Azure Policy kontrolní mechanismy dodržování právních předpisů pro Azure Virtual Machines

Platí pro: ✔️ Virtuální ✔️ počítače s Windows s Linuxem ✔️ – Flexibilní škálovací sady Uniform Scale Sets ✔️

Dodržování právních předpisů v Azure Policy poskytuje microsoftu vytvořené a spravované definice iniciativ označované jako předdefinovanépro domény dodržování předpisů a kontrolní mechanismy zabezpečení související s různými standardy dodržování předpisů. Tato stránka obsahuje seznam domén dodržování předpisů a kontrolních mechanismů zabezpečení pro Azure Virtual Machines . Předdefinované prvky pro ovládací prvek zabezpečení můžete přiřadit jednotlivě, aby vaše prostředky Azure vyhovovaly konkrétnímu standardu.

Název každé předdefinované definice zásad odkazuje na definici zásady v Azure Portal. Pomocí odkazu ve sloupci Verze zásad zobrazte zdroj v úložišti Azure Policy GitHubu.

Důležité

Každý ovládací prvek je přidružený k jedné nebo více definicích Azure Policy. Tyto zásady vám můžou pomoct vyhodnotit dodržování předpisů s kontrolou. Mezi ovládacím prvek a jednou nebo více zásadami ale často neexistuje shoda 1:1 nebo úplná shoda. Dodržování předpisů v Azure Policy odkazuje pouze na samotné zásady. Tím se nezajistíte, že plně vyhovujete všem požadavkům ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli vyřešeny žádnými definicemi Azure Policy. Dodržování předpisů v Azure Policy je proto jen částečné zobrazení celkového stavu dodržování předpisů. Přidružení mezi ovládacími prvky a Azure Policy definicemi dodržování právních předpisů pro tyto standardy dodržování předpisů se můžou v průběhu času měnit.

Australian Government ISM PROTECTED

Informace o tom, jak dostupné Azure Policy předdefinované pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Azure Policy Dodržování právních předpisů – Australská vláda ISM PROTECTED. Další informace o tomto standardu dodržování předpisů naleznete v tématu Australian Government ISM PROTECTED.

Doména ID ovládacího prvku Název ovládacího prvku Zásady
(Azure Portal)
Verze zásad
(GitHub)
Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům 415 Identifikace uživatele – 415 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům 415 Identifikace uživatele – 415 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům 415 Identifikace uživatele – 415 Auditování počítačů s Windows se zadanými členy ve skupině Administrators 2.0.0
Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům 415 Identifikace uživatele – 415 Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Pokyny pro posílení zabezpečení systému – posílení zabezpečení ověřování 421 Jednofaktorové ověřování – 421 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Pokyny pro posílení zabezpečení systému – posílení zabezpečení ověřování 421 Jednofaktorové ověřování – 421 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Pokyny pro posílení zabezpečení systému – posílení zabezpečení ověřování 421 Jednofaktorové ověřování – 421 Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Pokyny pro posílení zabezpečení systému – posílení zabezpečení ověřování 421 Jednofaktorové ověřování – 421 Počítače s Windows by měly splňovat požadavky na nastavení zabezpečení – Zásady účtu. 3.0.0
Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům 445 Privilegovaný přístup k systémům – 445 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům 445 Privilegovaný přístup k systémům – 445 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům 445 Privilegovaný přístup k systémům – 445 Auditování počítačů s Windows se zadanými členy ve skupině Administrators 2.0.0
Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům 445 Privilegovaný přístup k systémům – 445 Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Pokyny pro kryptografii – Základy kryptografie 459 Šifrování neaktivních uložených dat – 459 Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Pokyny pro monitorování systému – protokolování a auditování událostí 582 Události, které se mají protokolovat – 582 Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. 1.1.0
Pokyny pro správu systému – opravy systému 940 Kdy opravit ohrožení zabezpečení – 940 Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Pokyny pro správu systému – opravy systému 940 Kdy opravit ohrožení zabezpečení – 940 Ohrožení zabezpečení v konfiguracích zabezpečení kontejneru by se měla napravit. 3.0.0
Pokyny pro správu systému – opravy systému 940 Kdy opravit ohrožení zabezpečení – 940 Chyby zabezpečení v konfiguraci zabezpečení na počítačích by se měly napravit. 3.0.0
Pokyny pro správu systému – opravy systému 940 Kdy opravit ohrožení zabezpečení – 940 Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
Pokyny pro kryptografii – Zabezpečení přenosové vrstvy 1139 Použití zabezpečení vrstvy přenosu – 1139 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Pokyny pro kryptografii – Zabezpečení přenosové vrstvy 1139 Použití zabezpečení vrstvy přenosu – 1139 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Pokyny pro kryptografii – Zabezpečení přenosové vrstvy 1139 Použití zabezpečení vrstvy přenosu – 1139 Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Pokyny pro kryptografii – Zabezpečení přenosové vrstvy 1139 Použití zabezpečení vrstvy přenosu – 1139 Webové servery Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. 4.0.0
Pokyny pro správu systému – opravy systému 1144 Kdy opravit ohrožení zabezpečení – 1144 Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Pokyny pro správu systému – opravy systému 1144 Kdy opravit ohrožení zabezpečení – 1144 Ohrožení zabezpečení v konfiguracích zabezpečení kontejneru by se měla napravit. 3.0.0
Pokyny pro správu systému – opravy systému 1144 Kdy opravit ohrožení zabezpečení – 1144 Chyby zabezpečení v konfiguraci zabezpečení na počítačích by se měly napravit. 3.0.0
Pokyny pro správu systému – opravy systému 1144 Kdy opravit ohrožení zabezpečení – 1144 Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
Pokyny pro sítě – Návrh a konfigurace sítě 1182 Řízení přístupu k síti – 1182 Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Pokyny pro sítě – Návrh a konfigurace sítě 1182 Řízení přístupu k síti – 1182 Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Pokyny pro databázové systémy – Databázové servery 1277 Komunikace mezi databázovými servery a webovými servery – 1277 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Pokyny pro databázové systémy – Databázové servery 1277 Komunikace mezi databázovými servery a webovými servery – 1277 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Pokyny pro databázové systémy – Databázové servery 1277 Komunikace mezi databázovými servery a webovými servery – 1277 Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Pokyny pro databázové systémy – Databázové servery 1277 Komunikace mezi databázovými servery a webovými servery – 1277 Webové servery Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. 4.0.0
Pokyny pro brány – Filtrování obsahu 1288 Antivirová kontrola – 1288 Řešení ochrany koncových bodů by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Pokyny pro brány – Filtrování obsahu 1288 Antivirová kontrola – 1288 Rozšíření Microsoft IaaSAntimalware by se mělo nasadit na serverech s Windows 1.1.0
Pokyny pro brány – Filtrování obsahu 1288 Antivirová kontrola – 1288 Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Pokyny pro správu systému – Správa systému 1386 Omezení toků provozu správy – 1386 Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Pokyny pro posílení zabezpečení systému – posílení zabezpečení operačního systému 1407 Verze operačního systému – 1407 Aktualizace systému ve škálovacích sadách virtuálních počítačů by se měly nainstalovat. 3.0.0
Pokyny pro posílení zabezpečení systému – posílení zabezpečení operačního systému 1407 Verze operačního systému – 1407 Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Pokyny pro posílení zabezpečení systému – posílení zabezpečení operačního systému 1417 Antivirový software – 1417 Řešení Endpoint Protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Pokyny pro posílení zabezpečení systému – posílení zabezpečení operačního systému 1417 Antivirový software – 1417 Rozšíření Microsoft IaaSAntimalware by mělo být nasazené na serverech s Windows. 1.1.0
Pokyny pro posílení zabezpečení systému – posílení zabezpečení operačního systému 1417 Antivirový software – 1417 Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Pokyny pro databázové systémy – Databázové servery 1425 Ochrana obsahu databázového serveru – 1425 Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Pokyny pro správu systému – opravy systému 1472 Kdy opravit ohrožení zabezpečení – 1472 Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Pokyny pro správu systému – opravy systému 1472 Kdy opravit ohrožení zabezpečení – 1472 Měla by se napravit ohrožení zabezpečení v konfiguracích zabezpečení kontejneru. 3.0.0
Pokyny pro správu systému – opravy systému 1472 Kdy opravit ohrožení zabezpečení – 1472 Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. 3.0.0
Pokyny pro správu systému – opravy systému 1472 Kdy opravit ohrožení zabezpečení – 1472 Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů. 3.0.0
Pokyny pro posílení zabezpečení systému – posílení zabezpečení operačního systému 1490 Řízení aplikací – 1490 Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Pokyny pro správu systému – opravy systému 1494 Kdy opravit ohrožení zabezpečení – 1494 Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Pokyny pro správu systému – opravy systému 1494 Kdy opravit ohrožení zabezpečení – 1494 Měla by se napravit ohrožení zabezpečení v konfiguracích zabezpečení kontejneru. 3.0.0
Pokyny pro správu systému – opravy systému 1494 Kdy opravit ohrožení zabezpečení – 1494 Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. 3.0.0
Pokyny pro správu systému – opravy systému 1494 Kdy opravit ohrožení zabezpečení – 1494 Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů. 3.0.0
Pokyny pro správu systému – opravy systému 1495 Kdy opravit ohrožení zabezpečení – 1495 Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Pokyny pro správu systému – opravy systému 1495 Kdy opravit ohrožení zabezpečení – 1495 Měla by se napravit ohrožení zabezpečení v konfiguracích zabezpečení kontejneru. 3.0.0
Pokyny pro správu systému – opravy systému 1495 Kdy opravit ohrožení zabezpečení – 1495 Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. 3.0.0
Pokyny pro správu systému – opravy systému 1495 Kdy opravit ohrožení zabezpečení – 1495 Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
Pokyny pro správu systému – opravy systému 1496 Kdy opravit ohrožení zabezpečení – 1496 Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Pokyny pro správu systému – opravy systému 1496 Kdy opravit ohrožení zabezpečení – 1496 Ohrožení zabezpečení v konfiguracích zabezpečení kontejneru by se měla napravit. 3.0.0
Pokyny pro správu systému – opravy systému 1496 Kdy opravit ohrožení zabezpečení – 1496 Chyby zabezpečení v konfiguraci zabezpečení na počítačích by se měly napravit. 3.0.0
Pokyny pro správu systému – opravy systému 1496 Kdy opravit ohrožení zabezpečení – 1496 Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům 1503 Standardní přístup k systémům – 1503 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům 1503 Standardní přístup k systémům – 1503 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům 1503 Standardní přístup k systémům – 1503 Auditování počítačů s Windows, které mají zadané členy ve skupině Administrators 2.0.0
Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům 1503 Standardní přístup k systémům – 1503 Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům 1507 Privilegovaný přístup k systémům – 1507 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům 1507 Privilegovaný přístup k systémům – 1507 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům 1507 Privilegovaný přístup k systémům – 1507 Auditování počítačů s Windows, které mají zadané členy ve skupině Administrators 2.0.0
Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům 1507 Privilegovaný přístup k systémům – 1507 Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům 1508 Privilegovaný přístup k systémům – 1508 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům 1508 Privilegovaný přístup k systémům – 1508 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům 1508 Privilegovaný přístup k systémům – 1508 Auditování počítačů s Windows, které mají zadané členy ve skupině Administrators 2.0.0
Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům 1508 Privilegovaný přístup k systémům – 1508 Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům 1508 Privilegovaný přístup k systémům – 1508 Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Pokyny pro správu systému – Zálohování a obnovení dat 1511 Provádění záloh – 1511 Audit virtuálních počítačů bez nakonfigurovaného zotavení po havárii 1.0.0
Pokyny pro posílení zabezpečení systému – posílení zabezpečení ověřování 1546 Ověřování v systémech – 1546 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Pokyny pro posílení zabezpečení systému – posílení zabezpečení ověřování 1546 Ověřování v systémech – 1546 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Pokyny pro posílení zabezpečení systému – posílení zabezpečení ověřování 1546 Ověřování v systémech – 1546 Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel 3.0.0
Pokyny pro posílení zabezpečení systému – posílení zabezpečení ověřování 1546 Ověřování v systémech – 1546 Auditování počítačů s Linuxem, které mají účty bez hesel 3.0.0
Pokyny pro posílení zabezpečení systému – posílení zabezpečení ověřování 1546 Ověřování v systémech – 1546 Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0

Srovnávací test zabezpečení Azure

Srovnávací test zabezpečení Azure poskytuje doporučení k zabezpečení cloudových řešení v Azure. Pokud chcete zjistit, jak se tato služba kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na soubory mapování srovnávacích testů zabezpečení Azure.

Informace o tom, jak dostupné Azure Policy integrované pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Azure Policy Dodržování právních předpisů – Srovnávací test zabezpečení Azure.

Doména ID ovládacího prvku Název ovládacího prvku Zásady
(Azure Portal)
Verze zásad
(GitHub)
Zabezpečení sítě NS-1 Vytvoření hranic segmentace sítě Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Zabezpečení sítě NS-1 Vytvoření hranic segmentace sítě Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
Zabezpečení sítě NS-1 Vytvoření hranic segmentace sítě Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Zabezpečení sítě NS-1 Vytvoření hranic segmentace sítě Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Zabezpečení sítě NS-3 Nasazení brány firewall na hraničních zařízeních podnikové sítě Předávání IP na virtuálním počítači by mělo být zakázané. 3.0.0
Zabezpečení sítě NS-3 Nasazení brány firewall na hraničních zařízeních podnikové sítě Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Zabezpečení sítě NS-3 Nasazení brány firewall na hraničních zařízeních podnikové sítě Porty pro správu by se měly na virtuálních počítačích zavřít. 3.0.0
Zabezpečení sítě NS-7 Zjednodušení konfigurace zabezpečení sítě Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Správa identit Im-3 Zabezpečená a automatická správa identit aplikací Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem 1.0.1
Správa identit IM-6 Použití silných ověřovacích ovládacích prvků Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. 3.0.0
Privilegovaný přístup PA-2 Vyhněte se přístupu k účtům a oprávněním. Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Ochrana dat DP-3 Šifrování citlivých dat při přenosu Webové servery Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. 4.0.0
Ochrana dat DP-4 Výchozí povolení šifrování neaktivních uložených dat Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Správa aktiv AM-2 Použití pouze schválených služeb
Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manager 1.0.0
Správa aktiv AM-5 Použití jenom schválených aplikací na virtuálním počítači Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Správa aktiv AM-5 Použití jenom schválených aplikací na virtuálním počítači Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Protokolování a detekce hrozeb LT-1 Povolení možností detekce hrozeb Windows Defender By měla být na vašich počítačích povolená ochrana Exploit Guard. 2.0.0
Protokolování a detekce hrozeb LT-2 Povolení detekce hrozeb pro správu identit a přístupu Windows Defender By měla být na vašich počítačích povolená ochrana Exploit Guard. 2.0.0
Protokolování a detekce hrozeb LT-3 Povolení protokolování pro šetření zabezpečení Protokoly prostředků v Virtual Machine Scale Sets by měly být povolené. 2.1.0
Protokolování a detekce hrozeb LT-4 Povolení protokolování sítě pro šetření zabezpečení
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. 1.0.2-Preview
Protokolování a detekce hrozeb LT-4 Povolení protokolování sítě pro šetření zabezpečení
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. 1.0.2-Preview
Protokolování a detekce hrozeb LT-5 Centralizovaná správa a analýza protokolů zabezpečení Agent Log Analytics by se měl nainstalovat na virtuální počítač pro monitorování Azure Security Center 1.0.0
Protokolování a detekce hrozeb LT-5 Centralizovaná správa a analýza protokolů zabezpečení Agent Log Analytics by se měl nainstalovat na škálovací sady virtuálních počítačů pro monitorování Azure Security Center 1.0.0
Stav a správa ohrožení zabezpečení PV-4 Auditování a vynucování zabezpečených konfigurací pro výpočetní prostředky [Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Linuxem. 5.0.0-Preview
Stav a správa ohrožení zabezpečení PV-4 Auditování a vynucování zabezpečených konfigurací pro výpočetní prostředky [Preview]: Rozšíření ověření identity hosta by se mělo nainstalovat na podporované škálovací sady virtuálních počítačů s Linuxem. 4.0.0-Preview
Stav a správa ohrožení zabezpečení PV-4 Auditování a vynucování zabezpečených konfigurací pro výpočetní prostředky [Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Windows. 3.0.0-preview
Stav a správa ohrožení zabezpečení PV-4 Auditování a vynucování zabezpečených konfigurací pro výpočetní prostředky [Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných škálovacích sadách virtuálních počítačů s Windows. 2.0.0-Preview
Stav a správa ohrožení zabezpečení PV-4 Auditování a vynucování zabezpečených konfigurací pro výpočetní prostředky [Preview]: Na podporovaných virtuálních počítačích s Windows by mělo být povolené zabezpečené spouštění. 3.0.0-preview
Stav a správa ohrožení zabezpečení PV-4 Auditování a vynucování zabezpečených konfigurací pro výpočetní prostředky [Preview]: Virtuální počítač vTPM by měl být povolený na podporovaných virtuálních počítačích. 2.0.0-Preview
Stav a správa ohrožení zabezpečení PV-4 Auditování a vynucování zabezpečených konfigurací pro výpočetní prostředky Rozšíření konfigurace hosta by se mělo nainstalovat na vaše počítače 1.0.2
Stav a správa ohrožení zabezpečení PV-4 Auditování a vynucování zabezpečených konfigurací pro výpočetní prostředky Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. 2.0.0
Stav a správa ohrožení zabezpečení PV-4 Auditování a vynucování zabezpečených konfigurací pro výpočetní prostředky Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. 1.0.1
Stav a správa ohrožení zabezpečení PV-4 Auditování a vynucování zabezpečených konfigurací pro výpočetní prostředky Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. 2.0.0
Stav a správa ohrožení zabezpečení PV-5 Provádění posouzení ohrožení zabezpečení Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Stav a správa ohrožení zabezpečení PV-6 Rychlé a automatické nápravy ohrožení zabezpečení [Preview]: Počítače by měly být nakonfigurované tak, aby pravidelně kontrolovaly chybějící aktualizace systému. 1.0.0-preview
Stav a správa ohrožení zabezpečení PV-6 Rychlé a automatické nápravy ohrožení zabezpečení [Preview]: Aktualizace systému by se měly nainstalovat na vaše počítače (využívající Update Center) 1.0.0-preview
Stav a správa ohrožení zabezpečení PV-6 Rychlé a automatické nápravy ohrožení zabezpečení Vyřešené zjištění ohrožení zabezpečení serverů SQL na počítačích 1.0.0
Stav a správa ohrožení zabezpečení PV-6 Rychlé a automatické nápravy ohrožení zabezpečení Aktualizace systému ve škálovacích sadách virtuálních počítačů by měly být nainstalovány. 3.0.0
Stav a správa ohrožení zabezpečení PV-6 Rychlé a automatické nápravy ohrožení zabezpečení Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Stav a správa ohrožení zabezpečení PV-6 Rychlé a automatické nápravy ohrožení zabezpečení Ohrožení zabezpečení v konfiguracích zabezpečení kontejneru by se měla napravit. 3.0.0
Stav a správa ohrožení zabezpečení PV-6 Rychlé a automatické nápravy ohrožení zabezpečení Chyby zabezpečení v konfiguraci zabezpečení na počítačích by se měly napravit. 3.0.0
Stav a správa ohrožení zabezpečení PV-6 Rychlé a automatické nápravy ohrožení zabezpečení Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
Zabezpečení koncového bodu ES-2 Použití moderního antimalwarového softwaru Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. 1.0.0
Zabezpečení koncového bodu ES-2 Použití moderního antimalwarového softwaru Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. 1.0.0
Zabezpečení koncového bodu ES-2 Použití moderního antimalwarového softwaru Řešení ochrany koncových bodů by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Zabezpečení koncového bodu ES-2 Použití moderního antimalwarového softwaru Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Zabezpečení koncového bodu ES-2 Použití moderního antimalwarového softwaru Windows Defender By měla být na vašich počítačích povolená ochrana Exploit Guard. 2.0.0
Zabezpečení koncového bodu ES-3 Ujistěte se, že se aktualizuje antimalwarový software a podpisy. Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. 1.0.0
Zálohování a obnovy BR-1 Zajištění pravidelných automatizovaných záloh Azure Backup by měly být povolené pro Virtual Machines 3.0.0
Zálohování a obnovy BR-2 Ochrana dat zálohování a obnovení Azure Backup by měly být povolené pro Virtual Machines 3.0.0
Zabezpečení DevOps DS-6 Vynucování zabezpečení úloh v průběhu životního cyklu DevOps Ohrožení zabezpečení v konfiguracích zabezpečení kontejneru by se měla napravit. 3.0.0

Srovnávací test zabezpečení Azure v1

Srovnávací test zabezpečení Azure poskytuje doporučení k zabezpečení cloudových řešení v Azure. Pokud chcete zjistit, jak se tato služba kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na soubory mapování srovnávacích testů zabezpečení Azure.

Informace o tom, jak dostupné Azure Policy integrované pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Azure Policy Dodržování právních předpisů – Srovnávací test zabezpečení Azure.

Doména ID ovládacího prvku Název ovládacího prvku Zásady
(Azure Portal)
Verze zásad
(GitHub)
Zabezpečení sítě 1.1 Ochrana prostředků pomocí skupin zabezpečení sítě nebo Azure Firewall ve vašem Virtual Network Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Zabezpečení sítě 1.1 Ochrana prostředků pomocí skupin zabezpečení sítě nebo Azure Firewall ve vašem Virtual Network Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Zabezpečení sítě 1.1 Ochrana prostředků pomocí skupin zabezpečení sítě nebo Azure Firewall ve vašem Virtual Network Předávání IP na virtuálním počítači by mělo být zakázané. 3.0.0
Zabezpečení sítě 1.1 Ochrana prostředků pomocí skupin zabezpečení sítě nebo Azure Firewall ve vašem Virtual Network Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Zabezpečení sítě 1.1 Ochrana prostředků pomocí skupin zabezpečení sítě nebo Azure Firewall ve vašem Virtual Network Porty pro správu by se měly na virtuálních počítačích zavřít. 3.0.0
Zabezpečení sítě 1.11 Použití automatizovaných nástrojů k monitorování konfigurací síťových prostředků a zjišťování změn Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Zabezpečení sítě 1.11 Použití automatizovaných nástrojů k monitorování konfigurací síťových prostředků a zjišťování změn Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Zabezpečení sítě 1.11 Použití automatizovaných nástrojů k monitorování konfigurací síťových prostředků a zjišťování změn Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Zabezpečení sítě 1.11 Použití automatizovaných nástrojů k monitorování konfigurací síťových prostředků a zjišťování změn Počítače s Windows by měly splňovat požadavky na šablony pro správu – síť. 3.0.0
Zabezpečení sítě 1.11 Použití automatizovaných nástrojů k monitorování konfigurací síťových prostředků a zjišťování změn Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Microsoft Network Server. 3.0.0
Zabezpečení sítě 1.11 Použití automatizovaných nástrojů k monitorování konfigurací síťových prostředků a zjišťování změn Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Síťový přístup. 3.0.0
Zabezpečení sítě 1.11 Použití automatizovaných nástrojů k monitorování konfigurací síťových prostředků a zjišťování změn Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. 3.0.0
Zabezpečení sítě 1.4 Odepření komunikace se známými škodlivými IP adresami Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Zabezpečení sítě 1.4 Odepření komunikace se známými škodlivými IP adresami Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Protokolování a monitorování 2,2 Konfigurace správy protokolů centrálního zabezpečení Auditování počítačů s Windows, na kterých není agent Log Analytics připojený podle očekávání 2.0.0
Protokolování a monitorování 2,2 Konfigurace správy protokolů centrálního zabezpečení Rozšíření Log Analytics by se mělo nainstalovat na Virtual Machine Scale Sets 1.0.1
Protokolování a monitorování 2,2 Konfigurace správy protokolů centrálního zabezpečení Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. 1.0.1
Protokolování a monitorování 2.3 Povolení protokolování auditu pro prostředky Azure Protokoly prostředků v Virtual Machine Scale Sets by měly být povolené. 2.1.0
Protokolování a monitorování 2,4 Shromažďování protokolů zabezpečení z operačních systémů Auditování počítačů s Windows, na kterých není agent Log Analytics připojený podle očekávání 2.0.0
Protokolování a monitorování 2,4 Shromažďování protokolů zabezpečení z operačních systémů Rozšíření Log Analytics by se mělo nainstalovat na Virtual Machine Scale Sets 1.0.1
Protokolování a monitorování 2,4 Shromažďování protokolů zabezpečení z operačních systémů Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. 1.0.1
Protokolování a monitorování 2,8 Centralizované protokolování antimalwaru Řešení ochrany koncových bodů by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Protokolování a monitorování 2,8 Centralizované protokolování antimalwaru Microsoft Antimalware pro Azure by se měly nakonfigurovat tak, aby automaticky aktualizovaly podpisy ochrany. 1.0.0
Protokolování a monitorování 2,8 Centralizované protokolování antimalwaru Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Identita a řízení přístupu 3.3 Použití vyhrazených účtů pro správu Auditování počítačů s Windows, u které chybí některý ze zadaných členů ve skupině Administrators 2.0.0
Identita a řízení přístupu 3.3 Použití vyhrazených účtů pro správu Auditování počítačů s Windows s dalšími účty ve skupině Administrators 2.0.0
Identita a řízení přístupu 3.3 Použití vyhrazených účtů pro správu Auditování počítačů s Windows, které mají zadané členy ve skupině Administrators 2.0.0
Ochrana dat 4.8 Šifrování citlivých informací v klidovém stavu [Zastaralé]: Nepřipojené disky by měly být šifrované. 1.0.0-zastaralé
Ochrana dat 4.8 Šifrování citlivých informací v klidovém stavu Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Správa ohrožení zabezpečení 5,1 Spuštění automatizovaných nástrojů pro kontrolu ohrožení zabezpečení Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Správa ohrožení zabezpečení 5.2 Nasazení automatizovaného řešení pro správu oprav operačního systému Aktualizace systému ve škálovacích sadách virtuálních počítačů by měly být nainstalovány. 3.0.0
Správa ohrožení zabezpečení 5.2 Nasazení automatizovaného řešení pro správu oprav operačního systému Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Správa ohrožení zabezpečení 5.5 Použití procesu hodnocení rizik k určení priority nápravy zjištěných ohrožení zabezpečení Ohrožení zabezpečení v konfiguracích zabezpečení kontejneru by se měla napravit. 3.0.0
Správa ohrožení zabezpečení 5.5 Použití procesu hodnocení rizik k určení priority nápravy zjištěných ohrožení zabezpečení Chyby zabezpečení v konfiguraci zabezpečení na počítačích by se měly napravit. 3.0.0
Správa ohrožení zabezpečení 5.5 Použití procesu hodnocení rizik k určení priority nápravy zjištěných ohrožení zabezpečení Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
Správa inventáře a aktiv 6.10 Implementace seznamu schválených aplikací Adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené. 3.0.0
Správa inventáře a aktiv 6.8 Používejte jenom schválené aplikace. Adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené. 3.0.0
Správa inventáře a aktiv 6.9 Použití pouze schválených služeb Azure Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manager 1.0.0
Zabezpečená konfigurace 7.10 Implementace automatizovaného monitorování konfigurace pro operační systémy Ohrožení zabezpečení v konfiguracích zabezpečení kontejneru by se měla napravit. 3.0.0
Zabezpečená konfigurace 7.10 Implementace automatizovaného monitorování konfigurace pro operační systémy Chyby zabezpečení v konfiguraci zabezpečení na počítačích by se měly napravit. 3.0.0
Zabezpečená konfigurace 7.10 Implementace automatizovaného monitorování konfigurace pro operační systémy Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
Zabezpečená konfigurace 7,4 Údržba zabezpečených konfigurací operačního systému Ohrožení zabezpečení v konfiguracích zabezpečení kontejneru by se měla napravit. 3.0.0
Zabezpečená konfigurace 7,4 Údržba zabezpečených konfigurací operačního systému Chyby zabezpečení v konfiguraci zabezpečení na počítačích by se měly napravit. 3.0.0
Zabezpečená konfigurace 7,4 Údržba zabezpečených konfigurací operačního systému Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
Obrana před malwarem 8.1 Použití centrálně spravovaného antimalwarového softwaru Řešení ochrany koncových bodů by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Obrana před malwarem 8.1 Použití centrálně spravovaného antimalwarového softwaru Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Obrana před malwarem 8.3 Ujistěte se, že se aktualizuje antimalwarový software a podpisy. Microsoft Antimalware pro Azure by se měly nakonfigurovat tak, aby automaticky aktualizovaly podpisy ochrany. 1.0.0
Obnovení dat 9.1 Zajištění pravidelných automatizovaných záloh Azure Backup by měly být povolené pro Virtual Machines 3.0.0
Obnovení dat 9.2 Provádění kompletních záloh systému a zálohování všech klíčů spravovaných zákazníkem Azure Backup by měly být povolené pro Virtual Machines 3.0.0

Canada Federal PBMM

Informace o tom, jak dostupné Azure Policy integrované pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Azure Policy Dodržování právních předpisů – Canada Federal PBMM. Další informace o tomto standardu dodržování předpisů najdete v tématu Canada Federal PBMM.

Doména ID ovládacího prvku Název ovládacího prvku Zásady
(Azure Portal)
Verze zásad
(GitHub)
Řízení přístupu AC-5 Oddělení povinností Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Řízení přístupu AC-5 Oddělení povinností Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Řízení přístupu AC-5 Oddělení povinností Auditování počítačů s Windows, u které chybí některý ze zadaných členů ve skupině Administrators 2.0.0
Řízení přístupu AC-5 Oddělení povinností Auditování počítačů s Windows, které mají zadané členy ve skupině Administrators 2.0.0
Řízení přístupu AC-5 Oddělení povinností Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Řízení přístupu AC-6 Nejnižší oprávnění Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Řízení přístupu AC-6 Nejnižší oprávnění Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Řízení přístupu AC-6 Nejnižší oprávnění Auditování počítačů s Windows, u které chybí některý ze zadaných členů ve skupině Administrators 2.0.0
Řízení přístupu AC-6 Nejnižší oprávnění Auditování počítačů s Windows, které mají zadané členy ve skupině Administrators 2.0.0
Řízení přístupu AC-6 Nejnižší oprávnění Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Řízení přístupu AC-17(1) | vzdáleného přístupu Automatizované monitorování / řízení Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Řízení přístupu AC-17(1) | vzdáleného přístupu Automatizované monitorování / řízení Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Řízení přístupu AC-17(1) | vzdáleného přístupu Automatizované monitorování / řízení Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel 3.0.0
Řízení přístupu AC-17(1) | vzdáleného přístupu Automatizované monitorování / řízení Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Audit a odpovědnost AU-3 Obsah záznamů auditu [Preview]: Rozšíření Log Analytics by mělo být povolené pro uvedené image virtuálních počítačů. 2.0.1-preview
Audit a odpovědnost AU-3 Obsah záznamů auditu Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. 2.0.1
Audit a odpovědnost AU-3 Obsah záznamů auditu Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. 1.1.0
Audit a odpovědnost AU-12 Generování auditu [Preview]: Rozšíření Log Analytics by mělo být povolené pro uvedené image virtuálních počítačů. 2.0.1-preview
Audit a odpovědnost AU-12 Generování auditu Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. 2.0.1
Audit a odpovědnost AU-12 Generování auditu Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. 1.1.0
Správa konfigurace CM-7(5) | nejnižších funkcí Autorizovaný software / seznam povolených Adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené. 3.0.0
Správa konfigurace CM-11 User-Installed Software Adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené. 3.0.0
Plánování nepředvídaných událostí CP-7 Web alternativního zpracování Audit virtuálních počítačů bez nakonfigurovaného zotavení po havárii 1.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Auditování počítačů s Linuxem, které nemají oprávnění k souborům passwd nastavená na 0644 3.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Auditování počítačů s Linuxem, které mají účty bez hesel 3.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Identifikace a ověřování IA-5(1) | pro správu authenticatoru ověřování Password-Based Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Identifikace a ověřování IA-5(1) | pro správu authenticatoru ověřování Password-Based Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Identifikace a ověřování IA-5(1) | pro správu authenticatoru ověřování Password-Based Auditování počítačů s Windows, které umožňují opakované použití předchozích 24 hesel 2.0.0
Identifikace a ověřování IA-5(1) | pro správu authenticatoru ověřování Password-Based Auditování počítačů s Windows, které nemají maximální věk hesla 70 dnů 2.0.0
Identifikace a ověřování IA-5(1) | pro správu authenticatoru ověřování Password-Based Auditování počítačů s Windows, které nemají minimální věk hesla 1 den 2.0.0
Identifikace a ověřování IA-5(1) | pro správu authenticatoru ověřování Password-Based Auditování počítačů s Windows, které nemají povolené nastavení složitosti hesla 2.0.0
Identifikace a ověřování IA-5(1) | pro správu authenticatoru ověřování Password-Based Auditování počítačů s Windows, které neomezují minimální délku hesla na 14 znaků 2.0.0
Identifikace a ověřování IA-5(1) | pro správu authenticatoru ověřování Password-Based Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Posouzení rizik RA-5 Kontrola ohrožení zabezpečení Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Posouzení rizik RA-5 Kontrola ohrožení zabezpečení Chyby zabezpečení v konfiguraci zabezpečení na počítačích by se měly napravit. 3.0.0
Posouzení rizik RA-5 Kontrola ohrožení zabezpečení Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
System and Communications Protection SC-7 Ochrana hranic Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
System and Communications Protection SC-7 Ochrana hranic Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
System and Communications Protection SC-7(3) | ochrany hranic Přístupové body Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
System and Communications Protection SC-7(4) | ochrany hranic Externí telekomunikační služby Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
System and Communications Protection SC-8(1) Přenos důvěrnosti a integrity | Kryptografická nebo alternativní fyzická ochrana Webové servery Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. 4.0.0
System and Communications Protection SC-28 Ochrana informací v klidovém stavu Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Integrita systému a informací SI-2 Náprava chyb Aktualizace systému ve škálovacích sadách virtuálních počítačů by měly být nainstalovány. 3.0.0
Integrita systému a informací SI-2 Náprava chyb Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Integrita systému a informací SI-2 Náprava chyb Chyby zabezpečení v konfiguraci zabezpečení na počítačích by se měly napravit. 3.0.0
Integrita systému a informací SI-2 Náprava chyb Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
Integrita systému a informací SI-3 Ochrana škodlivého kódu Řešení ochrany koncových bodů by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Integrita systému a informací SI-3 Ochrana škodlivého kódu Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Integrita systému a informací SI-3(1) | ochrany škodlivého kódu Centrální správa Řešení Endpoint Protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Integrita systému a informací SI-3(1) | ochrany škodlivého kódu Centrální správa Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Integrita systému a informací SI-4 Monitorování informačního systému [Preview]: Pro uvedené image virtuálních počítačů by mělo být povolené rozšíření Log Analytics. 2.0.1-Preview
Integrita systému a informací SI-4 Monitorování informačního systému Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. 2.0.1
Integrita systému a informací SI-4 Monitorování informačního systému Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. 1.1.0

Srovnávací test CIS Microsoft Azure Foundations 1.1.0

Informace o tom, jak dostupné Azure Policy předdefinované pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Azure Policy dodržování právních předpisů – srovnávací test CIS Microsoft Azure Foundations 1.1.0. Další informace o tomto standardu dodržování předpisů najdete v tématu Srovnávací test CIS Microsoft Azure Foundations.

Doména ID ovládacího prvku Název ovládacího prvku Zásady
(Azure Portal)
Verze zásad
(GitHub)
Security Center Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.10 Ujistěte se, že výchozí nastavení zásad ASC Monitorování posouzení ohrožení zabezpečení není zakázané. Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Security Center Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.12 Ujistěte se, že výchozí nastavení zásad ASC Monitor JIT Network Access není zakázané. Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Security Center Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.13 Ujistěte se, že výchozí nastavení zásad ASC "Monitorování adaptivního přidávání aplikací na seznam povolených" není zakázáno. Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Security Center Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.3 Ujistěte se, že nastavení výchozí zásady ASC Monitorování Aktualizace systému není zakázané. Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Security Center Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.4 Ujistěte se, že nastavení výchozích zásad ASC Monitor ohrožení zabezpečení operačního systému není zakázané. Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. 3.0.0
Security Center Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.5 Ujistěte se, že nastavení výchozí zásady ASC Monitor Endpoint Protection není zakázané. Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Security Center Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.6 Ujistěte se, že výchozí nastavení zásad ASC Monitor Disk Encryption není zakázané. Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Security Center Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.7 Ujistěte se, že nastavení výchozí zásady ASC Monitorování skupin zabezpečení sítě není zakázané. Doporučení k adaptivnímu posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Security Center Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.9 Ujistěte se, že výchozí nastavení zásad ASC Povolit monitorování brány firewall nové generace (NGFW) není zakázané. Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Virtual Machines Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.1 Ujistěte se, že je disk s operačním systémem šifrovaný. Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Virtual Machines Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.2 Ujistěte se, že jsou datové disky šifrované. Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Virtual Machines Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.4 Ujistěte se, že jsou nainstalovaná jenom schválená rozšíření. Nainstalovat by se měla jenom schválená rozšíření virtuálních počítačů. 1.0.0
Virtual Machines Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.5 Ujistěte se, že se použijí nejnovější opravy operačního systému pro všechny Virtual Machines. Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Virtual Machines Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.6 Ujistěte se, že je nainstalovaná ochrana koncových bodů pro všechny Virtual Machines. Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0

Srovnávací test CIS Microsoft Azure Foundations 1.3.0

Informace o tom, jak dostupné Azure Policy integrované pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Azure Policy dodržování právních předpisů – srovnávací test CIS Microsoft Azure Foundations 1.3.0. Další informace o tomto standardu dodržování předpisů najdete v tématu Srovnávací test CIS Microsoft Azure Foundations.

Doména ID ovládacího prvku Název ovládacího prvku Zásady
(Azure Portal)
Verze zásad
(GitHub)
5 Protokolování a monitorování Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.3 Ujistěte se, že jsou diagnostické protokoly povolené pro všechny služby, které ho podporují. Protokoly prostředků v Virtual Machine Scale Sets by měly být povolené. 2.1.0
7 Virtual Machines Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.1 Ujistěte se, že Virtual Machines využívají Spravované disky Auditování virtuálních počítačů, které nepoužívají spravované disky 1.0.0
7 Virtual Machines Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.2 Ujistěte se, že jsou disky s operačním systémem a daty šifrované pomocí CMK. Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
7 Virtual Machines Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.4 Ujistěte se, že jsou nainstalovaná jenom schválená rozšíření. Musí být nainstalována pouze schválená rozšíření virtuálních počítačů. 1.0.0
7 Virtual Machines Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.5 Ujistěte se, že se použijí nejnovější opravy operačního systému pro všechny Virtual Machines. Na počítače by se měly nainstalovat aktualizace systému 4.0.0
7 Virtual Machines Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.6 Ujistěte se, že je nainstalovaná ochrana koncových bodů pro všechny Virtual Machines. Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0

CMMC level 3

Informace o tom, jak dostupné Azure Policy integrované pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Azure Policy dodržování předpisů – úroveň CMMC 3. Další informace o tomto standardu dodržování předpisů najdete v tématu Certifikace modelu vyspělosti kybernetické bezpečnosti (CMMC).

Doména ID ovládacího prvku Název ovládacího prvku Zásady
(Azure Portal)
Verze zásad
(GitHub)
Řízení přístupu AC.1.001 Omezte přístup k informačnímu systému autorizovaným uživatelům, procesům působícím jménem autorizovaných uživatelů a zařízení (včetně jiných informačních systémů). Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Řízení přístupu AC.1.001 Omezte přístup k informačnímu systému autorizovaným uživatelům, procesům působícím jménem autorizovaných uživatelů a zařízení (včetně jiných informačních systémů). Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Řízení přístupu AC.1.001 Omezte přístup k informačnímu systému autorizovaným uživatelům, procesům působícím jménem autorizovaných uživatelů a zařízení (včetně jiných informačních systémů). Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel 3.0.0
Řízení přístupu AC.1.001 Omezte přístup k informačnímu systému autorizovaným uživatelům, procesům působícím jménem autorizovaných uživatelů a zařízení (včetně jiných informačních systémů). Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Řízení přístupu AC.1.001 Omezte přístup k informačnímu systému autorizovaným uživatelům, procesům působícím jménem autorizovaných uživatelů a zařízení (včetně jiných informačních systémů). Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Řízení přístupu AC.1.001 Omezte přístup k informačnímu systému autorizovaným uživatelům, procesům působícím jménem autorizovaných uživatelů a zařízení (včetně jiných informačních systémů). Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Síťový přístup. 3.0.0
Řízení přístupu AC.1.001 Omezte přístup k informačnímu systému autorizovaným uživatelům, procesům působícím jménem autorizovaných uživatelů a zařízení (včetně jiných informačních systémů). Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. 3.0.0
Řízení přístupu AC.1.002 Omezte přístup k informačnímu systému na typy transakcí a funkcí, které mají oprávnění uživatelé spouštět. Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel 3.0.0
Řízení přístupu AC.1.002 Omezte přístup k informačnímu systému na typy transakcí a funkcí, které mají oprávnění uživatelé spouštět. Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Řízení přístupu AC.1.002 Omezte přístup k informačnímu systému na typy transakcí a funkcí, které mají oprávnění uživatelé spouštět. Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Síťový přístup. 3.0.0
Řízení přístupu AC.1.002 Omezte přístup k informačnímu systému na typy transakcí a funkcí, které mají oprávnění uživatelé spouštět. Webové servery Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. 4.0.0
Řízení přístupu AC.1.003 Ověřte a omezte připojení k externím informačním systémům a jejich používání. Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Řízení přístupu AC.1.003 Ověřte a omezte připojení k externím informačním systémům a jejich používání. Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Řízení přístupu AC.2.007 Využívá zásadu nejnižších oprávnění, včetně konkrétních funkcí zabezpečení a privilegovaných účtů. Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Řízení přístupu AC.2.008 Při přístupu k funkcím, které nejsou zabezpečení, používejte neprivilegované účty nebo role. Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Řízení uživatelských účtů. 3.0.0
Řízení přístupu AC.2.008 Při přístupu k funkcím, které nejsou zabezpečení, používejte neprivilegované účty nebo role. Počítače s Windows by měly splňovat požadavky na přiřazení uživatelských práv. 3.0.0
Řízení přístupu AC.2.013 Monitorování a řízení relací vzdáleného přístupu Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Řízení přístupu AC.2.013 Monitorování a řízení relací vzdáleného přístupu Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Řízení přístupu AC.2.013 Monitorování a řízení relací vzdáleného přístupu Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel 3.0.0
Řízení přístupu AC.2.013 Monitorování a řízení relací vzdáleného přístupu Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Řízení přístupu AC.2.013 Monitorování a řízení relací vzdáleného přístupu Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Řízení přístupu AC.2.013 Monitorování a řízení relací vzdáleného přístupu Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. 3.0.0
Řízení přístupu AC.2.016 Řízení toku CUI v souladu se schválenými autorizací. Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Řízení přístupu AC.2.016 Řízení toku CUI v souladu se schválenými autorizací. Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Řízení přístupu AC.2.016 Řízení toku CUI v souladu se schválenými autorizací. Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Síťový přístup. 3.0.0
Řízení přístupu AC.3.017 Oddělte povinnosti jednotlivců, aby se snížilo riziko zlovolné činnosti bez kolace. Auditování počítačů s Windows, u které chybí některý ze zadaných členů ve skupině Administrators 2.0.0
Řízení přístupu AC.3.017 Oddělte povinnosti jednotlivců, aby se snížilo riziko zlovolné činnosti bez kolace. Auditování počítačů s Windows, které mají zadané členy ve skupině Administrators 2.0.0
Řízení přístupu AC.3.018 Zabráníte neprivilegovaným uživatelům v provádění privilegovaných funkcí a zachytávání provádění takových funkcí v protokolech auditu. Počítače s Windows by měly splňovat požadavky na zásady auditu systému – použití oprávnění. 3.0.0
Řízení přístupu AC.3.021 Umožňuje autorizovat vzdálené spouštění privilegovaných příkazů a vzdálený přístup k informacím relevantním pro zabezpečení. Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Řízení přístupu AC.3.021 Umožňuje autorizovat vzdálené spouštění privilegovaných příkazů a vzdálený přístup k informacím relevantním pro zabezpečení. Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Řízení přístupu AC.3.021 Umožňuje autorizovat vzdálené spouštění privilegovaných příkazů a vzdálený přístup k informacím relevantním pro zabezpečení. Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Řízení přístupu AC.3.021 Umožňuje autorizovat vzdálené spouštění privilegovaných příkazů a vzdálený přístup k informacím relevantním pro zabezpečení. Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Řízení přístupu AC.3.021 Umožňuje autorizovat vzdálené spouštění privilegovaných příkazů a vzdálený přístup k informacím relevantním pro zabezpečení. Rozšíření konfigurace hosta by se mělo nainstalovat na vaše počítače 1.0.2
Řízení přístupu AC.3.021 Umožňuje autorizovat vzdálené spouštění privilegovaných příkazů a vzdálený přístup k informacím relevantním pro zabezpečení. Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. 1.0.1
Řízení přístupu AC.3.021 Umožňuje autorizovat vzdálené spouštění privilegovaných příkazů a vzdálený přístup k informacím relevantním pro zabezpečení. Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Řízení uživatelských účtů. 3.0.0
Řízení přístupu AC.3.021 Umožňuje autorizovat vzdálené spouštění privilegovaných příkazů a vzdálený přístup k informacím relevantním pro zabezpečení. Počítače s Windows by měly splňovat požadavky na přiřazení uživatelských práv. 3.0.0
Audit a odpovědnost AU.2.041 Ujistěte se, že akce jednotlivých systémových uživatelů mohou být jednoznačně trasovány těmto uživatelům, aby mohli být zodpovědní za své akce. [Preview]: Pro uvedené image virtuálních počítačů by mělo být povolené rozšíření Log Analytics. 2.0.1-Preview
Audit a odpovědnost AU.2.041 Ujistěte se, že akce jednotlivých systémových uživatelů mohou být jednoznačně trasovány těmto uživatelům, aby mohli být zodpovědní za své akce. Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. 2.0.1
Audit a odpovědnost AU.2.041 Ujistěte se, že akce jednotlivých systémových uživatelů mohou být jednoznačně trasovány těmto uživatelům, aby mohli být zodpovědní za své akce. Rozšíření Log Analytics by se mělo nainstalovat na Virtual Machine Scale Sets 1.0.1
Audit a odpovědnost AU.2.041 Ujistěte se, že akce jednotlivých systémových uživatelů mohou být jednoznačně trasovány těmto uživatelům, aby mohli být zodpovědní za své akce. Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. 1.1.0
Audit a odpovědnost AU.2.041 Ujistěte se, že akce jednotlivých systémových uživatelů mohou být jednoznačně trasovány těmto uživatelům, aby mohli být zodpovědní za své akce. Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. 1.0.1
Audit a odpovědnost AU.2.042 Vytvořte a zachovejte protokoly a záznamy auditu systému v rozsahu potřebném k tomu, aby bylo možné monitorovat, analyzovat, zkoumat a hlásit protiprávní nebo neoprávněnou systémovou aktivitu. [Preview]: Pro uvedené image virtuálních počítačů by mělo být povolené rozšíření Log Analytics. 2.0.1-Preview
Audit a odpovědnost AU.2.042 Vytvořte a zachovejte protokoly a záznamy auditu systému v rozsahu potřebném k tomu, aby bylo možné monitorovat, analyzovat, zkoumat a hlásit protiprávní nebo neoprávněnou systémovou aktivitu. Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. 2.0.1
Audit a odpovědnost AU.2.042 Vytvořte a zachovejte protokoly a záznamy auditu systému v rozsahu potřebném k tomu, aby bylo možné monitorovat, analyzovat, zkoumat a hlásit protiprávní nebo neoprávněnou systémovou aktivitu. Rozšíření Log Analytics by se mělo nainstalovat na Virtual Machine Scale Sets 1.0.1
Audit a odpovědnost AU.2.042 Vytvořte a zachovejte protokoly a záznamy auditu systému v rozsahu potřebném k tomu, aby bylo možné monitorovat, analyzovat, zkoumat a hlásit protiprávní nebo neoprávněnou systémovou aktivitu. Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. 1.1.0
Audit a odpovědnost AU.2.042 Vytvořte a zachovejte protokoly a záznamy auditu systému v rozsahu potřebném k tomu, aby bylo možné monitorovat, analyzovat, zkoumat a hlásit protiprávní nebo neoprávněnou systémovou aktivitu. Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. 1.0.1
Audit a odpovědnost AU.3.046 Výstraha v případě selhání procesu protokolování auditu [Preview]: Pro uvedené image virtuálních počítačů by mělo být povolené rozšíření Log Analytics. 2.0.1-Preview
Audit a odpovědnost AU.3.046 Výstraha v případě selhání procesu protokolování auditu Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. 2.0.1
Audit a odpovědnost AU.3.046 Výstraha v případě selhání procesu protokolování auditu Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. 1.1.0
Audit a odpovědnost AU.3.048 Shromážděte informace o auditu (např. protokoly) do jednoho nebo více centrálních úložišť. [Preview]: Pro uvedené image virtuálních počítačů by mělo být povolené rozšíření Log Analytics. 2.0.1-Preview
Audit a odpovědnost AU.3.048 Shromážděte informace o auditu (např. protokoly) do jednoho nebo více centrálních úložišť. Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. 2.0.1
Audit a odpovědnost AU.3.048 Shromážděte informace o auditu (např. protokoly) do jednoho nebo více centrálních úložišť. Rozšíření Log Analytics by se mělo nainstalovat na Virtual Machine Scale Sets 1.0.1
Audit a odpovědnost AU.3.048 Shromážděte informace o auditu (např. protokoly) do jednoho nebo více centrálních úložišť. Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. 1.1.0
Audit a odpovědnost AU.3.048 Shromážděte informace o auditu (např. protokoly) do jednoho nebo více centrálních úložišť. Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. 1.0.1
Posouzení zabezpečení CA.2.158 Pravidelně vyhodnocujte kontrolní mechanismy zabezpečení v organizačních systémech, abyste zjistili, jestli jsou kontrolní mechanismy v jejich aplikaci účinné. Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Posouzení zabezpečení CA.2.158 Pravidelně vyhodnocujte kontrolní mechanismy zabezpečení v organizačních systémech, abyste zjistili, jestli jsou kontrolní mechanismy v jejich aplikaci účinné. Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Posouzení zabezpečení CA.2.158 Pravidelně vyhodnocujte kontrolní mechanismy zabezpečení v organizačních systémech, abyste zjistili, jestli jsou kontrolní mechanismy v jejich aplikaci účinné. Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Posouzení zabezpečení CA.2.158 Pravidelně vyhodnocujte kontrolní mechanismy zabezpečení v organizačních systémech, abyste zjistili, jestli jsou kontrolní mechanismy v jejich aplikaci účinné. Řešení Endpoint Protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Posouzení zabezpečení CA.2.158 Pravidelně vyhodnocujte kontrolní mechanismy zabezpečení v organizačních systémech, abyste zjistili, jestli jsou kontrolní mechanismy v jejich aplikaci účinné. Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Posouzení zabezpečení CA.3.161 Průběžně monitorujte bezpečnostní kontroly, aby se zajistila nepřetržitá efektivita kontrolních mechanismů. Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Posouzení zabezpečení CA.3.161 Průběžně monitorujte bezpečnostní kontroly, aby se zajistila nepřetržitá efektivita kontrolních mechanismů. Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Posouzení zabezpečení CA.3.161 Průběžně monitorujte bezpečnostní kontroly, aby se zajistila nepřetržitá efektivita kontrolních mechanismů. Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Posouzení zabezpečení CA.3.161 Průběžně monitorujte bezpečnostní kontroly, aby se zajistila nepřetržitá efektivita kontrolních mechanismů. Řešení Endpoint Protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Posouzení zabezpečení CA.3.161 Průběžně monitorujte bezpečnostní kontroly, aby se zajistila nepřetržitá efektivita kontrolních mechanismů. Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Správa konfigurace CM.2.061 Vytvořte a udržujte základní konfigurace a inventáře organizačních systémů (včetně hardwaru, softwaru, firmwaru a dokumentace) v příslušných životních cyklech vývoje systému. Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Správa konfigurace CM.2.061 Vytvořte a udržujte základní konfigurace a inventáře organizačních systémů (včetně hardwaru, softwaru, firmwaru a dokumentace) v příslušných životních cyklech vývoje systému. Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. 2.0.0
Správa konfigurace CM.2.062 Pomocí principu nejnižší funkčnosti konfigurujte organizační systémy tak, aby poskytovaly jenom základní funkce. Počítače s Windows by měly splňovat požadavky na zásady auditu systému – použití oprávnění 3.0.0
Správa konfigurace CM.2.063 Řízení a monitorování softwaru nainstalovaného uživatelem Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Správa konfigurace CM.2.063 Řízení a monitorování softwaru nainstalovaného uživatelem Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Správa konfigurace CM.2.063 Řízení a monitorování softwaru nainstalovaného uživatelem Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Řízení uživatelských účtů. 3.0.0
Správa konfigurace CM.2.064 Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech. Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
Správa konfigurace CM.2.064 Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech. Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. 3.0.0
Správa konfigurace CM.2.065 Sledujte, kontrolujte, schvalujte nebo neschválíte změny protokolů v organizačních systémech. Počítače s Windows by měly splňovat požadavky na zásady auditu systému – Změna zásad 3.0.0
Správa konfigurace CM.3.068 Omezte, zakažte nebo zakažte používání žádných aplikací, funkcí, portů, protokolů a služeb. Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Správa konfigurace CM.3.068 Omezte, zakažte nebo zakažte používání žádných aplikací, funkcí, portů, protokolů a služeb. Doporučení k adaptivnímu posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Správa konfigurace CM.3.068 Omezte, zakažte nebo zakažte používání žádných aplikací, funkcí, portů, protokolů a služeb. Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
Správa konfigurace CM.3.068 Omezte, zakažte nebo zakažte používání žádných aplikací, funkcí, portů, protokolů a služeb. Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Správa konfigurace CM.3.068 Omezte, zakažte nebo zakažte používání žádných aplikací, funkcí, portů, protokolů a služeb. Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Správa konfigurace CM.3.068 Omezte, zakažte nebo zakažte používání žádných aplikací, funkcí, portů, protokolů a služeb. Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Správa konfigurace CM.3.068 Omezte, zakažte nebo zakažte používání žádných aplikací, funkcí, portů, protokolů a služeb. Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Správa konfigurace CM.3.069 Použijte zásadu odepření podle výjimky (na seznamu povolených), aby se zabránilo použití neoprávněného softwaru nebo odepření všech zásad povolení po výjimce (přidávání na seznam povolených), aby bylo možné provádět autorizovaný software. Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Identifikace a ověřování IA.1.077 Ověřte (nebo ověřte) identity těchto uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k informačním systémům organizace. Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Identifikace a ověřování IA.1.077 Ověřte (nebo ověřte) identity těchto uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k informačním systémům organizace. Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Identifikace a ověřování IA.1.077 Ověřte (nebo ověřte) identity těchto uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k informačním systémům organizace. Auditování počítačů s Linuxem, které nemají oprávnění k souborům passwd nastavená na 0644 3.0.0
Identifikace a ověřování IA.1.077 Ověřte (nebo ověřte) identity těchto uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k informačním systémům organizace. Auditování počítačů s Linuxem, které mají účty bez hesel 3.0.0
Identifikace a ověřování IA.1.077 Ověřte (nebo ověřte) identity těchto uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k informačním systémům organizace. Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Identifikace a ověřování IA.1.077 Ověřte (nebo ověřte) identity těchto uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k informačním systémům organizace. Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. 3.0.0
Identifikace a ověřování IA.2.078 Při vytváření nových hesel vynucujte minimální složitost hesla a změnu znaků. Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Identifikace a ověřování IA.2.078 Při vytváření nových hesel vynucujte minimální složitost hesla a změnu znaků. Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Identifikace a ověřování IA.2.078 Při vytváření nových hesel vynucujte minimální složitost hesla a změnu znaků. Auditování počítačů s Linuxem, které mají účty bez hesel 3.0.0
Identifikace a ověřování IA.2.078 Při vytváření nových hesel vynucujte minimální složitost hesla a změnu znaků. Auditování počítačů s Windows, které nemají povolené nastavení složitosti hesla 2.0.0
Identifikace a ověřování IA.2.078 Při vytváření nových hesel vynucujte minimální složitost hesla a změnu znaků. Auditování počítačů s Windows, které neomezují minimální délku hesla na 14 znaků 2.0.0
Identifikace a ověřování IA.2.078 Při vytváření nových hesel vynucujte minimální složitost hesla a změnu znaků. Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Identifikace a ověřování IA.2.078 Při vytváření nových hesel vynucujte minimální složitost hesla a změnu znaků. Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. 3.0.0
Identifikace a ověřování IA.2.079 Zakázat opakované použití hesla pro zadaný počet generací. Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Identifikace a ověřování IA.2.079 Zakázat opakované použití hesla pro zadaný počet generací. Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Identifikace a ověřování IA.2.079 Zakázat opakované použití hesla pro zadaný počet generací. Auditování počítačů s Windows, které umožňují opakované použití předchozích 24 hesel 2.0.0
Identifikace a ověřování IA.2.079 Zakázat opakované použití hesla pro zadaný počet generací. Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Identifikace a ověřování IA.2.079 Zakázat opakované použití hesla pro zadaný počet generací. Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. 3.0.0
Identifikace a ověřování IA.2.081 Ukládat a přenášet pouze kryptograficky chráněná hesla. Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Identifikace a ověřování IA.2.081 Ukládat a přenášet pouze kryptograficky chráněná hesla. Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Identifikace a ověřování IA.2.081 Ukládat a přenášet pouze kryptograficky chráněná hesla. Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování 2.0.0
Identifikace a ověřování IA.2.081 Ukládat a přenášet pouze kryptograficky chráněná hesla. Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Identifikace a ověřování IA.2.081 Ukládat a přenášet pouze kryptograficky chráněná hesla. Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. 3.0.0
Identifikace a ověřování IA.3.084 Pro přístup k privilegovaným a neprivilegovaným účtům můžete použít mechanismy ověřování odolné proti přehrání. Webové servery Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. 4.0.0
Reakce na incidenty IR.2.093 Detekce a hlášení událostí Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Obnovovací RE.2.137 Pravidelně provádí a testuje zálohování dat. Audit virtuálních počítačů bez nakonfigurovaného zotavení po havárii 1.0.0
Obnovovací RE.2.137 Pravidelně provádí a testuje zálohování dat. Azure Backup by měly být povolené pro Virtual Machines 3.0.0
Obnovovací RE.3.139 Pravidelně provádí úplné, komplexní a odolné zálohy dat podle organizační definice. Audit virtuálních počítačů bez nakonfigurovaného zotavení po havárii 1.0.0
Obnovovací RE.3.139 Pravidelně provádí úplné, komplexní a odolné zálohy dat podle organizační definice. Azure Backup by měly být povolené pro Virtual Machines 3.0.0
Posouzení rizik RM.2.141 Pravidelně vyhodnocovat riziko pro organizační operace (včetně mise, funkcí, image nebo reputace), organizačních prostředků a jednotlivců, vyplývajících z provozu organizačních systémů a souvisejícího zpracování, úložiště nebo přenosu CUI. Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Posouzení rizik RM.2.142 Pravidelně prohledávat ohrožení zabezpečení v organizačních systémech a aplikacích a při zjištění nových ohrožení zabezpečení ovlivňujících tyto systémy a aplikace. Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Posouzení rizik RM.2.143 Náprava ohrožení zabezpečení v souladu s posouzením rizik. Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Posouzení rizik RM.2.143 Náprava ohrožení zabezpečení v souladu s posouzením rizik. Ohrožení zabezpečení v konfiguracích zabezpečení kontejneru by se měla napravit. 3.0.0
Posouzení rizik RM.2.143 Náprava ohrožení zabezpečení v souladu s posouzením rizik. Chyby zabezpečení v konfiguraci zabezpečení na počítačích by se měly napravit. 3.0.0
Posouzení rizik RM.2.143 Náprava ohrožení zabezpečení v souladu s posouzením rizik. Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
System and Communications Protection SC.1.175 Monitorování, řízení a ochrana komunikací (tj. informací přenášených nebo přijatých organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
System and Communications Protection SC.1.175 Monitorování, řízení a ochrana komunikací (tj. informací přenášených nebo přijatých organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
System and Communications Protection SC.1.175 Monitorování, řízení a ochrana komunikací (tj. informací přenášených nebo přijatých organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
System and Communications Protection SC.1.175 Monitorování, řízení a ochrana komunikací (tj. informací přenášených nebo přijatých organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
System and Communications Protection SC.1.175 Monitorování, řízení a ochrana komunikací (tj. informací přenášených nebo přijatých organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
System and Communications Protection SC.1.175 Monitorování, řízení a ochrana komunikací (tj. informací přenášených nebo přijatých organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Síťový přístup. 3.0.0
System and Communications Protection SC.1.175 Monitorování, řízení a ochrana komunikací (tj. informací přenášených nebo přijatých organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. 3.0.0
System and Communications Protection SC.1.175 Monitorování, řízení a ochrana komunikací (tj. informací přenášených nebo přijatých organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. Webové servery Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. 4.0.0
System and Communications Protection SC.1.176 Implementujte podsíť pro veřejně přístupné systémové komponenty, které jsou fyzicky nebo logicky oddělené od interních sítí. Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
System and Communications Protection SC.1.176 Implementujte podsíť pro veřejně přístupné systémové komponenty, které jsou fyzicky nebo logicky oddělené od interních sítí. Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
System and Communications Protection SC.1.176 Implementujte podsíť pro veřejně přístupné systémové komponenty, které jsou fyzicky nebo logicky oddělené od interních sítí. Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
System and Communications Protection SC.2.179 Používejte šifrované relace pro správu síťových zařízení. Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Ochrana systému a komunikace SC.3.177 Využijte kryptografii ověřenou fiPS, pokud se používá k ochraně důvěrnosti CUI. Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování 2.0.0
Ochrana systému a komunikace SC.3.177 Využijte kryptografii ověřenou fiPS, pokud se používá k ochraně důvěrnosti CUI. Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Ochrana systému a komunikace SC.3.181 Oddělte funkce uživatelů od funkcí správy systému. Auditování počítačů s Windows se zadanými členy ve skupině Administrators 2.0.0
Ochrana systému a komunikace SC.3.183 Zamítněte provoz síťové komunikace ve výchozím nastavení a povolte síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). Doporučení k adaptivnímu posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Ochrana systému a komunikace SC.3.183 Zamítněte provoz síťové komunikace ve výchozím nastavení a povolte síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
Ochrana systému a komunikace SC.3.183 Zamítněte provoz síťové komunikace ve výchozím nastavení a povolte síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Ochrana systému a komunikace SC.3.183 Zamítněte provoz síťové komunikace ve výchozím nastavení a povolte síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Ochrana systému a komunikace SC.3.183 Zamítněte provoz síťové komunikace ve výchozím nastavení a povolte síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Ochrana systému a komunikace SC.3.183 Zamítněte provoz síťové komunikace ve výchozím nastavení a povolte síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Přístup k síti. 3.0.0
Ochrana systému a komunikace SC.3.183 Zamítněte provoz síťové komunikace ve výchozím nastavení a povolte síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. 3.0.0
Ochrana systému a komunikace SC.3.185 Implementujte kryptografické mechanismy, které brání neoprávněnému zpřístupnění CUI během přenosu, pokud není jinak chráněno alternativními fyzickými ochranami. Webové servery s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. 4.0.0
Ochrana systému a komunikace SC.3.190 Chraňte pravost komunikačních relací. Webové servery s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. 4.0.0
Ochrana systému a komunikace SC.3.191 Chraňte důvěrnost neaktivních uložených CUI. Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Integrita systému a informací SI.1.210 Včas identifikovat, hlásit a opravovat informace a chyby informačního systému. Microsoft Antimalware pro Azure by se měly nakonfigurovat tak, aby automaticky aktualizovaly podpisy ochrany. 1.0.0
Integrita systému a informací SI.1.210 Včas identifikovat, hlásit a opravovat informace a chyby informačního systému. Aktualizace systému ve škálovacích sadách virtuálních počítačů by se měly nainstalovat. 3.0.0
Integrita systému a informací SI.1.210 Včas identifikovat, hlásit a opravovat informace a chyby informačního systému. Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Integrita systému a informací SI.1.210 Včas identifikovat, hlásit a opravovat informace a chyby informačního systému. Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. 3.0.0
Integrita systému a informací SI.1.210 Včas identifikovat, hlásit a opravovat informace a chyby informačního systému. Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů. 3.0.0
Integrita systému a informací SI.1.211 Zajistěte ochranu před škodlivým kódem na příslušných místech v rámci informačních systémů organizace. Řešení Endpoint Protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Integrita systému a informací SI.1.211 Zajistěte ochranu před škodlivým kódem na příslušných místech v rámci informačních systémů organizace. Microsoft Antimalware pro Azure by se měly nakonfigurovat tak, aby automaticky aktualizovaly podpisy ochrany. 1.0.0
Integrita systému a informací SI.1.211 Zajistěte ochranu před škodlivým kódem v příslušných umístěních v rámci informačních systémů organizace. Rozšíření Microsoft IaaSAntimalware by se mělo nasadit na serverech s Windows 1.1.0
Integrita systému a informací SI.1.211 Zajistěte ochranu před škodlivým kódem v příslušných umístěních v rámci informačních systémů organizace. Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Integrita systému a informací SI.1.212 Aktualizujte mechanismy ochrany škodlivého kódu, pokud jsou k dispozici nové verze. Microsoft Antimalware pro Azure by se měly nakonfigurovat tak, aby automaticky aktualizovaly podpisy ochrany. 1.0.0
Integrita systému a informací SI.1.213 Proveďte pravidelné kontroly informačního systému a prohledávání souborů z externích zdrojů v reálném čase, protože se stáhnou, otevřou nebo spustí. Microsoft Antimalware pro Azure by se měly nakonfigurovat tak, aby automaticky aktualizovaly podpisy ochrany. 1.0.0
Integrita systému a informací SI.1.213 Proveďte pravidelné kontroly informačního systému a prohledávání souborů z externích zdrojů v reálném čase, protože se stáhnou, otevřou nebo spustí. Rozšíření Microsoft IaaSAntimalware by se mělo nasadit na serverech s Windows 1.1.0
Integrita systému a informací SI.1.213 Proveďte pravidelné kontroly informačního systému a prohledávání souborů z externích zdrojů v reálném čase, protože se stáhnou, otevřou nebo spustí. Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0

FedRAMP High

Informace o tom, jak dostupné Azure Policy integrované pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Azure Policy dodržování právních předpisů – FedRAMP High. Další informace o tomto standardu dodržování předpisů najdete v tématu FedRAMP High.

Doména ID ovládacího prvku Název ovládacího prvku Zásady
(Azure Portal)
Verze zásad
(GitHub)
Řízení přístupu AC-2 (12) Monitorování účtů / atypické využití Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Řízení přístupu AC-3 Vynucení přístupu Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Řízení přístupu AC-3 Vynucení přístupu Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Řízení přístupu AC-3 Vynucení přístupu Auditování počítačů s Linuxem, které mají účty bez hesel 3.0.0
Řízení přístupu AC-3 Vynucení přístupu Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. 3.0.0
Řízení přístupu AC-3 Vynucení přístupu Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Řízení přístupu AC-3 Vynucení přístupu Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manager 1.0.0
Řízení přístupu AC-4 Vynucení toku informací Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Řízení přístupu AC-4 Vynucení toku informací Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
Řízení přístupu AC-4 Vynucení toku informací Prostředky přístupu k diskům by měly používat privátní propojení. 1.0.0
Řízení přístupu AC-4 Vynucení toku informací Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Řízení přístupu AC-4 Vynucení toku informací Předávání IP na virtuálním počítači by mělo být zakázané. 3.0.0
Řízení přístupu AC-4 Vynucení toku informací Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Řízení přístupu AC-4 Vynucení toku informací Porty pro správu by se měly na virtuálních počítačích zavřít. 3.0.0
Řízení přístupu AC-4 Vynucení toku informací Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Řízení přístupu AC-17 Vzdálený přístup Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Řízení přístupu AC-17 Vzdálený přístup Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Řízení přístupu AC-17 Vzdálený přístup Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel 3.0.0
Řízení přístupu AC-17 Vzdálený přístup Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Řízení přístupu AC-17 Vzdálený přístup Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Řízení přístupu AC-17 Vzdálený přístup Prostředky přístupu k diskům by měly používat privátní propojení. 1.0.0
Řízení přístupu AC-17 (1) Automatizované monitorování / řízení Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Řízení přístupu AC-17 (1) Automatizované monitorování / řízení Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Řízení přístupu AC-17 (1) Automatizované monitorování / řízení Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel 3.0.0
Řízení přístupu AC-17 (1) Automatizované monitorování / řízení Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Řízení přístupu AC-17 (1) Automatizované monitorování / řízení Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Řízení přístupu AC-17 (1) Automatizované monitorování / řízení Prostředky přístupu k diskům by měly používat privátní propojení. 1.0.0
Audit a odpovědnost AU-6 Kontrola auditu, analýza a generování sestav [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. 1.0.2-Preview
Audit a odpovědnost AU-6 Kontrola auditu, analýza a generování sestav [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. 1.0.2-Preview
Audit a odpovědnost AU-6 (4) Centrální kontrola a analýza [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. 1.0.2-Preview
Audit a odpovědnost AU-6 (4) Centrální kontrola a analýza [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. 1.0.2-Preview
Audit a odpovědnost AU-6 (4) Centrální kontrola a analýza Rozšíření konfigurace hosta by se mělo nainstalovat na vaše počítače 1.0.2
Audit a odpovědnost AU-6 (4) Centrální kontrola a analýza Agent Log Analytics by se měl nainstalovat na virtuální počítač pro monitorování Azure Security Center 1.0.0
Audit a odpovědnost AU-6 (4) Centrální kontrola a analýza Agent Log Analytics by se měl nainstalovat na škálovací sady virtuálních počítačů pro monitorování Azure Security Center 1.0.0
Audit a odpovědnost AU-6 (4) Centrální kontrola a analýza Protokoly prostředků v Virtual Machine Scale Sets by měly být povolené. 2.1.0
Audit a odpovědnost AU-6 (4) Centrální kontrola a analýza Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. 1.0.1
Audit a odpovědnost AU-6 (5) Integrace / Možnosti kontroly a monitorování [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. 1.0.2-Preview
Audit a odpovědnost AU-6 (5) Integrace / Možnosti kontroly a monitorování [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. 1.0.2-Preview
Audit a odpovědnost AU-6 (5) Integrace / Možnosti kontroly a monitorování Rozšíření konfigurace hosta by se mělo nainstalovat na vaše počítače 1.0.2
Audit a odpovědnost AU-6 (5) Integrace / Možnosti kontroly a monitorování Agent Log Analytics by se měl nainstalovat na virtuální počítač pro monitorování Azure Security Center 1.0.0
Audit a odpovědnost AU-6 (5) Integrace / Možnosti kontroly a monitorování Agent Log Analytics by se měl nainstalovat na škálovací sady virtuálních počítačů pro monitorování Azure Security Center 1.0.0
Audit a odpovědnost AU-6 (5) Integrace / Možnosti kontroly a monitorování Protokoly prostředků v Virtual Machine Scale Sets by měly být povolené. 2.1.0
Audit a odpovědnost AU-6 (5) Integrace / Možnosti kontroly a monitorování Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. 1.0.1
Audit a odpovědnost AU-12 Generování auditu [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. 1.0.2-Preview
Audit a odpovědnost AU-12 Generování auditu [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. 1.0.2-Preview
Audit a odpovědnost AU-12 Generování auditu Rozšíření konfigurace hosta by se mělo nainstalovat na vaše počítače 1.0.2
Audit a odpovědnost AU-12 Generování auditu Agent Log Analytics by se měl nainstalovat na virtuální počítač pro monitorování Azure Security Center 1.0.0
Audit a odpovědnost AU-12 Generování auditu Agent Log Analytics by se měl nainstalovat na škálovací sady virtuálních počítačů pro monitorování Azure Security Center 1.0.0
Audit a odpovědnost AU-12 Generování auditu Protokoly prostředků v Virtual Machine Scale Sets by měly být povolené. 2.1.0
Audit a odpovědnost AU-12 Generování auditu Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. 1.0.1
Audit a odpovědnost AU-12 (1) Systémově korelovaný záznam auditu [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. 1.0.2-Preview
Audit a odpovědnost AU-12 (1) Systémově korelovaný záznam auditu [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. 1.0.2-Preview
Audit a odpovědnost AU-12 (1) Systémově korelovaný záznam auditu Rozšíření konfigurace hosta by se mělo nainstalovat na vaše počítače 1.0.2
Audit a odpovědnost AU-12 (1) Systémově korelovaný záznam auditu Agent Log Analytics by se měl nainstalovat na virtuální počítač pro monitorování Azure Security Center 1.0.0
Audit a odpovědnost AU-12 (1) Systémově korelovaný záznam auditu Agent Log Analytics by se měl nainstalovat na škálovací sady virtuálních počítačů pro monitorování Azure Security Center 1.0.0
Audit a odpovědnost AU-12 (1) Systémově korelovaný záznam auditu Protokoly prostředků v Virtual Machine Scale Sets by měly být povolené. 2.1.0
Audit a odpovědnost AU-12 (1) Systémově korelovaný záznam auditu Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. 1.0.1
Správa konfigurace CM-6 Nastavení konfigurace Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. 2.0.0
Správa konfigurace CM-6 Nastavení konfigurace Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. 2.0.0
Správa konfigurace CM-7 Nejnižší funkčnost Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Správa konfigurace CM-7 Nejnižší funkčnost Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Správa konfigurace CM-7 (2) Zabránit spuštění programu Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Správa konfigurace CM-7 (2) Zabránit spuštění programu Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Správa konfigurace CM-7 (5) Autorizovaný software / přidání na seznam povolených Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Správa konfigurace CM-7 (5) Autorizovaný software / přidání na seznam povolených Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Správa konfigurace CM-10 Omezení využití softwaru Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Správa konfigurace CM-10 Omezení využití softwaru Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Správa konfigurace CM-11 Software nainstalovaný uživatelem Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Správa konfigurace CM-11 Software nainstalovaný uživatelem Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Plánování nepředvídaných událostí CP-7 Web pro alternativní zpracování Auditování virtuálních počítačů bez konfigurace zotavení po havárii 1.0.0
Plánování nepředvídaných událostí CP-9 Zálohování informačního systému Azure Backup by měly být povolené pro Virtual Machines 3.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Auditování počítačů s Linuxem, které nemají oprávnění k souborům passwd nastavená na 0644 3.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování 2.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. 3.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Auditování počítačů s Linuxem, které nemají oprávnění k souborům passwd nastavená na 0644 3.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Auditování počítačů s Windows, které umožňují opakované použití předchozích 24 hesel 2.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Auditování počítačů s Windows, které nemají maximální věk hesla 70 dnů 2.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Auditování počítačů s Windows, které nemají minimální věk hesla 1 den 2.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Auditování počítačů s Windows, které nemají povolené nastavení složitosti hesla 2.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Auditování počítačů s Windows, které neomezují minimální délku hesla na 14 znaků 2.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování 2.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Posouzení rizik RA-5 Kontrola ohrožení zabezpečení Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Posouzení rizik RA-5 Kontrola ohrožení zabezpečení Vyřešené zjištění ohrožení zabezpečení serverů SQL na počítačích 1.0.0
Posouzení rizik RA-5 Kontrola ohrožení zabezpečení Ohrožení zabezpečení v konfiguracích zabezpečení kontejneru by se měla napravit. 3.0.0
Posouzení rizik RA-5 Kontrola ohrožení zabezpečení Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. 3.0.0
Posouzení rizik RA-5 Kontrola ohrožení zabezpečení Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů. 3.0.0
Ochrana systému a komunikace SC-3 Izolace funkce zabezpečení Řešení Endpoint Protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Ochrana systému a komunikace SC-3 Izolace funkce zabezpečení Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Ochrana systému a komunikace SC-3 Izolace funkce zabezpečení Windows Defender By měla být na vašich počítačích povolená ochrana Exploit Guard. 2.0.0
Ochrana systému a komunikace SC-5 Ochrana proti odepření služby Předávání IP na virtuálním počítači by mělo být zakázané. 3.0.0
Ochrana systému a komunikace SC-7 Ochrana hranic Doporučení k adaptivnímu posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Ochrana systému a komunikace SC-7 Ochrana hranic Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
Ochrana systému a komunikace SC-7 Ochrana hranic Prostředky přístupu k diskům by měly používat privátní propojení. 1.0.0
Ochrana systému a komunikace SC-7 Ochrana hranic Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Ochrana systému a komunikace SC-7 Ochrana hranic Předávání IP na virtuálním počítači by mělo být zakázané. 3.0.0
Ochrana systému a komunikace SC-7 Ochrana hranic Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Ochrana systému a komunikace SC-7 Ochrana hranic Porty pro správu by se měly na virtuálních počítačích zavřít. 3.0.0
Ochrana systému a komunikace SC-7 Ochrana hranic Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Ochrana systému a komunikace SC-7 (3) Přístupové body Doporučení k adaptivnímu posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Ochrana systému a komunikace SC-7 (3) Přístupové body Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
Ochrana systému a komunikace SC-7 (3) Přístupové body Prostředky přístupu k diskům by měly používat privátní propojení. 1.0.0
Ochrana systému a komunikace SC-7 (3) Přístupové body Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Ochrana systému a komunikace SC-7 (3) Přístupové body Předávání IP na virtuálním počítači by mělo být zakázané. 3.0.0
Ochrana systému a komunikace SC-7 (3) Přístupové body Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Ochrana systému a komunikace SC-7 (3) Přístupové body Porty pro správu by se měly na virtuálních počítačích zavřít. 3.0.0
Ochrana systému a komunikace SC-7 (3) Přístupové body Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Ochrana systému a komunikace SC-8 Důvěrnost a integrita přenosu Webové servery s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. 4.0.0
Ochrana systému a komunikace SC-8 (1) Kryptografická nebo alternativní fyzická ochrana Webové servery s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. 4.0.0
Ochrana systému a komunikace SC-12 Vytvoření a správa kryptografických klíčů Spravované disky by měly být dvakrát šifrované pomocí klíčů spravovaných platformou i klíčů spravovaných zákazníkem. 1.0.0
Ochrana systému a komunikace SC-12 Vytvoření a správa kryptografických klíčů Disky s operačním systémem a datovými disky by se měly šifrovat pomocí klíče spravovaného zákazníkem. 3.0.0
Ochrana systému a komunikace SC-28 Ochrana neaktivních uložených informací Virtuální počítače a škálovací sady virtuálních počítačů by měly mít šifrování na hostiteli povoleném 1.0.0
Ochrana systému a komunikace SC-28 Ochrana neaktivních uložených informací Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Ochrana systému a komunikace SC-28 (1) Kryptografická ochrana Virtuální počítače a škálovací sady virtuálních počítačů by měly mít šifrování na hostiteli povoleném 1.0.0
Ochrana systému a komunikace SC-28 (1) Kryptografická ochrana Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Integrita systému a informací SI-2 Náprava chyb Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Integrita systému a informací SI-2 Náprava chyb Aktualizace systému ve škálovacích sadách virtuálních počítačů by se měly nainstalovat. 3.0.0
Integrita systému a informací SI-2 Náprava chyb Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Integrita systému a informací SI-2 Náprava chyb Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. 3.0.0
Integrita systému a informací SI-2 Náprava chyb Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů. 3.0.0
Integrita systému a informací SI-3 Ochrana škodlivého kódu Řešení Endpoint Protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Integrita systému a informací SI-3 Ochrana škodlivého kódu Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Integrita systému a informací SI-3 Ochrana škodlivého kódu Windows Defender By měla být na vašich počítačích povolená ochrana Exploit Guard. 2.0.0
Integrita systému a informací SI-3 (1) Centrální správa Řešení Endpoint Protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Integrita systému a informací SI-3 (1) Centrální správa Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Integrita systému a informací SI-3 (1) Centrální správa Windows Defender By měla být na vašich počítačích povolená ochrana Exploit Guard. 2.0.0
Integrita systému a informací SI-4 Monitorování informačního systému [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. 1.0.2-Preview
Integrita systému a informací SI-4 Monitorování informačního systému [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. 1.0.2-Preview
Integrita systému a informací SI-4 Monitorování informačního systému Rozšíření konfigurace hosta by se mělo nainstalovat na vaše počítače 1.0.2
Integrita systému a informací SI-4 Monitorování informačního systému Agent Log Analytics by se měl nainstalovat na virtuální počítač pro monitorování Azure Security Center 1.0.0
Integrita systému a informací SI-4 Monitorování informačního systému Agent Log Analytics by se měl nainstalovat na škálovací sady virtuálních počítačů pro monitorování Azure Security Center 1.0.0
Integrita systému a informací SI-4 Monitorování informačního systému Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. 1.0.1
Integrita systému a informací SI-16 Ochrana paměti Windows Defender By měla být na vašich počítačích povolená ochrana Exploit Guard. 2.0.0

FedRAMP Moderate

Informace o tom, jak dostupné Azure Policy integrované pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Azure Policy dodržování právních předpisů – FedRAMP Moderate. Další informace o tomto standardu dodržování předpisů najdete v tématu FedRAMP Moderate.

Doména ID ovládacího prvku Název ovládacího prvku Zásady
(Azure Portal)
Verze zásad
(GitHub)
Řízení přístupu AC-2 (12) Monitorování účtů / atypické využití Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Řízení přístupu AC-3 Vynucení přístupu Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Řízení přístupu AC-3 Vynucení přístupu Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Řízení přístupu AC-3 Vynucení přístupu Auditování počítačů s Linuxem, které mají účty bez hesel 3.0.0
Řízení přístupu AC-3 Vynucení přístupu Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. 3.0.0
Řízení přístupu AC-3 Vynucení přístupu Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Řízení přístupu AC-3 Vynucení přístupu Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manager 1.0.0
Řízení přístupu AC-4 Vynucení toku informací Doporučení k adaptivnímu posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Řízení přístupu AC-4 Vynucení toku informací Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
Řízení přístupu AC-4 Vynucení toku informací Prostředky přístupu k diskům by měly používat privátní propojení. 1.0.0
Řízení přístupu AC-4 Vynucení toku informací Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Řízení přístupu AC-4 Vynucení toku informací Předávání IP na virtuálním počítači by mělo být zakázané. 3.0.0
Řízení přístupu AC-4 Vynucení toku informací Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Řízení přístupu AC-4 Vynucení toku informací Porty pro správu by se měly na virtuálních počítačích zavřít. 3.0.0
Řízení přístupu AC-4 Vynucení toku informací Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Řízení přístupu AC-17 Vzdálený přístup Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Řízení přístupu AC-17 Vzdálený přístup Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Řízení přístupu AC-17 Vzdálený přístup Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel 3.0.0
Řízení přístupu AC-17 Vzdálený přístup Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Řízení přístupu AC-17 Vzdálený přístup Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Řízení přístupu AC-17 Vzdálený přístup Prostředky přístupu k diskům by měly používat privátní propojení. 1.0.0
Řízení přístupu AC-17 (1) Automatizované monitorování / řízení Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Řízení přístupu AC-17 (1) Automatizované monitorování / řízení Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Řízení přístupu AC-17 (1) Automatizované monitorování / řízení Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel 3.0.0
Řízení přístupu AC-17 (1) Automatizované monitorování / řízení Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Řízení přístupu AC-17 (1) Automatizované monitorování / řízení Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Řízení přístupu AC-17 (1) Automatizované monitorování / řízení Prostředky přístupu k diskům by měly používat privátní propojení. 1.0.0
Audit a odpovědnost AU-6 Kontrola auditu, analýza a generování sestav [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. 1.0.2-Preview
Audit a odpovědnost AU-6 Kontrola auditu, analýza a generování sestav [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. 1.0.2-Preview
Audit a odpovědnost AU-12 Generování auditu [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. 1.0.2-Preview
Audit a odpovědnost AU-12 Generování auditu [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. 1.0.2-Preview
Audit a odpovědnost AU-12 Generování auditu Rozšíření konfigurace hosta by se mělo nainstalovat na vaše počítače 1.0.2
Audit a odpovědnost AU-12 Generování auditu Agent Log Analytics by se měl nainstalovat na virtuální počítač pro monitorování Azure Security Center 1.0.0
Audit a odpovědnost AU-12 Generování auditu Agent Log Analytics by se měl nainstalovat na škálovací sady virtuálních počítačů pro monitorování Azure Security Center 1.0.0
Audit a odpovědnost AU-12 Generování auditu Protokoly prostředků v Virtual Machine Scale Sets by měly být povolené. 2.1.0
Audit a odpovědnost AU-12 Generování auditu Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. 1.0.1
Správa konfigurace CM-6 Nastavení konfigurace Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. 2.0.0
Správa konfigurace CM-6 Nastavení konfigurace Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. 2.0.0
Správa konfigurace CM-7 Nejnižší funkčnost Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Správa konfigurace CM-7 Nejnižší funkčnost Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Správa konfigurace CM-7 (2) Zabránit spuštění programu Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Správa konfigurace CM-7 (2) Zabránit spuštění programu Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Správa konfigurace CM-7 (5) Autorizovaný software / přidání na seznam povolených Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Správa konfigurace CM-7 (5) Autorizovaný software / přidání na seznam povolených Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Správa konfigurace CM-10 Omezení využití softwaru Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Správa konfigurace CM-10 Omezení využití softwaru Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Správa konfigurace CM-11 Software nainstalovaný uživatelem Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Správa konfigurace CM-11 Software nainstalovaný uživatelem Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Plánování nepředvídaných událostí CP-7 Web pro alternativní zpracování Auditování virtuálních počítačů bez konfigurace zotavení po havárii 1.0.0
Plánování nepředvídaných událostí CP-9 Zálohování informačního systému Azure Backup by měly být povolené pro Virtual Machines 3.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Auditování počítačů s Linuxem, které nemají oprávnění k souborům passwd nastavená na 0644 3.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování 2.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. 3.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Auditování počítačů s Linuxem, které nemají oprávnění k souborům passwd nastavená na 0644 3.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Auditování počítačů s Windows, které umožňují opakované použití předchozích 24 hesel 2.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Auditování počítačů s Windows, které nemají maximální stáří hesla 70 dnů 2.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Auditování počítačů s Windows, které nemají minimální stáří hesla 1 den 2.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Auditování počítačů s Windows, které nemají povolené nastavení složitosti hesla 2.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Auditujte počítače s Windows, které neomezují minimální délku hesla na 14 znaků. 2.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování 2.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Posouzení rizik RA-5 Kontrola ohrožení zabezpečení Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Posouzení rizik RA-5 Kontrola ohrožení zabezpečení Sql Servery na počítačích by měly mít vyřešené zjištění ohrožení zabezpečení 1.0.0
Posouzení rizik RA-5 Kontrola ohrožení zabezpečení Ohrožení zabezpečení v konfiguracích zabezpečení kontejneru by se měla napravit. 3.0.0
Posouzení rizik RA-5 Kontrola ohrožení zabezpečení Chyby zabezpečení v konfiguraci zabezpečení na počítačích by se měly napravit. 3.0.0
Posouzení rizik RA-5 Kontrola ohrožení zabezpečení Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
System and Communications Protection SC-5 Ochrana před odepřením služeb Předávání IP na virtuálním počítači by mělo být zakázané. 3.0.0
System and Communications Protection SC-7 Ochrana hranic Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
System and Communications Protection SC-7 Ochrana hranic Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
System and Communications Protection SC-7 Ochrana hranic Prostředky přístupu k diskům by měly používat privátní propojení. 1.0.0
System and Communications Protection SC-7 Ochrana hranic Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
System and Communications Protection SC-7 Ochrana hranic Předávání IP na virtuálním počítači by mělo být zakázané. 3.0.0
System and Communications Protection SC-7 Ochrana hranic Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
System and Communications Protection SC-7 Ochrana hranic Porty pro správu by se měly na virtuálních počítačích zavřít. 3.0.0
System and Communications Protection SC-7 Ochrana hranic Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
System and Communications Protection SC-7 (3) Přístupové body Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
System and Communications Protection SC-7 (3) Přístupové body Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
System and Communications Protection SC-7 (3) Přístupové body Prostředky přístupu k diskům by měly používat privátní propojení. 1.0.0
System and Communications Protection SC-7 (3) Přístupové body Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
System and Communications Protection SC-7 (3) Přístupové body Předávání IP na virtuálním počítači by mělo být zakázané. 3.0.0
System and Communications Protection SC-7 (3) Přístupové body Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
System and Communications Protection SC-7 (3) Přístupové body Porty pro správu by se měly na virtuálních počítačích zavřít. 3.0.0
System and Communications Protection SC-7 (3) Přístupové body Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
System and Communications Protection SC-8 Důvěrnost a integrita přenosu Webové servery Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. 4.0.0
System and Communications Protection SC-8 (1) Kryptografická nebo alternativní fyzická ochrana Webové servery Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. 4.0.0
System and Communications Protection SC-12 Kryptografické zřízení a správa kryptografických klíčů Spravované disky by měly být dvakrát šifrované pomocí klíčů spravovaných platformou i klíčů spravovaných zákazníkem. 1.0.0
System and Communications Protection SC-12 Kryptografické zřízení a správa kryptografických klíčů Operační systém a datové disky by měly být šifrované pomocí klíče spravovaného zákazníkem. 3.0.0
System and Communications Protection SC-28 Ochrana informací v klidovém stavu Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli. 1.0.0
System and Communications Protection SC-28 Ochrana informací v klidovém stavu Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
System and Communications Protection SC-28 (1) Kryptografická ochrana Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli. 1.0.0
System and Communications Protection SC-28 (1) Kryptografická ochrana Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Integrita systému a informací SI-2 Náprava chyb Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Integrita systému a informací SI-2 Náprava chyb Aktualizace systému ve škálovacích sadách virtuálních počítačů by měly být nainstalovány. 3.0.0
Integrita systému a informací SI-2 Náprava chyb Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Integrita systému a informací SI-2 Náprava chyb Chyby zabezpečení v konfiguraci zabezpečení na počítačích by se měly napravit. 3.0.0
Integrita systému a informací SI-2 Náprava chyb Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
Integrita systému a informací SI-3 Ochrana škodlivého kódu Řešení ochrany koncových bodů by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Integrita systému a informací SI-3 Ochrana škodlivého kódu Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Integrita systému a informací SI-3 Ochrana škodlivého kódu Windows Defender By měla být na vašich počítačích povolená ochrana Exploit Guard. 2.0.0
Integrita systému a informací SI-3 (1) Centrální správa Řešení ochrany koncových bodů by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Integrita systému a informací SI-3 (1) Centrální správa Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Integrita systému a informací SI-3 (1) Centrální správa Windows Defender By měla být na vašich počítačích povolená ochrana Exploit Guard. 2.0.0
Integrita systému a informací SI-4 Monitorování informačního systému [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. 1.0.2-Preview
Integrita systému a informací SI-4 Monitorování informačního systému [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. 1.0.2-Preview
Integrita systému a informací SI-4 Monitorování informačního systému Rozšíření konfigurace hosta by se mělo nainstalovat na vaše počítače 1.0.2
Integrita systému a informací SI-4 Monitorování informačního systému Agent Log Analytics by se měl nainstalovat na virtuální počítač pro monitorování Azure Security Center 1.0.0
Integrita systému a informací SI-4 Monitorování informačního systému Agent Log Analytics by se měl nainstalovat na škálovací sady virtuálních počítačů pro monitorování Azure Security Center 1.0.0
Integrita systému a informací SI-4 Monitorování informačního systému Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. 1.0.1
Integrita systému a informací SI-16 Ochrana paměti Windows Defender By měla být na vašich počítačích povolená ochrana Exploit Guard. 2.0.0

HIPAA HITRUST 9.2

Informace o tom, jak dostupné Azure Policy integrované pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Azure Policy dodržování právních předpisů – HIPAA HITRUST 9.2. Další informace o tomto standardu dodržování předpisů naleznete v tématu HIPAA HITRUST 9.2.

Doména ID ovládacího prvku Název ovládacího prvku Zásady
(Azure Portal)
Verze zásad
(GitHub)
Správa oprávnění 11180.01c3System.6 - 01.c Přístup k funkcím správy nebo konzolám pro správu systémů, které hostují virtualizované systémy, jsou omezeny na pracovníky na základě principu nejnižších oprávnění a podporovaných prostřednictvím technických kontrol. Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Správa oprávnění 1143.01c1System.123 - 01.c Oprávnění jsou formálně autorizovaná a řízená, přidělována uživatelům na základě potřeby a události podle události pro jejich funkční roli (např. uživatele nebo správce) a zdokumentovaná pro každý systémový produkt nebo prvek. Porty pro správu by se měly na virtuálních počítačích zavřít. 3.0.0
Správa oprávnění 1148.01c2System.78 - 01.c Organizace omezuje přístup k privilegovaným funkcím a všem informacím souvisejícím se zabezpečením. Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – účty 3.0.0
Správa oprávnění 1150.01c2System.10 - 01.c Systém řízení přístupu pro systémové komponenty, které ukládají, zpracovávají nebo přenášejí pokryté informace, je nastaveno s výchozím nastavením "odepřít vše". Porty pro správu by se měly na virtuálních počítačích zavřít. 3.0.0
Ověřování uživatelů pro externí připojení 1119.01j2Organizational.3 - 01.j Síťové zařízení se kontroluje u neočekážených možností vytáčení. Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Ověřování uživatelů pro externí připojení 1175.01j1Organizational.8 - 01.j Vzdálený přístup k obchodním informacím napříč veřejnými sítěmi probíhá pouze po úspěšném identifikaci a ověřování. Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Ověřování uživatelů pro externí připojení 1179.01j3Organizational.1 - 01.j Informační systém monitoruje a řídí metody vzdáleného přístupu. Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Vzdálená diagnostika a ochrana portů konfigurace 1192.01l1Organizational.1 - 01.l Přístup k síťovému vybavení je fyzicky chráněný. Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Vzdálená diagnostika a ochrana portů konfigurace 1193.01l2Organizational.13 - 01.l Mezi ovládací prvky pro přístup k diagnostickým a konfiguračním portům patří použití zámku klíče a implementace podpůrných postupů pro řízení fyzického přístupu k portu. Porty pro správu by se měly na virtuálních počítačích zavřít. 3.0.0
Vzdálená diagnostika a ochrana portů konfigurace 1197.01l3Organizational.3 - 01.l Organizace zakáže síťové protokoly Bluetooth a peer-to-peer v informačním systému, které se určují jako nepotřebné nebo nezabezpečené. Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Oddělení v sítích 0805.01m1Organizational.12 - 01.m Brány zabezpečení organizace (např. brány firewall) vynucují zásady zabezpečení a jsou nakonfigurované tak, aby filtrovaly provoz mezi doménami, blokovaly neoprávněný přístup a používají se k udržování oddělení mezi interními drátovými, interními bezdrátovými a externími síťovými segmenty (např. internet) včetně DMZ a vynucováním zásad řízení přístupu pro každou z domén. Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Oddělení v sítích 0806.01m2Organizational.12356 - 01.m Síť organizací je logicky a fyzicky segmentovaná s definovanou hraniční sítí zabezpečení a odstupňovanou sadou kontrolních mechanismů, včetně podsítí pro veřejně přístupné systémové komponenty, které jsou logicky oddělené od interní sítě na základě požadavků organizace; provoz se řídí na základě požadovaných funkcí a klasifikace dat/systémů na základě posouzení rizik a příslušných požadavků na zabezpečení. Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Oddělení v sítích 0894.01m2Organizational.7 - 01.m Sítě se při migraci fyzických serverů, aplikací nebo dat na virtualizované servery oddělují od sítí na úrovni produkčního prostředí. Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Řízení síťového připojení 0809.01n2Organizational.1234 - 01.n Síťový provoz se řídí v souladu se zásadami řízení přístupu organizací prostřednictvím brány firewall a dalších omezení souvisejících se sítí pro každý přístupový bod sítě nebo spravované rozhraní externí telekomunikační služby. Doporučení k adaptivnímu posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Řízení síťového připojení 0809.01n2Organizational.1234 - 01.n Síťový provoz se řídí v souladu se zásadami řízení přístupu organizací prostřednictvím brány firewall a dalších omezení souvisejících se sítí pro každý přístupový bod sítě nebo spravované rozhraní externí telekomunikační služby. Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Řízení síťového připojení 0810.01n2Organizational.5 - 01.n Přenášené informace jsou zabezpečené a minimálně šifrované přes otevřené veřejné sítě. Doporučení k adaptivnímu posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Řízení síťového připojení 0810.01n2Organizational.5 - 01.n Přenášené informace jsou zabezpečené a minimálně šifrované přes otevřené veřejné sítě. Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Řízení síťového připojení 0811.01n2Organizational.6 - 01.n Výjimky zásad toku provozu jsou zdokumentované s podpůrnými potřebami nebo obchodními potřebami, dobou trvání výjimky a kontrolou alespoň ročně; Výjimky zásad toku provozu se odeberou, pokud už explicitní cíl nebo obchodní potřebu nepodporuje. Doporučení k adaptivnímu posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Řízení síťového připojení 0811.01n2Organizational.6 - 01.n Výjimky zásad toku provozu jsou zdokumentované s podpůrnými potřebami nebo obchodními potřebami, dobou trvání výjimky a kontrolou alespoň ročně; Výjimky zásad toku provozu se odeberou, pokud už explicitní cíl nebo obchodní potřebu nepodporuje. Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Řízení síťového připojení 0812.01n2Organizational.8 - 01.n Vzdálená zařízení, která navazují připojení bez vzdáleného připojení, nemohou komunikovat s externími (vzdálenými) prostředky. Doporučení k adaptivnímu posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Řízení síťového připojení 0812.01n2Organizational.8 - 01.n Vzdálená zařízení, která navazují připojení bez vzdáleného připojení, nemohou komunikovat s externími (vzdálenými) prostředky. Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Řízení síťového připojení 0814.01n1Organizational.12 - 01.n Možnost uživatelů připojit se k interní síti je ve výchozím nastavení omezena pomocí zásad odepření a zásad povolení podle výjimek ve spravovaných rozhraních podle zásad řízení přístupu a požadavků klinických a obchodních aplikací. Doporučení k adaptivnímu posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Řízení síťového připojení 0814.01n1Organizational.12 - 01.n Možnost uživatelů připojit se k interní síti je ve výchozím nastavení omezena pomocí zásad odepření a zásad povolení podle výjimek ve spravovaných rozhraních podle zásad řízení přístupu a požadavků klinických a obchodních aplikací. Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Identifikace a ověřování uživatele 11210.01q2Organizational.10 - 01.q Elektronické podpisy a ručně psané podpisy prováděné s elektronickými záznamy jsou propojeny s příslušnými elektronickými záznamy. Auditování počítačů s Windows se zadanými členy ve skupině Administrators 2.0.0
Identifikace a ověřování uživatele 11211.01q2Organizational.11 - 01.q Podepsané elektronické záznamy musí obsahovat informace spojené s podpisovým formátem čitelným pro člověka. Auditovat počítače s Windows, u které chybí některý ze zadaných členů ve skupině Administrators 2.0.0
Identifikace a ověřování uživatele 1123.01q1System.2 - 01.q Uživatelé, kteří prováděli privilegované funkce (např. správu systému), používají při provádění těchto privilegovaných funkcí samostatné účty. Auditování počítačů s Windows, které mají ve skupině Administrators další účty 2.0.0
Identifikace a ověřování uživatele 1125.01q2System.1 - 01.q Metody vícefaktorového ověřování se používají v souladu se zásadami organizace (např. pro vzdálený přístup k síti). Auditování počítačů s Windows se zadanými členy ve skupině Administrators 2.0.0
Identifikace a ověřování uživatele 1127.01q2System.3 - 01.q Pokud jsou tokeny k dispozici pro vícefaktorové ověřování, před udělením přístupu se vyžaduje ověření osobně. Auditovat počítače s Windows, u které chybí některý ze zadaných členů ve skupině Administrators 2.0.0
Protokolování auditu 1202.09aa1System.1 – 09.aa Vytvoří se zabezpečený záznam auditu pro všechny aktivity v systému (vytvoření, čtení, aktualizace, odstranění) zahrnující zahrnuté informace. Aktualizace systému ve škálovacích sadách virtuálních počítačů by se měly nainstalovat. 3.0.0
Protokolování auditu 1206.09aa2System.23 - 09.aa Auditování je vždy dostupné, když je systém aktivní a sleduje klíčové události, přístup k datům s úspěchem nebo selháním přístupu k datům, změny konfigurace zabezpečení systému, privilegované použití nebo použití nástroje, jakékoli alarmy, aktivaci a zrušení aktivace systémů ochrany (např. A/V a IDS), aktivaci a deaktivaci identifikačních a ověřovacích mechanismů a vytváření a odstraňování objektů na úrovni systému. Protokoly prostředků v Virtual Machine Scale Sets by měly být povolené. 2.1.0
Monitorování použití systému 12100.09ab2System.15 - 09.ab Organizace monitoruje informační systém, aby identifikoval nesrovnalosti nebo anomálie, které jsou indikátory poruchy nebo ohrožení systému, a pomáhá potvrdit, že systém funguje v optimálním, odolném a zabezpečeném stavu. Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. 1.0.1
Monitorování použití systému 12101.09ab1Organizational.3 - 09.ab Organizace určuje, jak často se kontrolují protokoly auditu, jak jsou zdokumentovány kontroly, a konkrétní role a povinnosti pracovníků provádějících kontroly, včetně odborných certifikací nebo jiných požadovaných kvalifikací. Rozšíření Log Analytics by se mělo nainstalovat na Virtual Machine Scale Sets 1.0.1
Monitorování použití systému 12102.09ab1Organizational.4 - 09.ab Organizace pravidelně testuje své procesy monitorování a detekce, opravuje nedostatky a vylepšuje své procesy. Auditování počítačů s Windows, na kterých není agent Log Analytics připojený podle očekávání 2.0.0
Monitorování použití systému 1215.09ab2System.7 - 09.ab Auditování a monitorování systémů používaných organizací podporují snížení auditu a generování sestav. Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. 1.0.1
Monitorování použití systému 1216.09ab3System.12 - 09.ab Automatizované systémy se používají ke kontrole aktivit monitorování systémů zabezpečení (např. IPS/IDS) a systémových záznamů na denním základě a k identifikaci a dokumentování anomálií. Rozšíření Log Analytics by se mělo nainstalovat na Virtual Machine Scale Sets 1.0.1
Monitorování použití systému 1217.09ab3System.3 - 09.ab Výstrahy se generují pro technické pracovníky k analýze a zkoumání podezřelých aktivit nebo podezřelých porušení. Auditování počítačů s Windows, na kterých není agent Log Analytics připojený podle očekávání 2.0.0
Oddělení povinností 1232.09c3Organizational.12 - 09.c Přístup jednotlivců zodpovědných za správu řízení přístupu je omezený na minimum nezbytné na základě role a odpovědností každého uživatele a tito jednotlivci nemají přístup k funkcím auditu souvisejícím s těmito ovládacími prvky. Počítače s Windows by měly splňovat požadavky na přiřazení uživatelských práv. 3.0.0
Oddělení povinností 1277.09c2Organizational.4 - 09.c Zahájení události je odděleno od jeho autorizace, aby se snížila možnost kolace. Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Řízení uživatelských účtů. 3.0.0
Ovládací prvky proti škodlivému kódu 0201.09j1Organizational.124 - 09.j Antivir a anti-spyware jsou nainstalovány, operační a aktualizované na všech zařízeních koncových uživatelů, aby prováděly pravidelné kontroly systémů k identifikaci a odebrání neoprávněného softwaru. Serverová prostředí, pro která vývojář serverového softwaru výslovně doporučuje nenainstalovat antivirový software založený na hostiteli a software proti spywaru, může tento požadavek řešit prostřednictvím řešení pro detekci malwaru založeného na síti (NBMD). Adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené. 3.0.0
Ovládací prvky proti škodlivému kódu 0201.09j1Organizational.124 - 09.j Antivir a anti-spyware jsou nainstalovány, operační a aktualizované na všech zařízeních koncových uživatelů, aby prováděly pravidelné kontroly systémů k identifikaci a odebrání neoprávněného softwaru. Serverová prostředí, pro která vývojář serverového softwaru výslovně doporučuje nenainstalovat antivirový software založený na hostiteli a software proti spywaru, může tento požadavek řešit prostřednictvím řešení pro detekci malwaru založeného na síti (NBMD). Nasazení výchozího rozšíření Microsoft IaaSAntimalware pro Windows Server 1.1.0
Ovládací prvky proti škodlivému kódu 0201.09j1Organizational.124 - 09.j Antivir a anti-spyware jsou nainstalovány, operační a aktualizované na všech zařízeních koncových uživatelů, aby prováděly pravidelné kontroly systémů k identifikaci a odebrání neoprávněného softwaru. Serverová prostředí, pro která vývojář serverového softwaru výslovně doporučuje nenainstalovat antivirový software založený na hostiteli a software proti spywaru, může tento požadavek řešit prostřednictvím řešení pro detekci malwaru založeného na síti (NBMD). Řešení ochrany koncových bodů by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Ovládací prvky proti škodlivému kódu 0201.09j1Organizational.124 - 09.j Antivir a anti-spyware jsou nainstalovány, operační a aktualizované na všech zařízeních koncových uživatelů, aby prováděly pravidelné kontroly systémů k identifikaci a odebrání neoprávněného softwaru. Serverová prostředí, pro která vývojář serverového softwaru výslovně doporučuje nenainstalovat antivirový software založený na hostiteli a software proti spywaru, může tento požadavek řešit prostřednictvím řešení pro detekci malwaru založeného na síti (NBMD). Microsoft Antimalware pro Azure by se měly nakonfigurovat tak, aby automaticky aktualizovaly podpisy ochrany. 1.0.0
Ovládací prvky proti škodlivému kódu 0201.09j1Organizational.124 - 09.j Antivir a anti-spyware jsou nainstalovány, operační a aktualizované na všech zařízeních koncových uživatelů, aby prováděly pravidelné kontroly systémů k identifikaci a odebrání neoprávněného softwaru. Serverová prostředí, pro která vývojář serverového softwaru výslovně doporučuje nenainstalovat antivirový software založený na hostiteli a software proti spywaru, může tento požadavek řešit prostřednictvím řešení pro detekci malwaru založeného na síti (NBMD). Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Ovládací prvky proti škodlivému kódu 0201.09j1Organizational.124 - 09.j Antivir a anti-spyware jsou nainstalovány, operační a aktualizované na všech zařízeních koncových uživatelů, aby prováděly pravidelné kontroly systémů k identifikaci a odebrání neoprávněného softwaru. Serverová prostředí, pro která vývojář serverového softwaru výslovně doporučuje nenainstalovat antivirový software založený na hostiteli a software proti spywaru, může tento požadavek řešit prostřednictvím řešení pro detekci malwaru založeného na síti (NBMD). Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Zálohování 1620.09l1Organizational.8 - 09.l Pokud je služba zálohování poskytována třetí stranou, smlouva o úrovni služeb zahrnuje podrobnou ochranu pro řízení důvěrnosti, integrity a dostupnosti informací o zálohování. Azure Backup by měly být povolené pro Virtual Machines 3.0.0
Zálohování 1625.09l3Organizational.34 - 09.l Tři (3) generace záloh (úplné plus všechny související přírůstkové nebo rozdílové zálohy) jsou uloženy mimo lokalitu a zálohy v lokalitě i mimo lokalitu se protokolují s názvem, datem, časem a akcí. Azure Backup by měly být povolené pro Virtual Machines 3.0.0
Zálohování 1699.09l1Organizational.10 - 09.l Role a zodpovědnosti členů pracovníků v procesu zálohování dat jsou identifikovány a komunikovány pracovníkům; Zejména uživatelé funkce Přineste si vlastní zařízení (BYOD) musí provádět zálohy dat organizace nebo klienta na svých zařízeních. Azure Backup by měly být povolené pro Virtual Machines 3.0.0
Síťové ovládací prvky 0858.09m1Organizational.4 - 09.m Organizace monitoruje veškerý autorizovaný a neoprávněný bezdrátový přístup k informačnímu systému a zakáže instalaci bezdrátových přístupových bodů (WAPs), pokud výslovně neověří CIO nebo jeho určený zástupce. Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
Síťové ovládací prvky 0858.09m1Organizational.4 - 09.m Organizace monitoruje veškerý autorizovaný a neoprávněný bezdrátový přístup k informačnímu systému a zakáže instalaci bezdrátových přístupových bodů (WAPs), pokud výslovně neověří CIO nebo jeho určený zástupce. Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Síťové ovládací prvky 0858.09m1Organizational.4 - 09.m Organizace monitoruje veškerý autorizovaný a neoprávněný bezdrátový přístup k informačnímu systému a zakáže instalaci bezdrátových přístupových bodů (WAPs), pokud výslovně neověří CIO nebo jeho určený zástupce. Počítače s Windows by měly splňovat požadavky na vlastnosti brány Windows Firewall. 3.0.0
Síťové ovládací prvky 0859.09m1Organizational.78 - 09.m Organizace zajišťuje zabezpečení informací v sítích, dostupnost síťových služeb a informačních služeb pomocí sítě a ochranu připojených služeb před neoprávněným přístupem. Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Síťové ovládací prvky 0861.09m2Organizational.67 - 09.m K identifikaci a ověřování zařízení v místních a/nebo širokoúhlých sítích, včetně bezdrátových sítí, používá informační systém buď sdílené známé informační řešení, nebo (ii) řešení ověřování organizace, přesný výběr a sílu, která závisí na kategorizaci zabezpečení informačního systému. Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Síťový přístup. 3.0.0
Zabezpečení síťových služeb 0835.09n1Organizational.1 - 09.n Schválené služby poskytované poskytovatelem nebo manažerem síťových služeb jsou formálně spravovány a monitorovány, aby byly zabezpečeny. [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. 1.0.2-preview
Zabezpečení síťových služeb 0835.09n1Organizational.1 - 09.n Schválené služby poskytované poskytovatelem nebo manažerem síťových služeb jsou formálně spravovány a monitorovány, aby byly zabezpečeny. Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manager 1.0.0
Zabezpečení síťových služeb 0836.09.n2Organizational.1 - 09.n Organizace formálně autorizuje a dokumentuje charakteristiky jednotlivých připojení z informačního systému k jiným informačním systémům mimo organizaci. [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. 1.0.2-preview
Zabezpečení síťových služeb 0885.09n2Organizational.3 - 09.n Organizace průběžně kontroluje a aktualizuje smlouvy o zabezpečení propojení, které ověřují vynucování požadavků na zabezpečení. [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. 1.0.2-preview
Zabezpečení síťových služeb 0887.09n2Organizational.5 - 09.n Organizace vyžaduje externí nebo odchozí poskytovatele služeb k identifikaci konkrétních funkcí, portů a protokolů používaných při zřizování externích nebo externích služeb. [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. 1.0.2-preview
Správa vyměnitelných médií 0302.09o2Organizational.1 - 09.o Organizace chrání a řídí média obsahující citlivé informace během přenosu mimo řízené oblasti. Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Online transakce 0945.09y1Organizational.3 - 09.y Protokoly používané ke komunikaci mezi všemi zúčastněnými stranami jsou zabezpečené pomocí kryptografických technik (např. SSL). Auditování počítačů s Windows, které neobsahují zadané certifikáty v důvěryhodném kořenovém adresáři 3.0.0
Řízení provozního softwaru 0605.10h1System.12 - 10.h Na základě obchodních požadavků a dopadů na vydání verze mohou implementovat schválené upgrady jenom autorizovaní správci. Chyby zabezpečení v konfiguraci zabezpečení na počítačích by se měly napravit. 3.0.0
Řízení provozního softwaru 0605.10h1System.12 - 10.h Na základě obchodních požadavků a dopadů na vydání verze mohou implementovat schválené upgrady jenom autorizovaní správci. Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – audit 3.0.0
Řízení provozního softwaru 0605.10h1System.12 - 10.h Na základě obchodních požadavků a dopadů na vydání verze mohou implementovat schválené upgrady jenom autorizovaní správci. Počítače s Windows by měly splňovat požadavky na zásady auditu systému – Správa účtů. 3.0.0
Řízení provozního softwaru 0606.10h2System.1 - 10.h Aplikace a operační systémy jsou úspěšně testovány pro použitelnost, zabezpečení a dopad před produkčním prostředím. Ohrožení zabezpečení v konfiguracích zabezpečení kontejneru by se měla napravit. 3.0.0
Řízení provozního softwaru 0607.10h2System.23 - 10.h Organizace používá svůj program řízení konfigurace k udržování kontroly veškerého implementovaného softwaru a jeho systémové dokumentace a archivu předchozích verzí implementovaného softwaru a přidružené systémové dokumentace. Adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené. 3.0.0
Řízení provozního softwaru 0607.10h2System.23 - 10.h Organizace používá svůj program řízení konfigurace k udržování kontroly veškerého implementovaného softwaru a jeho systémové dokumentace a archivu předchozích verzí implementovaného softwaru a přidružené systémové dokumentace. Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
Postupy řízení změn 0635.10k1Organizational.12 - 10.k Správci zodpovědní za aplikační systémy jsou také zodpovědní za striktní kontrolu (zabezpečení) projektu nebo prostředí podpory a zajistí, aby se všechny navrhované změny systému kontrolovaly a kontrolovaly, zda neohrožují zabezpečení systému nebo operačního prostředí. Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. 3.0.0
Postupy řízení změn 0636.10k2Organizational.1 - 10.k Organizace formálně řeší účel, rozsah, role, zodpovědnosti, závazek správy, koordinaci mezi organizačními entitami a dodržování předpisů pro správu konfigurací (např. prostřednictvím zásad, standardů, procesů). Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. 3.0.0
Postupy řízení změn 0637.10k2Organizational.2 - 10.k Organizace vyvinula, zdokumentovala a implementovala plán správy konfigurace pro informační systém. Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. 3.0.0
Postupy řízení změn 0638.10k2Organizational.34569 - 10.k Změny jsou formálně řízeny, zdokumentované a vynucovány za účelem minimalizace poškození informačních systémů. Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. 3.0.0
Postupy řízení změn 0639.10k2Organizational.78 - 10.k Kontrolní seznamy instalace a kontroly ohrožení zabezpečení slouží k ověření konfigurace serverů, pracovních stanic, zařízení a zařízení a zajištění, že konfigurace splňuje minimální standardy. Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. 3.0.0
Postupy řízení změn 0640.10k2Organizational.1012 - 10.k Pokud je vývoj odsouděný, jsou postupy řízení změn, které řeší zabezpečení, zahrnuty do kontraktů a konkrétně vyžadují, aby vývojář sledoval chyby zabezpečení a řešení chyb v rámci systému, komponenty nebo služby a hlásí zjištění pracovníkům nebo rolím definovaným organizacím. Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. 3.0.0
Postupy řízení změn 0641.10k2Organizational.11 - 10.k Organizace nepoužívá automatizované aktualizace v důležitých systémech. Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. 3.0.0
Postupy řízení změn 0642.10k3Organizational.12 - 10.k Organizace vyvíjí, dokumenty a udržuje pod kontrolou konfigurace, aktuální základní konfiguraci informačního systému a kontroluje a aktualizuje podle potřeby směrný plán. Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. 3.0.0
Postupy řízení změn 0643.10k3Organizational.3 - 10.k Organizace (i) vytváří a dokumentuje povinná nastavení konfigurace pro produkty informačních technologií používaných v informačním systému pomocí nejnovějších standardních hodnot konfigurace zabezpečení; ii) identifikuje, dokumenty a schválí výjimky z povinného nastavení konfigurace pro jednotlivé součásti na základě explicitních provozních požadavků; a (iii) monitoruje a řídí změny nastavení konfigurace v souladu se zásadami a postupy organizace. Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. 3.0.0
Postupy řízení změn 0644.10k3Organizational.4 - 10.k Organizace využívá automatizované mechanismy k centrální správě, uplatňování a ověřování nastavení konfigurace (i). ii) reagovat na neoprávněné změny nastavení konfigurace související se zabezpečením sítě a systému; a (iii) vynucujte omezení přístupu a auditování akcí vynucení. Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. 3.0.0
Kontrola technických ohrožení zabezpečení 0709.10m1Organizational.1 - 10.m Identifikují se technická ohrožení zabezpečení, vyhodnocují se rizika a opravují se včas. Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Kontrola technických ohrožení zabezpečení 0709.10m1Organizational.1 - 10.m Identifikují se technická ohrožení zabezpečení, vyhodnocují se rizika a opravují se včas. Ohrožení zabezpečení v konfiguracích zabezpečení kontejneru by se měla napravit. 3.0.0
Kontrola technických ohrožení zabezpečení 0709.10m1Organizational.1 - 10.m Identifikují se technická ohrožení zabezpečení, vyhodnocují se rizika a opravují se včas. Chyby zabezpečení v konfiguraci zabezpečení na počítačích by se měly napravit. 3.0.0
Kontrola technických ohrožení zabezpečení 0709.10m1Organizational.1 - 10.m Identifikují se technická ohrožení zabezpečení, vyhodnocují se rizika a opravují se včas. Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
Kontrola technických ohrožení zabezpečení 0709.10m1Organizational.1 - 10.m Identifikují se technická ohrožení zabezpečení, vyhodnocují se rizika a opravují se včas. Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Microsoft Network Server. 3.0.0
Kontrola technických ohrožení zabezpečení 0711.10m2Organizational.23 - 10.m Program pro správu technických ohrožení zabezpečení je na místě pro monitorování, posouzení, pořadí a nápravu ohrožení zabezpečení identifikovaných v systémech. Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Kontrola technických ohrožení zabezpečení 0713.10m2Organizational.5 - 10.m Opravy se testují a vyhodnocují před instalací. Chyby zabezpečení v konfiguraci zabezpečení na počítačích by se měly napravit. 3.0.0
Kontrola technických ohrožení zabezpečení 0714.10m2Organizational.7 - 10.m Program pro správu technických ohrožení zabezpečení se vyhodnocuje čtvrtletním způsobem. Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
Kontrola technických ohrožení zabezpečení 0715.10m2Organizational.8 - 10.m Systémy jsou odpovídajícím způsobem posílené (například nakonfigurované pouze s nezbytnými a zabezpečenými službami, porty a protokoly povolenými). Ohrožení zabezpečení v konfiguracích zabezpečení kontejneru by se měla napravit. 3.0.0
Kontrola technických ohrožení zabezpečení 0717.10m3Organizational.2 - 10.m Nástroje pro kontrolu ohrožení zabezpečení zahrnují schopnost snadno aktualizovat kontroly ohrožení zabezpečení informačního systému. Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
Kontrola technických ohrožení zabezpečení 0718.10m3Organizational.34 - 10.m Organizace vyhledá ohrožení zabezpečení v informačním systému a hostovaných aplikacích, aby určila stav nápravy chyb měsíčně (automaticky) a znovu (ručně nebo automaticky), když se nové ohrožení zabezpečení potenciálně ovlivňující systémy a síťová prostředí identifikují a hlásí. Chyby zabezpečení v konfiguraci zabezpečení na počítačích by se měly napravit. 3.0.0
Provozní kontinuita a posouzení rizik 1634.12b1Organizational.1 - 12.b Organizace identifikuje důležité obchodní procesy, které vyžadují kontinuitu podnikových procesů. Audit virtuálních počítačů bez nakonfigurovaného zotavení po havárii 1.0.0
Provozní kontinuita a posouzení rizik 1637.12b2Organizational.2 - 12.b Analýza obchodního dopadu slouží k vyhodnocení důsledků havárií, selhání zabezpečení, ztráty služeb a dostupnosti služeb. Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – konzola pro zotavení. 3.0.0
Provozní kontinuita a posouzení rizik 1638.12b2Organizational.345 - 12.b Posouzení rizik provozní kontinuity (i) se provádějí ročně s úplným zapojením vlastníků obchodních prostředků a procesů; ii) zvažte všechny obchodní procesy a neomezuje se na informační prostředky, ale zahrnuje výsledky specifické pro zabezpečení informací; a (iii) identifikuje, kvantifikuje a upřednostňuje rizika vůči klíčovým obchodním cílům a kritériím relevantním pro organizaci, včetně důležitých prostředků, dopadů přerušení, povolených výpadků a priorit obnovení. Audit virtuálních počítačů bez nakonfigurovaného zotavení po havárii 1.0.0

IRS 1075 Září 2016

Informace o tom, jak dostupné Azure Policy integrované pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Azure Policy dodržování právních předpisů – IRS 1075 září 2016. Další informace o tomto standardu dodržování předpisů najdete v tématu IRS 1075 Září 2016.

Doména ID ovládacího prvku Název ovládacího prvku Zásady
(Azure Portal)
Verze zásad
(GitHub)
Řízení přístupu 9.3.1.12 Vzdálený přístup (AC-17) Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Řízení přístupu 9.3.1.12 Vzdálený přístup (AC-17) Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Řízení přístupu 9.3.1.12 Vzdálený přístup (AC-17) Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel 3.0.0
Řízení přístupu 9.3.1.12 Vzdálený přístup (AC-17) Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Řízení přístupu 9.3.1.2 Správa účtů (AC-2) Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Řízení přístupu 9.3.1.5 Oddělení povinností (AC-5) Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Řízení přístupu 9.3.1.5 Oddělení povinností (AC-5) Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Řízení přístupu 9.3.1.5 Oddělení povinností (AC-5) Auditování počítačů s Windows, u které chybí některý ze zadaných členů ve skupině Administrators 2.0.0
Řízení přístupu 9.3.1.5 Oddělení povinností (AC-5) Auditování počítačů s Windows, které mají zadané členy ve skupině Administrators 2.0.0
Řízení přístupu 9.3.1.5 Oddělení povinností (AC-5) Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Řízení přístupu 9.3.1.6 Nejnižší oprávnění (AC-6) Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Řízení přístupu 9.3.1.6 Nejnižší oprávnění (AC-6) Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Řízení přístupu 9.3.1.6 Nejnižší oprávnění (AC-6) Auditování počítačů s Windows, u které chybí některý ze zadaných členů ve skupině Administrators 2.0.0
Řízení přístupu 9.3.1.6 Nejnižší oprávnění (AC-6) Auditování počítačů s Windows, které mají zadané členy ve skupině Administrators 2.0.0
Řízení přístupu 9.3.1.6 Nejnižší oprávnění (AC-6) Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Posouzení rizik 9.3.14.3 Kontrola ohrožení zabezpečení (RA-5) Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Posouzení rizik 9.3.14.3 Kontrola ohrožení zabezpečení (RA-5) Chyby zabezpečení v konfiguraci zabezpečení na počítačích by se měly napravit. 3.0.0
Posouzení rizik 9.3.14.3 Kontrola ohrožení zabezpečení (RA-5) Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
System and Communications Protection 9.3.16.15 Ochrana neaktivních uložených informací (SC-28) Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
System and Communications Protection 9.3.16.5 Ochrana hranic (SC-7) Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Ochrana systému a komunikace 9.3.16.5 Ochrana hranic (SC-7) Doporučení k adaptivnímu posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Ochrana systému a komunikace 9.3.16.5 Ochrana hranic (SC-7) Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
Ochrana systému a komunikace 9.3.16.6 Důvěrnost a integrita přenosu (SC-8) Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Ochrana systému a komunikace 9.3.16.6 Důvěrnost a integrita přenosu (SC-8) Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Ochrana systému a komunikace 9.3.16.6 Důvěrnost a integrita přenosu (SC-8) Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Ochrana systému a komunikace 9.3.16.6 Důvěrnost a integrita přenosu (SC-8) Webové servery s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. 4.0.0
Integrita systému a informací 9.3.17.2 Náprava chyb (SI-2) Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Integrita systému a informací 9.3.17.2 Náprava chyb (SI-2) Aktualizace systému ve škálovacích sadách virtuálních počítačů by se měly nainstalovat. 3.0.0
Integrita systému a informací 9.3.17.2 Náprava chyb (SI-2) Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Integrita systému a informací 9.3.17.2 Náprava chyb (SI-2) Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. 3.0.0
Integrita systému a informací 9.3.17.2 Náprava chyb (SI-2) Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů. 3.0.0
Integrita systému a informací 9.3.17.3 Ochrana škodlivého kódu (SI-3) Řešení Endpoint Protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Integrita systému a informací 9.3.17.3 Ochrana škodlivého kódu (SI-3) Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Integrita systému a informací 9.3.17.4 Monitorování informačního systému (SI-4) [Preview]: Pro uvedené image virtuálních počítačů by mělo být povolené rozšíření Log Analytics. 2.0.1-Preview
Integrita systému a informací 9.3.17.4 Monitorování informačního systému (SI-4) Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. 2.0.1
Integrita systému a informací 9.3.17.4 Monitorování informačního systému (SI-4) Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. 1.1.0
Povědomí a školení 9.3.3.11 Generování auditu (AU-12) [Preview]: Pro uvedené image virtuálních počítačů by mělo být povolené rozšíření Log Analytics. 2.0.1-Preview
Povědomí a školení 9.3.3.11 Generování auditu (AU-12) Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. 2.0.1
Povědomí a školení 9.3.3.11 Generování auditu (AU-12) Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. 1.1.0
Povědomí a školení 9.3.3.3 Obsah záznamů auditu (AU-3) [Preview]: Rozšíření Log Analytics by mělo být povolené pro uvedené image virtuálních počítačů. 2.0.1-preview
Povědomí a školení 9.3.3.3 Obsah záznamů auditu (AU-3) Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. 2.0.1
Povědomí a školení 9.3.3.3 Obsah záznamů auditu (AU-3) Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. 1.1.0
Povědomí a školení 9.3.3.6 Kontrola auditu, analýza a vytváření sestav (AU-6) [Preview]: Rozšíření Log Analytics by mělo být povolené pro uvedené image virtuálních počítačů. 2.0.1-preview
Povědomí a školení 9.3.3.6 Kontrola auditu, analýza a vytváření sestav (AU-6) Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. 2.0.1
Povědomí a školení 9.3.3.6 Kontrola auditu, analýza a vytváření sestav (AU-6) Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. 1.1.0
Správa konfigurace 9.3.5.11 User-Installed Software (CM-11) Adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené. 3.0.0
Správa konfigurace 9.3.5.7 Nejnižší funkce (CM-7) Adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené. 3.0.0
Plánování nepředvídaných událostí 9.3.6.6 Web pro alternativní zpracování (CP-7) Audit virtuálních počítačů bez nakonfigurovaného zotavení po havárii 1.0.0
Identifikace a ověřování 9.3.7.5 Správa authenticatoru (IA-5) Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Identifikace a ověřování 9.3.7.5 Správa authenticatoru (IA-5) Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Identifikace a ověřování 9.3.7.5 Správa authenticatoru (IA-5) Auditování počítačů s Linuxem, které nemají oprávnění k souborům passwd nastavená na 0644 3.0.0
Identifikace a ověřování 9.3.7.5 Správa authenticatoru (IA-5) Auditování počítačů s Linuxem, které mají účty bez hesel 3.0.0
Identifikace a ověřování 9.3.7.5 Správa authenticatoru (IA-5) Auditování počítačů s Windows, které umožňují opakované použití předchozích 24 hesel 2.0.0
Identifikace a ověřování 9.3.7.5 Správa authenticatoru (IA-5) Auditování počítačů s Windows, které nemají maximální věk hesla 70 dnů 2.0.0
Identifikace a ověřování 9.3.7.5 Správa authenticatoru (IA-5) Auditování počítačů s Windows, které nemají minimální věk hesla 1 den 2.0.0
Identifikace a ověřování 9.3.7.5 Správa authenticatoru (IA-5) Auditování počítačů s Windows, které nemají povolené nastavení složitosti hesla 2.0.0
Identifikace a ověřování 9.3.7.5 Správa authenticatoru (IA-5) Auditování počítačů s Windows, které neomezují minimální délku hesla na 14 znaků 2.0.0
Identifikace a ověřování 9.3.7.5 Správa authenticatoru (IA-5) Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování 2.0.0
Identifikace a ověřování 9.3.7.5 Správa authenticatoru (IA-5) Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Identifikace a ověřování 9.3.7.5 Správa authenticatoru (IA-5) Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0

ISO 27001:2013

Informace o tom, jak dostupné Azure Policy integrované pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Azure Policy dodržování právních předpisů – ISO 27001:2013. Další informace o této normě dodržování předpisů najdete v tématu ISO 27001:2013.

Doména ID ovládacího prvku Název ovládacího prvku Zásady
(Azure Portal)
Verze zásad
(GitHub)
Kryptografie 10.1.1 Zásady používání kryptografických ovládacích prvků Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Kryptografie 10.1.1 Zásady používání kryptografických ovládacích prvků Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Kryptografie 10.1.1 Zásady používání kryptografických ovládacích prvků Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování 2.0.0
Kryptografie 10.1.1 Zásady používání kryptografických ovládacích prvků Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Kryptografie 10.1.1 Zásady používání kryptografických ovládacích prvků Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Zabezpečení operací 12.4.1 Protokolování událostí [Preview]: Rozšíření Log Analytics by mělo být povolené pro uvedené image virtuálních počítačů. 2.0.1-preview
Zabezpečení operací 12.4.1 Protokolování událostí U uvedených imagí virtuálních počítačů by měl být povolený agent závislostí. 2.0.0
Zabezpečení operací 12.4.1 Protokolování událostí Agent závislostí by měl být povolený ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. 2.0.0
Zabezpečení operací 12.4.1 Protokolování událostí Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. 2.0.1
Zabezpečení operací 12.4.3 Protokoly správců a operátorů [Preview]: Rozšíření Log Analytics by mělo být povolené pro uvedené image virtuálních počítačů. 2.0.1-preview
Zabezpečení operací 12.4.3 Protokoly správců a operátorů U uvedených imagí virtuálních počítačů by měl být povolený agent závislostí. 2.0.0
Zabezpečení operací 12.4.3 Protokoly správců a operátorů Agent závislostí by měl být povolený ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. 2.0.0
Zabezpečení operací 12.4.3 Protokoly správců a operátorů Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. 2.0.1
Zabezpečení operací 12.4.4 Synchronizace hodin [Preview]: Rozšíření Log Analytics by mělo být povolené pro uvedené image virtuálních počítačů. 2.0.1-preview
Zabezpečení operací 12.4.4 Synchronizace hodin U uvedených imagí virtuálních počítačů by měl být povolený agent závislostí. 2.0.0
Zabezpečení operací 12.4.4 Synchronizace hodin Agent závislostí by měl být povolený ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. 2.0.0
Zabezpečení operací 12.4.4 Synchronizace hodin Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. 2.0.1
Zabezpečení operací 12.5.1 Instalace softwaru na operační systémy Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Zabezpečení provozu 12.6.1 Správa technických ohrožení zabezpečení Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Zabezpečení provozu 12.6.1 Správa technických ohrožení zabezpečení Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Zabezpečení provozu 12.6.1 Správa technických ohrožení zabezpečení Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Zabezpečení provozu 12.6.1 Správa technických ohrožení zabezpečení Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. 3.0.0
Zabezpečení provozu 12.6.2 Omezení instalace softwaru Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Zabezpečení komunikace 13.1.1 Správa sítě Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
Řízení přístupu 9.1.2 Přístup k sítím a síťovým službám Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Řízení přístupu 9.1.2 Přístup k sítím a síťovým službám Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Řízení přístupu 9.1.2 Přístup k sítím a síťovým službám Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel 3.0.0
Řízení přístupu 9.1.2 Přístup k sítím a síťovým službám Auditování počítačů s Linuxem, které mají účty bez hesel 3.0.0
Řízení přístupu 9.1.2 Přístup k sítím a síťovým službám Auditování virtuálních počítačů, které nepoužívají spravované disky 1.0.0
Řízení přístupu 9.1.2 Přístup k sítím a síťovým službám Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Řízení přístupu 9.1.2 Přístup k sítím a síťovým službám Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manager 1.0.0
Řízení přístupu 9.2.4 Správa informací o ověřování tajných kódů uživatelů Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Řízení přístupu 9.2.4 Správa informací o ověřování tajných kódů uživatelů Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Řízení přístupu 9.2.4 Správa informací o ověřování tajných kódů uživatelů Auditování počítačů s Linuxem, které nemají oprávnění k souborům passwd nastavená na 0644 3.0.0
Řízení přístupu 9.2.4 Správa informací o ověřování tajných kódů uživatelů Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Řízení přístupu 9.4.3 Systém správy hesel Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Řízení přístupu 9.4.3 Systém správy hesel Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Řízení přístupu 9.4.3 Systém správy hesel Auditování počítačů s Windows, které umožňují opakované použití předchozích 24 hesel 2.0.0
Řízení přístupu 9.4.3 Systém správy hesel Auditování počítačů s Windows, které nemají maximální stáří hesla 70 dnů 2.0.0
Řízení přístupu 9.4.3 Systém správy hesel Auditování počítačů s Windows, které nemají minimální stáří hesla 1 den 2.0.0
Řízení přístupu 9.4.3 Systém správy hesel Auditování počítačů s Windows, které nemají povolené nastavení složitosti hesla 2.0.0
Řízení přístupu 9.4.3 Systém správy hesel Auditujte počítače s Windows, které neomezují minimální délku hesla na 14 znaků. 2.0.0
Řízení přístupu 9.4.3 Systém správy hesel Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0

Nový Zéland ISM omezený

Informace o tom, jak dostupné Azure Policy předdefinované pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Azure Policy dodržování právních předpisů – Nový Zéland ISM omezený. Další informace o tomto standardu dodržování předpisů naleznete v tématu Nový Zéland ISM restricted.

Doména ID ovládacího prvku Název ovládacího prvku Zásady
(Azure Portal)
Verze zásad
(GitHub)
Monitorování zabezpečení informací ISM-3 6.2.5 Provádění posouzení ohrožení zabezpečení Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Monitorování zabezpečení informací ISM-4 6.2.6 Řešení ohrožení zabezpečení Sql Servery na počítačích by měly mít vyřešené zjištění ohrožení zabezpečení 1.0.0
Monitorování zabezpečení informací ISM-4 6.2.6 Řešení ohrožení zabezpečení Měla by se napravit ohrožení zabezpečení v konfiguracích zabezpečení kontejneru. 3.0.0
Monitorování zabezpečení informací ISM-4 6.2.6 Řešení ohrožení zabezpečení Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. 3.0.0
Monitorování zabezpečení informací ISM-4 6.2.6 Řešení ohrožení zabezpečení Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů. 3.0.0
Monitorování zabezpečení informací ISM-7 6.4.5 Požadavky na dostupnost Auditování virtuálních počítačů bez konfigurace zotavení po havárii 1.0.0
Zabezpečení produktu PRS-5 12.4.4 Oprava ohrožení zabezpečení v produktech Aktualizace systému ve škálovacích sadách virtuálních počítačů by se měly nainstalovat. 3.0.0
Zabezpečení produktu PRS-5 12.4.4 Oprava ohrožení zabezpečení v produktech Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Zabezpečení softwaru SS-2 14.1.8 Vývoj posílených soes Porty pro správu by se měly na virtuálních počítačích zavřít. 3.0.0
Zabezpečení softwaru SS-3 14.1.9 Udržování posílených soes Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Zabezpečení softwaru SS-3 14.1.9 Udržování posílených soes Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Zabezpečení softwaru SS-3 14.1.9 Udržování posílených soes Řešení Endpoint Protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Zabezpečení softwaru SS-3 14.1.9 Udržování posílených soes Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Zabezpečení softwaru SS-3 14.1.9 Udržování posílených SOE Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Zabezpečení softwaru SS-5 14.2.4 Seznam povolených aplikací Adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené. 3.0.0
Zabezpečení softwaru SS-5 14.2.4 Seznam povolených aplikací Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Access Control a hesla AC-4 16.1.40 Zásady výběru hesla Auditování počítačů s Linuxem, které mají účty bez hesel 3.0.0
Access Control a hesla AC-4 16.1.40 Zásady výběru hesla Počítače s Windows by měly splňovat požadavky na nastavení zabezpečení – zásady účtu. 3.0.0
Access Control a hesla AC-11 16.4.30 Privileged Access Management Auditování počítačů s Windows, u které chybí některý ze zadaných členů ve skupině Administrators 2.0.0
Access Control a hesla AC-11 16.4.30 Privileged Access Management Auditování počítačů s Windows s dalšími účty ve skupině Administrators 2.0.0
Access Control a hesla AC-11 16.4.30 Privileged Access Management Auditování počítačů s Windows, které mají zadané členy ve skupině Administrators 2.0.0
Access Control a hesla AC-13 16.5.10 Ověřování Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel 3.0.0
Access Control a hesla AC-17 16.6.9 Události, které se mají protokolovat Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. 2.0.1
Access Control a hesla AC-17 16.6.9 Události, které se mají protokolovat Protokoly prostředků v Virtual Machine Scale Sets by měly být povolené. 2.1.0
Kryptografie CR-3 17.1.46 Snížení požadavků na úložiště a fyzický přenos Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Kryptografie CR-7 17.4.16 Pomocí protokolu TLS Webové servery Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. 4.0.0
Kryptografie CR-9 17.5.7 Mechanismy ověřování Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. 3.0.0
Kryptografie CR-14 17.9.25 Obsah kmps Předávání IP na virtuálním počítači by mělo být zakázané. 3.0.0
Zabezpečení brány GS-2 19.1.11 Použití bran Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Zabezpečení brány GS-3 19.1.12 Konfigurace bran Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
Zabezpečení brány GS-5 19.1.23 Testování bran Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0

NIST SP 800-53 Rev. 5

Informace o tom, jak dostupné Azure Policy integrované pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Azure Policy Dodržování právních předpisů – NIST SP 800-53 Rev. 5. Další informace o tomto standardu dodržování předpisů najdete v tématu NIST SP 800-53 Rev. 5.

Doména ID ovládacího prvku Název ovládacího prvku Zásady
(Azure Portal)
Verze zásad
(GitHub)
Řízení přístupu AC-2 (12) Monitorování účtů pro atypické využití Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Řízení přístupu AC-3 Vynucení přístupu Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Řízení přístupu AC-3 Vynucení přístupu Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Řízení přístupu AC-3 Vynucení přístupu Auditování počítačů s Linuxem, které mají účty bez hesel 3.0.0
Řízení přístupu AC-3 Vynucení přístupu Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. 3.0.0
Řízení přístupu AC-3 Vynucení přístupu Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Řízení přístupu AC-3 Vynucení přístupu Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manager 1.0.0
Řízení přístupu AC-4 Vynucení toku informací Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Řízení přístupu AC-4 Vynucení toku informací Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
Řízení přístupu AC-4 Vynucení toku informací Prostředky přístupu k diskům by měly používat privátní propojení. 1.0.0
Řízení přístupu AC-4 Vynucení toku informací Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Řízení přístupu AC-4 Vynucení toku informací Předávání IP na virtuálním počítači by mělo být zakázané. 3.0.0
Řízení přístupu AC-4 Vynucení toku informací Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Řízení přístupu AC-4 Vynucení toku informací Porty pro správu by se měly na virtuálních počítačích zavřít. 3.0.0
Řízení přístupu AC-4 Vynucení toku informací Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Řízení přístupu AC-4 (3) Řízení dynamického toku informací Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Řízení přístupu AC-4 (3) Řízení dynamického toku informací Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Řízení přístupu AC-17 Vzdálený přístup Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Řízení přístupu AC-17 Vzdálený přístup Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Řízení přístupu AC-17 Vzdálený přístup Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel 3.0.0
Řízení přístupu AC-17 Vzdálený přístup Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Řízení přístupu AC-17 Vzdálený přístup Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Řízení přístupu AC-17 Vzdálený přístup Prostředky přístupu k diskům by měly používat privátní propojení. 1.0.0
Řízení přístupu AC-17 (1) Monitorování a řízení Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Řízení přístupu AC-17 (1) Monitorování a řízení Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Řízení přístupu AC-17 (1) Monitorování a řízení Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel 3.0.0
Řízení přístupu AC-17 (1) Monitorování a řízení Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Řízení přístupu AC-17 (1) Monitorování a řízení Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Řízení přístupu AC-17 (1) Monitorování a řízení Prostředky přístupu k diskům by měly používat privátní propojení. 1.0.0
Audit a odpovědnost AU-6 Kontrola, analýza a generování sestav záznamů auditu [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. 1.0.2-preview
Audit a odpovědnost AU-6 Kontrola, analýza a generování sestav záznamů auditu [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. 1.0.2-preview
Audit a odpovědnost AU-6 (4) Centrální kontrola a analýza [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. 1.0.2-preview
Audit a odpovědnost AU-6 (4) Centrální kontrola a analýza [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. 1.0.2-preview
Audit a odpovědnost AU-6 (4) Centrální kontrola a analýza Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. 1.0.2
Audit a odpovědnost AU-6 (4) Centrální kontrola a analýza Agent Log Analytics by se měl nainstalovat na virtuální počítač pro monitorování Azure Security Center 1.0.0
Audit a odpovědnost AU-6 (4) Centrální kontrola a analýza Agent Log Analytics by měl být nainstalovaný ve škálovacích sadách virtuálních počítačů pro monitorování Azure Security Center 1.0.0
Audit a odpovědnost AU-6 (4) Centrální kontrola a analýza Protokoly prostředků v Virtual Machine Scale Sets by měly být povolené. 2.1.0
Audit a odpovědnost AU-6 (4) Centrální kontrola a analýza Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem 1.0.1
Audit a odpovědnost AU-6 (5) Integrovaná analýza záznamů auditu [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. 1.0.2-preview
Audit a odpovědnost AU-6 (5) Integrovaná analýza záznamů auditu [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. 1.0.2-Preview
Audit a odpovědnost AU-6 (5) Integrovaná analýza záznamů auditu Rozšíření konfigurace hosta by se mělo nainstalovat na vaše počítače 1.0.2
Audit a odpovědnost AU-6 (5) Integrovaná analýza záznamů auditu Agent Log Analytics by se měl nainstalovat na virtuální počítač pro monitorování Azure Security Center 1.0.0
Audit a odpovědnost AU-6 (5) Integrovaná analýza záznamů auditu Agent Log Analytics by se měl nainstalovat na škálovací sady virtuálních počítačů pro monitorování Azure Security Center 1.0.0
Audit a odpovědnost AU-6 (5) Integrovaná analýza záznamů auditu Protokoly prostředků v Virtual Machine Scale Sets by měly být povolené. 2.1.0
Audit a odpovědnost AU-6 (5) Integrovaná analýza záznamů auditu Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. 1.0.1
Audit a odpovědnost AU-12 Generování záznamů auditu [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. 1.0.2-Preview
Audit a odpovědnost AU-12 Generování záznamů auditu [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. 1.0.2-Preview
Audit a odpovědnost AU-12 Generování záznamů auditu Rozšíření konfigurace hosta by se mělo nainstalovat na vaše počítače 1.0.2
Audit a odpovědnost AU-12 Generování záznamů auditu Agent Log Analytics by se měl nainstalovat na virtuální počítač pro monitorování Azure Security Center 1.0.0
Audit a odpovědnost AU-12 Generování záznamů auditu Agent Log Analytics by se měl nainstalovat na škálovací sady virtuálních počítačů pro monitorování Azure Security Center 1.0.0
Audit a odpovědnost AU-12 Generování záznamů auditu Protokoly prostředků v Virtual Machine Scale Sets by měly být povolené. 2.1.0
Audit a odpovědnost AU-12 Generování záznamů auditu Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. 1.0.1
Audit a odpovědnost AU-12 (1) Záznam auditu v rámci celého systému a časově korelovaný audit [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. 1.0.2-Preview
Audit a odpovědnost AU-12 (1) Záznam auditu v rámci celého systému a časově korelovaný audit [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. 1.0.2-Preview
Audit a odpovědnost AU-12 (1) Záznam auditu v rámci celého systému a časově korelovaný audit Rozšíření konfigurace hosta by se mělo nainstalovat na vaše počítače 1.0.2
Audit a odpovědnost AU-12 (1) Záznam auditu v rámci celého systému a časově korelovaný audit Agent Log Analytics by se měl nainstalovat na virtuální počítač pro monitorování Azure Security Center 1.0.0
Audit a odpovědnost AU-12 (1) Záznam auditu v rámci celého systému a časově korelovaný audit Agent Log Analytics by se měl nainstalovat na škálovací sady virtuálních počítačů pro monitorování Azure Security Center 1.0.0
Audit a odpovědnost AU-12 (1) Záznam auditu v rámci celého systému a časově korelovaný audit Protokoly prostředků v Virtual Machine Scale Sets by měly být povolené. 2.1.0
Audit a odpovědnost AU-12 (1) Záznam auditu v rámci celého systému a časově korelovaný audit Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. 1.0.1
Správa konfigurace CM-6 Nastavení konfigurace Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. 2.0.0
Správa konfigurace CM-6 Nastavení konfigurace Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. 2.0.0
Správa konfigurace CM-7 Nejnižší funkce Adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené. 3.0.0
Správa konfigurace CM-7 Nejnižší funkce Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Správa konfigurace CM-7 (2) Zabránit spuštění programu Adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené. 3.0.0
Správa konfigurace CM-7 (2) Zabránit spuštění programu Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Správa konfigurace CM-7 (5) Autorizovaný software ??? Povolení po výjimce Adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené. 3.0.0
Správa konfigurace CM-7 (5) Autorizovaný software ??? Povolení po výjimce Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Správa konfigurace CM-10 Omezení využití softwaru Adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené. 3.0.0
Správa konfigurace CM-10 Omezení využití softwaru Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Správa konfigurace CM-11 Software nainstalovaný uživatelem Adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené. 3.0.0
Správa konfigurace CM-11 Software nainstalovaný uživatelem Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Plánování nepředvídaných událostí CP-7 Web alternativního zpracování Audit virtuálních počítačů bez nakonfigurovaného zotavení po havárii 1.0.0
Plánování nepředvídaných událostí CP-9 Zálohování systému Azure Backup by měly být povolené pro Virtual Machines 3.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Auditování počítačů s Linuxem, které nemají oprávnění k souborům passwd nastavená na 0644 3.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování 2.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. 3.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Identifikace a ověřování IA-5 Správa authenticatoru Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Auditování počítačů s Linuxem, které nemají oprávnění k souborům passwd nastavená na 0644 3.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Auditování počítačů s Windows, které umožňují opakované použití předchozích 24 hesel 2.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Auditování počítačů s Windows, které nemají maximální věk hesla 70 dnů 2.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Auditování počítačů s Windows, které nemají minimální věk hesla 1 den 2.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Auditování počítačů s Windows, které nemají povolené nastavení složitosti hesla 2.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Auditování počítačů s Windows, které neomezují minimální délku hesla na 14 znaků 2.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování 2.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Identifikace a ověřování IA-5 (1) Ověřování založené na heslech Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Posouzení rizik RA-5 Monitorování a kontrola ohrožení zabezpečení Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Posouzení rizik RA-5 Monitorování a kontrola ohrožení zabezpečení Vyřešené zjištění ohrožení zabezpečení serverů SQL na počítačích 1.0.0
Posouzení rizik RA-5 Monitorování a kontrola ohrožení zabezpečení Ohrožení zabezpečení v konfiguracích zabezpečení kontejneru by se měla napravit. 3.0.0
Posouzení rizik RA-5 Monitorování a kontrola ohrožení zabezpečení Chyby zabezpečení v konfiguraci zabezpečení na počítačích by se měly napravit. 3.0.0
Posouzení rizik RA-5 Monitorování a kontrola ohrožení zabezpečení Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
System and Communications Protection SC-3 Izolace funkce zabezpečení Řešení ochrany koncových bodů by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
System and Communications Protection SC-3 Izolace funkce zabezpečení Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
System and Communications Protection SC-3 Izolace funkce zabezpečení Windows Defender By měla být na vašich počítačích povolená ochrana Exploit Guard. 2.0.0
System and Communications Protection SC-5 Ochrana před odepřením služby Předávání IP na virtuálním počítači by mělo být zakázané. 3.0.0
System and Communications Protection SC-7 Ochrana hranic Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
System and Communications Protection SC-7 Ochrana hranic Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
System and Communications Protection SC-7 Ochrana hranic Prostředky přístupu k diskům by měly používat privátní propojení. 1.0.0
System and Communications Protection SC-7 Ochrana hranic Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
System and Communications Protection SC-7 Ochrana hranic Předávání IP na virtuálním počítači by mělo být zakázané. 3.0.0
System and Communications Protection SC-7 Ochrana hranic Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
System and Communications Protection SC-7 Ochrana hranic Porty pro správu by se měly na virtuálních počítačích zavřít. 3.0.0
System and Communications Protection SC-7 Ochrana hranic Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
System and Communications Protection SC-7 (3) Přístupové body Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
System and Communications Protection SC-7 (3) Přístupové body Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
System and Communications Protection SC-7 (3) Přístupové body Prostředky přístupu k diskům by měly používat privátní propojení. 1.0.0
System and Communications Protection SC-7 (3) Přístupové body Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
System and Communications Protection SC-7 (3) Přístupové body Předávání IP na virtuálním počítači by mělo být zakázané. 3.0.0
System and Communications Protection SC-7 (3) Přístupové body Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
System and Communications Protection SC-7 (3) Přístupové body Porty pro správu by se měly na virtuálních počítačích zavřít. 3.0.0
System and Communications Protection SC-7 (3) Přístupové body Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
System and Communications Protection SC-8 Důvěrnost a integrita přenosu Webové servery Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. 4.0.0
System and Communications Protection SC-8 (1) Kryptografická ochrana Webové servery Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. 4.0.0
System and Communications Protection SC-12 Kryptografické zřízení a správa kryptografických klíčů Spravované disky by měly být dvakrát šifrované pomocí klíčů spravovaných platformou i klíčů spravovaných zákazníkem. 1.0.0
System and Communications Protection SC-12 Kryptografické zřízení a správa kryptografických klíčů Operační systém a datové disky by měly být šifrované pomocí klíče spravovaného zákazníkem. 3.0.0
System and Communications Protection SC-28 Ochrana informací v klidovém stavu Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli. 1.0.0
System and Communications Protection SC-28 Ochrana informací v klidovém stavu Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
System and Communications Protection SC-28 (1) Kryptografická ochrana Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli. 1.0.0
System and Communications Protection SC-28 (1) Kryptografická ochrana Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Integrita systému a informací SI-2 Náprava chyb Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Integrita systému a informací SI-2 Náprava chyb Aktualizace systému ve škálovacích sadách virtuálních počítačů by měly být nainstalovány. 3.0.0
Integrita systému a informací SI-2 Náprava chyb Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Integrita systému a informací SI-2 Náprava chyb Chyby zabezpečení v konfiguraci zabezpečení na počítačích by se měly napravit. 3.0.0
Integrita systému a informací SI-2 Náprava chyb Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
Integrita systému a informací SI-3 Ochrana škodlivého kódu Řešení ochrany koncových bodů by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Integrita systému a informací SI-3 Ochrana škodlivého kódu Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Integrita systému a informací SI-3 Ochrana škodlivého kódu Windows Defender By měla být na vašich počítačích povolená ochrana Exploit Guard. 2.0.0
Integrita systému a informací SI-4 Monitorování systému [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. 1.0.2-preview
Integrita systému a informací SI-4 Monitorování systému [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. 1.0.2-preview
Integrita systému a informací SI-4 Monitorování systému Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. 1.0.2
Integrita systému a informací SI-4 Monitorování systému Agent Log Analytics by se měl nainstalovat na virtuální počítač pro monitorování Azure Security Center 1.0.0
Integrita systému a informací SI-4 Monitorování systému Agent Log Analytics by měl být nainstalovaný ve škálovacích sadách virtuálních počítačů pro monitorování Azure Security Center 1.0.0
Integrita systému a informací SI-4 Monitorování systému Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem 1.0.1
Integrita systému a informací SI-16 Ochrana paměti Windows Defender By měla být na vašich počítačích povolená ochrana Exploit Guard. 2.0.0

NZ ISM Restricted v3.5

Informace o tom, jak dostupné Azure Policy integrované pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Azure Policy dodržování právních předpisů – NZ ISM restricted v3.5. Další informace o tomto standardu dodržování předpisů najdete v tématu NZ ISM Restricted v3.5.

Doména ID ovládacího prvku Název ovládacího prvku Zásady
(Azure Portal)
Verze zásad
(GitHub)
Access Control a hesla Srovnávací test zabezpečení NZISM AC-13 16.5.10 Ověřování Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel 3.0.0
Access Control a hesla Srovnávací test zabezpečení NZISM AC-18 16.6.9 Události, které se mají protokolovat Agent Log Analytics by se měl nainstalovat na virtuální počítač pro monitorování Azure Security Center 1.0.0
Access Control a hesla Srovnávací test zabezpečení NZISM AC-18 16.6.9 Události, které se mají protokolovat Agent Log Analytics by se měl nainstalovat na škálovací sady virtuálních počítačů pro monitorování Azure Security Center 1.0.0
Access Control a hesla Srovnávací test zabezpečení NZISM AC-18 16.6.9 Události, které se mají protokolovat Protokoly prostředků v Virtual Machine Scale Sets by měly být povolené. 2.1.0
Kryptografie Srovnávací test zabezpečení NZISM CR-10 17.5.7 Mechanismy ověřování Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. 3.0.0
Kryptografie Srovnávací test zabezpečení NZISM CR-15 17.9.25 Obsah kmps Předávání IP na virtuálním počítači by mělo být zakázané. 3.0.0
Kryptografie Srovnávací test zabezpečení NZISM CR-3 17.1.53 Snížení požadavků na úložiště a fyzický přenos Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Kryptografie Srovnávací test zabezpečení NZISM CR-8 17.4.16 Pomocí protokolu TLS Webové servery s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. 4.0.0
Zabezpečení brány Srovnávací test zabezpečení NZISM GS-2 19.1.11 Použití bran Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Zabezpečení brány Srovnávací test zabezpečení NZISM GS-2 19.1.11 Použití bran Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Zabezpečení brány Srovnávací test zabezpečení NZISM GS-3 19.1.12 Konfigurace bran Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
Zabezpečení brány Srovnávací test zabezpečení NZISM GS-5 19.1.23 Testování bran Doporučení k adaptivnímu posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Monitorování zabezpečení informací Srovnávací test zabezpečení NZISM ISM-3 6.2.5 Provádění posouzení ohrožení zabezpečení Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Monitorování zabezpečení informací Srovnávací test zabezpečení NZISM ISM-4 6.2.6 Řešení ohrožení zabezpečení Sql Servery na počítačích by měly mít vyřešené zjištění ohrožení zabezpečení 1.0.0
Monitorování zabezpečení informací Srovnávací test zabezpečení NZISM ISM-4 6.2.6 Řešení ohrožení zabezpečení Měla by se napravit ohrožení zabezpečení v konfiguracích zabezpečení kontejneru. 3.0.0
Monitorování zabezpečení informací Srovnávací test zabezpečení NZISM ISM-4 6.2.6 Řešení ohrožení zabezpečení Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. 3.0.0
Monitorování zabezpečení informací Srovnávací test zabezpečení NZISM ISM-4 6.2.6 Řešení ohrožení zabezpečení Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů. 3.0.0
Monitorování zabezpečení informací Srovnávací test zabezpečení NZISM ISM-7 6.4.5 Požadavky na dostupnost Auditování virtuálních počítačů bez konfigurace zotavení po havárii 1.0.0
Zabezpečení produktu NZISM Security Benchmark PRS-5 12.4.4 Oprava ohrožení zabezpečení v produktech Aktualizace systému ve škálovacích sadách virtuálních počítačů by se měly nainstalovat. 3.0.0
Zabezpečení produktu NZISM Security Benchmark PRS-5 12.4.4 Oprava ohrožení zabezpečení v produktech Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Zabezpečení softwaru Srovnávací test zabezpečení NZISM SS-2 14.1.8 Vývoj posílených soes Porty pro správu by se měly na virtuálních počítačích zavřít. 3.0.0
Zabezpečení softwaru Srovnávací test zabezpečení NZISM SS-3 14.1.9 Udržování posílených soes Na počítačích by se měly vyřešit problémy se stavem služby Endpoint Protection. 1.0.0
Zabezpečení softwaru Srovnávací test zabezpečení NZISM SS-3 14.1.9 Udržování posílených soes Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích 1.0.0
Zabezpečení softwaru Srovnávací test zabezpečení NZISM SS-3 14.1.9 Udržování posílených soes Řešení Endpoint Protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Zabezpečení softwaru Srovnávací test zabezpečení NZISM SS-3 14.1.9 Udržování posílených soes Rozšíření konfigurace hosta by se mělo nainstalovat na vaše počítače 1.0.2
Zabezpečení softwaru Srovnávací test zabezpečení NZISM SS-3 14.1.9 Udržování posílených soes Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Zabezpečení softwaru Srovnávací test zabezpečení NZISM SS-3 14.1.9 Udržování posílených soes Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Zabezpečení softwaru Srovnávací test zabezpečení NZISM SS-3 14.1.9 Udržování posílených soes Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. 1.0.1
Zabezpečení softwaru Srovnávací test zabezpečení NZISM SS-3 14.1.9 Udržování posílených soes Windows Defender By měla být na vašich počítačích povolená ochrana Exploit Guard. 2.0.0
Zabezpečení softwaru Srovnávací test zabezpečení NZISM SS-5 14.2.4 Přidání aplikací na seznam povolených Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Zabezpečení softwaru Srovnávací test zabezpečení NZISM SS-5 14.2.4 Přidání aplikací na seznam povolených Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0

PCI DSS 3.2.1

Informace o tom, jak dostupné Azure Policy integrované pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu PCI DSS 3.2.1. Další informace o tomto standardu dodržování předpisů najdete v tématu PCI DSS 3.2.1.

Doména ID ovládacího prvku Název ovládacího prvku Zásady
(Azure Portal)
Verze zásad
(GitHub)
Požadavek 1 PCI DSS v3.2.1 1.3.2 Požadavek PCI DSS 1.3.2 Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
Požadavek 1 PCI DSS v3.2.1 1.3.4 Požadavek PCI DSS 1.3.4 Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
Požadavek 1 PCI DSS v3.2.1 1.3.4 Požadavek PCI DSS 1.3.4 Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manager 1.0.0
Požadavek 10 PCI DSS v3.2.1 10.5.4 Požadavek PCI DSS 10.5.4 Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manager 1.0.0
Požadavek 11 PCI DSS v3.2.1 11.2.1 Požadavek PCI DSS 11.2.1 Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Požadavek 11 PCI DSS v3.2.1 11.2.1 Požadavek PCI DSS 11.2.1 Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Požadavek 11 PCI DSS v3.2.1 11.2.1 Požadavek PCI DSS 11.2.1 Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Požadavek 11 PCI DSS v3.2.1 11.2.1 Požadavek PCI DSS 11.2.1 Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. 3.0.0
Požadavek 3 PCI DSS v3.2.1 3.4 Požadavek PCI DSS 3.4 Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Požadavek 4 PCI DSS v3.2.1 4.1 Požadavek PCI DSS 4.1 Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Požadavek 5 PCI DSS v3.2.1 5.1 Požadavek PCI DSS 5.1 Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Požadavek 5 PCI DSS v3.2.1 5.1 Požadavek PCI DSS 5.1 Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Požadavek 5 PCI DSS v3.2.1 5.1 Požadavek PCI DSS 5.1 Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Požadavek 5 PCI DSS v3.2.1 5.1 Požadavek PCI DSS 5.1 Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. 3.0.0
Požadavek 6 PCI DSS v3.2.1 6.2 Požadavek PCI DSS 6.2 Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Požadavek 6 PCI DSS v3.2.1 6.2 Požadavek PCI DSS 6.2 Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Požadavek 6 PCI DSS v3.2.1 6.2 Požadavek PCI DSS 6.2 Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Požadavek 6 PCI DSS v3.2.1 6.2 Požadavek PCI DSS 6.2 Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. 3.0.0
Požadavek 6 PCI DSS v3.2.1 6.5.3 Požadavek PCI DSS 6.5.3 Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Požadavek 6 PCI DSS v3.2.1 6.6 Požadavek PCI DSS 6.6 Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Požadavek 6 PCI DSS v3.2.1 6.6 Požadavek PCI DSS 6.6 Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Požadavek 6 PCI DSS v3.2.1 6.6 Požadavek PCI DSS 6.6 Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Požadavek 6 PCI DSS v3.2.1 6.6 Požadavek PCI DSS 6.6 Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. 3.0.0
Požadavek 8 PCI DSS v3.2.1 8.2.3 Požadavek PCI DSS 8.2.3 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Požadavek 8 PCI DSS v3.2.1 8.2.3 Požadavek PCI DSS 8.2.3 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Požadavek 8 PCI DSS v3.2.1 8.2.3 Požadavek PCI DSS 8.2.3 Auditování počítačů s Windows, které umožňují opakované použití předchozích 24 hesel 2.0.0
Požadavek 8 PCI DSS v3.2.1 8.2.3 Požadavek PCI DSS 8.2.3 Auditování počítačů s Windows, které nemají maximální věk hesla 70 dnů 2.0.0
Požadavek 8 PCI DSS v3.2.1 8.2.3 Požadavek PCI DSS 8.2.3 Auditování počítačů s Windows, které neomezují minimální délku hesla na 14 znaků 2.0.0
Požadavek 8 PCI DSS v3.2.1 8.2.3 Požadavek PCI DSS 8.2.3 Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Požadavek 8 PCI DSS v3.2.1 8.2.5 Požadavek PCI DSS 8.2.5 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Požadavek 8 PCI DSS v3.2.1 8.2.5 Požadavek PCI DSS 8.2.5 Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Požadavek 8 PCI DSS v3.2.1 8.2.5 Požadavek PCI DSS 8.2.5 Auditování počítačů s Windows, které umožňují opakované použití předchozích 24 hesel 2.0.0
Požadavek 8 PCI DSS v3.2.1 8.2.5 Požadavek PCI DSS 8.2.5 Auditování počítačů s Windows, které nemají maximální věk hesla 70 dnů 2.0.0
Požadavek 8 PCI DSS v3.2.1 8.2.5 Požadavek PCI DSS 8.2.5 Auditování počítačů s Windows, které neomezují minimální délku hesla na 14 znaků 2.0.0
Požadavek 8 PCI DSS v3.2.1 8.2.5 Požadavek PCI DSS 8.2.5 Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0

Reserve Bank of India - IT Framework for NBFC

Informace o tom, jak dostupné Azure Policy předdefinované pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Azure Policy dodržování právních předpisů – Reserve Bank of India – IT Framework pro NBFC. Další informace o tomto standardu dodržování předpisů naleznete v tématu Reserve Bank of India - IT Framework for NBFC.

Doména ID ovládacího prvku Název ovládacího prvku Zásady
(Azure Portal)
Verze zásad
(GitHub)
Zásady správného řízení IT RBI IT Framework 1 Zásady správného řízení IT–1 Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Zásady správného řízení IT RBI IT Framework 1 Zásady správného řízení IT–1 Vyřešené zjištění ohrožení zabezpečení serverů SQL na počítačích 1.0.0
Zásady správného řízení IT RBI IT Framework 1 Zásady správného řízení IT–1 Aktualizace systému ve škálovacích sadách virtuálních počítačů by měly být nainstalovány. 3.0.0
Zásady správného řízení IT RBI IT Framework 1 Zásady správného řízení IT–1 Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Zásady správného řízení IT RBI IT Framework 1 Zásady správného řízení IT–1 Ohrožení zabezpečení v konfiguracích zabezpečení kontejneru by se měla napravit. 3.0.0
Zásady správného řízení IT RBI IT Framework 1 Zásady správného řízení IT–1 Chyby zabezpečení v konfiguraci zabezpečení na počítačích by se měly napravit. 3.0.0
Zásady správného řízení IT RBI IT Framework 1 Zásady správného řízení IT–1 Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
Zásady správného řízení IT RBI IT Framework 1.1 Zásady správného řízení IT-1.1 Předávání IP na virtuálním počítači by mělo být zakázané. 3.0.0
Zásady správného řízení IT RBI IT Framework 1.1 Zásady správného řízení IT-1.1 Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Zásady správného řízení IT RBI IT Framework 1.1 Zásady správného řízení IT-1.1 Porty pro správu by se měly na virtuálních počítačích zavřít. 3.0.0
Zásady IT RBI IT Framework 2 ZÁSADY IT–2 Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Zásady IT RBI IT Framework 2 ZÁSADY IT–2 Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Informační a kybernetická bezpečnost RBI IT Framework 3.1.b Oddělení funkcí -3.1 [Preview]: Na podporovaných virtuálních počítačích s Windows by mělo být povolené zabezpečené spouštění. 3.0.0-preview
Informační a kybernetická bezpečnost RBI IT Framework 3.1.b Oddělení funkcí -3.1 [Preview]: Virtuální počítač vTPM by měl být povolený na podporovaných virtuálních počítačích. 2.0.0-Preview
Informační a kybernetická bezpečnost RBI IT Framework 3.1.b Oddělení funkcí -3.1 Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. 1.0.1
Informační a kybernetická bezpečnost RBI IT Framework 3.1.c Access Control-3.1 na základě rolí Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Informační a kybernetická bezpečnost RBI IT Framework 3.1.g Stezky-3.1 [Preview]: Pro uvedené image virtuálních počítačů by mělo být povolené rozšíření Log Analytics. 2.0.1-Preview
Informační a kybernetická bezpečnost RBI IT Framework 3.1.g Stezky-3.1 [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. 1.0.2-Preview
Informační a kybernetická bezpečnost RBI IT Framework 3.1.g Stezky-3.1 [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. 1.0.2-Preview
Informační a kybernetická bezpečnost RBI IT Framework 3.1.g Stezky-3.1 Agent Log Analytics by se měl nainstalovat na virtuální počítač pro monitorování Azure Security Center 1.0.0
Informační a kybernetická bezpečnost RBI IT Framework 3.1.g Stezky-3.1 Agent Log Analytics by se měl nainstalovat na škálovací sady virtuálních počítačů pro monitorování Azure Security Center 1.0.0
Informační a kybernetická bezpečnost RBI IT Framework 3.1.g Stezky-3.1 Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. 2.0.1
Informační a kybernetická bezpečnost RBI IT Framework 3.1.g Stezky-3.1 Rozšíření Log Analytics by se mělo nainstalovat na Virtual Machine Scale Sets 1.0.1
Informační a kybernetická bezpečnost RBI IT Framework 3.1.g Stezky-3.1 Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. 1.0.1
Informační a kybernetická bezpečnost RBI IT Framework 3.1.h Infrastruktura veřejných klíčů (PKI)-3.1 Spravované disky by měly pro šifrování klíčů spravovaných zákazníkem používat konkrétní sadu sad šifrování disků. 2.0.0
Informační a kybernetická bezpečnost RBI IT Framework 3.1.h Infrastruktura veřejných klíčů (PKI)-3.1 Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Informační a kybernetická bezpečnost RBI IT Framework 3.3 Správa ohrožení zabezpečení -3.3 Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Informační a kybernetická bezpečnost RBI IT Framework 3.3 Správa ohrožení zabezpečení -3.3 Sql Servery na počítačích by měly mít vyřešené zjištění ohrožení zabezpečení 1.0.0
Informační a kybernetická bezpečnost RBI IT Framework 3.3 Správa ohrožení zabezpečení -3.3 Aktualizace systému ve škálovacích sadách virtuálních počítačů by se měly nainstalovat. 3.0.0
Informační a kybernetická bezpečnost RBI IT Framework 3.3 Správa ohrožení zabezpečení -3.3 Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Informační a kybernetická bezpečnost RBI IT Framework 3.3 Správa ohrožení zabezpečení -3.3 Měla by se napravit ohrožení zabezpečení v konfiguracích zabezpečení kontejneru. 3.0.0
Informační a kybernetická bezpečnost RBI IT Framework 3.3 Správa ohrožení zabezpečení -3.3 Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. 3.0.0
Informační a kybernetická bezpečnost RBI IT Framework 3.3 Správa ohrožení zabezpečení -3.3 Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů. 3.0.0
Provoz IT RBI IT Framework 4.2 IT Operations-4.2 [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. 1.0.2-Preview
Provoz IT RBI IT Framework 4.4.a IT Operations-4.4 Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Provoz IT RBI IT Framework 4.4.b MIS pro top management-4.4 Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
IS Audit RBI IT Framework 5 Zásady pro audit informačního systému (IS Audit)-5 Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
IS Audit RBI IT Framework 5 Zásady pro audit informačního systému (IS Audit)-5 Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
IS Audit RBI IT Framework 5 Zásady pro audit informačního systému (IS Audit)-5 Předávání IP na virtuálním počítači by mělo být zakázané. 3.0.0
IS Audit RBI IT Framework 5 Zásady pro audit informačního systému (IS Audit)-5 Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
IS Audit RBI IT Framework 5.2 Pokrytí -5,2 Azure Backup by měly být povolené pro Virtual Machines 3.0.0
Plánování provozní kontinuity RBI IT Framework 6 Plánování provozní kontinuity (BCP) a zotavení po havárii –6 Auditování virtuálních počítačů bez konfigurace zotavení po havárii 1.0.0
Plánování provozní kontinuity RBI IT Framework 6 Plánování provozní kontinuity (BCP) a zotavení po havárii –6 Azure Backup by měly být povolené pro Virtual Machines 3.0.0
Plánování provozní kontinuity RBI IT Framework 6.2 Strategie obnovení / Plán nepředvídaných událostí -6.2 Auditování virtuálních počítačů bez konfigurace zotavení po havárii 1.0.0
Plánování provozní kontinuity RBI IT Framework 6.2 Strategie obnovení / Plán nepředvídaných událostí -6.2 Azure Backup by měly být povolené pro Virtual Machines 3.0.0
Plánování provozní kontinuity RBI IT Framework 6.3 Strategie obnovení / Plán nepředvídaných událostí-6.3 Azure Backup by měly být povolené pro Virtual Machines 3.0.0
Plánování provozní kontinuity RBI IT Framework 6.4 Strategie obnovení / Plán nepředvídaných událostí-6.4 Auditování virtuálních počítačů bez konfigurace zotavení po havárii 1.0.0

RMIT Malajsie

Informace o tom, jak dostupné Azure Policy integrované pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Azure Policy dodržování právních předpisů – RMIT Malajsie. Další informace o tomto standardu dodržování předpisů naleznete v tématu RMIT Malajsie.

Doména ID ovládacího prvku Název ovládacího prvku Zásady
(Azure Portal)
Verze zásad
(GitHub)
Provoz datacentra RMiT 10.27 Provoz datacentra – 10.27 Nasazení – Konfigurace rozšíření Log Analytics pro povolení ve škálovacích sadách virtuálních počítačů s Windows 3.0.1
Provoz datacentra RMiT 10.27 Provoz datacentra – 10.27 Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manager 1.0.0
Provoz datacentra RMiT 10.30 Provoz datacentra – 10.30 Azure Backup by měly být povolené pro Virtual Machines 3.0.0
Odolnost sítě RMiT 10.33 Odolnost sítě – 10.33 Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
Odolnost sítě RMiT 10.33 Odolnost sítě – 10.33 Konfigurace spravovaných disků pro zakázání přístupu k veřejné síti 2.0.0
Odolnost sítě RMiT 10.33 Odolnost sítě – 10.33 Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Odolnost sítě RMiT 10.33 Odolnost sítě – 10.33 Předávání IP na virtuálním počítači by mělo být zakázané. 3.0.0
Odolnost sítě RMiT 10.33 Odolnost sítě – 10.33 Spravované disky by měly zakázat přístup k veřejné síti. 2.0.0
Odolnost sítě RMiT 10.33 Odolnost sítě – 10.33 Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Odolnost sítě RMiT 10.33 Odolnost sítě – 10.33 Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Odolnost sítě RMiT 10.35 Odolnost sítě – 10.35 Nasazení – Konfigurace rozšíření Log Analytics pro povolení ve škálovacích sadách virtuálních počítačů s Windows 3.0.1
Cloud Services RMiT 10.49 Cloud Services – 10,49 Doporučení k adaptivnímu posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Cloud Services RMiT 10.49 Cloud Services – 10,49 Porty pro správu by se měly na virtuálních počítačích zavřít. 3.0.0
Cloud Services RMiT 10.51 Cloud Services – 10,51 Doporučení k adaptivnímu posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Cloud Services RMiT 10.51 Cloud Services – 10,51 Auditování virtuálních počítačů bez konfigurace zotavení po havárii 1.0.0
Cloud Services RMiT 10.53 Cloud Services – 10,53 Spravované disky by měly pro šifrování klíčů spravovaných zákazníkem používat konkrétní sadu sad šifrování disků. 2.0.0
Cloud Services RMiT 10.53 Cloud Services – 10,53 Disky s operačním systémem a datovými disky by se měly šifrovat pomocí klíče spravovaného zákazníkem. 3.0.0
Řízení přístupu RMiT 10.54 Access Control – 10,54 Rozšíření konfigurace hosta by se mělo nainstalovat na vaše počítače 1.0.2
Řízení přístupu RMiT 10.54 Access Control – 10,54 Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Řízení přístupu RMiT 10.54 Access Control – 10,54 Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem 1.0.1
Řízení přístupu RMiT 10.61 Access Control – 10,61 Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. 1.0.2
Řízení přístupu RMiT 10.61 Access Control – 10,61 Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Řízení přístupu RMiT 10.61 Access Control – 10,61 Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem 1.0.1
Správa systému opravy a ukončení životnosti RMiT 10.63 Správa systému opravy a ukončení životnosti – 10.63 Microsoft Antimalware pro Azure by se měly nakonfigurovat tak, aby automaticky aktualizovaly podpisy ochrany. 1.0.0
Správa systému opravy a ukončení životnosti RMiT 10.63 Správa systému opravy a ukončení životnosti – 10.63 Aktualizace systému ve škálovacích sadách virtuálních počítačů by měly být nainstalovány. 3.0.0
Správa systému opravy a ukončení životnosti RMiT 10.65 Správa systému opravy a ukončení životnosti – 10.65 Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Správa systému opravy a ukončení životnosti RMiT 10.65 Správa systému opravy a ukončení životnosti – 10.65 Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
Zabezpečení digitálních služeb RMiT 10.66 Zabezpečení digitálních služeb - 10.66 Nasazení – Konfigurace rozšíření Log Analytics pro povolení na virtuálních počítačích s Windows 3.0.1
Zabezpečení digitálních služeb RMiT 10.66 Zabezpečení digitálních služeb - 10.66 Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. 2.0.1
Zabezpečení digitálních služeb RMiT 10.66 Zabezpečení digitálních služeb - 10.66 Rozšíření Log Analytics by se mělo nainstalovat na Virtual Machine Scale Sets 1.0.1
Zabezpečení digitálních služeb RMiT 10.66 Zabezpečení digitálních služeb - 10.66 Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. 1.0.1
Ochrana před únikem informací (DLP) RMiT 11.15 Ochrana před únikem informací – 11.15 Konfigurace spravovaných disků pro zakázání přístupu k veřejné síti 2.0.0
Ochrana před únikem informací (DLP) RMiT 11.15 Ochrana před únikem informací – 11.15 Spravované disky by měly zakázat přístup k veřejné síti. 2.0.0
Ochrana před únikem informací (DLP) RMiT 11.15 Ochrana před únikem informací – 11.15 Spravované disky by měly pro šifrování klíče spravovaného zákazníkem používat konkrétní sadu sad šifrování disků. 2.0.0
Security Operations Centre (SOC) RMiT 11.17 Security Operations Centre (SOC) – 11.17 Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Security Operations Centre (SOC) RMiT 11.17 Security Operations Centre (SOC) – 11.17 Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. 3.0.0
Security Operations Centre (SOC) RMiT 11.17 Security Operations Centre (SOC) – 11.17 Řešení ochrany koncových bodů by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Security Operations Centre (SOC) RMiT 11.17 Security Operations Centre (SOC) – 11.17 Řešení ochrany koncových bodů by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Security Operations Centre (SOC) RMiT 11.18 Security Operations Centre (SOC) – 11.18 Agent Log Analytics by se měl nainstalovat na virtuální počítač pro monitorování Azure Security Center 1.0.0
Security Operations Centre (SOC) RMiT 11.18 Security Operations Centre (SOC) – 11.18 Agent Log Analytics by se měl nainstalovat na virtuální počítač pro monitorování Azure Security Center 1.0.0
Security Operations Centre (SOC) RMiT 11.18 Security Operations Centre (SOC) – 11.18 Agent Log Analytics by se měl nainstalovat na škálovací sady virtuálních počítačů pro monitorování Azure Security Center 1.0.0
Security Operations Centre (SOC) RMiT 11.18 Security Operations Centre (SOC) – 11.18 Agent Log Analytics by se měl nainstalovat na škálovací sady virtuálních počítačů pro monitorování Azure Security Center 1.0.0
Security Operations Centre (SOC) RMiT 11.18 Security Operations Centre (SOC) – 11.18 Protokoly prostředků v Virtual Machine Scale Sets by měly být povolené. 2.1.0
Security Operations Centre (SOC) RMiT 11.18 Security Operations Centre (SOC) – 11.18 Protokoly prostředků v Virtual Machine Scale Sets by měly být povolené. 2.1.0
Správa kybernetických rizik RMiT 11.2 Cyber Risk Management – 11.2 Virtuální počítače a škálovací sady virtuálních počítačů by měly mít šifrování na hostiteli povoleném 1.0.0
Správa kybernetických rizik RMiT 11.2 Cyber Risk Management – 11.2 Virtuální počítače a škálovací sady virtuálních počítačů by měly mít šifrování na hostiteli povoleném 1.0.0
Security Operations Centre (SOC) RMiT 11.20 Security Operations Centre (SOC) – 11.20 Virtuální počítače a škálovací sady virtuálních počítačů by měly mít šifrování na hostiteli povoleném 1.0.0
Security Operations Centre (SOC) RMiT 11.20 Security Operations Centre (SOC) – 11.20 Virtuální počítače a škálovací sady virtuálních počítačů by měly mít šifrování na hostiteli povoleném 1.0.0
Správa kybernetických rizik RMiT 11.4 Cyber Risk Management – 11.4 Konfigurace zálohování na virtuálních počítačích bez dané značky do existujícího trezoru služby Recovery Services ve stejném umístění 9.0.0
Správa kybernetických rizik RMiT 11.4 Cyber Risk Management – 11.4 Konfigurace zálohování na virtuálních počítačích bez dané značky do existujícího trezoru služby Recovery Services ve stejném umístění 9.0.0
Správa kybernetických rizik RMiT 11.4 Cyber Risk Management – 11.4 Nainstalovat by se měla jenom schválená rozšíření virtuálních počítačů. 1.0.0
Správa kybernetických rizik RMiT 11.4 Cyber Risk Management – 11.4 Nainstalovat by se měla jenom schválená rozšíření virtuálních počítačů. 1.0.0
Operace kybernetické bezpečnosti RMiT 11.8 Operace kybernetické bezpečnosti – 11.8 Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Kontrolní opatření týkající se kybernetické bezpečnosti Příloha RMiT 5.2 Kontrolní opatření týkající se kybernetické bezpečnosti – příloha 5.2 Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. 3.0.0
Kontrolní opatření týkající se kybernetické bezpečnosti Příloha RMiT 5.2 Kontrolní opatření týkající se kybernetické bezpečnosti – příloha 5.2 Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. 3.0.0
Kontrolní opatření týkající se kybernetické bezpečnosti Příloha RMiT 5.7 Kontrolní opatření týkající se kybernetické bezpečnosti – příloha 5.7 Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
Kontrolní opatření týkající se kybernetické bezpečnosti Příloha RMiT 5.7 Kontrolní opatření týkající se kybernetické bezpečnosti – příloha 5.7 Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Kontrolní opatření týkající se kybernetické bezpečnosti Příloha RMiT 5.7 Kontrolní opatření týkající se kybernetické bezpečnosti – příloha 5.7 Předávání IP na virtuálním počítači by mělo být zakázané. 3.0.0
Kontrolní opatření týkající se kybernetické bezpečnosti Příloha RMiT 5.7 Kontrolní opatření týkající se kybernetické bezpečnosti – příloha 5.7 Agent Log Analytics by se měl nainstalovat na virtuální počítač pro monitorování Azure Security Center 1.0.0
Kontrolní opatření týkající se kybernetické bezpečnosti Příloha RMiT 5.7 Kontrolní opatření pro kybernetickou bezpečnost – příloha 5.7 Agent Log Analytics by měl být nainstalovaný ve škálovacích sadách virtuálních počítačů pro monitorování Azure Security Center 1.0.0
Kontrolní opatření týkající se kybernetické bezpečnosti Příloha RMiT 5.7 Kontrolní opatření pro kybernetickou bezpečnost – příloha 5.7 Rozšíření Microsoft IaaSAntimalware by se mělo nasadit na serverech s Windows 1.1.0
Kontrolní opatření týkající se kybernetické bezpečnosti Příloha RMiT 5.7 Kontrolní opatření pro kybernetickou bezpečnost – příloha 5.7 Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Kontrolní opatření týkající se kybernetické bezpečnosti Příloha RMiT 5.7 Kontrolní opatření pro kybernetickou bezpečnost – příloha 5.7 Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. 3.0.0
Kontrolní opatření týkající se kybernetické bezpečnosti Příloha RMiT 5.7 Kontrolní opatření pro kybernetickou bezpečnost – příloha 5.7 Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Kontrolní opatření týkající se kybernetické bezpečnosti Příloha RMiT 5.7 Kontrolní opatření pro kybernetickou bezpečnost – příloha 5.7 Ohrožení zabezpečení v konfiguracích zabezpečení kontejneru by se měla napravit. 3.0.0

UK OFFICIAL a UK NHS

Informace o tom, jak dostupné Azure Policy integrované pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Azure Policy dodržování právních předpisů – UK OFFICIAL a UK NHS. Další informace o tomto standardu dodržování předpisů najdete v tématu UK OFFICIAL.

Doména ID ovládacího prvku Název ovládacího prvku Zásady
(Azure Portal)
Verze zásad
(GitHub)
Ochrana dat při přenosu 1 Ochrana dat při přenosu Webové servery Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. 4.0.0
Identita a ověřování 10 Identita a ověřování Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit 4.0.0
Identita a ověřování 10 Identita a ověřování Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem 4.0.0
Identita a ověřování 10 Identita a ověřování Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel 3.0.0
Identita a ověřování 10 Identita a ověřování Auditování počítačů s Linuxem, které nemají oprávnění k souborům passwd nastavená na 0644 3.0.0
Identita a ověřování 10 Identita a ověřování Auditování počítačů s Linuxem, které mají účty bez hesel 3.0.0
Identita a ověřování 10 Identita a ověřování Auditování virtuálních počítačů, které nepoužívají spravované disky 1.0.0
Identita a ověřování 10 Identita a ověřování Auditování počítačů s Windows, které umožňují opakované použití předchozích 24 hesel 2.0.0
Identita a ověřování 10 Identita a ověřování Auditování počítačů s Windows, které nemají maximální věk hesla 70 dnů 2.0.0
Identita a ověřování 10 Identita a ověřování Auditování počítačů s Windows, které nemají minimální věk hesla 1 den 2.0.0
Identita a ověřování 10 Identita a ověřování Auditování počítačů s Windows, které nemají povolené nastavení složitosti hesla 2.0.0
Identita a ověřování 10 Identita a ověřování Auditování počítačů s Windows, které neomezují minimální délku hesla na 14 znaků 2.0.0
Identita a ověřování 10 Identita a ověřování Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem 3.0.0
Identita a ověřování 10 Identita a ověřování Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows 1.2.0
Identita a ověřování 10 Identita a ověřování Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manager 1.0.0
Ochrana externího rozhraní 11 Ochrana externího rozhraní Adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené. 3.0.0
Ochrana externího rozhraní 11 Ochrana externího rozhraní Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. 3.0.0
Ochrana externího rozhraní 11 Ochrana externího rozhraní Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. 3.0.0
Ochrana externího rozhraní 11 Ochrana externího rozhraní Řešení ochrany koncových bodů by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. 3.0.0
Ochrana externího rozhraní 11 Ochrana externího rozhraní Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. 3.0.0
Ochrana a odolnost prostředků 2.3 Ochrana neaktivních uložených dat Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. 2.0.3
Provozní zabezpečení 5.2 Správa ohrožení zabezpečení Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. 3.0.0
Provozní zabezpečení 5.2 Správa ohrožení zabezpečení Monitorování chybějící služby Endpoint Protection v Azure Security Center 3.0.0
Provozní zabezpečení 5.2 Správa ohrožení zabezpečení Aktualizace systému ve škálovacích sadách virtuálních počítačů by měly být nainstalovány. 3.0.0
Provozní zabezpečení 5.2 Správa ohrožení zabezpečení Na počítače by se měly nainstalovat aktualizace systému 4.0.0
Provozní zabezpečení 5.2 Správa ohrožení zabezpečení Chyby zabezpečení v konfiguraci zabezpečení na počítačích by se měly napravit. 3.0.0
Provozní zabezpečení 5.2 Správa ohrožení zabezpečení Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit. 3.0.0
Provozní zabezpečení 5.3 Ochranné monitorování Adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené. 3.0.0
Provozní zabezpečení 5.3 Ochranné monitorování Audit virtuálních počítačů bez nakonfigurovaného zotavení po havárii 1.0.0

Další kroky