使用 Microsoft Defender for Servers 保护虚拟机 (VM)

Microsoft Defender for Cloud 中的 Defender for Servers 使用访问控制和应用程序控制来阻止恶意活动,限制威胁所造成的危害。 可以通过实时 (JIT) 虚拟机 (VM) 访问拒绝对 VM 的永久性访问,减少自己遭受攻击的可能性。 仅在需要的情况下,才提供对 VM 的受控且经过审核的访问权限。 自适应应用程序控制可以对哪些应用程序能够在 VM 上运行进行控制,从而强化 VM 对抗恶意软件的能力。 Defender for Cloud 使用机器学习来分析在 VM 中运行的进程,帮助你运用此智能来应用允许列表规则。

在本教程中,将了解如何:

  • 配置实时 VM 访问策略
  • 配置应用程序控制策略

先决条件

若要逐步执行本教程中介绍的功能,必须启用 Defender for Cloud 的增强的安全性功能。 提供试用版。 若要升级,请参阅启用增强的保护

管理 VM 访问权限

JIT VM 访问可以用来锁定发往 Azure VM 的入站流量,降低遭受攻击的可能性,同时在需要时还允许轻松连接到 VM。

管理端口不需要始终处于打开状态。 它们只需要在连接到 VM 时打开,例如执行管理或维护任务。 如果启用了实时功能,Defender for Cloud 会使用网络安全组 (NSG) 规则,这些规则将限制对管理端口的访问以使其不会成为攻击者的目标。

按照使用实时访问保护管理端口指南进行操作。

强化 VM 对抗恶意软件的能力

可以通过自适应应用程序控制来定义一组应用程序,允许这些应用程序在配置的资源组上运行。这样有很多好处,其中之一就是有助于强化 VM 对抗恶意软件的能力。 Defender for Cloud 使用机器学习来分析在 VM 中运行的进程,帮助你运用此智能来应用允许列表规则。

按照使用自适应应用程序控制来减少计算机的攻击面指南进行操作。

后续步骤

本教程介绍了如何限制威胁所造成的危害,方法是:

  • 配置实时 VM 访问策略,仅在需要的时候提供受控且经过审核的 VM 访问权限
  • 配置自适应应用程序控制策略,对哪些应用程序可以在 VM 上运行进行控制

若要了解如何响应安全事件,请转到下一教程。