你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Cloud 的安全状况
安全分数概述
Microsoft Defender for Cloud 有两个主要目标:
- 帮助你了解当前的安全状况
- 帮助你有效提高安全性
Defender for Cloud 中用于实现这些目标的核心功能是“安全分数”。
Defender for Cloud 会持续评估跨云资源的安全问题。 然后,它将所有调查结果汇总成一个分数,让你可以一目了然地了解当前的安全状况:分数越高,识别出的风险级别就越低。
在 Azure 门户页中,安全功能分数显示为百分比值,且原值也一目了然:
在 Azure 移动应用中,安全功能分数显示为百分比值,可以点击该安全功能分数来查看分数解释的详细信息:
若要提高安全性,请查看 Defender for Cloud 的建议页,并通过实现每个问题的修正说明,根据建议进行修正。 建议会被分组到各项安全控件中。 每个控件都是相关安全建议的逻辑组,反映易受攻击的攻击面。 只有修正控制中针对单个资源的所有建议后,分数才会提高。 若要查看你的组织对每个单独攻击面的保护力度,请查看每个安全控件的分数。
有关详细信息,请参阅下面的如何计算安全功能分数。
管理安全状况
在“安全状况”页上,可以看到整个订阅的安全分数以及订阅中的每个环境。 默认情况下会显示所有环境。
| 页面部分 | 说明 |
|---|---|
|
选择环境以查看其安全分数和详细信息。 可以一次选择多个环境。 页面将基于你在此处的选择而更改。 |
|
显示影响总体分数的订阅、帐户和项目的总数。 还显示了环境中存在的运行不正常的资源数以及建议数。 |
通过页面的下半部分可以查看和管理所有单个订阅、帐户和项目,具体方法为查看其单独的安全分数、运行不正常的资源数,以及查看其建议。
可以通过选中“按环境分组”复选框,按环境对此部分进行分组。
如何计算安全功能分数
建议页上清楚地显示了每个安全控制对总体安全功能分数的贡献。
若要获得某个安全控制所有可能的分数,你的所有资源都必须符合该安全控制中的所有安全建议。 例如,Defender for Cloud 针对如何保护管理端口提供了多条建议。 现在必须修正所有建议,才能改变安全评分。
控制的示例分数
在此示例中:
修正漏洞安全控制 - 此控制对多个与发现和解决已知漏洞相关的建议进行分组。
最高分数 -
实现控制中的所有建议后可以获得的最高分数。 控制的最高分表明该控制的相对重要性,并且对于每个环境都是固定的。 可使用最高分值来会审要优先处理的问题。
有关所有控制及其最高分的列表,请参阅安全控制及其建议。
当前分数 -
此控制的当前分数。
当前分数=[每个资源的分数]*[正常运行的资源数]。每个控制都为总分贡献分数。 在此示例中,该控制为当前安全功能总分贡献了 2.00 分。
潜在分数增加 -
控制中可提升的剩余分值。 如果实现此控制中的所有建议,分数将增加 9%。
例如,潜在分数增加=[每个资源的分数]*[运行不正常的资源数] 或 0.1714 x 30 个运行不正常的资源 = 5.14。
Insights -
提供每个建议的额外详细信息。 可能是:
预览建议 - 此建议在正式发布之前不会影响你的安全分数。
修复 - 在“建议详细信息”页面中使用“修复”来解决此问题。
强制执行 - 在“建议详细信息”页面中,当所创建资源不合规时,可以自动部署策略来解决此问题。
拒绝 - 在“建议详细信息”页面中阻止创建具有此问题的新资源。
计算 - 了解你的分数
| 指标 | 公式和示例 |
|---|---|
| 安全控制的当前分数 |  每一个安全控制都计入安全评分。 受控制中的建议影响的每个资源都计入控制的当前分数。 各个控制的当前分数是对该控制中资源状态的度量。  在此示例中,最高分 6 将除以 78,因为这是正常运行的资源和运行不正常的资源的总和。 6/78 = 0.0769 将其乘以正常运行的资源数量 (4) 可得出当前分数: 0.0769 * 4 = 0.31 |
| 安全评分 单个订阅或连接器 |
  在此示例中,单个订阅或连接器启用了所有安全控制(可能的最高分为 60 分)。 该分数显示了可能的最高分 60 分中的 28 分,其余 32 分反映在安全控制的“可能增加的分数”数字中。  此公式与连接器的公式相同,只将“订阅”一词替换为“连接器”一词。 |
| 安全评分 多个订阅和连接器 |
 在计算多个订阅和连接器的组合分数时,Defender for Cloud 为每个订阅和连接器提供一个权重。 订阅和连接器的相对权重由 Defender for Cloud 根据资源数量等因素来确定。 每个订阅和连接器的当前分数的计算方式与单个订阅或连接器的计算方式相同,但会按公式所示应用权重。 查看多个订阅和连接器时,安全评分会计算所有已启用策略中的所有资源,并将其对每个安全控制的最高分的综合影响进行分组。  综合得分不是平均值,而是指所有订阅和连接器中所有资源状态的计算状况。 同样,在这里,如果转到建议页面并将可能得到的分数相加,你会发现结果是当前分数 (22) 与最高得分 (58) 之差。 |
安全功能分数计算中包括哪些建议?
只有内置建议才会影响安全评分。
计算安全分数时不包括标记为“预览”的建议。 仍应尽可能按这些建议修正,以便在预览期结束时,它们会有助于提升评分。
预览建议示例如下:
提高安全分数
若要提高安全评分,请修正建议列表中的安全建议。 可以为每个资源手动修正每个建议,也可以使用“修复”选项(若可用)快速解决多个资源上的问题。 有关详细信息,请参阅修正建议。
还可以在相关建议上配置“强制”和“拒绝”选项,以提高分数并确保用户不会创建对分数产生负面影响的资源。 有关详细信息,请参阅使用“强制执行/拒绝”建议防止错误配置。
安全控制及其建议
下表列出了 Microsoft Defender for Cloud 中的安全控制。 对于每个控制,可以看到为所有资源修正该控制中列出的所有建议后,安全评分可以增加的最高分数。
通过 Defender for Cloud 提供的安全建议集是针对每个组织的环境中的可用资源量身定制的。 可以禁用策略并从建议中排除特定资源来进一步自定义建议。
建议每个组织仔细检查其分配的 Azure Policy 计划。
提示
有关如何查看和编辑你的计划的详细信息,请参阅使用安全策略。
尽管 Defender for Cloud 的默认安全计划基于行业最佳做法和标准,但在某些情况下,下面列出的内置建议可能并不完全适合你的组织。 有时有必要在不影响安全性的情况下调整默认计划,以确保其与组织自己的策略、行业标准、监管标准和基准保持一致。
| 安全评分 | 安全控制和说明 | 建议 |
|---|---|---|
| 10 | 启用 MFA - Defender for Cloud 高度重视多重身份验证 (MFA)。 使用这些建议可保护订阅的用户。 可以通过三种方法来启用 MFA 并符合建议:安全默认值、每用户分配、条件访问策略。 在管理订阅上的 MFA 实施中详细了解这些选项。 |
- 应在对订阅拥有所有者权限的帐户上启用 MFA - 应在对订阅拥有写入权限的帐户上启用 MFA |
| 8 | 安全管理端口 - 暴力攻击通常以管理端口为目标。 使用这些建议可通过实时 VM 访问和网络安全组等工具减少暴露。 | - 面向 Internet 的虚拟机应使用网络安全组进行保护 - 应通过即时网络访问控制来保护虚拟机的管理端口 - 应关闭虚拟机上的管理端口 |
| 6 | 应用系统更新 - 不应用更新会留下未修补的漏洞,使环境容易受到攻击。 使用这些建议可保持运营效率、减少安全漏洞,并为最终用户提供更稳定的环境。 若要部署系统更新,可以使用更新管理解决方案来管理计算机的修补程序和更新。 | - 日志分析代理应安装在基于 Linux 已启用 Azure Arc 的计算机上 - 应在虚拟机规模集上安装 Log Analytics 代理 - 应在虚拟机上安装 Log Analytics 代理 - 日志分析代理应安装在基于 Windows 已启用 Azure Arc 的计算机上 - 应在虚拟机规模集上安装系统更新 - 应在计算机上安装系统更新 - 应在计算机上安装系统更新(由更新中心提供支持) |
| 6 | 修正漏洞 - Defender for Cloud 包含多个漏洞评估扫描程序,用于检查计算机、数据库和容器注册表中是否存在威胁参与者可能利用的漏洞。 使用这些建议可启用这些扫描程序并查看其发现结果。 详细了解如何扫描计算机、SQL服务器和容器注册表。 |
- 已启用 Azure Arc 的 Kubernetes 群集应安装 Azure Policy 扩展 - Azure Kubernetes 服务群集应安装适用于 Kubernetes 的 Azure Policy 加载项 - 应只从受信任的注册表中部署容器映像 - 容器注册表映像应已解决发现的漏洞 - 函数应用应已解决漏洞结果 - Kubernetes 群集应限制有漏洞映像的部署 - 计算机应具有漏洞评估解决方案 - 计算机应已解决发现的漏洞 - 运行容器映像应已解决漏洞结果 |
| 4 | 修正安全配置 - 配置错误的 IT 资产受到攻击的风险更高。 使用这些建议可强化基础结构中识别的错误配置。 | - 已启用 Azure Arc 的 Kubernetes 群集应安装 Azure Policy 扩展 - Azure Kubernetes 服务群集应安装适用于 Kubernetes 的 Azure Policy 加载项 - 容器应仅使用允许的 AppArmor 配置文件 - 日志分析代理应安装在基于 Linux 已启用 Azure Arc 的计算机上 - 应在虚拟机规模集上安装 Log Analytics 代理 - 应在虚拟机上安装 Log Analytics 代理 - 日志分析代理应安装在基于 Windows 已启用 Azure Arc 的计算机上 - 应安全配置计算机 - 应在 Kubernetes 服务上定义 Pod 安全策略(已弃用) - SQL 数据库应已解决发现的漏洞 - SQL 托管实例应配置了漏洞评估 - 计算机上的 SQL Server 应已解决发现的漏洞 - SQL 服务器应配置了漏洞评估 - 应安全配置虚拟机规模集 - 应修正 Linux 虚拟机上的安全配置漏洞(由来宾配置提供支持) - 应修正 Windows 虚拟机上的安全配置漏洞(由来宾配置提供支持) |
| 4 | 管理访问和权限 - 安全程序的核心是确保用户具有完成其工作(但仅限于此)所需的访问权限:最小特权访问模型。 使用这些建议可管理标识和访问要求。 | - 对 Linux 虚拟机进行身份验证需要 SSH 密钥 - 已启用 Azure Arc 的 Kubernetes 群集应安装 Azure Policy 扩展 - Azure Kubernetes 服务群集应安装适用于 Kubernetes 的 Azure Policy 加载项 - 应避免使用特权提升的容器 - 应避免使用共享敏感主机命名空间的容器 - 应从订阅中删除已弃用的帐户 - 应从 Azure 资源中删除已弃用的帐户 - 应从订阅中删除拥有所有者权限的已弃用帐户 - 应从 Azure 资源中删除具有所有者权限的已弃用帐户 - 应从订阅中删除拥有所有者权限的外部帐户 - 应从 Azure 资源中删除具有所有者权限的外部帐户 - 应从订阅中删除拥有写入权限的外部帐户 - 应从 Azure 资源中删除具有写入权限的外部帐户 - 函数应用应启用“客户端证书(传入客户端证书) - 应在计算机上安装来宾配置扩展 - 应强制对容器使用不可变(只读)根文件系统 - 应强制对容器使用最低权限 Linux 功能 - 应在 API 应用中使用托管标识 - 应在函数应用中使用托管标识 - 应在 Web 应用中使用托管标识 - 应避免使用特权容器 - 应在 Kubernetes 服务上使用基于角色的访问控制 - 应避免以根用户身份运行容器 - Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 - 应禁止存储帐户公共访问 - 应限制为只有已知列表才能使用 Pod HostPath 卷装载,以限制来自遭入侵容器的节点访问 - 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 |
| 4 | 启用静态加密 - 使用这些建议可确保减少存储数据保护方面的错误配置。 | - Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign - 应在 SQL 数据库上启用透明数据加密 - 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 |
| 4 | 加密传输中的数据 - 使用这些建议可保护在组件、位置或程序之间移动的数据。 这类数据更容易遭受中间人攻击、窃听和会话劫持。 | - 只能通过 HTTPS 访问 API 应用 - 应为 MySQL 数据库服务器启用“强制 SSL 连接” - 应为 PostgreSQL 数据库服务器启用“强制 SSL 连接” - 应在 API 应用中要求使用 FTPS - 应在函数应用中要求使用 FTPS - 应在 Web 应用中要求使用 FTPS - 应该只能通过 HTTPS 访问函数应用 - Redis Cache 应仅允许通过 SSL 访问 - 应启用安全传输到存储帐户 - 应将 TLS 更新为 API 应用的最新版本 - 应将 TLS 更新为函数应用的最新版本 - 应将 TLS 更新为 Web 应用的最新版本 - 只能通过 HTTPS 访问 Web 应用程序 |
| 4 | 限制未经授权的网络访问 - Azure 提供了一套工具,旨在确保整个网络中的访问符合最高安全标准。 使用这些建议可管理 Defender for Cloud 的自适应网络强化设置、确保已为所有相关 PaaS 服务配置 Azure 专用链接、在虚拟网络上启用 Azure 防火墙等。 |
- 应在面向 Internet 的虚拟机上应用自适应网络强化建议 - 应在与虚拟机关联的网络安全组上限制所有网络端口 - 应用程序配置应使用专用链接 - 已启用 Azure Arc 的 Kubernetes 群集应安装 Azure Policy 扩展 - Azure Cache for Redis 应驻留在虚拟网络中 - Azure 事件网格域应使用专用链接 - Azure 事件网格主题应使用专用链接 - Azure Kubernetes 服务群集应安装适用于 Kubernetes 的 Azure Policy 加载项 - Azure 机器学习工作区应使用专用链接 - Azure SignalR 服务应使用专用链接 - Azure Spring Cloud 应使用网络注入 - 容器注册表不得允许无限制的网络访问 - 容器注册表应使用专用链接 - 容器应只侦听允许的端口(已弃用) - CORS 不应允许所有资源都能访问 API 应用 - CORS 不应允许所有资源都能访问函数应用 - CORS 不应允许所有资源都能访问 Web 应用程序 - 应在 Key Vault 上启用防火墙 - 面向 Internet 的虚拟机应使用网络安全组进行保护 - 应禁用虚拟机上的 IP 转发 - 应为 Kubernetes API 服务器配置受限访问权限 - 应为 Key Vault 配置专用终结点 - 应为 MariaDB 服务器启用专用终结点 - 应为 MySQL 服务器启用专用终结点 - 应为 PostgreSQL 服务器启用专用终结点 - 应为 MariaDB 服务器禁用公用网络访问 - 应为 MySQL 服务器禁用公用网络访问 - 应为 PostgreSQL 服务器禁用公用网络访问 - 服务应只侦听允许的端口 - 存储帐户应使用专用链接连接 - 存储帐户应使用虚拟网络规则来限制网络访问 - 应限制对主机网络和端口的使用 - 虚拟网络应受 Azure 防火墙保护 - VM 映像生成器模板应使用专用链接 |
| 3 | 应用自适应应用程序控制 - 自适应应用程序控制是一种智能的、自动化的端到端解决方案,可用于控制哪些应用程序可以在计算机上运行。 它还有助于强化计算机免受恶意软件的侵害。 | - 应在计算机中启用自适应应用程序控制以定义安全应用程序 - 应更新自适应应用程序控制策略中的允许列表规则 - 日志分析代理应安装在基于 Linux 已启用 Azure Arc 的计算机上 - 应在虚拟机上安装 Log Analytics 代理 - 日志分析代理应安装在基于 Windows 已启用 Azure Arc 的计算机上 |
| 2 | 通过 Azure 高级网络解决方案保护应用程序 - | - 已启用 Azure Arc 的 Kubernetes 群集应安装 Azure Policy 扩展 - 应启用 Azure DDoS 防护标准 - Azure Kubernetes 服务群集应安装适用于 Kubernetes 的 Azure Policy 加载项 - 应强制执行容器 CPU 和内存限制 - 应为应用程序网关启用 Web 应用程序防火墙 (WAF) - 应为 Azure Front Door 服务启用 Web 应用程序防火墙 (WAF) |
| 2 | 启用终结点保护 - Defender for Cloud 会检查组织的终结点中是否存在活动的威胁检测和响应解决方案,例如 Microsoft Defender for Endpoint 或此列表中显示的任何主要解决方案。 当找不到终结点检测和响应 (EDR) 解决方案时,可以使用这些建议来部署 Microsoft Defender for Endpoint (作为适用于服务器的 Microsoft Defender 的一部分包含在内)。 此控制中的其他建议可帮助你部署 Log Analytics 代理并配置文件完整性监视。 |
- 应在计算机上解决 Endpoint Protection 运行状况问题 - 应在计算机上解决 Endpoint Protection 运行状况问题 - 应在虚拟机规模集上解决 Endpoint Protection 运行状况问题 - 应在计算机上安装 Endpoint Protection - 应在计算机上安装 Endpoint Protection - 应在虚拟机规模集上安装 Endpoint Protection - 在虚拟机上安装终结点保护解决方案 - 日志分析代理应安装在基于 Linux 已启用 Azure Arc 的计算机上 - 应在虚拟机规模集上安装 Log Analytics 代理 - 应在虚拟机上安装 Log Analytics 代理 - 日志分析代理应安装在基于 Windows 已启用 Azure Arc 的计算机上 |
| 1 | 启用审核和日志记录 - 详细日志是事件调查和许多其他故障排除操作的关键部分。 此控制中的建议侧重于确保在相关位置启用诊断日志。 | - 应启用 SQL 服务器上的审核 - 应启用应用服务中的诊断日志 - 应启用 Azure Data Lake Store 中的诊断日志 - 应启用 Azure 流分析的诊断日志 - 应启用 Batch 帐户的诊断日志 - 应启用 Data Lake Analytics 中的诊断日志 - 应启用事件中心的诊断日志 - 应启用 Key Vault 的诊断日志 - 应启用 Kubernetes 服务中的诊断日志 - 应启用逻辑应用的诊断日志 - 应启用搜索服务的诊断日志 - 应启用服务总线中的诊断日志 - 应启用虚拟机规模集中的诊断日志 |
| 0 | 启用增强的安全功能 - 使用这些建议启用任何增强的安全功能计划。 | - 已启用 Azure Arc 的 Kubernetes 群集应安装 Defender 扩展 - Azure Kubernetes 服务群集应启用 Defender 配置文件 - 应在服务器上启用文件完整性监视 - 应启用适用于应用服务的 Microsoft Defender - 应启用适用于 Azure SQL 数据库服务器的 Microsoft Defender - 应启用适用于容器的 Microsoft Defender - 应启用适用于 DNS 的 Microsoft Defender - 应启用适用于 Key Vault 的 Microsoft Defender - 应启用适用于开源关系数据库的 Microsoft Defender - 应启用适用于资源管理器的 Microsoft Defender - 应启用适用于服务器的 Microsoft Defender - 应在工作区上启用适用于服务器的 Microsoft Defender - 应在工作区中的计算机上启用 Microsoft Defender for SQL - 应在计算机上启用适用于 SQL Server 的 Microsoft Defender - 应启用适用于存储的 Microsoft Defender |
| 0 | 实现安全最佳做法 - 此控制对安全功能分数没有影响。 因此,它是一个建议集合,这些建议对于组织的安全而言非常重要,但我们认为不应成为评估总体分数的一部分。 | - [必要时启用] Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据 - [必要时启用] Azure 机器学习工作区应使用客户管理的密钥 (CMK) 进行加密 - [必要时启用] 认知服务帐户应启用使用客户管理的密钥 (CMK) 的数据加密 - [必要时启用] 容器注册表应使用客户管理的密钥 (CMK) 进行加密 - [必要时启用] MySQL 服务器应使用客户管理的密钥来加密静态数据 - [必要时启用] PostgreSQL 服务器应使用客户管理的密钥来加密静态数据 - [必要时启用] SQL 托管实例应使用客户管理的密钥来加密静态数据 - [必要时启用] SQL 服务器应使用客户管理的密钥来加密静态数据 - [必要时启用] 存储帐户应使用客户管理的密钥 (CMK) 进行加密 - 最多只能为订阅指定 3 个所有者 - 应限制对具有防火墙和虚拟网络配置的存储帐户的访问 - 在 SQL 托管实例高级数据安全设置中,应启用所有高级威胁防护类型 - 在 SQL Server 高级数据安全设置中,应启用所有高级威胁防护类型 - API 管理服务应使用虚拟网络 - 应将 SQL Server 的审核保留设置为至少 90 天 - 订阅应启用 Log Analytics 代理自动预配 - 自动化帐户变量应进行加密 - 应为虚拟机启用 Azure 备份 - Azure Cosmos DB 帐户应有防火墙规则 - 认知服务帐户应启用数据加密 - 认知服务帐户应限制网络访问 - 认知服务帐户应使用客户自有存储或启用数据加密 - 应安全配置容器主机 - 默认 IP 筛选策略应为“拒绝” - 应启用 IoT 中心的诊断日志 - 应启用高严重性警报的电子邮件通知 - 应启用向订阅所有者发送高严重性警报的电子邮件通知 - 确保 API 应用的“客户端证书(传入客户端证书)”设置为“打开” - 应从订阅中删除拥有读取权限的外部帐户 - 应从 Azure 资源中删除具有读取权限的外部帐户 - 应为 Azure Database for MariaDB 启用异地冗余备份 - 应为 Azure Database for MySQL 启用异地冗余备份 - 应为 Azure Database for PostgreSQL 启用异地冗余备份 - 应在受支持的 Linux 虚拟机规模集上安装来宾证明扩展 - 应在受支持的 Linux 虚拟机上安装来宾证明扩展 - 应在受支持的 Windows 虚拟机规模集上安装来宾证明扩展 - 应在受支持的 Windows 虚拟机上安装来宾证明扩展 - 应在计算机上安装来宾配置扩展 - 完全相同的身份验证凭据 - IP 筛选器规则的 IP 范围大 - 应将 Java 更新为 API 应用的最新版本 - 应将 Java 更新为函数应用的最新版本 - 应将 Java 更新为 Web 应用的最新版本 - Key Vault 密钥应具有到期日期 - Key Vault 机密应具有到期日期 - 密钥保管库应启用清除保护 - 密钥保管库应启用软删除 - Kubernetes 群集应只通过 HTTPS 进行访问 - Kubernetes 群集应禁用自动装载 API 凭据 - Kubernetes 群集不应授予 CAPSYSADMIN 安全功能 - Kubernetes 群集不应使用默认命名空间 - Linux 虚拟机应强制实施内核模块签名验证 - Linux 虚拟机应仅使用已签名且受信任的启动组件 - Linux 虚拟机应使用安全启动 - 应重启计算机以应用安全配置更新 - 计算机应关闭可能暴露攻击途径的端口 - 应在对订阅拥有读取权限的帐户上启用 MFA - 应对 Azure 资源上具有读取权限的帐户启用 MFA - 应为未受保护的 Azure SQL 服务器启用 Microsoft Defender for SQL - 应为未受保护的 SQL 托管实例启用 Microsoft Defender for SQL - 应启用网络观察程序 - 应使用网络安全组来保护非面向 Internet 的虚拟机 - 应将 PHP 更新为 API 应用的最新版本 - 应将 PHP 更新为 Web 应用的最新版本 - 应启用 Azure SQL 数据库上的专用终结点连接 - 应禁用 Azure SQL 数据库上的公用网络访问 - 应为认知服务帐户禁用公用网络访问 - 应将 Python 更新为 API 应用的最新版本 - 应将 Python 更新为函数应用的最新版本 - 应将 Python 更新为 Web 应用的最新版本 - 应为 API 应用禁用远程调试 - 应对函数应用禁用远程调试 - 应禁用 Web 应用程序的远程调试 - 应在受支持的 Windows 虚拟机上启用安全启动 - 应为 SQL Server 预配 Azure Active Directory 管理员 - 存储帐户应迁移到新的 Azure 资源管理器资源 - 子网应与网络安全组关联 - 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 - 应向订阅分配多个所有者 - 存储在 Azure Key Vault 中的证书的有效期不得超过 12 个月 - 虚拟机来宾证明状态应为正常 - 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 - 应将虚拟机迁移到新的 Azure 资源管理器资源 - 应在受支持的虚拟机上启用 vTPM - Web 应用应请求一个用于所有传入请求的 SSL 证书 - 应在计算机上启用 Microsoft Defender 攻击防护 - 应将 Windows Web 服务器配置为使用安全通信协议 |
常见问题解答 - 安全分数
如果仅处理某个安全控制四分之三的建议,安全评分是否会变化?
否。 为单个资源修正所有建议后,安全评分才会变化。 若要获得某个控制的最高分,必须为所有资源修正所有建议。
如果某个建议对我不适用,我在策略中禁用它,我能否达到安全控制的要求,我的安全评分是否会更新?
是的。 如果建议不适用于你的环境,建议禁用它们。 有关如何禁用特定建议的说明,请参阅禁用安全策略。
如果某个安全控制为安全评分贡献的分数为零,我应该忽略它吗?
在某些情况下,你会看到某个控制的最高分大于零,但影响为零。 如果通过修复资源增加的分数可忽略不计,则会将其舍入为零。 请勿忽略这些建议,因为它们仍然可以改善安全性。 唯一的例外是“其他最佳做法”控制。 修正这些建议不会提高分数,但会提高整体安全性。
后续步骤
本文介绍了安全分数及包含的安全控件。
如需相关材料,请参阅以下文章: