实时计算机访问

Microsoft Defender for Cloud 的 Defender for Servers 计划提供实时计算机访问功能。 “实时”可保护你的资源,防止威胁行动者主动搜寻具有开放管理端口(例如远程桌面协 (RDP) 或安全外壳 (SSH))的计算机。 所有计算机都是攻击的潜在目标。 入侵后,计算机可以作为进一步攻击环境中的资源的入口点。

若要减少攻击面,请尽量减少开放端口,尤其是管理端口。 但是,合法用户也需要这些端口,使得保持其关闭是不切实际的。

Defender for Cloud 的实时计算机访问功能可锁定虚拟机(VM)的入站流量,从而减少受到攻击的暴露,同时确保在需要时轻松访问。

即时访问和网络资源

蔚蓝

在 Azure 中,启用实时访问以阻止特定端口上的入站流量。

  • Defender for Cloud 确保在网络安全组 (NSG) 和 Azure 防火墙的规则中,针对所选端口存在“拒绝所有入站流量”的规则。
  • 这些规则限制对 Azure VM 管理端口的访问,并防止它们受到攻击。
  • 如果所选端口已存在其他规则,则这些现有规则优先于新的“拒绝所有入站流量”规则。
  • 如果所选端口上没有现有规则,新规则在 NSG 和 Azure 防火墙中优先。

识别用于即时访问的虚拟机

下图展示了 Defender for Servers 在决定如何分类支持的 VM 时应用的逻辑:

当 Defender for Cloud 发现可以从即时访问获益的计算机时,它会将该计算机添加到建议的“不健康的资源”选项卡中。

显示不正常的资源的屏幕截图。

后续步骤