, Disabled 1.2.0-preview

DP-5:必要時在待用資料加密中使用客戶自控金鑰選項

功能

使用 CMK 進行待用資料加密

描述:服務所儲存的客戶內容支援使用客戶自控密鑰進行待用數據加密。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

功能附註:您可以選擇使用您自己的金鑰來管理每個受控磁碟層級的加密。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰可提供更大的彈性來管理存取控制。

設定指引:如果需要法規合規性,請定義需要使用客戶自控密鑰加密的使用案例和服務範圍。 針對這些服務,使用客戶自控金鑰來啟用和實作待用資料加密。

虛擬機器 (VM) 上的虛擬磁碟會使用伺服器端加密或 Azure 磁碟加密 (ADE) 進行待用加密。 Azure 磁碟加密會利用 Windows 的 BitLocker 功能,在來賓 VM 中使用客戶管理的金鑰來加密受控磁碟。 使用客戶管理的金鑰進行伺服器端加密,可讓您藉由加密儲存庫服務中的資料,對您的 VM 使用任何作業系統類型和映像,而改善 ADE 的效能。

參考Azure 磁碟記憶體的伺服器端加密

DP-6:使用安全金鑰管理程序

功能

Azure Key Vault 中的金鑰管理

描述:此服務支援任何客戶密鑰、秘密或憑證的 Azure 金鑰保存庫 整合。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:使用 Azure 金鑰保存庫 來建立和控制加密金鑰的生命週期,包括金鑰產生、散發和記憶體。 根據定義的排程或密鑰淘汰或入侵時,輪替和撤銷 Azure 金鑰保存庫 和服務中的密鑰。 如果您需要在工作負載、服務或應用層級中使用客戶管理的密鑰 (CMK) ,請確定您遵循金鑰管理的最佳做法:使用金鑰階層來產生個別的數據加密密鑰, (DEK) 金鑰與金鑰保存庫中的 KEK (KEK) 。 請確定金鑰會向 Azure 金鑰保存庫 註冊,並透過來自服務或應用程式的金鑰標識碼來參考。 如果您需要將自己的金鑰 (BYOK) 帶入服務 (,例如將受 HSM 保護的金鑰從內部部署 HSM 匯入 Azure 金鑰保存庫) ,請遵循建議的指導方針來執行初始密鑰產生和金鑰傳輸。

參考在 Windows VM 上建立和設定 Azure 磁碟加密的密鑰保存庫

DP-7:使用安全的憑證管理程序

功能

Azure Key Vault 中的憑證管理

描述:此服務支援任何客戶憑證的 Azure 金鑰保存庫 整合。 深入瞭解

支援 默認為啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

資產管理

如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:資產管理

AM-2:僅使用核准的服務

功能

Azure 原則支援

描述:您可以透過 Azure 原則 監視和強制執行服務組態。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:Azure 原則 可用來定義組織 Windows VM 和 Linux VM 所需的行為。 藉由使用原則,組織可以在整個企業強制執行各種慣例和規則,並定義及實作 Azure 虛擬機器 的標準安全性設定。 強制執行所要的行為有助於降低風險,同時促進組織的成功。

參考Azure 原則 Azure 虛擬機器 的內建定義

適用於雲端的 Microsoft Defender 監視

Azure 原則 內建定義 - Microsoft.ClassicCompute

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
虛擬機器應遷移到新的 Azure Resource Manager 資源 在您的虛擬機器使用新 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆。 Audit, Deny, Disabled 1.0.0

Azure 原則 內建定義 - Microsoft.Compute

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
虛擬機器應遷移到新的 Azure Resource Manager 資源 在您的虛擬機器使用新 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆。 Audit, Deny, Disabled 1.0.0

AM-5:僅在虛擬機器中使用核准的應用程式

功能

雲端 Microsoft Defender - 自適性應用程控

描述:服務可以使用雲端 Microsoft Defender 中的自適性應用程控,限制在虛擬機上執行哪些客戶應用程式。 深入瞭解

支援 默認啟用 設定責任
False 客戶

設定指引:使用雲端自適性應用程控 Microsoft Defender 來探索在虛擬機上執行的應用程式, (VM) ,並產生應用程式允許清單,以要求哪些核准的應用程式可以在 VM 環境中執行。

參考使用調適型應用程控來減少機器的攻擊面

適用於雲端的 Microsoft Defender 監視

Azure 原則 內建定義 - Microsoft.ClassicCompute

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
您的電腦應啟用自適性應用程式控制,以定義安全應用程式 啟用應用程式控制項,以定義在您的電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化機器,以防範惡意程式碼的攻擊。 為了簡化設定和維護規則的程序,資訊安全中心使用機器學習來分析在每個機器上執行的應用程式,並建議已知安全的應用程式清單。 AuditIfNotExists, Disabled 3.0.0

Azure 原則 內建定義 - Microsoft.Compute

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
您的電腦應啟用自適性應用程式控制,以定義安全應用程式 啟用應用程式控制項,以定義在您的電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化機器,以防範惡意程式碼的攻擊。 為了簡化設定和維護規則的程序,資訊安全中心使用機器學習來分析在每個機器上執行的應用程式,並建議已知安全的應用程式清單。 AuditIfNotExists, Disabled 3.0.0

記錄和威脅偵測

如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:記錄和威脅偵測

LT-1:啟用威脅偵測功能

功能

適用於服務/產品供應項目的 Microsoft Defender

描述:服務具有供應專案特定的 Microsoft Defender 解決方案,可監視和警示安全性問題。 深入瞭解

支援 默認啟用 設定責任
False 客戶

設定指引:適用於伺服器的Defender會將保護延伸至您在 Azure 中執行的 Windows 和 Linux 機器。 適用於伺服器的 Defender 與 適用於端點的 Microsoft Defender 整合以提供端點偵測和回應 (EDR) ,也提供一些額外的威脅防護功能,例如安全性基準和 OS 層級評估、弱點評估掃描、調適型應用程控 (AAC) 、檔案完整性監視 (FIM) 等等。

參考規劃適用於伺服器的Defender部署

適用於雲端的 Microsoft Defender 監視

Azure 原則 內建定義 - Microsoft.Compute

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應在您的機器上啟用 Windows Defender 惡意探索防護 Windows Defender 惡意探索防護會使用 Azure 原則客體設定代理程式。 「惡意探索防護」有四個元件,設計用來鎖定裝置,使其免於遭受惡意程式碼攻擊的各種攻擊和封鎖行為,同時讓企業能夠平衡本身的安全性風險和生產力需求 (僅限 Windows)。 AuditIfNotExists, Disabled 2.0.0

LT-4:啟用安全性調查的記錄

功能

Azure 資源記錄

描述:服務會產生資源記錄,可提供增強的服務特定計量和記錄。 客戶可以設定這些資源記錄,並將其傳送至自己的數據接收,例如記憶體帳戶或記錄分析工作區。 深入瞭解

支援 默認啟用 設定責任
False 客戶

設定指引:當您建立 VM 時,Azure 監視器會開始自動收集虛擬機主機的計量數據。 不過,若要從虛擬機的客體作業系統收集記錄和效能數據,您必須安裝 Azure 監視器代理程式。 您可以使用 VM 深入解析建立資料收集規則來安裝代理程式並設定收集。

參考Log Analytics 代理程式概觀

適用於雲端的 Microsoft Defender 監視

Azure 原則 內建定義 - Microsoft.Compute

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
[預覽]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 AuditIfNotExists, Disabled 1.0.2-preview

態勢與弱點管理

如需詳細資訊,請參閱 Microsoft 雲端安全性基準檢驗:狀態和弱點管理

PV-3:定義和建立計算資源的安全設定

功能

Azure 自動化狀態設定

描述:Azure 自動化 狀態設定 可用來維護操作系統的安全性設定。 深入瞭解

支援 默認啟用 設定責任
False 客戶

設定指引:使用 Azure 自動化 狀態設定 維護操作系統的安全性設定。

參考使用 Desired State Configuration 設定 VM

Azure 原則客體設定代理程式

描述:Azure 原則 客體設定代理程式可以安裝或部署為計算資源的擴充功能。 深入瞭解

支援 默認啟用 設定責任
False 客戶

功能注意事項:Azure 原則 客體設定現在稱為 Azure Automanage 機器組態。

設定指引:針對雲端和 Azure 原則 客體設定代理程式使用 Microsoft Defender,定期評估及補救 Azure 計算資源上的設定偏差,包括 VM、容器和其他。

參考瞭解 Azure Automanage 的機器設定功能

自訂 VM 映像

描述:服務支援使用使用者提供的 VM 映射或市集中預先建置的映射,並預先套用特定基準組態。 深入瞭解

支援 默認啟用 設定責任
False 客戶

設定指引:使用來自受信任供應商的預先設定強化映像,例如 Microsoft,或在 VM 映射範本中建置所需的安全設定基準

參考:教學課程:使用 Azure PowerShell 建立 Windows VM 映射

PV-4:稽核和強制執行計算資源的安全設定

功能

信任的啟動虛擬機

描述:信任的啟動可結合安全開機、vTPM 和完整性監視等基礎結構技術,以防止進階和持續性的攻擊技術。 每個技術都會針對複雜的威脅提供另一層防禦。 信任啟動允許使用已驗證開機載入器、OS 核心和驅動程式的安全部署虛擬機,並安全地保護虛擬機中的密鑰、憑證和秘密。 信任的啟動也提供整個開機鏈結完整性的深入解析和信賴,並確保工作負載受信任且可驗證。 信任的啟動會與雲端 Microsoft Defender 整合,以確保 VM 已正確設定,方法是以狀況良好的方式開機遠程證明 VM。 深入瞭解

支援 默認啟用 設定責任
False 客戶

功能附註:信任的啟動適用於第 2 代 VM。 執行可信啟動需要建立新的虛擬機器。 若現有虛擬機器原先在無可信啟動的情況下建立,即無法在此虛擬機器上啟用可信啟動。

設定指引:在部署 VM 期間,可能會啟用信任的啟動。 啟用這三個 - 安全開機、vTPM 和完整性開機監視,以確保虛擬機的最佳安全性狀態。 請注意,有一些必要條件包括將您的訂用帳戶上線至雲端 Microsoft Defender、指派特定 Azure 原則 計劃,以及設定防火牆原則。

參考部署已啟用受信任啟動的 VM

PV-5:執行弱點評定

功能

使用 Microsoft Defender 的弱點評量

描述:服務可以使用雲端或其他 Microsoft Defender 服務內嵌弱點評估功能 (Microsoft Defender 掃描弱點掃描,包括伺服器、容器登錄、App Service、SQL 和 DNS) 的 Microsoft Defender。 深入瞭解

支援 默認啟用 設定責任
False 客戶

設定指引:遵循雲端 Microsoft Defender 的建議,以在 Azure 虛擬機上執行弱點評估。

參考規劃適用於伺服器的Defender部署

適用於雲端的 Microsoft Defender 監視

Azure 原則 內建定義 - Microsoft.ClassicCompute

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
虛擬機器上應啟用弱點評估解決方案 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 AuditIfNotExists, Disabled 3.0.0

Azure 原則 內建定義 - Microsoft.Compute

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
虛擬機器上應啟用弱點評估解決方案 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 AuditIfNotExists, Disabled 3.0.0

PV-6:快速自動補救弱點

功能

Azure 自動化更新管理

描述:服務可以使用 Azure 自動化 更新管理來自動部署修補程式和更新。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:使用 Azure 自動化 更新管理或第三方解決方案,以確保 Windows VM 上安裝最新的安全性更新。 對於 Windows VM,請確定已啟用 Windows Update,並設定為自動更新。

參考管理 VM 的更新和修補程式

Azure 客體修補服務

描述:服務可以使用 Azure 客體修補來自動部署修補程式和更新。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:服務可以利用不同的更新機制,例如 自動操作系統映像升級自動客體修補。 建議您遵循安全部署原則,將最新的安全性和重大更新套用至虛擬機的客體OS。

自動客體修補可讓您自動評估及更新 Azure 虛擬機,以維持每個月發行之重大和安全性更新的安全性合規性。 匯報 會在離峰時段套用,包括可用性設定組中的 VM。 此功能適用於 VMSS 彈性協調流程,未來支援統一協調流程藍圖。

如果您執行無狀態工作負載,自動OS映像升級很適合套用VMSS Uniform的最新更新。 透過復原功能,這些更新與 Marketplace 或自定義映像相容。 彈性協調流程藍圖的未來滾動升級支援。

參考Azure VM 的自動 VM 客體修補

適用於雲端的 Microsoft Defender 監視

Azure 原則 內建定義 - Microsoft.ClassicCompute

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
您應在機器上安裝系統更新 Azure 資訊安全中心會依建議監視伺服器上缺少的安全性系統更新 AuditIfNotExists, Disabled 4.0.0

Azure 原則 內建定義 - Microsoft.Compute

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
[預覽]:您的機器上應該安裝系統更新 (由更新中心提供) 您的機器缺少系統、安全性和重大更新。 軟體更新通常包含安全性漏洞的重大修補檔。 這類漏洞經常遭到惡意程式碼攻擊,因此請務必讓軟體保持更新。 若要安裝所有未安裝的修補檔並保護您的機器,請遵循補救步驟。 AuditIfNotExists, Disabled 1.0.0-preview

端點安全性

如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:端點安全性

ES-1:使用端點偵測及回應 (EDR)

功能

EDR 解決方案

描述:端點偵測和回應 (EDR) 功能,例如適用於伺服器的 Azure Defender 可以部署到端點。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:適用於伺服器的 Azure Defender (與 適用於端點的 Microsoft Defender 整合式) 提供 EDR 功能,以防止、偵測、調查及回應進階威脅。 使用適用於雲端的 Microsoft Defender,為您的端點部署適用於伺服器的 Azure Defender,並將警示整合到 SIEM 解決方案,例如 Azure Sentinel。

參考規劃適用於伺服器的Defender部署

ES-2:使用新式反惡意程式碼軟體

功能

反惡意代碼解決方案

描述:Microsoft Defender 防病毒軟體等反惡意代碼功能,適用於端點的 Microsoft Defender 可以部署在端點上。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:針對 Windows Server 2016 及更新版本,預設會安裝防病毒軟體 Microsoft Defender。 針對 Windows Server 2012 R2 和更新版本,客戶可以安裝 SCEP (System Center Endpoint Protection) 。 或者,客戶也可以選擇安裝第三方反惡意代碼產品。

參考適用於端點的Defender上線 Windows Server

適用於雲端的 Microsoft Defender 監視

Azure 原則 內建定義 - Microsoft.ClassicCompute

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應解決您機器上端點保護健康情況的問題 解決虛擬機器上的端點保護健康情況問題,以保護其免於遭受最新威脅和弱點的損害。 Azure 資訊安全中心支援的端點保護解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評量記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection AuditIfNotExists, Disabled 1.0.0

Azure 原則 內建定義 - Microsoft.Compute

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應解決您機器上端點保護健康情況的問題 解決虛擬機器上的端點保護健康情況問題,以保護其免於遭受最新威脅和弱點的損害。 Azure 資訊安全中心支援的端點保護解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評量記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection AuditIfNotExists, Disabled 1.0.0

ES-3:確定反惡意程式碼軟體和簽章已更新

功能

反惡意代碼解決方案健全狀況監視

描述:反惡意代碼解決方案提供平臺、引擎和自動簽章更新的健康狀態監視。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

功能注意事項:安全性智慧和產品更新適用於端點的Defender,可安裝在Windows VM上。

設定指引:設定您的反惡意代碼解決方案,以確保平臺、引擎和簽章會快速且一致地更新,並可監視其狀態。

適用於雲端的 Microsoft Defender 監視

Azure 原則 內建定義 - Microsoft.ClassicCompute

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應解決您機器上端點保護健康情況的問題 解決虛擬機器上的端點保護健康情況問題,以保護其免於遭受最新威脅和弱點的損害。 Azure 資訊安全中心支援的端點保護解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評量記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection AuditIfNotExists, Disabled 1.0.0

Azure 原則 內建定義 - Microsoft.Compute

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應解決您機器上端點保護健康情況的問題 解決虛擬機器上的端點保護健康情況問題,以保護其免於遭受最新威脅和弱點的損害。 Azure 資訊安全中心支援的端點保護解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評量記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection AuditIfNotExists, Disabled 1.0.0

備份與復原

如需詳細資訊,請參閱 Microsoft 雲端安全性基準:備份和復原

BR-1:確保定期自動備份

功能

Azure 備份

描述:服務可由 Azure 備份 服務備份。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:啟用 Azure 備份 並設定備份來源 (,例如 Azure 虛擬機器、SQL Server、HANA 資料庫或檔案共用) ,且具有所需的保留期間。 針對 Azure 虛擬機器,您可以使用 Azure 原則 來啟用自動備份。

參考Azure 中虛擬機的備份和還原選項

適用於雲端的 Microsoft Defender 監視

Azure 原則 內建定義 - Microsoft.Compute

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應該為虛擬機器啟用 Azure 備份 藉由啟用 Azure 備份,確保您的 Azure 虛擬機器受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 AuditIfNotExists, Disabled 3.0.0

後續步驟