Azure-säkerhetsbaslinje för virtuella datorer – Virtuella Windows-datorer
Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft cloud security benchmark version 1.0 för virtuella datorer – Virtuella Windows-datorer. Microsofts prestandamått för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts molnsäkerhetsmått och den relaterade vägledning som gäller för virtuella datorer – Virtuella Windows-datorer.
Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy-definitioner visas i avsnittet Regelefterlevnad på portalsidan för Microsoft Defender för molnet.
När en funktion har relevanta Azure Policy-definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts benchmark-kontroller och rekommendationer för molnsäkerhet. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.
Not
Funktioner inte tillämpliga på virtuella datorer – Virtuella Windows-datorer har exkluderats. Om du vill se hur Virtuella datorer – Windows Virtual Machines helt mappar till Microsofts molnsäkerhetsmått kan du läsa fullständig mappningsfil för virtuella datorer – Windows Virtual Machines-säkerhetsbaslinje.
Säkerhetsprofil
Säkerhetsprofilen sammanfattar påverkansbeteenden för virtuella datorer – Virtuella Windows-datorer, vilket kan leda till ökade säkerhetsöverväganden.
| Attribut för tjänstbeteende | Värde |
|---|---|
| Produktkategori | Beräkna |
| Kunden kan komma åt HOST/OS | Fullständig åtkomst |
| Tjänsten kan distribueras till kundens virtuella nätverk | Sann |
| Lagrar kundinnehåll i vila | Sann |
Nätverkssäkerhet
Mer information finns i Microsoft cloud security benchmark: Network security.
NS-1: Upprätta gränser för nätverkssegmentering
Funktioner
Integrering av virtuellt nätverk
Beskrivning: Tjänsten stöder distribution till kundens privata virtuella nätverk (VNet). Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Sann | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Virtuella nätverk och virtuella datorer i Azure
Stöd för nätverkssäkerhetsgrupp
Beskrivning: Tjänstnätverkstrafik respekterar regeltilldelning för nätverkssäkerhetsgrupper i dess undernät. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Använd nätverkssäkerhetsgrupper (NSG) för att begränsa eller övervaka trafik via port, protokoll, käll-IP-adress eller mål-IP-adress. Skapa NSG-regler för att begränsa tjänstens öppna portar (till exempel förhindra att hanteringsportar nås från ej betrodda nätverk). Tänk på att NSG:er som standard nekar all inkommande trafik men tillåter trafik från virtuella nätverk och Azure Load Balancers.
När du skapar en virtuell Azure-dator måste du skapa ett virtuellt nätverk eller använda ett befintligt virtuellt nätverk och konfigurera den virtuella datorn med ett undernät. Se till att alla distribuerade undernät har en nätverkssäkerhetsgrupp som tillämpas med nätverksåtkomstkontroller som är specifika för dina program betrodda portar och källor.
Referens: Nätverkssäkerhetsgrupper
Övervakning av Microsoft Defender för molnet
De inbyggda definitionerna för Azure Policy – Microsoft.ClassicCompute:
| Namn (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
Inbyggda definitioner för Azure Policy – Microsoft.Compute:
| Namn (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| Rekommendationer för adaptiv nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer | Azure Security Center analyserar trafikmönstren för internetuppkopplade virtuella datorer och tillhandahåller regelrekommendationer för nätverkssäkerhetsgrupp som minskar den potentiella attackytan | AuditIfNotExists, inaktiverad | 3.0.0 |
NS-2: Skydda molntjänster med nätverkskontroller
Funktioner
Inaktivera åtkomst till offentligt nätverk
Description: Tjänsten stöder inaktivering av åtkomst till offentliga nätverk antingen via ip-ACL-filtreringsregel på tjänstnivå (inte NSG eller Azure Firewall) eller med hjälp av en växlingsknapp för att inaktivera åtkomst till offentligt nätverk. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Använd tjänster på operativsystemnivå, till exempel Windows Defender-brandväggen för att tillhandahålla nätverksfiltrering för att inaktivera offentlig åtkomst.
Identitetshantering
Mer information finns i Microsoft cloud security benchmark: Identity management.
IM-1: Använd centraliserat identitets- och autentiseringssystem
Funktioner
Azure AD-autentisering krävs för dataplansåtkomst
Beskrivning: Tjänsten stöder användning av Azure AD-autentisering för dataplansåtkomst. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Använd Azure Active Directory (Azure AD) som standardautentiseringsmetod för att styra åtkomsten till dataplanet.
Referens: Logga in på en virtuell Windows-dator i Azure med hjälp av Azure AD, inklusive lösenordsfri
Lokala autentiseringsmetoder för dataplansåtkomst
Beskrivning: Lokala autentiseringsmetoder som stöds för åtkomst till dataplanet, till exempel ett lokalt användarnamn och lösenord. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Sann | Microsoft |
Funktionsanteckningar: Ett lokalt administratörskonto skapas som standard under den första distributionen av den virtuella datorn. Undvik användning av lokala autentiseringsmetoder eller konton. Dessa bör inaktiveras när det är möjligt. Använd i stället Azure AD för att autentisera där det är möjligt.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
IM-3: Hantera programidentiteter på ett säkert och automatiskt sätt
Funktioner
Hanterade identiteter
Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Funktionsanteckningar: Hanterad identitet används vanligtvis av den virtuella Windows-datorn för att autentisera till andra tjänster. Om den virtuella Windows-datorn stöder Azure AD-autentisering kan hanterad identitet stödjas.
Konfigurationsvägledning: Använd Azure-hanterade identiteter i stället för tjänstens huvudnamn när det är möjligt, vilket kan autentisera till Azure-tjänster och resurser som stöder Azure Active Directory-autentisering (Azure AD). Autentiseringsuppgifter för hanterade identiteter hanteras, roteras och skyddas av plattformen, vilket undviker hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.
Tjänstprincipaler
Beskrivning: Dataplan stödjer autentisering med hjälp av tjänstprincipaler. Läs mer.
| Stöttad | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Funktionsanteckningar: Tjänsteprinciper kan användas av applikationer som körs i Windows-VM:n.
Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.
Övervakning av Microsoft Defender för molnet
inbyggda definitioner för Azure Policy – Microsoft.Compute:
| Namn (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| Gästkonfigurationstillägg för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol | AuditIfNotExists, inaktiverad | 1.0.1 |
SNABBMEDDELANDE 7: Begränsa resursåtkomst baserat på villkor
Funktioner
Villkorsstyrd åtkomst för dataplan
Beskrivning: Åtkomst till dataplan kan styras med hjälp av principer för villkorsstyrd åtkomst i Azure AD. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Funktionsanteckningar: Använd Azure AD som en grundläggande autentiseringsplattform till RDP i Windows Server 2019 Datacenter Edition och senare, eller Windows 10 1809 och senare. Du kan sedan centralt styra och tillämpa rollbaserad åtkomstkontroll i Azure (RBAC) och principer för villkorsstyrd åtkomst som tillåter eller nekar åtkomst till de virtuella datorerna.
Konfigurationsvägledning: Definiera tillämpliga villkor och kriterier för villkorsstyrd åtkomst i Azure Active Directory (Azure AD) i arbetsbelastningen. Överväg vanliga användningsfall som att blockera eller bevilja åtkomst från specifika platser, blockera riskfyllda inloggningsbeteenden eller kräva organisationshanterade enheter för specifika program.
Referens: Logga in på en virtuell Windows-dator i Azure med hjälp av Azure AD, inklusive lösenordsfri
IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter
Funktioner
Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault
Description: Dataplan stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Funktionsanteckningar: I dataplanet eller operativsystemet kan tjänster anropa Azure Key Vault för autentiseringsuppgifter eller hemligheter.
Konfigurationsvägledning: Kontrollera att hemligheter och autentiseringsuppgifter lagras på säkra platser som Azure Key Vault, i stället för att bädda in dem i kod- eller konfigurationsfiler.
Privilegierad åtkomst
Mer information finns i Microsoft cloud security benchmark: Privileged access.
PA-1: Avgränsa och begränsa högprivilegierade/administrativa användare
Funktioner
Lokala administratörskonton
Description: Tjänsten har begreppet det lokala administrativa kontot. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Sann | Microsoft |
Funktionsanteckningar: Undvik användning av lokala autentiseringsmetoder eller konton bör dessa inaktiveras när det är möjligt. Använd i stället Azure AD för att autentisera där det är möjligt.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Snabbstart: Skapa en virtuell Windows-dator i Azure-portalen
PA-7: Följ principen om tillräcklig administration (minsta privilegium)
Funktioner
Azure RBAC för dataplan
Description: Azure Role-Based Access Control (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Funktionsanteckningar: Använd Azure AD som en grundläggande autentiseringsplattform till RDP i Windows Server 2019 Datacenter Edition och senare, eller Windows 10 1809 och senare. Du kan sedan centralt styra och tillämpa rollbaserad åtkomstkontroll i Azure (RBAC) och principer för villkorsstyrd åtkomst som tillåter eller nekar åtkomst till de virtuella datorerna.
Konfigurationsvägledning: Med RBAC anger du vem som kan logga in på en virtuell dator som en vanlig användare eller med administratörsbehörighet. När användarna ansluter till ditt team kan du uppdatera Azure RBAC-principen för den virtuella datorn så att den beviljar åtkomst efter behov. När anställda lämnar organisationen och deras användarkonton inaktiveras eller tas bort från Azure AD har de inte längre åtkomst till dina resurser.
Referens: Logga in på en virtuell Windows-dator i Azure med hjälp av Azure AD, inklusive lösenordsfri
PA-8: Fastställa åtkomstprocessen för molnleverantörssupport
Funktioner
Kundlåsbox
Beskrivning: Customer Lockbox kan användas för åtkomst av Microsofts support. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: I supportscenarier där Microsoft behöver komma åt dina data använder du Customer Lockbox för att granska och sedan godkänna eller avvisa var och en av Microsofts dataåtkomstbegäranden.
Dataskydd
Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.
DP-1: Identifiera, klassificera och märka känsliga data
Funktioner
Identifiering och klassificering av känsliga data
Beskrivning: Verktyg (till exempel Azure Purview eller Azure Information Protection) kan användas för dataidentifiering och klassificering i tjänsten. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DP-2: Övervaka avvikelser och hot mot känsliga data
Funktioner
Dataläckage/förlustskydd
Description: Service stöder DLP-lösning för att övervaka känslig dataförflyttning (i kundens innehåll). Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DP-3: Kryptera känsliga data under överföring
Funktioner
Kryptering av data under överföring
Beskrivning: Tjänsten stöder datakryptering under överföring för dataplan. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Funktionsanteckningar: Vissa kommunikationsprotokoll, till exempel SSH, krypteras som standard. Andra tjänster som HTTP måste dock konfigureras för att använda TLS för kryptering.
Konfigurationsvägledning: Aktivera säker överföring i tjänster där det finns en inbyggd funktion för datakryptering under överföring. Framtvinga HTTPS på alla webbprogram och tjänster och se till att TLS v1.2 eller senare används. Äldre versioner som SSL 3.0, TLS v1.0 bör inaktiveras. För fjärrhantering av virtuella datorer använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll.
Referens: kryptering under överföring på virtuella datorer
Övervakning med Microsoft Defender for Cloud
inbyggda definitioner för Azure Policy – Microsoft.Compute:
| Namn (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. | AuditIfNotExists, inaktiverad | 4.1.1 |
DP-4: Aktivera vilande datakryptering som standard
Funktioner
Vilande datakryptering med hjälp av plattformsnycklar
Beskrivning: Kryptering av data i vila med plattformnycklar stöds; allt kundinnehåll i vila är krypterat med dessa Microsoft-hanterade nycklar. Läs mer.
| Stött | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Sann | Microsoft |
Funktionsanteckningar: Som standard använder hanterade diskar plattformshanterade krypteringsnycklar. Alla hanterade diskar, ögonblicksbilder, bilder och data som skrivits till befintliga hanterade diskar krypteras automatiskt i vila med plattformshanterade nycklar.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Kryptering på serversidan av Azure Disk Storage – Plattformshanterade nycklar
Övervakning av Microsoft Defender för molnet
fördefinierade definitioner för Azure Policy – Microsoft.ClassicCompute:
| Namn (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser | Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar, datacacheminnen och data som flödar mellan beräkning och lagring krypteras inte. Ignorera den här rekommendationen om: 1. med värdbaserad kryptering, eller 2. kryptering på serversidan på hanterade diskar uppfyller dina säkerhetskrav. Läs mer i: Kryptering på serversidan av Azure Disk Storage: https://aka.ms/disksse, Olika diskkrypteringserbjudanden: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, inaktiverad | 2.0.3 |
Inbyggda definitioner för Azure Policy – Microsoft.Compute:
| Namn (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Virtuella Linux-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost. | Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. temporära diskar och datacacheminnen krypteras inte och data krypteras inte när de flödar mellan beräknings- och lagringsresurser. Använd Azure Disk Encryption eller EncryptionAtHost för att kryptera alla dessa data. Besök https://aka.ms/diskencryptioncomparison för att jämföra krypteringserbjudanden. Den här policyn kräver två förutsättningar för att kunna distribueras till tillämpningsområdet för principen. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.2.0-förhandsversion |
DP-5: Använd alternativet kundhanterad nyckel i vilande datakryptering vid behov
Funktioner
Datakryptering i vila med hjälp av CMK
Beskrivning: Kryptering av vilande data med kundhanterade nycklar stöds för kundinnehåll som lagras av tjänsten. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Funktionsanteckningar: Du kan välja att hantera kryptering på nivån för varje hanterad disk med dina egna nycklar. När du anger en kundhanterad nyckel används den nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Kundhanterade nycklar ger större flexibilitet för att hantera åtkomstkontroller.
Konfigurationsvägledning: Om det krävs för regelefterlevnad definierar du användningsfall och tjänstomfattning där kryptering med kundhanterade nycklar behövs. Aktivera och implementera vilande datakryptering med hjälp av kundhanterad nyckel för dessa tjänster.
Virtuella diskar på virtuella datorer (VM) krypteras i vila med antingen kryptering på serversidan eller Azure-diskkryptering (ADE). Azure Disk Encryption använder BitLocker-funktionen i Windows för att kryptera hanterade diskar med kundhanterade nycklar på den virtuella gästdatorn. Kryptering på serversidan med kundhanterade nycklar förbättrar ADE genom att du kan använda operativsystemtyper och avbildningar för dina virtuella datorer genom att kryptera data i lagringstjänsten.
Referens: Kryptering på serversidan av Azure Disk Storage
DP-6: Använd en process för säker nyckelhantering
Funktioner
Nyckelhantering i Azure Key Vault
Description: Tjänsten stöder Azure Key Vault-integrering för kundnycklar, hemligheter eller certifikat. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Använd Azure Key Vault för att skapa och kontrollera livscykeln för dina krypteringsnycklar, inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i Azure Key Vault och din tjänst baserat på ett definierat schema eller när det finns en viktig tillbakadragning eller kompromiss. När du behöver använda kundhanterad nyckel (CMK) på arbetsbelastnings-, tjänst- eller programnivå ska du se till att du följer metodtipsen för nyckelhantering: Använd en nyckelhierarki för att generera en separat datakrypteringsnyckel (DEK) med nyckelkrypteringsnyckeln (KEK) i nyckelvalvet. Se till att nycklar registreras med Azure Key Vault och refereras via nyckel-ID:t från tjänsten eller programmet. Om du behöver ta med din egen nyckel (BYOK) till tjänsten (till exempel importera HSM-skyddade nycklar från dina lokala HSM:er till Azure Key Vault) följer du de rekommenderade riktlinjerna för att utföra inledande nyckelgenerering och nyckelöverföring.
Referens: Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption på en virtuell Windows-dator
DP-7: Använd en säker certifikathanteringsprocess
Funktioner
Certifikathantering i Azure Key Vault
Description: Tjänsten stöder Azure Key Vault-integrering för alla kundcertifikat. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Kapitalförvaltning
Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.
AM-2: Använd endast godkända tjänster
Funktioner
Stöd för Azure Policy
Beskrivning: Tjänstkonfigurationer kan övervakas och tillämpas via Azure Policy. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Azure Policy kan användas för att definiera önskat beteende för organisationens virtuella Windows-datorer och virtuella Linux-datorer. Med hjälp av principer kan en organisation framtvinga olika konventioner och regler i hela företaget och definiera och implementera standardsäkerhetskonfigurationer för Virtuella Azure-datorer. Tillämpning av önskat beteende kan bidra till att minska risken och samtidigt bidra till att organisationen lyckas.
Referens: inbyggda Azure Policy-definitioner för Azure Virtual Machines
Övervakning av Microsoft Defender för molnet
inbyggda definitioner för Azure Policy – Microsoft.ClassicCompute:
| Namn (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| Virtuella datorer ska migreras till nya Azure Resource Manager-resurser | Använd nya Azure Resource Manager för dina virtuella datorer för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering | Revidera, Neka, Inaktiverad | 1.0.0 |
Inbyggda definitioner för Azure Policy – Microsoft.Compute:
| Namn (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| Virtuella datorer ska migreras till nya Azure Resource Manager-resurser | Använd nya Azure Resource Manager för dina virtuella datorer för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering | Granska, neka, inaktiverad | 1.0.0 |
AM-5: Använd endast godkända program på en virtuell dator
Funktioner
Microsoft Defender för molnet – Anpassningsbara programkontroller
Beskrivning: Tjänsten kan begränsa vilka kundprogram som körs på den virtuella datorn med hjälp av anpassningsbara programkontroller i Microsoft Defender för molnet. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Använd anpassningsbara programkontroller i Microsoft Defender för molnet för att identifiera program som körs på virtuella datorer (VM) och generera en lista över tillåtna program som kräver vilka godkända program som kan köras i VM-miljön.
Referens: Använd anpassningsbara programkontroller för att minska dina datorers angreppsytor
Övervakning av Microsoft Defender för molnet
inbyggda definitioner för Azure Policy – Microsoft.ClassicCompute:
| Namn (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| Anpassningsbara programkontroller för att definiera säkra program bör aktiveras på dina datorer | Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. | AuditIfNotExists, inaktiverad | 3.0.0 |
inbyggda definitioner för Azure Policy – Microsoft.Compute:
| Namn (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| Anpassningsbara programkontroller för att definiera säkra program bör aktiveras på dina datorer | Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. | AuditIfNotExists, inaktiverad | 3.0.0 |
Loggning och hotdetektering
Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.
LT-1: Aktivera funktioner för hotidentifiering
Funktioner
Microsoft Defender för tjänst/produkterbjudande
Description: Service har en erbjudandespecifik Microsoft Defender-lösning för att övervaka och varna om säkerhetsproblem. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Defender för servrar utökar skyddet till dina Windows- och Linux-datorer som körs i Azure. Defender for Servers integreras med Microsoft Defender för Endpoint för att tillhandahålla slutpunktsidentifiering och svar (EDR) och tillhandahåller även en mängd ytterligare funktioner för skydd mot hot, till exempel säkerhetsbaslinjer och utvärderingar på os-nivå, genomsökning av sårbarhetsbedömningar, anpassningsbara programkontroller (AAC), övervakning av filintegritet (FIM) med mera.
Referensnummer: Planera distributionen av Defender för servrar
Microsoft Defenders molnövervakning
Inbyggda definitioner för Azure Policy – Microsoft.Compute:
| Namn (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| Windows Defender Exploit Guard ska vara aktiverat på dina datorer | Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). | AuditIfNotExists, inaktiverad | 2.0.0 |
LT-4: Aktivera loggning för säkerhetsundersökning
Funktioner
Azure-resursloggar
Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sina egna datamottagare som ett lagringskonto eller en log analytics-arbetsyta. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Azure Monitor börjar automatiskt samla in metrikdata för din virtuella maskinvärd när du skapar VM:et. Om du vill samla in loggar och prestandadata från gästoperativsystemet på den virtuella datorn måste du dock installera Azure Monitor-agenten. Du kan installera agenten och konfigurera samlingen med hjälp av antingen VM-insikter eller genom att skapa en datainsamlingsregel.
Referens: Log Analytics-agentöversikt
Microsoft Defender för Cloud-övervakning
inbyggda definitioner av Azure Policy – Microsoft.Compute:
| Namn (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
Hantering av hållning och sårbarhet
Mer information finns i Microsoft cloud security benchmark: Posture and vulnerability management.
PV-3: Definiera och upprätta säkra konfigurationer för beräkningsresurser
Funktioner
Azure Automation State Configuration
Beskrivning: Azure Automation State Configuration kan användas för att underhålla operativsystemets säkerhetskonfiguration. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Använd Azure Automation State Configuration för att underhålla operativsystemets säkerhetskonfiguration.
referens: Konfigurera en virtuell dator med önskad tillståndskonfiguration
Gästkonfigurationsagent för Azure Policy
Beskrivning: Gästkonfigurationsagenten för Azure Policy kan installeras eller distribueras som ett tillägg till beräkningsresurser. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Funktionsanteckningar: Gästkonfiguration för Azure Policy kallas nu för Azure Automanage Machine Configuration.
Konfigurationsvägledning: Använd gästkonfigurationsagenten för Microsoft Defender för molnet och Azure Policy för att regelbundet utvärdera och åtgärda konfigurationsavvikelser för dina Azure-beräkningsresurser, inklusive virtuella datorer, containrar och andra.
Referens: Förstå datorkonfigurationsfunktionen i Azure Automanage
Anpassade VM-avbildningar
Beskrivning: Tjänsten stöder användning av användardefinierade VM-avbildningar eller fördefinierade avbildningar från marknadsplatsen med vissa baslinjekonfigurationer förinställda. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Använd en förkonfigurerad härdad avbildning från en betrodd leverantör som Microsoft eller skapa en önskad säker konfigurationsbaslinje i mallen för VM-avbildning
Referens: Självstudie: Skapa avbildningar av virtuella Windows-datorer med Azure PowerShell
PV-4: Granska och framtvinga säkra konfigurationer för beräkningsresurser
Funktioner
Betrodd lansering virtuell maskin
Description: Trusted Launch skyddar mot avancerade och beständiga attacktekniker genom att kombinera infrastrukturtekniker som säker start, vTPM och integritetsövervakning. Varje teknik ger ytterligare ett lager av skydd mot sofistikerade hot. Betrodd start möjliggör säker distribution av virtuella datorer med verifierade startinläsare, OS-kernels och drivrutiner och skyddar på ett säkert sätt nycklar, certifikat och hemligheter på de virtuella datorerna. Betrodd lansering ger också insikter och bygger förtroende för hela startkedjans integritet och säkerställer att arbetsbelastningarna är tillförlitliga och verifierbara. Betrodd start är integrerat med Microsoft Defender för molnet för att säkerställa att virtuella datorer är korrekt konfigurerade genom att fjärrattestera att den virtuella datorn startas på ett felfritt sätt. Läs mer.
| Understött | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Funktionsanteckning: Betrodd start är tillgänglig för virtuella datorer i generation 2. Betrodd start kräver att nya virtuella datorer skapas. Du kan inte aktivera betrodd start på befintliga virtuella datorer som ursprungligen skapades utan den.
Konfigurationsvägledning: Betrodd start kan aktiveras under distributionen av den virtuella datorn. Aktivera alla tre – Säker start, vTPM och integritetsstartövervakning för att säkerställa den virtuella datorns bästa säkerhetsstatus. Observera att det finns några krav som att registrera din prenumeration i Microsoft Defender för molnet, tilldela vissa Azure Policy-initiativ och konfigurera brandväggsprinciper.
Referens: Distribuera en virtuell dator med betrodd start aktiverat
PV-5: Utföra sårbarhetsbedömningar
Funktioner
Sårbarhetsbedömning med Microsoft Defender
Beskrivning: Tjänsten kan genomsökas efter sårbarhetssökning med hjälp av Microsoft Defender för molnet eller andra inbäddade sårbarhetsbedömningsfunktioner för Microsoft Defender-tjänster (inklusive Microsoft Defender för server, containerregister, App Service, SQL och DNS). Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Följ rekommendationerna från Microsoft Defender för molnet för att utföra sårbarhetsbedömningar på dina virtuella Azure-datorer.
Referens: Planera distributionen av Defender för servrar
Övervakning av Microsoft Defender för molnet
Inbyggda definitioner för Azure Policy – Microsoft.ClassicCompute:
| Namn (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| En lösning för sårbarhetsbedömning bör aktiveras på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
Inbyggda definitioner för Azure Policy – Microsoft.Compute:
| Namn (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| En lösning för sårbarhetsbedömning bör aktiveras på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
PV-6: Åtgärda säkerhetsrisker snabbt och automatiskt
Funktioner
Azure Update Manager
Beskrivning: Tjänsten kan använda Azure Update Manager för att distribuera korrigeringar och uppdateringar automatiskt. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Sann | Kund |
Konfigurationsvägledning: Använd Azure Update Manager för att säkerställa att de senaste säkerhetsuppdateringarna är installerade på dina virtuella Windows-datorer. För virtuella Windows-datorer kontrollerar du att Windows Update har aktiverats och är inställt på att uppdateras automatiskt.
Referens: Hantera uppdateringar och korrigeringar för dina virtuella datorer
Azure Gästuppdateringstjänst
Beskrivning: Tjänsten kan använda Azure Guest Patching för att distribuera korrigeringar och uppdateringar automatiskt. Läs mer.
| Understöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Tjänster kan utnyttja de olika uppdateringsmekanismerna, till exempel automatiska OS-avbildningsuppgraderingar och automatisk patchning av gästsystem. Funktionerna rekommenderas för att tillämpa de senaste säkerhets- och kritiska uppdateringarna på den virtuella datorns gästoperativsystem genom att följa principerna för säker distribution.
Med automatisk gästkorrigering kan du automatiskt utvärdera och uppdatera dina virtuella Azure-datorer för att upprätthålla säkerhetsefterlevnad med kritiska uppdateringar och säkerhetsuppdateringar som släpps varje månad. Uppdateringar tillämpas under lågtrafik, inklusive virtuella datorer i en tillgänglighetsuppsättning. Den här funktionen är tillgänglig för VMSS – flexibel orkestrering, med framtida stöd i översikten för enhetlig orkestrering.
Om du kör en tillståndslös arbetsbelastning är automatiska OS-avbildningsuppgraderingar idealiska för att tillämpa den senaste uppdateringen för din VMSS Uniform. Med återställningsfunktionen är dessa uppdateringar kompatibla med Marketplace eller anpassade avbildningar. Framtida kontinuerligt uppgraderingsstöd i färdplanen för flexibel orkestrering.
Referens: Automatiserad VM-gästpatchning för Azure-VM
Övervakning av Microsoft Defender för molnet
inbyggda definitioner för Azure Policy – Microsoft.ClassicCompute:
| Namn (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| Systemuppdateringar bör installeras på dina datorer | Uppdateringar av säkerhetssystem som saknas på dina servrar övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 4.0.0 |
inbyggda Definitioner för Azure Policy – Microsoft.Compute:
| Namn (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Systemuppdateringar bör installeras på dina datorer (drivs av Update Center) | Dina datorer saknar system, säkerhet och kritiska uppdateringar. Programuppdateringar innehåller ofta viktiga korrigeringar av säkerhetshål. Sådana hål utnyttjas ofta i attacker mot skadlig kod, så det är viktigt att hålla programvaran uppdaterad. Följ reparationsstegen för att installera alla utestående korrigeringar och skydda dina datorer. | AuditIfNotExists, avaktiverad | 1.0.0-förhandsversion |
Slutpunktssäkerhet
Mer information finns i Microsoft cloud security benchmark: Endpoint Security.
ES-1: Använd slutpunktsidentifiering och svar (EDR)
Funktioner
EDR-lösning
Description: EDR-funktionen (Endpoint Detection and Response), till exempel Azure Defender för servrar, kan distribueras till slutpunkten. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Azure Defender för servrar (med Microsoft Defender för Endpoint integrerat) ger EDR-funktioner för att förhindra, identifiera, undersöka och svara på avancerade hot. Använd Microsoft Defender för molnet för att distribuera Azure Defender för servrar för din slutpunkt och integrera aviseringarna i din SIEM-lösning, till exempel Azure Sentinel.
Referens: Planera implementeringen av Defender för servrar
ES-2: Använd modern programvara mot skadlig kod
Funktioner
Lösning mot skadlig kod
Beskrivning: Antimalware-funktioner såsom Microsoft Defender Antivirus, Microsoft Defender för Endpoint kan distribueras på slutpunkten. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: För Windows Server 2016 och senare installeras Microsoft Defender för Antivirus som standard. För Windows Server 2012 R2 och senare kan kunder installera SCEP (System Center Endpoint Protection). Alternativt kan kunderna också välja att installera produkter mot skadlig kod från tredje part.
Referens: Integrering av Windows Server med Defender för Endpoint
Microsoft Defender för molnet-övervakning
inbyggda definitioner för Azure Policy – Microsoft.ClassicCompute:
| Namn (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | Lös problem med slutpunktsskyddshälsa på dina virtuella datorer för att skydda dem mot de senaste hoten och sårbarheterna. Slutpunktsskyddslösningar som stöds i Azure Security Center dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Utvärdering av slutpunktsskydd dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, inaktiverad | 1.0.0 |
inbyggda definitioner för Azure Policy – Microsoft.Compute:
| Namn (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | Lös problem med slutpunktsskyddshälsa på dina virtuella datorer för att skydda dem mot de senaste hoten och sårbarheterna. Slutpunktsskyddslösningar som stöds i Azure Security Center dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Utvärdering av slutpunktsskydd dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, inaktiverad | 1.0.0 |
ES-3: Se till att programvara och signaturer mot skadlig kod uppdateras
Funktioner
Hälsoövervakning av antiviruslösning
Beskrivning: Lösningen mot skadlig kod ger hälsostatusövervakning för plattforms-, motor- och automatiska signaturuppdateringar. Läs mer.
| Stödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Funktionsanteckningar: Säkerhetsinformation och produktuppdateringar gäller för Defender för Endpoint som kan installeras på de virtuella Windows-datorerna.
Konfigurationsvägledning: Konfigurera din lösning mot skadlig kod för att säkerställa att plattformen, motorn och signaturerna uppdateras snabbt och konsekvent och att deras status kan övervakas.
Övervakning av Microsoft Defender för molnet
inbyggda definitioner för Azure Policy – Microsoft.ClassicCompute:
| Namn (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | Lös problem med slutpunktsskyddshälsa på dina virtuella datorer för att skydda dem mot de senaste hoten och sårbarheterna. Slutpunktsskyddslösningar som stöds i Azure Security Center dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Utvärdering av slutpunktsskydd dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, inaktiverad | 1.0.0 |
Azure Policy inbyggda definitioner – Microsoft.Compute:
| Namn (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | Lös problem med slutpunktsskyddshälsa på dina virtuella datorer för att skydda dem mot de senaste hoten och sårbarheterna. Slutpunktsskyddslösningar som stöds i Azure Security Center dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Utvärdering av slutpunktsskydd dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, inaktiverad | 1.0.0 |
Säkerhetskopiering och återställning
Mer information finns i Microsoft cloud security benchmark: Backup and recovery.
BR-1: Säkerställ att regelbundna automatiska säkerhetskopieringar utförs
Funktioner
Azure Backup
Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Aktivera Azure Backup och konfigurera säkerhetskopieringskällan (till exempel Virtuella Azure-datorer, SQL Server, HANA-databaser eller filresurser) med önskad frekvens och med önskad kvarhållningsperiod. För virtuella Azure-datorer kan du använda Azure Policy för att aktivera automatiska säkerhetskopieringar.
Referens: Alternativ för säkerhetskopiering och återställning av virtuella datorer i Azure
Övervakning av Microsoft Defender för molnet
Azure Policy inbyggda definitioner – Microsoft.Compute:
| Namn (Azure-portalen) |
Beskrivning | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| Azure Backup ska vara aktiverat för virtuella datorer | Skydda dina virtuella Azure-datorer genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. | AuditIfNotExists, inaktiverad | 3.0.0 |
Nästa steg
- Se översikten över Microsoft Cloud Security Benchmark
- Läs mer om Azure-säkerhetsbaslinjer