您是否经营一家使用本地服务器的小型企业?
您很可能依赖包括服务器在内的技术,无论它们是基于 Windows 还是基于 Linux。 考虑到这一点,微软最近宣布将预览“小型企业的服务器保护”——将该产品与 Microsoft Defender for Business 捆绑在一起。
这是值得注意的,因为到目前为止,大多数端点检测和响应 (EDR) 解决方案都很昂贵,而且通常只由大型企业部署。 (EDR 是一种集成的分层端点保护方法,将实时连续监控和端点数据分析与基于规则的自动响应相结合。)
[相关:Windows 11 Insider Previews:最新版本有什么? ]
正如 Microsoft 在宣布此举的博客文章中指出的那样:
“Microsoft Defender for Business 服务器体验在 Defender for Business 的单一管理体验中为客户端和服务器提供相同级别的保护,帮助您在一个位置保护所有端点。”
目前,用户可以通过 Microsoft 365 Defender 安全门户为每台服务器激活试用版(该门户还会推荐安全设置,让您的服务器更安全)。 当微软正式发布该产品时,每台服务器每月收费 3 美元。 如果你是 Microsoft 365 for Business 客户,你可以开始试用,看看将其部署到你的服务器会产生什么影响。
在导航窗格中,选择设置 > 终结点,然后在设备管理下,选择入职。 现在选择一个操作系统,例如 Windows Server 1803、2019 和 2022,然后在“部署方法”部分中,选择“本地脚本”。 注意:对于这些较新的系统,你只需要运行这个脚本; 不需要其他安装步骤。 只需将命令行作为提升的命令运行即可。 (如果您没有为入职脚本提供正确的权限,它会提醒您这样做。
对于 Windows Server 2012 R2 和 2016 等较旧的软件,您需要下载和运行两个包:安装包和入职包。 安装包中专门包含一个安装Defender for Business代理的文件。 运行安装文件后,就像在较新的服务器平台之一上一样运行脚本。 较新的服务器(和工作站操作系统)包含自动启动防御者的代码。
板载服务器的特定命令文件名为 WindowsDefenderATPLocalOnboardingScript.cmd。 您的服务器应该会出现在 Defender 控制台中,尽管它不是即时的。 可能需要一段时间才能显示出来。
现在,是时候查看建议和警报了。
首先,Defender 为您提供系统的时间线视图——将其视为云取证系统。 您很快就会发现您的服务器(以及您的工作站)是非常活跃的对象,不断发送命令和活动。
例如,在上面的屏幕中,“MpCmdRun.exe”是 Microsoft 恶意软件保护命令行实用程序,它在服务器上执行活动。 在右侧的列中,它标记了正在使用的潜在安全技术。 请注意,在这种情况下,活动不是恶意的,控制台只是跟踪正常的服务器操作。 在这种情况下,它被识别为 MITRE“来自密码存储的凭据”活动。
接下来,在安全建议部分,您将看到可用于更好地保护小型企业服务器的建议调整。
其中许多建议与我们经常忘记在服务器安装上启用的攻击面减少规则有关。
Linux 服务器也可以加入 Defender for Servers 控制台,但我不清楚是否完全支持基于 Linux 的网络附加存储单元。 联系您的 NAS 供应商,确定他们是否支持在您的 Linux 设备上使用 Defender for Servers。 要将 Linux 设备载入您的控制台,您将遵循类似的安装过程。 您可以使用手动部署脚本或 Puppet、Ansible 或 Chef 配置管理工具。
支持的 Linux 服务器发行版包括:
Red Hat Enterprise Linux 6.7 或更高版本(预览版)。
红帽企业 Linux 7.2 或更高版本。
红帽企业 Linux 8.x。
CentOS 6.7 或更高版本(预览版)。
CentOS 7.2 或更高版本。
Ubuntu 16.04 LTS 或更高版本的 LTS。
Debian 9 或更高版本。
SUSE Linux Enterprise Server 12 或更高版本。
Oracle Linux 7.2 或更高版本。
甲骨文 Linux 8.x。
亚马逊 Linux 2。
Fedora 33 或更高版本。
请注意,该列表不包括我在小型企业中经常看到的特定 Linux 发行版。 例如,我经常在小型企业中看到 Synology 等 NAS 设备,我不确定 Defender for Servers 是否支持这些设备。 (我将向 Microsoft 反馈它需要将这些类型的 NAS 设备添加到支持矩阵中。)
目前还不清楚使用 Defender for Servers 所需的确切许可结构。 目前,Defender for Endpoint for Server 许可要求一定的最小用户数 (50)。 目前尚不清楚可以拥有多少 Microsoft Defender for Business 许可证才有资格获得 Defender for Servers 或是否需要最低数量的许可证。 我们必须等到产品正式发布才能知道许可是如何工作的。
底线:如果您经营一家小型企业,我建议您看看 Defender for Servers。 它将为您的小型企业网络带来额外的保护。
