Оценка базовых показателей безопасности

Примечание.

Раздел Управление уязвимостями на портале Microsoft Defender теперь находится в разделе Управление экспозицией. Благодаря этому изменению теперь можно использовать данные о уязвимостях безопасности и данные об уязвимостях в едином расположении и управлять ими, чтобы улучшить существующие функции управления уязвимостями. Подробнее.

Эти изменения применимы к клиентам, использующим предварительную версию (параметр предварительной версии Microsoft Defender XDR + Microsoft Defender для удостоверений).

Примечание.

Чтобы использовать эту функцию, вам потребуется автономная служба управления уязвимостями Microsoft Defender или, если вы уже являетесь клиентом Microsoft Defender для конечной точки плана 2, надстройкой "Управление уязвимостями Defender".

Вместо бесконечных проверок соответствия требованиям оценка базовых показателей безопасности помогает непрерывно и легко отслеживать соответствие базовым показателям безопасности в организации и выявлять изменения в режиме реального времени.

Базовый профиль безопасности — это настраиваемый профиль, который можно создать для оценки и мониторинга конечных точек в организации по отраслевым тестам безопасности. При создании профиля базовых показателей безопасности создается шаблон, состоящий из нескольких параметров конфигурации устройства и базового теста производительности для сравнения.

Базовые показатели безопасности обеспечивают поддержку тестов Center for Internet Security (CIS) для Windows 10, Windows 11 и Windows Server 2008 R2 и более поздних версий, а также тесты тестирования технических руководств по безопасности (STIG) для Windows 10 и Windows Server 2019.

Примечание.

  • В настоящее время тесты производительности поддерживают только конфигурации объектов групповой политики, но не Microsoft Configuration Manager (Intune).
  • Оценка базовых показателей безопасности не поддерживается в системном языковом стандарте Windows, отличном от английского.
  • Оценка базового уровня безопасности не поддерживается, если в Windows Server 2012 R2 включена функция DFSS (Dynamic Fair Share Scheduling).
  • Чтобы оценка базового уровня безопасности была успешной, на ваших устройствах для PowerShell Constrained Language Mode должно быть установлено значение off. Если вы используете принудительное применение скриптов WDAC, можно настроить правила разрешения, позволяющие скриптам MDE выполняться в режиме FullLanguage. Дополнительные сведения см. в статье Разрешение сценариев Microsoft Defender для конечной точки с применением скриптов WDAC.

Совет

Знаете ли вы, что можете бесплатно опробовать все функции управления уязвимостями в Microsoft Defender? Узнайте, как зарегистрироваться для получения бесплатной пробной версии.

Начало работы с оценкой базовых показателей безопасности

  1. На портале Microsoft Defender выполните одно из следующих действий.

    • Если вы участвуете в программе предварительной оценки Microsoft Defender XDR + Microsoft Defender для удостоверений, выберите Управление рисками>Управление уязвимостями>Базовые оценки.
    • Если вы уже клиент, выберите Управление уязвимостями>Оценка базовых показателей.
  2. Перейдите на вкладку Профили в верхней части окна, а затем нажмите кнопку Создать профиль .

  3. Введите имя и описание профиля базовых показателей безопасности и нажмите кнопку Далее.

  4. На странице Базовая область профиля задайте параметры профиля, такие как программное обеспечение, базовый тест производительности (CIS или STIG), а также уровень соответствия и нажмите кнопку Далее.

  5. Выберите конфигурации, которые нужно включить в профиль.

    Снимок экрана: страница добавления параметров конфигурации

    Примечание.

    Некоторые конфигурации могут не быть включены в базовую оценку из-за необходимости проверки вручную или конфигурации не поддерживаются. Эти конфигурации помечаются как нуждающиеся в ручной проверке в списке, и они не будут автоматически оцениваться на соответствие.

    Выберите Настроить, если вы хотите изменить пороговое значение конфигурации для вашей организации.

    Снимок экрана: страница настройки параметров конфигурации

  6. Нажмите кнопку Далее , чтобы выбрать группы устройств и теги устройств, которые вы хотите включить в базовый профиль. Профиль будет автоматически применен к устройствам, добавленным в эти группы в будущем.

  7. Нажмите кнопку Далее , чтобы просмотреть профиль.

  8. Нажмите кнопку Отправить , чтобы создать профиль.

  9. На последней странице выберите Просмотр страницы профиля , чтобы просмотреть результаты оценки.

Совет

Вы можете создать несколько профилей для одной операционной системы с различными настройками.

При настройке конфигурации рядом с ней появится значок, указывающий на то, что она была настроена и больше не использует рекомендуемое значение. Нажмите кнопку Сброс, чтобы вернуться к рекомендуемому значению.

Полезные значки, о которых следует знать:

Ранее настроенная конфигурация . Эта конфигурация была настроена ранее. При создании нового профиля при нажатии кнопки Настроить вы увидите доступные варианты, которые можно выбрать.

Не используется значение по умолчанию . Эта конфигурация была настроена и не использует значение по умолчанию.

Обзор оценки базовых показателей безопасности

На странице обзора оценки базовых показателей безопасности можно просмотреть соответствие устройств, соответствие профилям, самые неудачные устройства и самые неправильно настроенные устройства.

Просмотр результатов оценки профиля базовых показателей безопасности

  1. На странице Профили выберите любой из профилей, чтобы открыть всплывающее меню с дополнительными сведениями.

    Снимок экрана: страница базового профиля

  2. Выберите Открыть страницу профиля. Страница профиля содержит две вкладки Конфигурации и Устройства.

Просмотр по конфигурации

На вкладке Конфигурации можно просмотреть список конфигураций и оценить их состояние соответствия.

Вкладка

Выбрав конфигурацию в списке, вы увидите всплывающее окно с подробными сведениями о параметре политики, включая рекомендуемое значение (ожидаемый диапазон значений для устройства, который будет считаться совместимым) и источник, используемый для определения текущих параметров устройства.

Всплывающие сведения о конфигурации на странице профиля

На вкладке Устройства отображается список всех применимых устройств и их состояние соответствия этой конкретной конфигурации. Для каждого устройства можно использовать обнаруженное текущее значение, чтобы узнать, почему оно соответствует или не соответствует требованиям.

Снимок экрана: страница соответствия базовым показателям

Просмотр по устройству

На главной вкладке Устройства можно просмотреть список устройств и оценить их состояние соответствия.

Выбрав устройство в списке, вы увидите всплывающее меню с дополнительными сведениями.

Вкладка

Перейдите на вкладку Конфигурация , чтобы просмотреть соответствие этого конкретного устройства всем конфигурациям профиля.

В верхней части боковой панели устройства выберите Открыть страницу устройства , чтобы перейти на страницу устройства в списке устройств. На странице устройства отображается вкладка Базовые показатели соответствия , которая обеспечивает детальную видимость соответствия устройства.

Выбрав конфигурацию в списке, вы увидите всплывающее окно со сведениями о соответствии для параметра политики на этом устройстве.

Создание исключений и управление ими

Возможны случаи, когда вы не хотите оценивать определенные конфигурации на определенных устройствах. Например, устройство может находиться под контролем стороннего производителя или иметь альтернативную меры по устранению рисков. В таких ситуациях можно добавить исключения, чтобы исключить оценку конкретных конфигураций на устройстве.

Устройства, включенные в исключения, не будут оцениваться для указанных конфигураций в базовых профилях. Это означает, что это не повлияет на метрики и оценку организации и может помочь организациям получить более четкое представление о соответствии требованиям.

Чтобы просмотреть исключения, выполните приведенные далее действия.

  1. На портале Microsoft Defender выполните одно из следующих действий.

    • Если вы участвуете в программе предварительной оценки Microsoft Defender XDR + Microsoft Defender для удостоверений, выберите Управление рисками>Управление уязвимостями>Базовые оценки.
    • Если вы уже являетесь клиентом, выберите Конечные точки>Управление уязвимостями>Оценка базовых показателей.
  2. Перейдите на вкладку Исключения в верхней части окна.

    Вкладка

Чтобы добавить новое исключение, выполните приведенные далее действия.

  1. На вкладке Исключения нажмите кнопку Создать .

  2. Введите запрошенные сведения, включая причину обоснования и длительность.

  3. Нажмите кнопку Далее.

  4. На странице Область конфигурации выберите программное обеспечение, базовый тест производительности и уровень соответствия и нажмите кнопку Далее.

  5. Выберите конфигурации, которые нужно добавить в исключение.

    Снимок экрана: страница исключений конфигурации

  6. Нажмите кнопку Далее , чтобы выбрать устройства, которые нужно включить в исключение. Исключение будет автоматически применено к устройствам.

  7. Нажмите кнопку Далее , чтобы просмотреть исключение.

  8. Нажмите кнопку Отправить , чтобы создать исключение.

  9. На последней странице выберите Просмотреть все исключения , чтобы вернуться на страницу исключений.

На странице Исключения выберите любое из исключений, чтобы открыть всплывающее окно, где можно просмотреть состояние, изменить или удалить исключение:

Снимок экрана: страница сведений об исключениях

Использование расширенной охоты

Вы можете выполнять расширенные запросы охоты в следующих таблицах, чтобы получить представление о базовых показателях безопасности в организации:

  • DeviceBaselineComplianceProfiles: предоставляет сведения о созданных профилях.
  • DeviceBaselineComplianceAssessment: информация о соответствии устройств.
  • DeviceBaselineComplianceAssessmentKB: общие параметры для тестов CIS и STIG (не связанные с каким-либо устройством).

Известные проблемы со сбором данных

Мы знаем об известных проблемах, влияющих на сбор данных в некоторых версиях тестов CIS, STIG и Майкрософт. Проблемы могут привести к неточным или неполным результатам при выполнении тестов в этих версиях. Над этими проблемами активно работают, и они будут устранены в будущих обновлениях.

Мы рекомендуем исключить затронутые тесты из профиля производительности во время выполнения оценки, чтобы избежать влияния этих проблем.

Если ваша версия тестового теста не указана ниже и у вас возникли проблемы, обратитесь в службу поддержки Майкрософт , чтобы помочь нам изучить дополнительные сведения и помочь вам решить проблему.

Затрагиваются следующие тесты CIS, Microsoft и STIG:

  • СНГ

    • CIS 17.1.1–17.1.3
    • CIS 17.2.1–17.2.6
    • CIS 17.3.1–17.3.2
    • CIS 17.4.1–17.4.2
    • CIS 17.5.1–17.5.6
    • CIS 17.6.1–17.6.4
    • CIS 17.7.1–17.7.5
    • CIS 17.8.1
    • CIS 17.9.1–17.9.5
  • Дополнения к проверкам CIS

    • CIS 2.3.2.2
    • CIS 2.3.7.3–2.3.7.5
    • CIS 2.3.10.1
    • CIS 1.1.5
  • Проверки Майкрософт

    • Microsoft версии с 2.1 по 2.9
    • Microsoft 2.10
    • Microsoft 2.12–2.21
    • Microsoft 2.23–2.30
    • Microsoft 2.33–2.52
    • Microsoft 3.55
    • Microsoft 3.57
    • Microsoft 3.60
    • Microsoft 3.72
  • Проверка хранилища сертификатов Майкрософт для Windows и Windows Server

    • MCS 1.1 для Windows 10 1909 (временная версия) 1.1.5
    • MCS 2.0 для Windows 10 1909 (временная версия) 1.1.5
    • MCS 1.1 для Windows 10 20H2 (временная) 1.1.5
    • MCS 2.0 для Windows 10 20H2 (временная версия) 1.1.5
    • MCS 2.0 для Windows 10 v21H2 1.1.5
    • MCS 2.0 для Windows 10 версии 22H2 1.1.5
    • MCS 2.0 для Windows 11 1.1.5
    • MCS 2.0 для Windows 11 23H2 1.1.5
    • MCS 2.0 для Windows Server 2022 1.1.5
    • MCS 2.0 для контроллера домена Windows Server 2022 1.1.5
    • MCS 2.0 для Windows Server 2019 1.1.5
    • MCS 2.0 для Контроллера домена Windows Server 2019 1.1.5
    • MCS 2.0 для Windows Server 2016 1.1.5
    • MCS 2.0 для Контроллера домена Windows Server 2016 1.1.5
    • MCS 2.0 для Windows Server 2012_R2 1.1.5
    • MCS 1.1 для Windows Server 2008_R2 (временная версия) 1.1.5
    • MCS 2.0 для Контроллера домена Windows Server 2022 2.3.10.1
    • MCS 2.0 для Контроллера домена Windows Server 2019 2.3.10.1
    • MCS 2.0 для Контроллера домена Windows Server 2016 2.3.10.1
  • Список STIG

    • STIG SV-220746r569187
    • STIG SV-220750r569187
    • STIG SV-220750r851970
    • STIG SV-220754r569187
    • STIG SV-220755r569187
    • STIG SV-220757r569187
    • STIG SV-220760r569187
    • STIG SV-220767r569187
    • STIG SV-220768r569187
    • STIG SV-220768r851975
    • STIG SV-220769r569187
    • STIG SV-220775r569187
    • STIG SV-220775r851978
    • STIG SV-220776r569187
    • STIG SV-220776r851979
    • STIG SV-220786r569187
    • STIG SV-220789r569187
    • STIG SV-220789r819664
    • STIG SV-224873r569186
    • STIG SV-225273r569185
    • STIG SV-225277r569185
    • STIG SV-225277r852184
    • STIG SV-225278r569185
    • STIG SV-225278r852185
    • STIG SV-225281r569185
    • STIG SV-225284r569185
    • STIG SV-225287r569185
    • STIG SV-225292r569185
    • STIG SV-225294r569185
    • STIG SV-225294r852189
    • STIG SV-225295r569185
    • STIG SV-225302r569185
    • STIG SV-225302r852194
    • STIG SV-225303r569185
    • STIG SV-225303r852195
    • STIG SV-226063r569184
    • STIG SV-226063r794292
    • STIG SV-226087r569184
    • STIG SV-226087r794341
    • STIG SV-226087r852064
    • STIG SV-226088r569184
    • STIG SV-226088r794342
    • STIG SV-226088r852065
    • STIG SV-226089r569184
    • STIG SV-226089r794274
    • STIG SV-226089r852066
    • STIG SV-226092r569184
    • STIG SV-226092r794343
    • STIG SV-226096r569184
    • STIG SV-226096r794784
    • STIG SV-226096r852070
    • STIG SV-226097r569184
    • STIG SV-226097r794786
    • STIG SV-226097r852071
    • STIG SV-226099r569184
    • STIG SV-226099r794279
    • STIG SV-226102r569184
    • STIG SV-226102r794335
    • STIG SV-226107r569184
    • STIG SV-226107r794336
    • STIG SV-226109r569184
    • STIG SV-226109r794353
    • STIG SV-226109r852074
    • STIG SV-226110r569184
    • STIG SV-226110r794366
    • STIG SV-226117r569184
    • STIG SV-226117r794356
    • STIG SV-226117r852079
    • STIG SV-226118r569184
    • STIG SV-226118r794357
    • STIG SV-226118r852080
    • STIG SV-254269r848623
    • STIG SV-254271r848629
    • STIG SV-254386r848974
    • STIG SV-254388r848980
    • STIG SV-254416r916422
    • STIG SV-254417r8449067