Integrierte Azure Policy-Richtliniendefinitionen
Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen Integrationen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Quelle, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen Die Integrationen sind basierend auf der Eigenschaft category in den Metadaten gruppiert. Um eine bestimmte Kategorie aufzurufen, verwenden Sie STRG-F, um die Suchfunktion Ihres Browsers zu aktivieren.
API für FHIR
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure API for FHIR muss einen kundenseitig verwalteten Schlüssel zum Verschlüsseln ruhender Daten verwenden | Verwenden Sie einen kundenseitig verwalteten Schlüssel, um die Verschlüsselung der in Azure API for FHIR gespeicherten ruhenden Daten zu steuern, wenn dies gesetzlich vorgeschrieben ist oder als Konformitätsanforderung gilt. Kundenseitig verwaltete Schlüssel bieten außerdem eine doppelte Verschlüsselung, indem eine zweite Verschlüsselungsebene zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln hinzugefügt wird. | überprüfen, Überprüfung, deaktiviert, Deaktivierung | 1.1.0 |
| Azure API for FHIR sollte einen privaten Link verwenden | Azure API for FHIR sollte über mindestens eine genehmigte private Endpunktverbindung verfügen. Clients in einem virtuellen Netzwerk können über Private Link-Instanzen sicher auf Ressourcen mit Verbindungen mit privaten Endpunkten zugreifen. Weitere Informationen finden Sie unter https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| Zugriff auf API for FHIR über CORS nicht allen Domänen gestatten | CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre API for FHIR-Instanz erteilen. Entfernen Sie zum Schützen Ihrer API for FHIR-Instanz den Zugriff für alle Domänen, und definieren Sie explizit die Domänen, für die die Verbindungsherstellung zulässig ist. | überwachen, Überwachung, deaktiviert, Deaktivierung | 1.1.0 |
API Management
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| API Management-APIs sollten nur verschlüsselte Protokolle verwenden | Um die Sicherheit von Daten während der Übertragung zu gewährleisten, sollten APIs nur über verschlüsselte Protokolle wie HTTPS oder WSS verfügbar sein. Verwenden Sie keine ungesicherten Protokolle, wie HTTP oder WS. | Audit, Disabled, Deny | 2.0.2 |
| API Management-Aufrufe an API-Back-Ends sollten authentifiziert werden | Aufrufe von API Management an Backends sollten eine Form der Authentifizierung verwenden, sei es über Zertifikate oder Anmeldeinformationen. Gilt nicht für Service Fabric-Backends. | Audit, Disabled, Deny | 1.0.1 |
| API Management-Aufrufe von API-Back-Ends sollten den Zertifikatfingerabdruck oder die Namensüberprüfung nicht umgehen | Um die API-Sicherheit zu verbessern, sollte API Management das Back-End-Serverzertifikat für alle API-Aufrufe überprüfen. Aktivieren Sie den SSL-Zertifikatfingerabdruck und die Namensvalidierung. | Audit, Disabled, Deny | 1.0.2 |
| Direkter API Management-Verwaltungsendpunkt sollte nicht aktiviert sein | Die REST-API für die direkte Verwaltung in Azure API Management umgeht die Mechanismen für die rollenbasierte Azure Resource Manager-Zugriffssteuerung, -Autorisierung und -Drosselung und erhöht so das Sicherheitsrisiko Ihres Diensts. | Audit, Disabled, Deny | 1.0.2 |
| Die Mindest-API-Version von API Management muss auf 01.12.2019 oder höher festgelegt werden | Um zu verhindern, dass Dienstgeheimnisse für schreibgeschützte Benutzer freigegeben werden, sollte die API-Mindestversion auf 01.12.2019 oder höher festgelegt werden. | Audit, Deny, Disabled | 1.0.1 |
| Geheime benannte API Management-Werte sollten in Azure Key Vault gespeichert werden | Benannte Werte sind eine Sammlung von Name/Wert-Paaren in jedem API Management-Dienst. Geheime Werte können entweder als verschlüsselter Text in API Management (benutzerdefinierte Geheimnisse) oder durch Verweisen auf Geheimnisse in Azure Key Vault gespeichert werden. Um die Sicherheit von API Management und Geheimnissen zu verbessern, verweisen Sie aus Azure Key Vault auf geheime benannte Werte. Azure Key Vault unterstützt Richtlinien für die granulare Zugriffsverwaltung und die Geheimnisrotation. | Audit, Disabled, Deny | 1.0.2 |
| API Management-Dienst muss eine SKU mit Unterstützung virtueller Netzwerke verwenden | Für unterstützte API Management-SKUs führt die Dienstbereitstellung in einem virtuellen Netzwerk dazu, dass erweiterte Netzwerk- und Sicherheitsfeatures für API Management freigeschaltet werden, durch die Sie mehr Kontrolle über Ihre Netzwerksicherheitskonfiguration erhalten. Weitere Informationen finden Sie unter https://aka.ms/apimvnet. | Audit, Deny, Disabled | 1.0.0 |
| API Management-Dienste müssen ein virtuelles Netzwerk verwenden | Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. | Audit, Deny, Disabled | 1.0.2 |
| API Management sollte den öffentlichen Netzwerkzugriff auf die Dienstkonfigurationsendpunkte deaktivieren. | Um die Sicherheit von API Management-Diensten zu verbessern, schränken Sie die Konnektivität mit Dienstkonfigurationsendpunkten ein, z. B. die API für die direkte Zugriffsverwaltung, den Git-Konfigurationsverwaltungsendpunkt oder den Konfigurationsendpunkt für selbstgehostete Gateways. | AuditIfNotExists, Disabled | 1.0.1 |
| Die Authentifizierung mit Benutzername und Kennwort sollte für API Management deaktiviert sein | Um das Entwicklerportal besser zu schützen, sollte die Authentifizierung mit Benutzername und Kennwort in API Management deaktiviert werden. Konfigurieren Sie die Benutzerauthentifizierung über Azure AD- oder Azure AD B2C-Identitätsanbieter, und deaktivieren Sie die standardmäßige Authentifizierung mit Benutzername und Kennwort. | Audit, Disabled | 1.0.1 |
| API Management-Abonnements sollten nicht für alle APIs gelten | API Management-Abonnements sollten für ein Produkt oder eine einzelne API anstatt für alle APIs gelten, da dies sonst zu einer übermäßigen Datengefährdung führen kann. | Audit, Disabled, Deny | 1.1.0 |
| Die Version der Azure API Management-Plattform sollte stv2 sein | Die Version der Azure API Management-Computeplattform stv1 wird ab dem 31. August 2024 eingestellt, und diese Instanzen sollten zur stv2-Computeplattform migriert werden, um die Unterstützung weiterhin zu erhalten. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024. | Audit, Deny, Disabled | 1.0.0 |
| Konfigurieren von API Management-Diensten zum Deaktivieren des Zugriffs auf öffentliche API Management-Dienstkonfigurationsendpunkte | Um die Sicherheit von API Management-Diensten zu verbessern, schränken Sie die Konnektivität mit Dienstkonfigurationsendpunkten ein, z. B. die API für die direkte Zugriffsverwaltung, den Git-Konfigurationsverwaltungsendpunkt oder den Konfigurationsendpunkt für selbstgehostete Gateways. | DeployIfNotExists, Disabled | 1.1.0 |
| Ändern von API Management, um die Authentifizierung mit Benutzername und Kennwort zu deaktivieren | Konfigurieren Sie die Benutzerauthentifizierung über Azure AD- oder Azure AD B2C-Identitätsanbieter, und deaktivieren Sie die standardmäßige Authentifizierung mit Benutzername und Kennwort, um Benutzerkonten und deren Anmeldeinformationen für das Entwicklerportal besser zu schützen. | Ändern | 1.1.0 |
App Configuration
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| App Configuration muss den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | Audit, Deny, Disabled | 1.0.0 |
| App Configuration sollte einen kundenseitig verwalteten Schlüssel verwenden. | Kundenseitig verwaltete Schlüssel bieten einen verbesserten Datenschutz, da Sie so Ihre Verschlüsselungsschlüssel verwalten können. Dies ist häufig zur Einhaltung von Compliancevorgaben erforderlich. | Audit, Deny, Disabled | 1.1.0 |
| App Configuration muss eine SKU mit Unterstützung von Private Link verwenden | Bei Verwendung einer unterstützten SKU können Sie mit Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | Audit, Deny, Disabled | 1.0.0 |
| App Configuration sollte Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Lokale Authentifizierungsmethoden sollten für App Configuration-Speicher deaktiviert sein | Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, da hierdurch sichergestellt wird, dass App Configuration-Speicher ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2161954. | Audit, Deny, Disabled | 1.0.1 |
| Konfigurieren von App Configuration-Speicher für die Deaktivierung lokaler Authentifizierungsmethoden | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre App Configuration-Speicher ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2161954. | Modify, Disabled | 1.0.1 |
| Für App Configuration muss der Zugriff über öffentliche Netzwerke deaktiviert sein | Deaktivieren Sie den Zugriff über öffentliche Netzwerke für die App Configuration-Instanz, sodass sie nicht über das öffentliche Internet zugänglich ist. Diese Konfiguration trägt zum Schutz vor Risiken aufgrund von Datenlecks bei. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | Modify, Disabled | 1.0.0 |
| Private DNS-Zonen für mit App Configuration verbundene private Endpunkte konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um App Configuration-Instanzen aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Private Endpunkte für App Configuration konfigurieren | Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Durch das Zuordnen von privaten Endpunkten zu Ihren App Configuration-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
App-Plattform
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Azure Spring Cloud-Instanzen überwachen, bei denen die verteilte Ablaufverfolgung nicht aktiviert ist | Die Tools für die verteilte Ablaufverfolgung in Azure Spring Cloud ermöglichen das Debuggen und Überwachen der komplexen Verbindungen zwischen Microservices in einer Anwendung. Die Tools für die verteilte Ablaufverfolgung sollten aktiviert und in einem fehlerfreien Zustand sein. | Audit, Disabled | 1.0.0-preview |
| Azure Spring Cloud muss Netzwerkinjektion verwenden | Azure Spring Cloud-Instanzen sollten die VNET-Injektion für folgende Zwecke verwenden: 1. Azure Spring Cloud vom Internet isolieren. 2. Die Interaktion von Azure Spring Cloud mit Systemen in lokalen Rechenzentren oder im Azure-Dienst in anderen VNETs ermöglichen. 3. Kunden die Steuerung der eingehenden und ausgehenden Netzwerkkommunikation für Azure Spring Cloud erlauben | Audit, Disabled, Deny | 1.2.0 |
App Service
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| App Service-App-Slots sollten in ein virtuelles Netzwerk eingefügt werden. | Durch die Einbindung von App Service-Apps in ein virtuelles Netzwerk werden erweiterte App Service-Netzwerk- und Sicherheitsfeatures freigeschaltet, und Sie erhalten eine größere Kontrolle über Ihre Netzwerksicherheitskonfiguration. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, Disabled | 1.0.0 |
| App Service-App-Slots müssen den Zugriff über öffentliche Netzwerke deaktivieren. | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da sichergestellt wird, dass der App Service nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung eines App Service einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| App Service App-Slots sollten das Konfigurationsrouting zu Azure Virtual Network aktivieren | Standardmäßig werden App-Konfigurationen (etwa zum Pullen von Containerimages und Einbinden von Inhaltsspeicher) nicht über die regionale Integration des virtuellen Netzwerks weitergeleitet. Wenn Sie die Routingoptionen mithilfe der API auf „true“ festlegen, wird Konfigurationsdatenverkehr über Azure Virtual Network ermöglicht. Diese Einstellungen ermöglichen die Verwendung von Features wie Netzwerksicherheitsgruppen und benutzerdefinierten Routen sowie das Festlegen privater Dienstendpunkte. Weitere Informationen finden Sie unter https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, Disabled | 1.0.0 |
| App Service-App-Slots müssen ausgehenden Nicht-RFC 1918-Datenverkehr zu Azure Virtual Network aktivieren. | Bei Verwendung der Azure Virtual Network-Integration (VNET) routet die App standardmäßig nur RFC 1918-Datenverkehr an das jeweilige virtuelle Netzwerk. Wenn Sie mithilfe der API „vnetRouteAllEnabled“ auf TRUE festlegen, wird der gesamte ausgehende Datenverkehr an Azure Virtual Network geroutet. Mithilfe dieser Einstellung können Features wie beispielsweise Netzwerksicherheitsgruppen und benutzerdefinierte Routen für den gesamten ausgehenden Datenverkehr von der App Service-App verwendet werden. | Audit, Deny, Disabled | 1.0.0 |
| Für App Service-App-Slots sollten Clientzertifikate (eingehende Clientzertifikate) aktiviert sein | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Für App Service-App-Slots sollten lokale Authentifizierungsmethoden für FTP-Bereitstellungen deaktiviert sein | Das Deaktivieren lokaler Authentifizierungsmethoden für FTP-Bereitstellungen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Service-Slots ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Für App Service App-Slots sollten lokale Authentifizierungsmethoden für SCM-Standortbereitstellungen deaktiviert sein | Das Deaktivieren lokaler Authentifizierungsmethoden für SCM-Seiten verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Service-Slots ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.4 |
| Für App Service-App-Slots muss Remotedebuggen deaktiviert sein. | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 1.0.1 |
| Für App Service-App-Slots müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 1.0.0 |
| Für App Service-App-Slots sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann. | Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren. | AuditIfNotExists, Disabled | 1.0.0 |
| Zugriff auf App Service-App-Slots nur über HTTPS gestatten | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 2.0.0 |
| App Service-App-Slots sollten nur FTPS erfordern. | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 1.0.0 |
| App Service App-Slots sollten eine Azure-Dateifreigabe für das Inhaltsverzeichnis verwenden. | Das Inhaltsverzeichnis einer API-App sollte sich auf einer Azure-Dateifreigabe befinden. Die Speicherkontoinformationen für die Dateifreigabe müssen vor jeder Veröffentlichungsaktivität bereitgestellt werden. Weitere Informationen zur Verwendung von Azure Files für das Hosting von App Service-Inhalten finden Sie unter https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 1.0.0 |
| App Service-App-Slots müssen die aktuelle „HTTP-Version“ verwenden. | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 1.0.0 |
| App Service-App-Slots müssen eine verwaltete Identität verwenden. | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 1.0.0 |
| App Service-App-Slots müssen die aktuelle TLS-Version verwenden. | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 1.0.0 |
| App Service-App-Slots, die Java verwenden, sollten die angegebene ‚Java-Version‘ verwenden | Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Die Verwendung der neuesten Java-Version für App Service-Anwendungen wird empfohlen, um von eventuellen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 1.0.0 |
| App Service-App-Slots, die PHP verwenden, sollten die angegebene ‚PHP-Version‘ verwenden | Für die PHP-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste PHP-Version für App Service-Apps zu verwenden, um gegebenenfalls Sicherheitsfixes und/oder neue Funktionen der neuesten Version zu nutzen. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine PHP-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 1.0.0 |
| App Service-App-Slots, die Python verwenden, sollten die angegebene ‚Python-Version‘ verwenden | Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste Python-Version für App Service-Apps zu verwenden, um gegebenenfalls Sicherheitsfixes und/oder neue Funktionen der neuesten Version zu nutzen. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 1.0.0 |
| App Service-Apps sollten in ein virtuelles Netzwerk eingefügt werden | Durch die Einbindung von App Service-Apps in ein virtuelles Netzwerk werden erweiterte App Service-Netzwerk- und Sicherheitsfeatures freigeschaltet, und Sie erhalten eine größere Kontrolle über Ihre Netzwerksicherheitskonfiguration. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, Disabled | 3.0.0 |
| App Service-Apps müssen den Zugriff über öffentliche Netzwerke deaktivieren. | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da sichergestellt wird, dass der App Service nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung eines App Service einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.1.0 |
| App Service-Apps sollten das Konfigurationsrouting zu Azure Virtual Network aktivieren | Standardmäßig werden App-Konfigurationen (etwa zum Pullen von Containerimages und Einbinden von Inhaltsspeicher) nicht über die regionale Integration des virtuellen Netzwerks weitergeleitet. Wenn Sie die Routingoptionen mithilfe der API auf „true“ festlegen, wird Konfigurationsdatenverkehr über Azure Virtual Network ermöglicht. Diese Einstellungen ermöglichen die Verwendung von Features wie Netzwerksicherheitsgruppen und benutzerdefinierten Routen sowie das Festlegen privater Dienstendpunkte. Weitere Informationen finden Sie unter https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, Disabled | 1.0.0 |
| App Service-Apps müssen ausgehenden Nicht-RFC 1918-Datenverkehr an Azure Virtual Network aktivieren | Bei Verwendung der Azure Virtual Network-Integration (VNET) routet die App standardmäßig nur RFC 1918-Datenverkehr an das jeweilige virtuelle Netzwerk. Wenn Sie mithilfe der API „vnetRouteAllEnabled“ auf TRUE festlegen, wird der gesamte ausgehende Datenverkehr an Azure Virtual Network geroutet. Mithilfe dieser Einstellung können Features wie beispielsweise Netzwerksicherheitsgruppen und benutzerdefinierte Routen für den gesamten ausgehenden Datenverkehr von der App Service-App verwendet werden. | Audit, Deny, Disabled | 1.0.0 |
| Für App Service-Apps sollte die Authentifizierung aktiviert sein | Die Azure App Service-Authentifizierung ist eine Funktion, mit der Sie verhindern können, dass anonyme HTTP-Anforderungen die Web-App erreichen, oder die zu authentifizieren, die Token haben, bevor sie die Web-App erreichen. | AuditIfNotExists, Disabled | 2.0.1 |
| App Service-Apps sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Für App Service-Apps sollten lokale Authentifizierungsmethoden für FTP-Bereitstellungen deaktiviert sein | Das Deaktivieren lokaler Authentifizierungsmethoden für FTP-Bereitstellungen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Services ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Für App Service-Apps sollten lokale Authentifizierungsmethoden für SCM-Standortbereitstellungen deaktiviert sein | Das Deaktivieren lokaler Authentifizierungsmethoden für SCM-Seiten verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Services ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Für App Service-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 2.0.1 |
| Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren. | AuditIfNotExists, Disabled | 2.0.0 |
| Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 4.0.0 |
| App Service-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
| App Service-Apps müssen eine SKU verwenden, die Private Link unterstützt | Bei Verwendung von unterstützten SKUs können Sie mit Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Apps können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/private-link. | Audit, Deny, Disabled | 4.1.0 |
| App Service-Apps sollten eine Azure-Dateifreigabe für das Inhaltsverzeichnis verwenden | Das Inhaltsverzeichnis einer API-App sollte sich auf einer Azure-Dateifreigabe befinden. Die Speicherkontoinformationen für die Dateifreigabe müssen vor jeder Veröffentlichungsaktivität bereitgestellt werden. Weitere Informationen zur Verwendung von Azure Files für das Hosting von App Service-Inhalten finden Sie unter https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 3.0.0 |
| App Service-Apps sollten die neueste „HTTP-Version“ verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 4.0.0 |
| App Service-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| App Service-Apps sollten eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu App Service können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/private-link. | AuditIfNotExists, Disabled | 1.0.1 |
| App Service-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.0.1 |
| App Service-Apps, die Java verwenden, sollten eine spezifische „Java-Version“ verwenden | Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Die Verwendung der neuesten Java-Version für App Service-Anwendungen wird empfohlen, um von eventuellen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 3.1.0 |
| App Service-Apps, die PHP verwenden, sollten die angegebene „PHP-Version“ verwenden | Für die PHP-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste PHP-Version für App Service-Apps zu verwenden, um gegebenenfalls Sicherheitsfixes und/oder neue Funktionen der neuesten Version zu nutzen. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine PHP-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 3.2.0 |
| App Service-App, die Python verwenden, sollten die angegebene „Python-Version“ verwenden | Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste Python-Version für App Service-Apps zu verwenden, um gegebenenfalls Sicherheitsfixes und/oder neue Funktionen der neuesten Version zu nutzen. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 4.1.0 |
| Die Apps der App Service-Umgebung sollten nicht über das öffentliche Internet erreichbar sein | Um sicherzustellen, dass Apps, die in einer App Service-Umgebung bereitgestellt werden, nicht über das öffentliche Internet zugänglich sind, sollten Sie die App Service-Umgebung mit einer IP-Adresse im virtuellen Netzwerk bereitstellen. Um die IP-Adresse auf eine IP-Adresse eines virtuellen Netzwerks zu setzen, muss die App Service-Umgebung mit einem internen Lastenausgleich bereitgestellt werden. | Audit, Deny, Disabled | 3.0.0 |
| Die App Service-Umgebung sollte mit den stärksten TLS-Verschlüsselungssammlungen konfiguriert werden | Die beiden minimalsten und stärksten Verschlüsselungssammlungen, die für die ordnungsgemäße Funktion der App Service-Umgebung erforderlich sind, lauten: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 und TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, Disabled | 1.0.0 |
| Die App Service-Umgebung sollte mit den neuesten Versionen bereitgestellt werden | Lassen Sie nur die Bereitstellung der Version 2 oder Version 3 der App Service-Umgebung zu. Ältere Versionen der App Service-Umgebung erfordern eine manuelle Verwaltung von Azure-Ressourcen und haben größere Skalierungseinschränkungen. | Audit, Deny, Disabled | 1.0.0 |
| In der App Service-Umgebung sollte die interne Verschlüsselung aktiviert sein | Wenn Sie „InternalEncryption“ auf TRUE festlegen, werden die Auslagerungsdatei, die Workerdatenträger und der interne Netzwerkverkehr zwischen den Front-Ends und den Workern in einer App Service-Umgebung verschlüsselt. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| Für die App Service-Umgebung sollte TLS 1.0 und 1.1 deaktiviert sein | TLS 1.0 und TLS 1.1 sind veraltete Protokolle, die keine Unterstützung für moderne Kryptografiealgorithmen bieten. Die Deaktivierung von eingehendem TLS 1.0- und TLS 1.1-Datenverkehr trägt zum Schutz der Apps in einer App Service-Umgebung bei. | Audit, Deny, Disabled | 2.0.1 |
| Konfigurieren Sie App Service-App-Slots, um die lokale Authentifizierung für FTP-Bereitstellungen zu deaktivieren | Das Deaktivieren lokaler Authentifizierungsmethoden für FTP-Bereitstellungen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Service-Slots ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Konfigurieren Sie App Service-App-Slots, um die lokale Authentifizierung für SCM-Standorte zu deaktivieren | Das Deaktivieren lokaler Authentifizierungsmethoden für SCM-Seiten verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Service-Slots ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Konfigurieren von App Service App-Slots zum Deaktivieren des Zugriffs auf öffentliche Netzwerke | Deaktivieren Sie für Ihre App Services den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich sind. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. | Modify, Disabled | 1.1.0 |
| App Service-App-Slots konfigurieren, um den Zugriff nur über HTTPS zu gestatten | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Modify, Disabled | 2.0.0 |
| Konfigurieren von App Service-App-Slots zum Deaktivieren des Remotedebuggen | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurieren von App Service-App-Slots für die Verwendung der aktuellen TLS-Version | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurieren Sie App Service-Apps, um die lokale Authentifizierung für FTP-Bereitstellungen zu deaktivieren | Das Deaktivieren lokaler Authentifizierungsmethoden für FTP-Bereitstellungen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Services ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Konfigurieren Sie App Service-Apps, um die lokale Authentifizierung für SCM-Standorte zu deaktivieren | Das Deaktivieren lokaler Authentifizierungsmethoden für SCM-Seiten verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Services ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| App Services-Apps zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie für Ihre App Services den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich sind. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. | Modify, Disabled | 1.1.0 |
| App Service-Apps konfigurieren, um den Zugriff nur über HTTPS zu gestatten | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Modify, Disabled | 2.0.0 |
| App Service-Apps zum Deaktivieren des Remotedebuggens konfigurieren | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von App Service-Apps für die Verwendung privater DNS-Zonen | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone verknüpft ein virtuelles Netzwerk mit einem App Service. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, Disabled | 1.0.1 |
| App Service-Apps für die Verwendung der neuesten TLS-Version konfigurieren | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurieren von Funktions-App-Slots zum Deaktivieren des Zugriffs auf öffentliche Netzwerke | Deaktivieren Sie für Ihre Funktions-Apps den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich sind. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. | Modify, Disabled | 1.1.0 |
| Funktions-App-Slots konfigurieren, damit nur über HTTPS darauf zugegriffen werden kann. | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Modify, Disabled | 2.0.0 |
| Funktions-App-Slots zum Deaktivieren des Remotedebuggen konfigurieren | Für das Remotedebuggen müssen die eingehenden Ports für eine Funktions-App geöffnet sein. Das Remotedebuggen muss deaktiviert werden. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurieren von Funktions-App-Slots für die Verwendung der aktuellen TLS-Version | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurieren von Funktions-Apps zum Deaktivieren des Zugriffs auf öffentliche Netzwerke | Deaktivieren Sie für Ihre Funktions-Apps den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich sind. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. | Modify, Disabled | 1.1.0 |
| Funktions-Apps konfigurieren, damit nur über HTTPS darauf zugegriffen werden kann. | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Modify, Disabled | 2.0.0 |
| Funktions-Apps zum Deaktivieren des Remotedebuggens konfigurieren | Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | DeployIfNotExists, Disabled | 1.0.0 |
| Funktions-Apps für die Verwendung der neuesten TLS-Version konfigurieren | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | DeployIfNotExists, Disabled | 1.0.1 |
| Funktions-App-Slots müssen den öffentlichen Netzwerkzugriff deaktivieren. | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da sichergestellt wird, dass die Funktions-App nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung einer Funktions-App einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| Für Funktions-App-Slots sollten Clientzertifikate (eingehende Clientzertifikate) aktiviert sein | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Funktions-App-Slots muss Remotedebuggen deaktiviert sein. | Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Funktions-App-Slots sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann. | CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. | AuditIfNotExists, Disabled | 1.0.0 |
| Auf Funktions-App-Slots sollte nur über HTTPS zugegriffen werden können. | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 2.0.0 |
| Funktions-App-Slots sollten nur FTPS erfordern. | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 1.0.0 |
| Funktions-App-Slots sollten eine Azure-Dateifreigabe für das Inhaltsverzeichnis verwenden. | Das Inhaltsverzeichnis einer Funktions-App sollte sich auf einer Azure-Dateifreigabe befinden. Die Speicherkontoinformationen für die Dateifreigabe müssen vor jeder Veröffentlichungsaktivität bereitgestellt werden. Weitere Informationen zur Verwendung von Azure Files für das Hosting von App Service-Inhalten finden Sie unter https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 1.0.0 |
| Funktions-App-Slots müssen die aktuelle „HTTP-Version“ verwenden. | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 1.0.0 |
| Funktions-App-Slots müssen die aktuelle TLS-Version verwenden. | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 1.0.0 |
| Funktions-App-Slots, die Java verwenden, sollten die angegebene ‚Java-Version‘ verwenden | Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Java-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 1.0.0 |
| Funktions-App-Slots, die Python verwenden, sollten die angegebene ‚Python-Version‘ verwenden | Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Python-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 1.0.0 |
| Funktions-Apps müssen den öffentlichen Netzwerkzugriff deaktivieren. | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da sichergestellt wird, dass die Funktions-App nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung einer Funktions-App einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| Für Funktions-Apps sollte die Authentifizierung aktiviert sein | Die Azure App Service-Authentifizierung ist eine Funktion, mit der Sie verhindern können, dass anonyme HTTP-Anforderungen die Funktions-App erreichen, oder die zu authentifizieren, die Token haben, bevor sie die Funktions-App erreichen. | AuditIfNotExists, Disabled | 3.0.0 |
| Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein. | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Für Funktions-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. | AuditIfNotExists, Disabled | 2.0.0 |
| Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 5.0.0 |
| Funktions-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
| Funktions-Apps müssen eine Azure-Dateifreigabe für das zugehörige Inhaltsverzeichnis verwenden | Das Inhaltsverzeichnis einer Funktions-App sollte sich auf einer Azure-Dateifreigabe befinden. Die Speicherkontoinformationen für die Dateifreigabe müssen vor jeder Veröffentlichungsaktivität bereitgestellt werden. Weitere Informationen zur Verwendung von Azure Files für das Hosting von App Service-Inhalten finden Sie unter https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 3.0.0 |
| Funktions-Apps sollten die neueste „HTTP Version“ verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 4.0.0 |
| Funktions-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Funktions-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.0.1 |
| Funktions-Apps, die Java verwenden, sollten die angegebene „Java-Version“ verwenden | Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Java-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 3.1.0 |
| Funktions-Apps, die Python verwenden, sollten die angegebene „Python-Version“ verwenden | Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Python-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 4.1.0 |
Nachweis
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Attestation-Anbieter sollten den Zugriff auf öffentliche Netzwerke deaktivieren | Stellen Sie zum Verbessern der Sicherheit Ihres Azure Attestation-Diensts sicher, dass dieser nicht über das öffentliche Internet, sondern nur über einen privaten Endpunkt zugänglich ist. Deaktivieren Sie die Eigenschaft für den Zugriff über öffentliche Netzwerke wie unter „aka.ms/azureattestation“ beschrieben. Darüber hinaus werden alle Anmeldungen abgelehnt, die Firewallregeln auf Basis von IP-Adressen oder virtuellen Netzwerken entsprechen. Dadurch wird das Risiko von Datenlecks verringert. | Audit, Deny, Disabled | 1.0.0 |
| Azure Attestation-Anbieter sollten private Endpunkte verwenden | Mithilfe privater Endpunkte können Sie Azure Attestation-Anbieter mit Ihren Azure-Ressourcen verbinden, ohne Datenverkehr über das öffentliche Internet zu senden. Durch das Verhindern des öffentlichen Zugriffs können private Endpunkte vor nicht gewünschtem anonymen Zugriff schützen. | AuditIfNotExists, Disabled | 1.0.0 |
Automatische Verwaltung
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Eine verwaltete Identität muss auf Ihren Computern aktiviert sein | Ressourcen, die von Automanage verwaltet werden, sollten über eine verwaltete Identität verfügen. | Audit, Disabled | 1.0.0-preview |
| [Vorschau]: Automanage-Konfigurationsprofilzuweisung muss konform sein | Ressourcen, die von Automanage verwaltet werden, sollten einen Status besitzen, der entweder „Conformant“ oder „ConformantCorrected“ lautet. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Startdiagnose muss auf VMs aktiviert sein | Auf virtuellen Azure-Computern sollte Boot Diagnostics aktiviert sein. | Audit, Disabled | 1.0.0-preview |
| VMs für das Onboarding in Azure Automanage konfigurieren | Azure Automanage registriert, konfiguriert und überwacht VMs anhand von Best Practices, die im Microsoft Cloud Adoption Framework für Azure definiert sind. Verwenden Sie diese Richtlinie, um die automatische Verwaltung auf den ausgewählten Bereich anzuwenden. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.4.0 |
| Konfigurieren Sie VMs für das Onboarding in Azure Automanage mit benutzerdefiniertem Konfigurationsprofil | Azure Automanage registriert, konfiguriert und überwacht VMs anhand von Best Practices, die im Microsoft Cloud Adoption Framework für Azure definiert sind. Verwenden Sie diese Richtlinie, um Automanage mit Ihrem eigenen angepassten Konfigurationsprofil auf Ihren ausgewählten Bereich anzuwenden. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Hotpatch muss für Azure Edition-VMs für Windows-Server aktiviert sein. | Minimieren Sie Neustarts, und installieren Sie Updates schnell mit Hotpatch. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/automanage/automanage-hotpatch. | Audit, Deny, Disabled | 1.0.0 |
Automation
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Das Automatisierungskonto muss über eine verwaltete Identität verfügen | Verwenden Sie verwaltete Identitäten als empfohlene Methode für die Authentifizierung bei Azure-Ressourcen aus den Runbooks. Die verwaltete Identität für die Authentifizierung ist sicherer und beseitigt den Verwaltungsaufwand, der mit der Verwendung des RunAs-Kontos in Ihrem Runbookcode verbunden ist. | Audit, Disabled | 1.0.0 |
| Automation-Kontovariablen sollten verschlüsselt werden | Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden. | Audit, Deny, Disabled | 1.1.0 |
| Azure Automation-Konten müssen den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Automation-Kontoressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/automation/how-to/private-link-security. | Audit, Deny, Disabled | 1.0.0 |
| Für das Azure Automation-Konto muss die lokale Authentifizierungsmethode deaktiviert sein | Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch gewährleistet wird, dass Azure Automation-Konten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. | Audit, Deny, Disabled | 1.0.0 |
| Azure Automation-Konten müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Automation-Konten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/automation-cmk. | Audit, Deny, Disabled | 1.0.0 |
| Das Azure Automation-Konto konfigurieren, um die lokale Authentifizierung zu deaktivieren | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Azure Automation-Konten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. | Modify, Disabled | 1.0.0 |
| Azure Automation-Konten zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihr Azure Automation-Konto, sodass es nicht über das öffentliche Internet zugänglich ist. Diese Konfiguration trägt zum Schutz vor Risiken aufgrund von Datenlecks bei. Sie können die Offenlegung von Automation-Kontoressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Modify, Disabled | 1.0.0 |
| Azure Automation-Konten mit privaten DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Sie benötigen eine ordnungsgemäß konfigurierte private DNS-Zone, um über Azure Private Link eine Verbindung mit dem Azure Automation-Konto herstellen zu können. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Private Endpunktverbindungen für Azure Automation-Konten konfigurieren | Private Endpunktverbindungen ermöglichen eine sichere Kommunikation, indem private Konnektivität mit Azure Automation-Konten ermöglicht wird, ohne dass öffentliche IP-Adressen an der Quelle oder am Ziel benötigt werden. Weitere Informationen zu privaten Endpunkten in Azure Automation finden Sie unter https://docs.microsoft.com/azure/automation/how-to/private-link-security. | DeployIfNotExists, Disabled | 1.0.0 |
| Für Automation-Konten müssen private Endpunktverbindungen aktiviert sein | Private Endpunktverbindungen ermöglichen eine sichere Kommunikation, indem private Konnektivität mit Automation-Konten ermöglicht wird, ohne dass öffentliche IP-Adressen an der Quelle oder am Ziel benötigt werden. Weitere Informationen zu privaten Endpunkten in Azure Automation finden Sie unter https://docs.microsoft.com/azure/automation/how-to/private-link-security. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Active Directory
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Verwaltete Azure Active Directory Domain Services-Domänen müssen den reinen TLS 1.2-Modus verwenden | Verwenden Sie für Ihre verwalteten Domänen den reinen TLS 1.2-Modus. Azure AD Domain Services aktiviert standardmäßig die Verwendung von Verschlüsselungsverfahren wie z. B. NTLM v1 und TLS v1. Diese Verschlüsselungen sind möglicherweise für einige Legacyanwendungen erforderlich, gelten jedoch als schwach und können deaktiviert werden, wenn Sie sie nicht benötigen. Wenn der reine TLS 1.2-Modus aktiviert ist und ein Client eine Anforderung ohne Verwendung von TLS 1.2 sendet, kommt es zu einem Fehler. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. | Audit, Deny, Disabled | 1.1.0 |
Azure KI-Services
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (Deaktivieren der lokalen Authentifizierung). | Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. | Durch Einschränken des Netzwerkzugriffs können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Sie erreichen dies, wenn Sie die Netzwerkregeln so konfigurieren, dass nur Anwendungen aus zulässigen Netzwerken auf Azure KI Services zugreifen können. | Audit, Deny, Disabled | 3.2.0 |
| In Azure KI Services sollten Diagnoseprotokolle aktiviert sein. | Aktivieren Sie die Protokollierung für Azure KI Services-Ressourcen. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Arc
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Die Erstellung oder Änderung der erweiterten Sicherheitsupdates (ESUs) verweigern. | Mit dieser Richtlinie können Sie die Erstellung oder Änderung von ESU-Lizenzen für Windows Server 2012 Arc-Computer einschränken. Weitere Details zu den Preisen finden Sie unter https://aka.ms/ArcWS2012ESUPricing | Verweigern, deaktiviert | 1.0.0-preview |
| [Vorschau]: Aktivieren Sie die Lizenz für erweiterte Sicherheitsupdates (Extended Security Updates, ESUs), um Windows 2012-Computer nach Beendigung des Supportlebenszyklus zu schützen. | Aktivieren Sie die Lizenz für erweiterte Sicherheitsupdates (Extended Security Updates, ESUs), um Windows 2012-Computer auch nach Beendigung des Supportlebenszyklus zu schützen. Um zu erfahren, wie Sie sich darauf vorbereiten, erweiterte Sicherheitsupdates für Windows Server 2012 über AzureArc bereitzustellen, besuchen Sie bitte https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Weitere Details zu den Preisen finden Sie unter https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, Disabled | 1.0.0-preview |
| Azure Arc Private Link-Bereiche sollten mit einem privaten Endpunkt konfiguriert werden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Private Link-Bereichen mit Azure Arc-Unterstützung können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/arc/privatelink. | Audit, Disabled | 1.0.0 |
| Private Link-Bereiche mit Azure Arc-Unterstützung sollten den Zugriff auf öffentliche Netzwerke deaktivieren | Das Deaktivieren des Zugriffs auf öffentliche Netzwerke verbessert die Sicherheit, indem sichergestellt wird, dass Azure Arc-Ressourcen keine Verbindung über das öffentliche Internet herstellen können. Durch das Erstellen privater Endpunkte können Sie die Offenlegung von Azure Arc-Ressourcen einschränken. Weitere Informationen finden Sie unter https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| Azure Arc-fähige Kubernetes-Cluster sollten mit einem Azure Arc Private Link-Bereich konfiguriert werden. | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch Zuordnen von Servern mit Azure Arc-Unterstützung zu einem Azure Arc Private Link-Bereich, der mit einem privaten Endpunkt konfiguriert ist, werden Datenleckrisiken verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| Server mit Azure Arc-Unterstützung sollten mit einem Azure Arc Private Link-Bereich konfiguriert werden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch Zuordnen von Servern mit Azure Arc-Unterstützung zu einem Azure Arc Private Link-Bereich, der mit einem privaten Endpunkt konfiguriert ist, werden Datenleckrisiken verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| Konfigurieren von Azure Arc Private Link-Bereichen zum Deaktivieren des Zugriffs auf öffentliche Netzwerke | Deaktivieren Sie den Zugriff auf öffentliche Netzwerke für Ihren Azure Arc Private Link-Bereich, damit zugeordnete Azure Arc-Ressourcen nicht über das öffentliche Internet eine Verbindung mit Azure Arc-Diensten herstellen können. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/arc/privatelink. | Modify, Disabled | 1.0.0 |
| Konfigurieren von Azure Arc Private Link-Bereichen für die Verwendung privater DNS-Zonen | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Private Link-Bereiche von Azure Arc aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurieren von Azure Arc Private Link-Bereichen mit privaten Endpunkten | Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Azure Arc Private Link-Bereichen können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 2.0.0 |
| Konfigurieren von Azure Arc-fähigen Kubernetes-Cluster für die Verwendung eines Azure Arc Private Link-Bereichs | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch Zuordnen von Servern mit Azure Arc-Unterstützung zu einem Azure Arc Private Link-Bereich, der mit einem privaten Endpunkt konfiguriert ist, werden Datenleckrisiken verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/arc/privatelink. | Modify, Disabled | 1.0.0 |
| Konfigurieren von Servern mit Azure Arc-Unterstützung für die Verwendung eines Azure Arc Private Link-Bereichs | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch Zuordnen von Servern mit Azure Arc-Unterstützung zu einem Azure Arc Private Link-Bereich, der mit einem privaten Endpunkt konfiguriert ist, werden Datenleckrisiken verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/arc/privatelink. | Modify, Disabled | 1.0.0 |
Azure-Daten-Explorer
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Alle Datenbankadministratoren in Azure Data Explorer müssen deaktiviert sein | Deaktivieren Sie die gesamte Datenbankadministratorrolle, um die Gewährung von benutzerrechtlich hoch privilegierten/administrativen Rollen einzuschränken. | Audit, Deny, Disabled | 1.0.0 |
| Azure Data Explorer-Cluster muss private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Data Explorer-Cluster wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint. | Audit, Disabled | 1.0.0 |
| Azure Data Explorer-Verschlüsselung ruhender Daten muss einen kundenseitig verwalteten Schlüssel verwenden | Das Aktivieren der Verschlüsselung ruhender Daten mit einem kundenseitig verwalteten Schlüssel in Ihrem Azure Data Explorer-Cluster bietet zusätzliche Kontrolle über den Schlüssel, der von der Verschlüsselung ruhender Schlüssel verwendet wird. Dieses Feature ist häufig für Kunden mit speziellen Complianceanforderungen relevant und erfordert eine Key Vault-Instanz zur Verwaltung der Schlüssel. | Audit, Deny, Disabled | 1.0.0 |
| Azure Data Explorer muss eine SKU verwenden, die Private Link unterstützt | Bei Verwendung von unterstützten SKUs können Sie mit Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Apps können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/private-link. | Audit, Deny, Disabled | 1.0.0 |
| Konfigurieren von Azure Data Explorer-Clustern mit privaten Endpunkten | Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Azure Data Explorer können Sie das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter: [ServiceSpecificAKA.ms]. | DeployIfNotExists, Disabled | 1.0.0 |
| Azure Data Explorer zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Durch Deaktivieren der Eigenschaft für den Zugriff über öffentliche Netzwerke werden öffentliche Verbindungen blockiert, sodass der Zugriff auf Azure Data Explorer nur von einem privaten Endpunkt aus möglich ist. Durch diese Konfiguration wird der Zugriff über öffentliche Netzwerke für alle Azure Data Explorer-Cluster deaktiviert. | Modify, Disabled | 1.0.0 |
| Datenträgerverschlüsselung muss in Azure Data Explorer aktiviert sein | Durch das Aktivieren der Datenträgerverschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. | Audit, Deny, Disabled | 2.0.0 |
| Doppelte Verschlüsselung muss für Azure Data Explorer aktiviert sein | Durch das Aktivieren der doppelten Verschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn die doppelte Verschlüsselung aktiviert ist, werden Daten im Speicherkonto zweimal – einmal auf Dienstebene und einmal auf Infrastrukturebene – mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln verschlüsselt. | Audit, Deny, Disabled | 2.0.0 |
| Für Azure Data Explorer muss „Zugriff über öffentliche Netzwerke“ deaktiviert sein | Hiermit wird die Eigenschaft für den Zugriff über öffentliche Netzwerke deaktiviert. So wird die Sicherheit erhöht und gewährleistet, dass nur von einem privaten Endpunkt aus auf Azure Data Explorer zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. | Audit, Deny, Disabled | 1.0.0 |
| VNET-Einschleusung muss für Azure Data Explorer aktiviert sein | Schützen Sie Ihren Netzwerkperimeter durch VNET-Einschleusung. So können Sie Regeln von Netzwerksicherheitsgruppen durchsetzen, lokale Verbindungen herstellen und Ihre Datenverbindungsquellen mit Dienstendpunkten absichern. | Audit, Deny, Disabled | 1.0.0 |
Azure Databricks
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Databricks-Cluster sollten öffentliche IP-Adressen deaktivieren | Das Deaktivieren der öffentlichen IP-Adresse von Clustern in Azure Databricks-Arbeitsbereichen verbessert die Sicherheit, weil damit sichergestellt wird, dass die Cluster nicht im öffentlichen Internet verfügbar gemacht werden. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Audit, Deny, Disabled | 1.0.1 |
| Azure Databricks-Arbeitsbereiche sollten sich in einem virtuellen Netzwerk befinden | Azure Virtual Networks bieten ein höheres Maß an Sicherheit und Isolation sowohl für Ihre Azure Databricks-Arbeitsbereiche. Sie profitieren außerdem von Richtlinien für die Zugriffssteuerung sowie von weiteren Features zur Einschränkung des Zugriffs. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Audit, Deny, Disabled | 1.0.2 |
| Für Azure Databricks-Arbeitsbereiche ist die Premium-SKU erforderlich, die Funktionen private Verbindung und kundenseitig verwaltete Schlüssel für die Verschlüsselung unterstützt | Lassen Sie nur Databricks-Arbeitsbereiche mit Premium-SKU zu, die Ihre Organisation bereitstellen kann, um Funktionen wie Private Link und kundenseitig verwaltete Schlüssel für die Verschlüsselung, zu unterstützen. Weitere Informationen finden Sie unter https://aka.ms/adbpe. | Audit, Deny, Disabled | 1.0.1 |
| Azure Databricks-Arbeitsbereiche sollten den öffentlichen Netzwerkzugriff deaktivieren | Die Deaktivierung des Zugriff über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen steuern, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Audit, Deny, Disabled | 1.0.1 |
| Azure Databricks-Arbeitsbereiche sollten private Verbindungen verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Databricks-Arbeitsbereichen können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/adbpe. | Audit, Disabled | 1.0.2 |
| Azure Databricks-Arbeitsbereich für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um einen Azure Synapse-Arbeitsbereich aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/adbpe. | DeployIfNotExists, Disabled | 1.0.1 |
| Azure Databricks-Arbeitsbereiche mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Azure Databricks-Arbeitsbereichen können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/adbpe. | DeployIfNotExists, Disabled | 1.0.2 |
| Konfigurieren von Diagnoseeinstellungen für Azure Databricks-Arbeitsbereiche im Log Analytics-Arbeitsbereich | Stellt die Diagnoseeinstellungen für Azure Databricks-Arbeitsbereiche bereit, um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu streamen, wenn ein Azure Databricks-Arbeitsbereich erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 1.0.1 |
| Ressourcenprotokolle in Azure Databricks-Arbeitsbereichen sollten aktiviert sein. | Ressourcenprotokolle ermöglichen es, vergangene Aktivitäten nachzuvollziehen, wenn es zu einem Sicherheitsvorfall kommt oder Ihr Netzwerk kompromittiert wird. | AuditIfNotExists, Disabled | 1.0.1 |
Azure Edge Hardware Center
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Edge Hardware Center-Geräte sollten die Unterstützung für doppelte Verschlüsselung aktiviert haben. | Stellen Sie sicher, dass für über Azure Edge Hardware Center bestellte Geräte die Unterstützung für die doppelte Verschlüsselung aktiviert ist, um die ruhenden Daten auf dem Gerät zu schützen. Mit dieser Option wird eine zweite Ebene der Datenverschlüsselung hinzugefügt. | Audit, Deny, Disabled | 2.0.0 |
Azure-Auslastungstest
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure-Auslastungstestressource sollte kundenseitig verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln. | Verwenden Sie kundenseitig verwaltete Schlüssel (Customer Managed Keys, CMKs), um die Verschlüsselung ruhender Daten Ihrer Azure Load Testing-Ressource zu verwalten. Die Verschlüsselung erfolgt standardmäßig mit dienstseitig verwalteten Schlüsseln. Kundenseitig verwaltete Schlüssel ermöglichen es, die Daten mit einem Azure Key Vault-Schlüssel zu verschlüsseln, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal. | Audit, Deny, Disabled | 1.0.0 |
Azure Purview
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Für Azure Purview-Konten muss Private Link verwendet werden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Da private Endpunkte nicht dem gesamten Dienst, sondern den Azure Purview-Konten zugeordnet werden, sind Sie außerdem vor dem Risiko eines Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/purview-private-link. | Audit, Disabled | 1.0.0 |
Azure Stack Edge
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Stack Edge-Geräte sollten doppelte Verschlüsselung verwenden. | Stellen Sie zum Schutz der ruhenden Daten auf dem Gerät Folgendes sicher: Die Daten sind doppelt verschlüsselt, der Zugriff auf Daten wird gesteuert, und nach der Deaktivierung des Geräts werden die Daten auf sichere Weise von den Datenträgern gelöscht. Bei der Mehrfachverschlüsselung werden zwei Verschlüsselungsebenen verwendet: Verschlüsselung vom Typ „BitLocker XTS-AES 256-Bit“ auf den Datenvolumes und integrierte Verschlüsselung der Festplatten. Weitere Informationen finden Sie in der Dokumentation zur Sicherheitsübersicht für das jeweilige Stack Edge-Gerät. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
Azure Update-Manager
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Konfigurieren der regelmäßigen Überprüfung auf fehlende Systemupdates auf Azure Arc-fähigen Servern | Konfigurieren Sie die automatische Bewertung (alle 24 Stunden) für Betriebssystemupdates auf Servern mit Azure Arc-Unterstützung. Sie können den Zuweisungsbereich gemäß Computerabonnement, Ressourcengruppe, Standort oder Tag steuern. Weitere Informationen für Windows: https://aka.ms/computevm-windowspatchassessmentmode, für Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 2.2.1 |
| Konfigurieren der regelmäßigen Überprüfung auf fehlende Systemupdates auf Azure-VMs | Konfigurieren Sie die automatische Bewertung (alle 24 Stunden) für Betriebssystemupdates auf nativen virtuellen Azure-Computern. Sie können den Zuweisungsbereich gemäß Computerabonnement, Ressourcengruppe, Standort oder Tag steuern. Weitere Informationen für Windows: https://aka.ms/computevm-windowspatchassessmentmode, für Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 4.8.0 |
| Computer sollten so konfiguriert werden, dass regelmäßig nach fehlenden Systemupdates gesucht wird | Um sicherzustellen, dass regelmäßige Bewertungen fehlender Systemupdates automatisch alle 24 Stunden ausgelöst werden, sollte die AssessmentMode-Eigenschaft auf „AutomaticByPlatform“ festgelegt werden. Erfahren Sie mehr über die AssessmentMode-Eigenschaft für Windows: https://aka.ms/computevm-windowspatchassessmentmode, für Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Deny, Disabled | 3.7.0 |
| Planen wiederkehrender Updates mit dem Azure Update-Manager | Sie können den Azure Update-Manager in Azure zum Speichern wiederkehrender Bereitstellungszeitpläne verwenden, um Betriebssystemupdates für Ihre Windows Server- und Linux-Computer in Azure, in lokalen Umgebungen und in anderen Cloudumgebungen zu installieren, die mit Servern mit Azure Arc-Unterstützung verbunden sind. Diese Richtlinie ändert auch den Patchmodus für die Azure Virtual Machine-VM in „AutomaticByPlatform“. Weitere Informationen: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.10.0 |
Backup
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Die Azure Backup-Erweiterung sollte in AKS-Clustern installiert sein. | Stellen Sie den Schutz dadurch sicher, dass die Sicherungserweiterung in Ihren AKS-Clustern installiert ist, um Azure Backup zu nutzen. Azure Backup for AKS ist eine sichere und cloudnative Datenschutzlösung für AKS-Cluster. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Azure Backup sollte für AKS-Cluster aktiviert sein. | Stellen Sie den Schutz Ihrer AKS-Cluster sicher, indem Sie Azure Backup aktivieren. Azure Backup for AKS ist eine sichere und cloudnative Datenschutzlösung für AKS-Cluster. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Azure Backup sollte für Blobs in Speicherkonten aktiviert sein. | Stellen Sie den Schutz Ihrer Speicherkonten sicher, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Azure Backup sollte für Managed Disks aktiviert sein. | Stellen Sie den Schutz Ihrer Managed Disks-Instanz sicher, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Azure Backup Vaults sollten vom Kunden verwaltete Schlüssel zum Verschlüsseln von Sicherungsdaten verwenden. Dies ist auch eine Option zum Erzwingen der Infra-Verschlüsselung. | Diese Richtlinie folgt dem „Effekt“, wenn die Verschlüsselungseinstellungen für Backup Vaults im Bereich aktiviert sind. Darüber hinaus können Sie überprüfen, ob für Backup Vault auch die Infrastrukturverschlüsselung aktiviert ist. Weitere Informationen finden Sie unter https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk. Beachten Sie, dass Sie beim Verwenden des Effekts „Verweigern“ Verschlüsselungseinstellungen für die vorhandenen Backup Vaults aktivieren müssen, um andere Aktualisierungsvorgänge im Tresor zuzulassen. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Azure Recovery Services-Tresore sollten den Zugriff auf öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da sichergestellt wird, dass der Recovery Services-Tresor nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte kann die Verfügbarkeit von Media Services-Ressourcen eingeschränkt werden. Weitere Informationen finden Sie unter https://aka.ms/AB-PublicNetworkAccess-Deny. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Azure Recovery Services Tresore sollten vom Kunden verwaltete Schlüssel für die Verschlüsselung von Sicherungsdaten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung im Ruhezustand für Ihre Sicherungsdaten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/AB-CmkEncryption. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Azure Recovery Services Tresore sollten privaten Link für Backup verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Recovery Services-Tresoren wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/AB-PrivateEndpoints. | Audit, Disabled | 2.0.0-preview |
| [Vorschau]: Konfigurieren von Azure Recovery Services-Tresoren zur Deaktivierung des öffentlichen Netzwerkzugriffs | Deaktivieren Sie für Ihren Recovery Services-Tresor den Zugriff über öffentliche Netzwerke, sodass er nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/AB-PublicNetworkAccess-Deny. | Modify, Disabled | 1.0.0-preview |
| [Vorschau]: Konfigurieren der Sicherung für Blobs in Speicherkonten, die ein bestimmtes Tag für einen bestimmten Sicherungstresor in derselben Region enthalten | Erzwingen Sie die Sicherung von Blobs für alle Speicherkonten, die ein bestimmtes Tag in einem zentralen Sicherungstresor enthalten. Auf diese Weise können Sie die Sicherung von Blobs verwalten, die in mehreren Speicherkonten im großen Stil enthalten sind. Weitere Informationen finden Sie unter https://aka.ms/AB-BlobBackupAzPolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [Vorschau]: Konfigurieren der Blobsicherung für alle Speicherkonten, die kein bestimmtes Tag für einen Sicherungstresor in derselben Region enthalten | Erzwingen Sie die Sicherung von Blobs für alle Speicherkonten, die kein bestimmtes Tag in einem zentralen Sicherungstresor enthalten. Auf diese Weise können Sie die Sicherung von Blobs verwalten, die in mehreren Speicherkonten im großen Stil enthalten sind. Weitere Informationen finden Sie unter https://aka.ms/AB-BlobBackupAzPolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [Vorschau]: Recovery Services-Tresore für die Verwendung privater DNS-Zonen zur Sicherung konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Ihren Recovery Services-Tresor aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, Disabled | 1.0.1-preview |
| [Vorschau]: Konfigurieren von Recovery Services-Tresoren für die Verwendung privater Endpunkte zur Sicherung | Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch Zuordnen privater Endpunkte zu Recovery Services-Tresoren können Sie das Risiko von Datenlecks verringern. Beachten Sie, dass Ihre Tresore bestimmte Voraussetzungen erfüllen müssen, um für die Konfiguration privater Endpunkte geeignet zu sein. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2187162. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Deaktivieren von abonnementübergreifender Wiederherstellung für Azure Recovery Services-Tresore | Deaktivieren Sie die abonnementübergreifende Wiederherstellung für Ihren Recovery Services-Tresor temporär oder dauerhaft, damit sich die Wiederherstellungsziele nicht in einem anderen Abonnement als dem Tresorabonnement befinden können. Weitere Informationen finden Sie unter https://aka.ms/csrenhancements. | Modify, Disabled | 1.1.0-preview |
| [Vorschau]: Deaktivieren von abonnementübergreifender Wiederherstellung für Sicherungstresore | Deaktivieren Sie abonnementübergreifende Wiederherstellung für Ihren Sicherungstresor temporär oder dauerhaft, damit sich die Wiederherstellungsziele nicht in einem anderen Abonnement als dem Tresorabonnement befinden können. Weitere Informationen finden Sie unter https://aka.ms/csrstatechange. | Modify, Disabled | 1.1.0-preview |
| [Vorschau]: Die Erstellung von Recovery Services-Tresoren mit ausgewählter Speicherredundanz nicht zulassen. | Recovery Services Vaults können heute mit einer von drei Speicherredundanzoptionen erstellt werden, nämlich lokal redundantem Speicher, zonenredundantem Speicher und georedundantem Speicher. Wenn die Richtlinien Ihrer Organisation das Blockieren der Erstellung von Tresoren erfordern, die zu einem bestimmten Redundanztyp gehören, können Sie dies ebenfalls mithilfe dieser Azure-Richtlinie erreichen. | Verweigern, deaktiviert | 1.0.0-preview |
| [Vorschau]: Unveränderlichkeit muss für Sicherungstresore aktiviert werden | Diese Richtlinie überwacht, ob die Eigenschaft, die Tresore als unveränderlich festlegt, für Sicherungstresore im Bereich aktiviert ist. Auf diese Weise können Sie verhindern, dass Ihre Sicherungsdaten vor dem vorgesehenen Ablaufdatum gelöscht werden. Weitere Informationen finden Sie unter https://aka.ms/AB-ImmutableVaults. | Audit, Disabled | 1.0.1-preview |
| [Vorschau]: Für Recovery Services-Tresore muss die Unveränderlichkeit aktiviert sein | Diese Richtlinie prüft, ob die Eigenschaft „Unveränderliche Tresore“ für Recovery Services-Tresore im Geltungsbereich aktiviert ist. Auf diese Weise können Sie verhindern, dass Ihre Sicherungsdaten vor dem vorgesehenen Ablaufdatum gelöscht werden. Weitere Informationen finden Sie unter https://aka.ms/AB-ImmutableVaults. | Audit, Disabled | 1.0.1-preview |
| [Vorschau]: Mehrbenutzerautorisierung (MUA) muss für Sicherungstresore aktiviert sein. | Diese Richtlinie überprüft, ob die Mehrbenutzerautorisierung (MUA) für Sicherungstresore aktiviert ist. Die MUA hilft bei der Sicherung Ihrer Sicherungstresore, indem sie kritischen Vorgängen eine zusätzliche Schutzebene hinzufügt. Weitere Informationen finden Sie unter https://aka.ms/mua-for-bv. | Audit, Disabled | 1.0.0-preview |
| [Vorschau]: Die Mehrbenutzerautorisierung (Multi-User Authorization, MUA) muss für Recovery Services Vaults aktiviert sein. | Diese Richtlinie überprüft, ob die Mehrbenutzerautorisierung (Multi-User Authorization, MUA) für Recovery Services Vaults aktiviert ist. Die MUA hilft bei der Sicherung Ihrer Recovery Service Vaults, indem sie kritischen Vorgängen eine zusätzliche Schutzebene hinzufügt. Weitere Informationen finden Sie unter https://aka.ms/MUAforRSV. | Audit, Disabled | 1.0.0-preview |
| [Vorschau]: Vorläufiges Löschen muss für Recovery Services Vaults aktiviert sein. | Mit dieser Richtlinie wird überprüft, ob das vorläufige Löschen für Recovery Services Vaults im Bereich aktiviert ist. Das vorläufige Löschen kann das Wiederherstellen gelöschter Daten erleichtern. Weitere Informationen finden Sie unter https://aka.ms/AB-SoftDelete. | Audit, Disabled | 1.0.0-preview |
| [Vorschau]: Vorläufiges Löschen sollte für Sicherungstresore aktiviert sein | Mit dieser Richtlinie wird überprüft, ob das vorläufige Löschen für die Sicherungstresore im Bereich aktiviert ist. Das vorläufige Löschen kann das Wiederherstellen gelöschter Daten erleichtern. Weitere Informationen finden Sie unter https://aka.ms/AB-SoftDelete. | Audit, Disabled | 1.0.0-preview |
| Azure Backup muss für Virtual Machines aktiviert sein. | Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Sicherung für VMs mit angegebenem Tag in einem neuen Recovery Services-Tresor mit einer Standardrichtlinie konfigurieren | Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie einen Recovery Services-Tresor am gleichen Ort und in der gleichen Ressourcengruppe wie der virtuelle Computer bereitstellen. Dies ist nützlich, wenn verschiedenen Anwendungsteams in Ihrer Organisation separate Ressourcengruppen zugewiesen werden und sie ihre eigenen Sicherungen und Wiederherstellungen verwalten müssen. Sie können optional virtuelle Computer einschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 9.2.0 |
| Sicherung für VMs mit angegebenem Tag in einem vorhandenen Recovery Services-Tresor am selben Standort konfigurieren | Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie sie in einem vorhandenen zentralen Recovery Services-Tresor am gleichen Ort und im gleichen Abonnement wie der virtuelle Computer sichern. Dies ist nützlich, wenn die Sicherungen für alle Ressourcen in einem Abonnement in Ihrer Organisation von einem zentralen Team verwaltet werden. Sie können optional virtuelle Computer einschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 9.2.0 |
| Sicherung für VMs ohne angegebenes Tag in einem neuen Recovery Services-Tresor mit einer Standardrichtlinie konfigurieren | Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie einen Recovery Services-Tresor am gleichen Ort und in der gleichen Ressourcengruppe wie der virtuelle Computer bereitstellen. Dies ist nützlich, wenn verschiedenen Anwendungsteams in Ihrer Organisation separate Ressourcengruppen zugewiesen werden und sie ihre eigenen Sicherungen und Wiederherstellungen verwalten müssen. Sie können optional virtuelle Computer ausschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 9.2.0 |
| Sicherung für VMs ohne angegebenes Tag in einem vorhandenen Recovery Services-Tresor am selben Standort konfigurieren | Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie sie in einem vorhandenen zentralen Recovery Services-Tresor am gleichen Ort und im gleichen Abonnement wie der virtuelle Computer sichern. Dies ist nützlich, wenn die Sicherungen für alle Ressourcen in einem Abonnement in Ihrer Organisation von einem zentralen Team verwaltet werden. Sie können optional virtuelle Computer ausschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 9.2.0 |
| Stellen Sie dem Log Analytics-Arbeitsbereich für ressourcenspezifische Kategorien Diagnoseeinstellungen für den Recovery Services-Tresor bereit. | Stellen Sie Diagnoseeinstellungen für den Recovery Services-Tresor bereit, um Daten für ressourcenspezifische Kategorien in den Log Analytics-Arbeitsbereich zu streamen. Wenn eine der ressourcenspezifischen Kategorien nicht aktiviert ist, wird eine neue Diagnoseeinstellung erstellt. | deployIfNotExists | 1.0.2 |
Batch
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Batch-Konto muss kundenseitig verwaltete Schlüssel zur Datenverschlüsselung verwenden. | Verwenden Sie kundenseitig verwaltete Schlüssel, um für die Daten Ihres Batch-Kontos die Verschlüsselung ruhender Daten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/Batch-CMK. | Audit, Deny, Disabled | 1.0.1 |
| Für Azure Batch-Pools sollte die Datenträgerverschlüsselung aktiviert sein. | Wenn Sie die Azure Batch-Datenträgerverschlüsselung aktivieren, wird sichergestellt, dass ruhende Daten in Ihrem Azure Batch-Computeknoten immer verschlüsselt sind. Weitere Informationen zur Datenträgerverschlüsselung in Batch finden Sie unter https://docs.microsoft.com/azure/batch/disk-encryption. | Audit, Disabled, Deny | 1.0.0 |
| Für Batch-Konten sollten die lokalen Authentifizierungsmethoden deaktiviert sein. | Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch sichergestellt wird, dass Batch-Konten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/batch/auth. | Audit, Deny, Disabled | 1.0.0 |
| Batch-Konten für die Deaktivierung der lokalen Authentifizierung konfigurieren | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Batch-Konten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/batch/auth. | Modify, Disabled | 1.0.0 |
| Konfigurieren von Batch-Konten zum Deaktivieren des Zugriffs auf öffentliche Netzwerke | Das Deaktivieren des Zugriffs auf das öffentliche Netzwerk für ein Batch-Konto verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihr Batch-Konto nur von einem privaten Endpunkt aus zugegriffen werden kann. Weitere Informationen zum Deaktivieren des Zugriffs auf öffentliche Netzwerke finden Sie unter https://docs.microsoft.com/azure/batch/private-connectivity. | Modify, Disabled | 1.0.0 |
| Batch-Konten mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Batch-Konten können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Disabled | 1.0.0 |
| Bereitstellen: Private DNS-Zonen für private Endpunkte zur Verbindungsherstellung mit Batch-Konten konfigurieren | Über private DNS-Einträge können private Verbindungen mit privaten Endpunkten hergestellt werden. Private Endpunktverbindungen gewährleisten eine sichere Kommunikation, indem private Konnektivität mit Batch-Konten ermöglicht wird, ohne dass öffentliche IP-Adressen an der Quelle oder am Ziel erforderlich sind. Weitere Informationen zu privaten Endpunkten und DNS-Zonen in Batch finden Sie unter https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Disabled | 1.0.0 |
| Für Batch-Konten müssen Warnungsregeln für Metriken konfiguriert sein | Hiermit wird die Konfiguration von Metrikwarnungsregeln für ein Batch-Konto überwacht, um die erforderliche Metrik zu aktivieren. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Batch-Konten müssen private Endpunktverbindungen aktiviert sein | Private Endpunktverbindungen ermöglichen eine sichere Kommunikation, indem private Konnektivität mit Batch-Konten ermöglicht wird, ohne dass öffentliche IP-Adressen an der Quelle oder am Ziel benötigt werden. Weitere Informationen zu privaten Endpunkten in Batch finden Sie unter https://docs.microsoft.com/azure/batch/private-connectivity. | AuditIfNotExists, Disabled | 1.0.0 |
| Öffentlicher Netzwerkzugriff muss für Batch-Konten deaktiviert sein | Das Deaktivieren des Zugriffs auf das öffentliche Netzwerk für ein Batch-Konto verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihr Batch-Konto nur von einem privaten Endpunkt aus zugegriffen werden kann. Weitere Informationen zum Deaktivieren des Zugriffs auf öffentliche Netzwerke finden Sie unter https://docs.microsoft.com/azure/batch/private-connectivity. | Audit, Deny, Disabled | 1.0.0 |
| In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
Botdienst
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Der Bot Service-Endpunkt muss ein gültiger HTTPS-URI sein. | Daten können während der Übertragung manipuliert werden. Es gibt Protokolle, die eine Verschlüsselung ermöglichen, um Missbrauch und Manipulationen vorzubeugen. Um sicherzustellen, dass Ihre Bots ausschließlich über verschlüsselte Kanäle kommunizieren, legen Sie den Endpunkt auf einen gültigen HTTPS-URI fest. Dadurch wird sichergestellt, dass das HTTPS-Protokoll zum Verschlüsseln Ihrer Daten während der Übertragung verwendet wird. Darüber hinaus ist es häufig Voraussetzung zur Einhaltung gesetzlicher oder branchenüblicher Standards. Informationen finden Sie unter https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Bot Service muss mit einem kundenseitig verwalteten Schlüssel (CMK) verschlüsselt werden | Azure Bot Service verschlüsselt Ihre Ressource automatisch, um Ihre Daten zu schützen sowie die Sicherheits- und Complianceanforderungen der Organisation zu erfüllen. Standardmäßig werden von Microsoft verwaltete Verschlüsselungsschlüssel verwendet. Wählen Sie kundenseitig verwaltete Schlüssel (auch als Bring Your Own Key (BYOK) bezeichnet) aus, um mehr Flexibilität bei der Verwaltung von Schlüsseln oder der Steuerung des Zugriffs auf Ihr Abonnement zu haben. Weitere Informationen zur Azure Bot Service-Verschlüsselung finden Sie hier: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Für den Botdienst muss der isolierte Modus aktiviert sein | Bots müssen auf den Modus „nur isoliert“ festgelegt werden. Mit dieser Einstellung werden Bot Service-Kanäle konfiguriert, für die der Datenverkehr über das öffentliche Internet deaktiviert sein muss. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.0 |
| Für Bot Service müssen die lokalen Authentifizierungsmethoden deaktiviert sein. | Durch das Deaktivieren lokaler Authentifizierungsmethoden wird die Sicherheit verbessert, indem sichergestellt wird, dass ein Bot AAD ausschließlich für die Authentifizierung verwendet. | Audit, Deny, Disabled | 1.0.0 |
| Für Bot Service sollte der Zugriff über öffentliche Netzwerke deaktiviert sein | Bots müssen auf den Modus „nur isoliert“ festgelegt werden. Mit dieser Einstellung werden Bot Service-Kanäle konfiguriert, für die der Datenverkehr über das öffentliche Internet deaktiviert sein muss. | Audit, Deny, Disabled | 1.0.0 |
| BotService-Ressourcen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu BotService-Ressourcen wird das Risiko von Datenlecks verringert. | Audit, Disabled | 1.0.0 |
| Konfigurieren Sie BotService-Ressourcen für die Verwendung privater DNS-Zonen | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um BotService-bezogene Ressourcen aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren Sie BotService-Ressourcen mit privaten Endpunkten | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu BotService-Ressourcen können Sie das Risiko von Datenlecks verringern. | DeployIfNotExists, Disabled | 1.0.0 |
Cache
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Cache for Redis muss den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass Azure Cache for Redis nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Azure Cache for Redis einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | Audit, Deny, Disabled | 1.0.0 |
| Azure Cache for Redis muss private Verbindung verwenden | Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Azure Cache for Redis zum Deaktivieren von nicht SSL-Ports | Aktivieren Sie nur SSL-Verbindungen mit Azure Cache for Redis. Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Modify, Disabled | 1.0.0 |
| Azure Cache for Redis zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Azure Cache for Redis-Ressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies trägt dazu bei, den Cache vor dem Risiko von Datenlecks zu schützen. | Modify, Disabled | 1.0.0 |
| Azure Cache for Redis für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Azure Cache for Redis-Instanzen aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Azure Cache for Redis mit privaten Endpunkten konfigurieren | Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Ressourcen können Sie das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/redis/privateendpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. | Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 1.0.0 |
CDN
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Front Door-Profile sollten den Tarif „Premium“ verwenden, der verwaltete WAF-Regeln und private Verbindungen unterstützt | Azure Front Door Premium unterstützt von Azure verwaltete WAF-Regeln und private Verbindungen zu unterstützten Azure-Ursprüngen. | Audit, Deny, Disabled | 1.0.0 |
| Azure Front Door Standard und Premium müssen mindestens die TLS-Version 1.2 ausführen | Das Festlegen der TLS-Mindestversion auf 1.2 verbessert die Sicherheit, da sichergestellt wird, dass nur Clients mit TLS 1.2 oder höher auf Ihre benutzerdefinierten Domänen zugreifen können. Die Verwendung von TLS-Versionen unter 1.2 wird nicht empfohlen, da sie schwach sind und keine modernen Kryptografiealgorithmen unterstützen. | Audit, Deny, Disabled | 1.0.0 |
| Sichere private Konnektivität zwischen Azure Front Door Premium und Azure Storage Blob oder Azure App Service | Eine private Verbindung stellt die private Konnektivität zwischen AFD Premium und Azure Storage Blob oder Azure App Service über das Azure-Backbonenetzwerk sicher, ohne dass Azure Storage Blob oder Azure App Service öffentlich im Internet verfügbar gemacht werden. | Audit, Disabled | 1.0.0 |
ChangeTrackingAndInventory
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Konfigurieren von Linux-Computern mit Arc-Unterstützung für die Zuordnung zu einer Datensammlungsregel für Änderungsnachverfolgung und Bestand | Stellen Sie eine Zuordnung bereit, um Linux-Computer mit Arc-Unterstützung mit der angegebenen Datensammlungsregel zu verknüpfen und so Änderungsnachverfolgung und Bestand zu aktivieren. Die Liste der Standorte wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Konfigurieren von Linux-Computern mit Arc-Unterstützung zum Installieren von AMA für Änderungsnachverfolgung und Bestand | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren Linux-Computern mit Arc-Unterstützung zum Aktivieren von Änderungsnachverfolgung und Bestand. Mit dieser Richtlinie wird die Erweiterung installiert, wenn die Region unterstützt wird. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0-preview |
| [Vorschau]: Konfigurieren virtueller Linux-Computer für die Zuordnung zu einer Datensammlungsregel für Änderungsnachverfolgung und Bestand | Stellen Sie eine Zuordnung bereit, um virtuelle Linux-Computer mit der angegebenen Datensammlungsregel zu verknüpfen und so Änderungsnachverfolgung und Bestand zu aktivieren. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Konfigurieren von Linux-VMs zum Installieren von AMA für Änderungsnachverfolgung und Bestand mit benutzerseitig zugewiesener verwalteter Identität | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren virtuellen Linux-Computern zum Aktivieren von Änderungsnachverfolgung und Bestand. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0-preview |
| [Vorschau]: Konfigurieren von Linux-VMSS für die Zuordnung zu einer Datensammlungsregel für Änderungsnachverfolgung und Bestand | Stellen Sie eine Zuordnung bereit, um Linux-VM-Skalierungsgruppen mit der angegebenen Datensammlungsregel zu verknüpfen und so Änderungsnachverfolgung und Bestand zu aktivieren. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Konfigurieren von Linux-VMMS zum Installieren von AMA für Änderungsnachverfolgung und Bestand mit benutzerseitig zugewiesener verwalteter Identität | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung für Ihre Linux-VM-Skalierungsgruppen zum Aktivieren von Änderungsnachverfolgung und Bestand. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0-preview |
| [Vorschau]: Konfigurieren von Windows-Computern mit Arc-Unterstützung für die Zuordnung zu einer Datensammlungsregel für Änderungsnachverfolgung und Bestand | Stellen Sie eine Zuordnung bereit, um Windows-Computer mit Arc-Unterstützung mit der angegebenen Datensammlungsregel zu verknüpfen und so Änderungsnachverfolgung und Bestand zu aktivieren. Die Liste der Standorte wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Konfigurieren von Windows-Computern mit Arc-Unterstützung zum Installieren von AMA für Änderungsnachverfolgung und Bestand | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren Windows-Computern mit Arc-Unterstützung zum Aktivieren von Änderungsnachverfolgung und Bestand. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Konfigurieren virtueller Windows-Computer für die Zuordnung zu einer Datensammlungsregel für Änderungsnachverfolgung und Bestand | Stellen Sie eine Zuordnung bereit, um virtuelle Windows-Computer mit der angegebenen Datensammlungsregel zu verknüpfen und so Änderungsnachverfolgung und Bestand zu aktivieren. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Konfigurieren von Windows-VMs zum Installieren von AMA für Änderungsnachverfolgung und Bestand mit benutzerseitig zugewiesener verwalteter Identität | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren virtuellen Windows-Computern zum Aktivieren von Änderungsnachverfolgung und Bestand. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Konfigurieren von Windows-VMSS für die Zuordnung zu einer Datensammlungsregel für Änderungsnachverfolgung und Bestand | Stellen Sie eine Zuordnung bereit, um Windows-VM-Skalierungsgruppen mit der angegebenen Datensammlungsregel zu verknüpfen und so Änderungsnachverfolgung und Bestand zu aktivieren. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Konfigurieren von Windows-VMSS zum Installieren von AMA für Änderungsnachverfolgung und Bestand mit benutzerseitig zugewiesener verwalteter Identität | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung für Ihre Windows-VM-Skalierungsgruppen zum Aktivieren von Änderungsnachverfolgung und Bestand. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0-preview |
Cognitive Services
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Cognitive Services-Konten müssen den Zugriff über öffentliche Netzwerke deaktivieren | Stellen Sie zum Verbessern der Sicherheit von Cognitive Services-Konten sicher, dass diese nicht über das öffentliche Internet, sondern nur über einen privaten Endpunkt zugänglich sind. Deaktivieren Sie die Eigenschaft für den Zugriff über öffentliche Netzwerke wie unter https://go.microsoft.com/fwlink/?linkid=2129800 beschrieben. Darüber hinaus werden alle Anmeldungen abgelehnt, die Firewallregeln auf Basis von IP-Adressen oder virtuellen Netzwerken entsprechen. Dadurch wird das Risiko von Datenlecks verringert. | Audit, Deny, Disabled | 3.0.1 |
| Cognitive Services-Konten müssen eine Datenverschlüsselung mit einem kundenseitig verwalteten Schlüssel aktivieren. | Kundenseitig verwaltete Schlüssel sind häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die in Cognitive Services gespeicherten Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zu kundenseitig verwalteten Schlüsseln finden Sie unter https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Deny, Disabled | 2.1.0 |
| Cognitive Services-Konten müssen eine verwaltete Identität verwenden | Das Zuweisen einer verwalteten Identität zu Ihrem Cognitive Services-Konto gewährleistet eine sichere Authentifizierung. Diese Identität wird von diesem Cognitive Services-Konto für die sichere Kommunikation mit anderen Azure-Diensten wie z. B. Azure Key Vault verwendet, ohne dass Sie Anmeldeinformationen verwalten müssen. | Audit, Deny, Disabled | 1.0.0 |
| Cognitive Services-Konten müssen kundeneigenen Speicher verwenden | Verwenden Sie den kundeneigenen Speicher, um ruhende Daten in Cognitive Services zu steuern. Weitere Informationen zum kundeneigenen Speicher finden Sie unter https://aka.ms/cogsvc-cmk. | Audit, Deny, Disabled | 2.0.0 |
| Cognitive Services muss eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| Cognitive Services-Konten konfigurieren, um lokale Authentifizierungsmethoden zu deaktivieren | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Cognitive Services-Konten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/cs/auth. | Modify, Disabled | 1.0.0 |
| Cognitive Services-Konten zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Cognitive Services-Ressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. | Disabled, Modify | 3.0.0 |
| Cognitive Services-Konten für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Cognitive Services-Konten aufzulösen. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren Sie Cognitive Services-Konten mit privaten Endpunkten | Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, Disabled | 3.0.0 |
Compute
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Zulässige SKUs für VM-Größen | Über diese Richtlinie können Sie einen Satz von SKUs für VM-Größen angeben, die Ihre Organisation bereitstellen kann. | Verweigern | 1.0.1 |
| VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden | Diese Richtlinie überwacht virtuelle Computer, die keine verwalteten Datenträger verwenden. | Überwachung | 1.0.0 |
| Konfigurieren der Notfallwiederherstellung auf VMs durch Aktivieren der Replikation über Azure Site Recovery | Virtuelle Computer ohne Notfallwiederherstellungskonfigurationen sind anfällig für Ausfälle und andere Unterbrechungen. Wenn für den virtuellen Computer noch keine Notfallwiederherstellung konfiguriert ist, wird dies durch Aktivieren der Replikation unter Verwendung vordefinierter Konfigurationen initiiert, um die Geschäftskontinuität zu gewährleisten. Sie können optional virtuelle Computer einschließen/ausschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. | DeployIfNotExists, Disabled | 2.1.0 |
| Datenträgerzugriffsressourcen für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um in einen verwalteten Datenträger aufgelöst zu werden. Weitere Informationen finden Sie unter https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Datenträgerzugriffsressourcen mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Verwaltete Datenträger zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre verwaltete Datenträgerressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/disksprivatelinksdoc. | Modify, Disabled | 2.0.0 |
| Microsoft IaaSAntimalware-Standarderweiterung für Windows Server bereitstellen | Mit dieser Richtlinie wird eine Microsoft IaaSAntimalware-Erweiterung mit einer Standardkonfiguration bereitgestellt, wenn eine VM nicht mit der Antischadsoftware-Erweiterung konfiguriert ist. | deployIfNotExists | 1.1.0 |
| Datenträgerzugriffsressourcen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Verwaltete Datenträger müssen sowohl mit plattformseitig als auch mit kundenseitig verwalteten Schlüsseln verschlüsselt werden | Kunden mit besonders hohen Sicherheitsanforderungen, die befürchten, dass ein einzelner Verschlüsselungsalgorithmus, eine einzelne Verschlüsselungsimplementierung oder ein einzelner Verschlüsselungsschlüssel kompromittiert werden könnte, haben nun die Möglichkeit, eine zusätzliche Verschlüsselungsebene mit einem anderen Verschlüsselungsalgorithmus/-modus auf der Infrastrukturebene zu nutzen (unter Verwendung von plattformseitig verwalteten Schlüsseln). Für die Verwendung der Mehrfachverschlüsselung sind Datenträgerverschlüsselungssätze erforderlich. Weitere Informationen finden Sie unter https://aka.ms/disks-doubleEncryption. | Audit, Deny, Disabled | 1.0.0 |
| Verwaltete Datenträger müssen den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass ein verwalteter Datenträger nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung verwalteter Datenträger einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/disksprivatelinksdoc. | Audit, Disabled | 2.0.0 |
| Verwaltete Datenträger müssen für die Verschlüsselung mit kundenseitig verwalteten Schlüsseln bestimmte Datenträgerverschlüsselungssätze verwenden | Durch die Anforderung zur Verwendung bestimmter Datenträgerverschlüsselungssätze mit verwalteten Datenträgern erhalten Sie die Kontrolle über die Schlüssel, mit denen ruhende Daten verschlüsselt werden. Sie können beim Anfügen an einen Datenträger die zulässigen Verschlüsselungssätze auswählen und alle anderen Verschlüsselungssätze ablehnen. Weitere Informationen finden Sie unter https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 2.0.0 |
| Microsoft Antimalware für Azure muss für die automatische Aktualisierung von Schutzsignaturen konfiguriert sein | Diese Richtlinie überwacht alle virtuellen Windows-Computer, die nicht für die automatische Aktualisierung von Microsoft Antimalware-Schutzsignaturen konfiguriert sind. | AuditIfNotExists, Disabled | 1.0.0 |
| Die Microsoft IaaSAntimalware-Erweiterung muss auf Windows-Servern bereitgestellt werden | Diese Richtlinie überwacht alle Windows Server-VMs ohne bereitgestellte Microsoft IaaSAntimalware-Erweiterung. | AuditIfNotExists, Disabled | 1.1.0 |
| Es dürfen nur genehmigte VM-Erweiterungen installiert werden | Diese Richtlinie regelt die nicht genehmigten VM-Erweiterungen. | Audit, Deny, Disabled | 1.0.0 |
| Datenträger für Betriebssystem und Daten müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für die Inhalte Ihrer verwalteten Datenträger zu verwalten. Standardmäßig werden ruhende Daten mit plattformseitig verwalteten Schlüsseln verschlüsselt, aber zur Einhaltung behördlicher Konformitätsstandards werden häufig kundenseitig verwaltete Schlüssel benötigt. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 3.0.0 |
| Schützen Sie Ihre Daten mit Authentifizierungsanforderungen beim Exportieren oder Hochladen auf einen Datenträger oder in eine Momentaufnahme. | Bei Verwendung der Export-/Upload-URL überprüft das System, ob der Benutzer über eine Identität in Azure Active Directory und über die erforderlichen Berechtigungen zum Exportieren/Hochladen der Daten verfügt. Weitere Informationen finden Sie unter „aka.ms/DisksAzureADAuth“. | Modify, Disabled | 1.0.0 |
| Automatische Patches für Betriebssystemimages in VM-Skalierungsgruppen erzwingen | Diese Richtlinie erzwingt die Aktivierung automatischer Patches für Betriebssystemimages in VM-Skalierungsgruppen zum ständigen Schutz virtueller Computer durch sicheres monatliches Anwenden der neuesten Sicherheitspatches. | deny | 1.0.0 |
| Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein | Verwenden Sie die Verschlüsselung auf dem Host, um eine End-to-End-Verschlüsselung für die Daten Ihrer VMs und VM-Skalierungsgruppen zu erzielen. Die Verschlüsselung auf dem Host ermöglicht die Verschlüsselung ruhender Daten für die Caches Ihrer temporären Datenträger und Ihrer Datenträger für Betriebssystem und Daten. Temporäre und kurzlebige Betriebssystemdatenträger werden mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn die Verschlüsselung auf dem Host aktiviert ist. Die Caches der Datenträger für Betriebssystem und Daten werden im Ruhezustand entweder mit einem kundenseitig oder einem plattformseitig verwalteten Schlüssel verschlüsselt. Dies richtet sich danach, welcher Verschlüsselungstyp für den Datenträger ausgewählt wurde. Weitere Informationen finden Sie unter https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
| VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung. | Audit, Deny, Disabled | 1.0.0 |
Container-Apps
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Die Authentifizierung muss für Container Apps aktiviert sein | Die Container Apps-Authentifizierung ist ein Feature, das verhindern kann, dass anonyme HTTP-Anforderungen die Container Apps-Instanz erreichen, oder diejenigen, die über Token verfügen, authentifizieren kann, bevor sie die Container Apps-Instanz erreichen. | AuditIfNotExists, Disabled | 1.0.1 |
| Container Apps-Umgebungen sollten Netzwerkeinschleusung verwenden | Container Apps-Umgebungen sollten die VNET-Einschleusung verwenden, um: 1. Container Apps vom öffentlichen Internet zu isolieren, 2. die Netzwerkintegration in lokale Ressourcen oder in andere virtuelle Azure-Netzwerke zu ermöglichen, und 3. eine genauere Kontrolle über den Netzwerkdatenverkehr, der in die Umgebung und aus ihr heraus fließt, zu erreichen. | Audit, Disabled, Deny | 1.0.2 |
| Container Apps sollte mit Volumebereitstellung konfiguriert werden | Erzwingen Sie die Verwendung von Volumebereitstellungen für Container Apps, um die Verfügbarkeit persistenter Speicherkapazität sicherzustellen. | Audit, Deny, Disabled | 1.0.1 |
| Die Container Apps-Umgebung sollte den Zugriff auf öffentliche Netzwerke deaktivieren | Deaktivieren Sie den öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern, indem Sie die Container Apps-Umgebung über einen internen Lastenausgleich verfügbar machen. Dadurch entfällt die Notwendigkeit einer öffentlichen IP-Adresse, und der Internetzugriff auf alle Container Apps-Instanzen innerhalb der Umgebung wird verhindert. | Audit, Deny, Disabled | 1.0.1 |
| Container Apps muss den externen Netzwerkzugriff deaktivieren | Deaktivieren Sie den externen Netzwerkzugriff auf Ihre Container Apps-Instanz, indem Sie ausschließlich internen Eingang erzwingen. Dadurch wird sichergestellt, dass die eingehende Kommunikation für Container Apps auf Aufrufer in der Container Apps-Umgebung beschränkt ist. | Audit, Deny, Disabled | 1.0.1 |
| Auf Container Apps sollte nur über HTTPS zugegriffen werden können | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Das Deaktivieren von „allowInsecure“ führt dazu, dass die automatische Umleitung von Anforderungen von HTTP- auf HTTPS-Verbindungen für Container-Apps erfolgt. | Audit, Deny, Disabled | 1.0.1 |
| Die verwaltete Identität muss für Container Apps aktiviert sein | Durch das Erzwingen der verwalteten Identität wird sichergestellt, dass Container Apps sich sicher bei allen Ressourcen authentifizieren kann, die die Azure AD-Authentifizierung unterstützen. | Audit, Deny, Disabled | 1.0.1 |
Containerinstanz
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Container Instances-Containergruppe muss in einem virtuellen Netzwerk bereitgestellt werden | Schützen Sie die Kommunikation zwischen Ihren Containern mit virtuellen Azure-Netzwerken. Wenn Sie ein virtuelles Netzwerk angeben, können Ressourcen innerhalb des virtuellen Netzwerks sicher und privat miteinander kommunizieren. | Audit, Disabled, Deny | 2.0.0 |
| Azure Container Instances-Containergruppe muss einen kundenseitig verwalteten Schlüssel für die Verschlüsselung verwenden | Schützen Sie Ihre Container mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. | Audit, Disabled, Deny | 1.0.0 |
| Diagnoseeinstellungen für Containergruppen in Log Analytics-Arbeitsbereich konfigurieren | Stellt die Diagnoseeinstellungen für die Containerinstanz bereit, um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu streamen, wenn eine Containerinstanz, dem diese Diagnoseeinstellungen fehlen, erstellt oder aktualisiert wird. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Container Instances
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Konfigurieren der Diagnose für Containergruppen im Protokollanalysearbeitsbereich | Fügt die angegebene Log Analytics workspaceId und workspaceKey an, wenn eine Containergruppe, der diese Felder fehlen, erstellt oder aktualisiert wird. Felder von Containergruppen, die vor Anwendung dieser Richtlinie erstellt wurden, werden erst beim Ändern der Ressourcengruppen geändert. | Anfügen, Deaktiviert | 1.0.0 |
Container Registry
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Konfigurieren Sie Containerregistrierungen, um die anonyme Authentifizierung zu deaktivieren. | Deaktivieren Sie anonymes Pullen für Ihre Registrierung, damit nicht authentifizierte Benutzer nicht auf Daten zugreifen können. Das Deaktivieren lokaler Authentifizierungsmethoden wie Administratorbenutzer, repositorybezogene Zugriffstoken und anonymes Pullen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass Containerregistrierungen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/acr/authentication. | Modify, Disabled | 1.0.0 |
| Konfigurieren Sie Containerregistrierungen, um die ARM-Zielgruppen-Token-Authentifizierung zu deaktivieren. | Deaktivieren Sie Azure Active Directory ARM-Benutzergruppentoken für die Authentifizierung für Ihre Registrierung. Nur Azure Container Registry (ACR)-Zielgruppentoken werden für die Authentifizierung verwendet. Dadurch wird sichergestellt, dass nur Token für die Verwendung in der Registrierung für die Authentifizierung verwendet werden können. Das Deaktivieren von ARM-Zielgruppentoken wirkt sich nicht auf die Authentifizierung des Administratorbenutzers oder die Authentifizierung von Zugriffstoken im Bereich aus. Weitere Informationen finden Sie unter https://aka.ms/acr/authentication. | Modify, Disabled | 1.0.0 |
| Konfigurieren Sie Containerregistrierungen, um das lokale Administratorkonto zu deaktivieren. | Deaktivieren Sie das Administratorkonto für Ihre Registrierung, sodass der lokale Administrator nicht darauf zugreifen kann. Das Deaktivieren lokaler Authentifizierungsmethoden wie Administratorbenutzer, repositorybezogene Zugriffstoken und anonymer Pull verbessert die Sicherheit, indem sichergestellt wird, dass Containerregistrierungen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung erfordern. Weitere Informationen finden Sie unter https://aka.ms/acr/authentication. | Modify, Disabled | 1.0.1 |
| Containerregistrierungen zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Container Registry-Ressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/acr/portal/public-network und https://aka.ms/acr/private-link. | Modify, Disabled | 1.0.0 |
| Konfigurieren Sie Containerregistrierungen, um das Zugriffstoken mit Repositorybereich zu deaktivieren. | Deaktivieren Sie repositorybezogene Zugriffstoken für Ihre Registrierung, damit Token nicht auf Repositorys zugreifen können. Das Deaktivieren lokaler Authentifizierungsmethoden wie Administratorbenutzer, repositorybezogene Zugriffstoken und anonymes Pullen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass Containerregistrierungen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/acr/authentication. | Modify, Disabled | 1.0.0 |
| Containerregistrierungen für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Ihre Container Registry-Instanz aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone und https://aka.ms/acr/private-link. | DeployIfNotExists, Disabled | 1.0.1 |
| Containerregistrierungen mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihren Container Registry Premium-Ressourcen können Sie das Risiko von Datenlecks verringern Weitere Informationen finden Sie unter https://aka.ms/privateendpoints und https://aka.ms/acr/private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden. | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für den Inhalt Ihrer Registrierungen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
| Für Containerregistrierungen muss die anonyme Authentifizierung deaktiviert sein. | Deaktivieren Sie anonymes Pullen für Ihre Registrierung, damit nicht authentifizierte Benutzer nicht auf Daten zugreifen können. Das Deaktivieren lokaler Authentifizierungsmethoden wie Administratorbenutzer, repositorybezogene Zugriffstoken und anonymes Pullen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass Containerregistrierungen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/acr/authentication. | Audit, Deny, Disabled | 1.0.0 |
| Bei Containerregistrierungen sollte die ARM Zielgruppentoken-Authentifizierung deaktiviert sein. | Deaktivieren Sie Azure Active Directory ARM-Benutzergruppentoken für die Authentifizierung für Ihre Registrierung. Nur Azure Container Registry (ACR)-Zielgruppentoken werden für die Authentifizierung verwendet. Dadurch wird sichergestellt, dass nur Token für die Verwendung in der Registrierung für die Authentifizierung verwendet werden können. Das Deaktivieren von ARM-Zielgruppentoken wirkt sich nicht auf die Authentifizierung des Administratorbenutzers oder die Authentifizierung von Zugriffstoken im Bereich aus. Weitere Informationen finden Sie unter https://aka.ms/acr/authentication. | Audit, Deny, Disabled | 1.0.0 |
| Für Containerregistrierungen sollten Exporte deaktiviert sein | Das Deaktivieren von Exporten erhöht die Sicherheit, indem sichergestellt wird, dass ausschließlich über die Datenebene auf Daten in einer Registrierung zugegriffen wird („docker pull“). Daten können nicht mittels „acr import“ oder „acr transfer“ aus der Registrierung verschoben werden. Um Exporte zu deaktivieren, muss der öffentliche Netzwerkzugriff deaktiviert werden. Weitere Informationen finden Sie unter https://aka.ms/acr/export-policy. | Audit, Deny, Disabled | 1.0.0 |
| Für Containerregistrierungen muss das lokale Administratorkonto deaktiviert sein. | Deaktivieren Sie das Administratorkonto für Ihre Registrierung, sodass der lokale Administrator nicht darauf zugreifen kann. Das Deaktivieren lokaler Authentifizierungsmethoden wie Administratorbenutzer, repositorybezogene Zugriffstoken und anonymer Pull verbessert die Sicherheit, indem sichergestellt wird, dass Containerregistrierungen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung erfordern. Weitere Informationen finden Sie unter https://aka.ms/acr/authentication. | Audit, Deny, Disabled | 1.0.1 |
| Für Containerregistrierungen muss das Zugriffstoken mit Repositorybereich deaktiviert sein. | Deaktivieren Sie repositorybezogene Zugriffstoken für Ihre Registrierung, damit Token nicht auf Repositorys zugreifen können. Das Deaktivieren lokaler Authentifizierungsmethoden wie Administratorbenutzer, repositorybezogene Zugriffstoken und anonymes Pullen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass Containerregistrierungen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/acr/authentication. | Audit, Deny, Disabled | 1.0.0 |
| Containerregistrierungen müssen SKUs mit Unterstützung für private Verbindungen verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Da private Endpunkte nicht dem gesamten Dienst, sondern Ihren Containerregistrierungen zugeordnet werden, wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. | Audit, Deny, Disabled | 1.0.0 |
| Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen | Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in beliebigen Netzwerken. Lassen Sie den Zugriff nur über bestimmte private Endpunkte, öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über konfigurierte Netzwerkregeln verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Containerregistrierungen sollten die Erstellung von Cacheregel verhindern | Deaktivieren Sie die Erstellung von Cacheregel für Ihre Azure-Containerregistrierung, um Pull-Pulls durch den Cache zu verhindern. Weitere Informationen finden Sie unter https://aka.ms/acr/cache. | Audit, Deny, Disabled | 1.0.0 |
| Containerregistrierungen sollten eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Zugriff über öffentliche Netzwerke muss für Containerregistrierungen deaktiviert sein | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Containerregistrierungen nicht über das öffentliche Internet zugänglich sind. Durch das Erstellen privater Endpunkte können Sie die Offenlegung von Container Registry-Ressourcen einschränken. Weitere Informationen finden Sie unter https://aka.ms/acr/portal/public-network und https://aka.ms/acr/private-link. | Audit, Deny, Disabled | 1.0.0 |
Cosmos DB
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Cosmos DB-Konten müssen über Firewallregeln verfügen. | Für Ihre Azure Cosmos DB Konten sollten Firewallregeln definiert werden, um Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. | Audit, Deny, Disabled | 2.0.0 |
| Azure Cosmos DB Konten dürfen die maximal zulässige Anzahl von Tagen seit der letzten Neuerstellung des Kontoschlüssels nicht überschreiten. | Generieren Sie Ihre Schlüssel in der angegebenen Zeit neu, um ihre Daten besser zu schützen. | Audit, Disabled | 1.0.0 |
| Azure Cosmos DB-Konten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Cosmos DB-Instanzen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/cosmosdb-cmk. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Für Azure Cosmos DB zulässige Standorte | Mit dieser Richtlinie können Sie die Standorte einschränken, die Ihre Organisation beim Bereitstellen von Azure Cosmos DB-Ressourcen angeben kann. Wird zur Erzwingung Ihrer Geokonformitätsanforderungen verwendet. | [parameters('policyEffect')] | 1.1.0 |
| Schlüsselbasierter Azure Cosmos DB-Schreibzugriff auf Metadaten muss deaktiviert werden | Mit dieser Richtlinie können Sie sicherstellen, dass für alle Azure Cosmos DB-Konten der schlüsselbasierte Schreibzugriff auf Metadaten deaktiviert ist. | append | 1.0.0 |
| Azure Cosmos DB muss den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass das CosmosDB-Konto nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung des CosmosDB-Kontos einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Audit, Deny, Disabled | 1.0.0 |
| Azure Cosmos DB-Durchsatz muss begrenzt werden | Mit dieser Richtlinie können Sie den maximalen Durchsatz einschränken, den Ihre Organisation beim Erstellen von Azure Cosmos DB-Datenbanken und -Containern über den Ressourcenanbieter angeben kann. Die Erstellung von Ressourcen mit Autoskalierung wird blockiert. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktivieren, Deaktivierung | 1.1.0 |
| Konfigurieren von Cosmos DB-Datenbankkonten zum Deaktivieren der lokalen Authentifizierung | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Cosmos DB-Datenbankkonten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Modify, Disabled | 1.1.0 |
| CosmosDB-Konten zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie für Ihre CosmosDB-Ressource den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Modify, Disabled | 1.0.1 |
| CosmosDB-Konten für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um ein CosmosDB-Konto aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 2.0.0 |
| CosmosDB-Konten mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB-Konto können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Für Cosmos DB-Datenbankkonten sollten lokale Authentifizierungsmethoden deaktiviert sein | Das Deaktivieren lokaler Authentifizierungsmethoden verbessert die Sicherheit, da hierdurch sichergestellt wird, dass Cosmos DB-Datenbankkonten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Audit, Deny, Disabled | 1.1.0 |
| CosmosDB-Konten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Advanced Threat Protection für Cosmos DB-Konten bereitstellen | Mit dieser Richtlinie wird Advanced Threat Protection über Cosmos DB-Konten hinweg aktiviert. | DeployIfNotExists, Disabled | 1.0.0 |
Benutzerdefinierter Anbieter
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Zuordnungen für einen benutzerdefinierten Anbieter bereitstellen | Hiermit wird eine Zuordnungsressource bereitgestellt, die dem angegebenen benutzerdefinierten Anbieter ausgewählte Ressourcentypen zuordnet. Diese Richtlinienbereitstellung unterstützt keine geschachtelten Ressourcentypen. | deployIfNotExists | 1.0.0 |
Data Box
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Data Box-Aufträge müssen die Mehrfachverschlüsselung für ruhende Daten auf dem Gerät aktivieren | Aktivieren Sie eine zweite Ebene der softwarebasierten Verschlüsselung für ruhende Daten auf dem Gerät. Das Gerät ist bereits über eine AES-256-Verschlüsselung (Advanced Encryption Standard) für ruhende Daten geschützt. Mit dieser Option wird eine zweite Ebene der Datenverschlüsselung hinzugefügt. | Audit, Deny, Disabled | 1.0.0 |
| Azure Data Box-Aufträge müssen einen kundenseitig verwalteten Schlüssel zum Verschlüsseln des Kennworts für die Geräteentsperrung verwenden | Verwenden Sie einen kundenseitig verwalteten Schlüssel, um die Verschlüsselung des Kennworts für die Geräteentsperrung für Azure Data Box zu steuern. Kundenseitig verwaltete Schlüssel bieten zudem Unterstützung beim Verwalten des Zugriffs auf das Kennwort zur Geräteentsperrung durch den Data Box Dienst, um das Gerät vorzubereiten und Daten automatisiert zu kopieren. Die Daten auf dem Gerät selbst sind bereits im Ruhezustand mit einer AES-256-Verschlüsselung (Advanced Encryption Standard) verschlüsselt, und das Kennwort zur Geräteentsperrung wird standardmäßig mit einem von Microsoft verwalteten Schlüssel verschlüsselt. | Audit, Deny, Disabled | 1.0.0 |
Data Factory
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Azure Data Factory Pipelines dürfen nur mit zulässigen Domänen kommunizieren | Um Daten- und Tokenexfiltration zu verhindern, legen Sie die Domänen fest, mit denen Azure Data Factory kommunizieren darf. Hinweis: Während der öffentlichen Vorschau wird die Konformität für diese Richtlinie nicht gemeldet. Aktivieren Sie außerdem für die Anwendung der Richtlinie auf Data Factory die Funktionalität von Ausgangsregeln im ADF Studio. Weitere Informationen finden Sie unter https://aka.ms/data-exfiltration-policy. | Verweigern, deaktiviert | 1.0.0-preview |
| Azure Data Factorys müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für Ihre Azure Data Factory-Instanz zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/adf-cmk. | Audit, Deny, Disabled | 1.0.1 |
| Azure Data Factory Integration Runtime muss über einen Grenzwert für die Anzahl von Kernen verfügen | Begrenzen Sie zur Verbesserung Ihres Ressourcen- und Kostenmanagements die Anzahl von Kernen für eine Integration Runtime. | Audit, Deny, Disabled | 1.0.0 |
| Ressourcentyp des verknüpften Azure Data Factory-Diensts muss in Positivliste enthalten sein | Definieren Sie die Positivliste für die Typen des verknüpften Azure Data Factory-Diensts. Die Begrenzung der zulässigen Ressourcentypen ermöglicht die Steuerung der Grenze für die Datenverschiebung. Beispielsweise können Sie einen Bereich so einschränken, dass nur Blobspeicher mit Data Lake Storage Gen1 und Gen2 für die Analyse zulässig ist oder dass nur SQL- und Kusto-Zugriff für Echtzeitabfragen zulässig ist. | Audit, Deny, Disabled | 1.1.0 |
| Für verknüpfte Azure Data Factory-Dienste muss Key Vault zum Speichern von Geheimnissen verwendet werden | Zur Sicherstellung einer sicheren Verwaltung von Geheimnissen (z. B. Verbindungszeichenfolgen) sollten Sie für Benutzer das Bereitstellen von Geheimnissen per Azure Key Vault-Instanz obligatorisch machen, anstatt die Inline-Eingabe in verknüpften Diensten zu nutzen. | Audit, Deny, Disabled | 1.0.0 |
| Für verknüpfte Azure Data Factory-Dienste muss die Authentifizierung per systemseitig zugewiesener verwalteter Identität genutzt werden, falls dies unterstützt wird | Durch die Nutzung von systemseitig zugewiesener verwalteter Identität bei der Kommunikation mit Datenspeichern über verknüpfte Dienste wird die Verwendung von weniger sicheren Anmeldeinformationen vermieden, z. B. Kennwörter oder Verbindungszeichenfolgen. | Audit, Deny, Disabled | 2.1.0 |
| Für Azure Data Factory muss ein Git-Repository für die Quellcodeverwaltung genutzt werden | Konfigurieren Sie nur Ihre Entwicklungs-Data Factory mit Git-Integration. Änderungen an Test und Produktion sollten über CI/CD bereitgestellt werden und keine Git-Integration aufweisen. Wenden Sie diese Richtlinie NICHT auf Ihre Data Factorys für QA/ Tests/ Produktion an. | Audit, Deny, Disabled | 1.0.1 |
| Azure Data Factory muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Data Factory-Instanzen zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie für Ihre Data Factory-Instanz den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | Modify, Disabled | 1.0.0 |
| Private DNS-Zonen für private Endpunkte zur Verbindungsherstellung mit Azure Data Factory konfigurieren | Über private DNS-Einträge können private Verbindungen mit privaten Endpunkten hergestellt werden. Private Endpunktverbindungen gewährleisten eine sichere Kommunikation, indem private Konnektivität mit Ihrer Azure Data Factory-Instanz ermöglicht wird, ohne dass öffentliche IP-Adressen an der Quelle oder am Ziel erforderlich sind. Weitere Informationen zu privaten Endpunkten und DNS-Zonen in Azure Data Factory finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Private Endpunkte für Data Factory-Instanzen konfigurieren | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihrer Azure Data Factory-Instanz können Sie das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.1.0 |
| Für Azure Data Factory muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure Data Factory-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. | Audit, Deny, Disabled | 1.0.0 |
| SQL Server Integration Services Integration Runtime-Instanzen in Azure Data Factory müssen in ein virtuelles Netzwerk eingebunden werden | Eine Azure Virtual Network-Bereitstellung bietet erweiterte Sicherheit und Isolation für Ihre SSIS Integration Runtime-Instanzen (SQL Server Integration Services) in Azure Data Factory und stellt außerdem Subnetze, Zugriffssteuerungsrichtlinien und andere Features zur weiteren Einschränkung des Zugriffs bereit. | Audit, Deny, Disabled | 2.3.0 |
Data Lake
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Verschlüsselung für Data Lake Storage-Konten erzwingen | Diese Richtlinie stellt sicher, dass die Verschlüsselung für alle Data Lake Storage-Konten aktiviert ist. | deny | 1.0.0 |
| In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
Desktop Virtualisierung
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Virtual Desktop-Hostpools müssen den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit und schützt Ihre Daten, indem sichergestellt wird, dass der Zugriff auf den Azure Virtual Desktop-Dienst nicht für das öffentliche Internet verfügbar ist. Weitere Informationen finden Sie unter https://aka.ms/avdprivatelink. | Audit, Deny, Disabled | 1.0.0 |
| Azure Virtual Desktop-Hostpools dürfen den Zugriff über öffentliche Netzwerke nur für Sitzungshosts deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke für die Sitzungshosts Ihres Azure Virtual Desktop-Hostpools, aber das Zulassen des öffentlichen Zugriffs für Endbenutzer erhöht die Sicherheit, da die Gefährdung durch das öffentliche Internet begrenzt wird. Weitere Informationen finden Sie unter https://aka.ms/avdprivatelink. | Audit, Deny, Disabled | 1.0.0 |
| Azure Virtual Desktop-Dienst muss private Verbindung verwenden | Wenn Sie Azure Private Link mit Ihren Azure Virtual Desktop-Ressourcen verwenden, können Sie die Sicherheit verbessern und Ihre Daten schützen. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/avdprivatelink. | Audit, Disabled | 1.0.0 |
| Azure Virtual Desktop-Arbeitsbereiche müssen den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke für Ihre Azure Virtual Desktop-Arbeitsbereichsressource verhindert, dass der Feed über das öffentliche Internet zugänglich ist. Das Zulassen des Zugriffs ausschließlich über private Netzwerke erhöht die Sicherheit und sorgt für die Sicherheit Ihrer Daten. Weitere Informationen finden Sie unter https://aka.ms/avdprivatelink. | Audit, Deny, Disabled | 1.0.0 |
| Azure Virtual Desktop-Ressourcen für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um Ihre Azure Virtual Desktop Service-Ressource aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Azure Virtual Desktop-Hostpools, um den Zugriff über öffentliche Netzwerke zu deaktivieren | Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Sitzungshosts und Endbenutzer für Ihre Azure Virtual Desktop-Hostpoolressource, damit sie nicht über das öffentliche Internet zugänglich ist. Dies erhöht die Sicherheit und schützt Ihre Daten. Weitere Informationen finden Sie unter https://aka.ms/avdprivatelink. | Modify, Disabled | 1.0.0 |
| Konfigurieren von Azure Virtual Desktop-Hostpools, um den Zugriff über öffentliche Netzwerke nur für Sitzungshosts zu deaktivieren | Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Azure Virtual Desktop-Hostpoolsitzungshosts, aber lassen Sie den öffentlichen Zugriff für Endbenutzer zu. So können Benutzer weiterhin auf den AVD-Dienst zugreifen, während gleichzeitig sichergestellt wird, dass auf den Sitzungshost nur über private Routen zugegriffen werden kann. Weitere Informationen finden Sie unter https://aka.ms/avdprivatelink. | Modify, Disabled | 1.0.0 |
| Konfigurieren von Azure Virtual Desktop-Hostpools mit privaten Endpunkten | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihren Azure Virtual Desktop-Ressourcen können Sie die Sicherheit verbessern und Ihre Daten schützen. Weitere Informationen finden Sie unter https://aka.ms/avdprivatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Azure Virtual Desktop Arbeitsbereich-Ressourcen für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um Ihre Azure Virtual Desktop Service-Ressource aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Azure Virtual Desktop-Arbeitsbereichen, um den Zugriff über öffentliche Netzwerke zu deaktivieren | Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Azure Virtual Desktop-Arbeitsbereichsressource, damit auf den Feed nicht über das öffentliche Internet zugegriffen werden kann. Dies erhöht die Sicherheit und schützt Ihre Daten. Weitere Informationen finden Sie unter https://aka.ms/avdprivatelink. | Modify, Disabled | 1.0.0 |
| Konfigurieren von Azure Virtual Desktop-Arbeitsbereichen mit privaten Endpunkten | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihren Azure Virtual Desktop-Ressourcen können Sie die Sicherheit verbessern und Ihre Daten schützen. Weitere Informationen finden Sie unter https://aka.ms/avdprivatelink. | DeployIfNotExists, Disabled | 1.0.0 |
DevCenter
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Microsoft Dev Box Pools sollten keine Microsoft Hosted Networks verwenden. | Verbietet die Verwendung von Microsoft Hosted Networks beim Erstellen von Poolressourcen. | Audit, Deny, Disabled | 1.0.0-preview |
ElasticSan
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| ElasticSan muss den Zugriff über öffentliche Netzwerke deaktivieren | Deaktivieren Sie für Ihre ElasticSan-Instanz den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. | Audit, Deny, Disabled | 1.0.0 |
| ElasticSan Volume Group sollte kundenseitig verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln | Verwenden Sie vom Kunden verwaltete Schlüssel, um die Verschlüsselung im Ruhezustand Ihrer VolumeGroup zu verwalten. Standardmäßig werden Kundendaten mit plattformseitig verwalteten Schlüsseln verschlüsselt, CMKs sind jedoch üblicherweise erforderlich, um gesetzliche Compliancestandards zu erfüllen. Kundenseitig verwaltete Schlüssel ermöglichen es ihnen, die Daten mit einem Azure Key Vault-Schlüssel zu verschlüsseln, der von Ihnen erstellt wurde und Ihnen gehört, mit vollständiger Kontrolle und Verantwortung, einschließlich Rotation und Verwaltung. | Audit, Disabled | 1.0.0 |
| ElasticSan-Volumegruppe muss private Endpunkte verwenden | Mit privaten Endpunkten können Administrator*innen virtuelle Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten verbinden. Durch Zuordnen privater Endpunkte zur Volumegruppe können Administrator*innen das Risiko von Datenlecks verringern. | Audit, Disabled | 1.0.0 |
Event Grid
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Event Grid-Domänen müssen den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriff über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Deny, Disabled | 1.0.0 |
| Für Azure Event Grid-Domänen müssen lokale Authentifizierungsmethoden deaktiviert sein | Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch gewährleistet wird, dass Azure Event Grid-Domänen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/aeg-disablelocalauth. | Audit, Deny, Disabled | 1.0.0 |
| Azure Event Grid-Domänen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure Event Grid-Namespace MQTT-Broker sollte die private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch die Zuordnung privater Endpunkte zum Event Grid-Namespace anstelle des gesamten Diensts werden Sie auch vor Datenleckrisiken geschützt. Weitere Informationen finden Sie unter https://aka.ms/aeg-ns-privateendpoints. | Audit, Disabled | 1.0.0 |
| Azure Event Grid-Namespace-Themenbroker sollte eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch die Zuordnung privater Endpunkte zum Event Grid-Namespace anstelle des gesamten Diensts werden Sie auch vor Datenleckrisiken geschützt. Weitere Informationen finden Sie unter https://aka.ms/aeg-ns-privateendpoints. | Audit, Disabled | 1.0.0 |
| Azure Event Grid-Namespaces sollten den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriff über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/aeg-ns-privateendpoints. | Audit, Deny, Disabled | 1.0.0 |
| Für Azure Event Grid-Partnernamespaces müssen lokale Authentifizierungsmethoden deaktiviert sein | Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch gewährleistet wird, dass Azure Event Grid-Partnernamespaces ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/aeg-disablelocalauth. | Audit, Deny, Disabled | 1.0.0 |
| Azure Event Grid-Themen müssen den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriff über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Deny, Disabled | 1.0.0 |
| Für Azure Event Grid-Themen müssen lokale Authentifizierungsmethoden deaktiviert sein | Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch gewährleistet wird, dass Azure Event Grid-Themen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/aeg-disablelocalauth. | Audit, Deny, Disabled | 1.0.0 |
| Azure Event Grid-Themen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure Event Grid-Domänen konfigurieren, um die lokale Authentifizierung zu deaktivieren | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Azure Event Grid-Domänen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/aeg-disablelocalauth. | Modify, Disabled | 1.0.0 |
| Konfigurieren des Azure Event Grid-Namespace MQTT-Brokers mit privaten Endpunkten | Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Indem Sie Ihren Ressourcen private Endpunkte zuordnen, sind sie vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Azure Event Grid-Namespaces mit privaten Endpunkten | Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Indem Sie Ihren Ressourcen private Endpunkte zuordnen, sind sie vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Azure Event Grid-Partnernamespaces konfigurieren, um die lokale Authentifizierung zu deaktivieren | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Azure Event Grid-Partnernamespaces ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/aeg-disablelocalauth. | Modify, Disabled | 1.0.0 |
| Azure Event Grid-Themen konfigurieren, um die lokale Authentifizierung zu deaktivieren | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Azure Event Grid-Themen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/aeg-disablelocalauth. | Modify, Disabled | 1.0.0 |
| Bereitstellen: Azure Event Grid-Domänen für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Bereitstellen: Azure Event Grid-Domänen mit privaten Endpunkten konfigurieren | Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Indem Sie Ihren Ressourcen private Endpunkte zuordnen, sind sie vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Bereitstellen: Azure Event Grid-Themen für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Bereitstellen: Azure Event Grid-Themen mit privaten Endpunkten konfigurieren | Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Indem Sie Ihren Ressourcen private Endpunkte zuordnen, sind sie vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Ändern: Azure Event Grid-Domänen zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Azure Event Grid-Ressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies trägt zum Schutz vor Risiken aufgrund von Datenlecks bei. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Modify, Disabled | 1.0.0 |
| Ändern: Azure Event Grid-Themen zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Azure Event Grid-Ressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies trägt zum Schutz vor Risiken aufgrund von Datenlecks bei. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Modify, Disabled | 1.0.0 |
Event Hub
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Alle Autorisierungsregeln außer RootManageSharedAccessKey sollten aus dem Event Hub-Namespace entfernt werden | Event Hub-Clients dürfen keine Zugriffsrichtlinie auf Namespace-Ebene verwenden, die Zugriff auf alle Warteschlangen und Themen in einem Namespace bereitstellt. Um dem Sicherheitsmodell der geringsten Rechte zu entsprechen, müssen Sie Zugriffsrichtlinien auf Entitätsebene erstellen, damit nur der jeweiligen Entität Zugriff auf Warteschlangen und Themen gewährt wird. | Audit, Deny, Disabled | 1.0.1 |
| Für die Event Hub-Instanz müssen Autorisierungsregeln definiert werden | Hiermit wird das Vorhandensein von Autorisierungsregeln für Event Hub-Entitäten überwacht, um Zugriff mit den geringsten Rechten zu gewähren. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Azure Event Hub-Namespaces sollten lokale Authentifizierungsmethoden deaktiviert sein | Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch gewährleistet wird, dass Azure Event Hub-Namespaces ausschließlich Microsoft Entra ID-Identitäten für die Authentifizierung erfordern. Weitere Informationen finden Sie unter https://aka.ms/disablelocalauth-eh. | Audit, Deny, Disabled | 1.0.1 |
| Azure Event Hub-Namespaces zum Deaktivieren lokaler Authentifizierung konfigurieren | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Azure Event Hub-Namespaces ausschließlich Microsoft Entra ID-Identitäten für die Authentifizierung erfordern. Weitere Informationen finden Sie unter https://aka.ms/disablelocalauth-eh. | Modify, Disabled | 1.0.1 |
| Event Hub-Namespaces für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um Event Hub-Namespaces aufzulösen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Event Hub-Namespaces mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces können Sie das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Event Hub-Namespaces sollten den öffentlichen Netzwerkzugriff deaktivieren | Bei Azure Event Hub sollte der öffentliche Netzwerkzugriff deaktiviert sein. Die Deaktivierung des Zugriff über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/event-hubs/private-link-service | Audit, Deny, Disabled | 1.0.0 |
| Für Event Hub-Namespaces sollte doppelte Verschlüsselung aktiviert sein | Durch das Aktivieren der doppelten Verschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn die doppelte Verschlüsselung aktiviert ist, werden Daten im Speicherkonto zweimal – einmal auf Dienstebene und einmal auf Infrastrukturebene – mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln verschlüsselt. | Audit, Deny, Disabled | 1.0.0 |
| Für Event Hub-Namespaces muss ein kundenseitig verwalteter Schlüssel zur Verschlüsselung verwendet werden | Azure Event Hubs unterstützt die Option zum Verschlüsseln ruhender Daten mit von Microsoft verwalteten Schlüsseln (Standardeinstellung) oder kundenseitig verwalteten Schlüsseln. Wenn Sie Daten mithilfe von kundenseitig verwalteten Schlüsseln verschlüsseln, können Sie den Zugriff auf die Schlüssel zuweisen, rotieren, deaktivieren und widerrufen, die von Event Hub zum Verschlüsseln von Daten in Ihrem Namespace verwendet werden. Beachten Sie, dass Event Hub nur Verschlüsselung mit kundenseitig verwalteten Schlüsseln für Namespaces in dedizierten Clustern unterstützt. | Audit, Disabled | 1.0.0 |
| Event Hub-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| In Event Hub müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
Azure Fluid Relay
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Fluid Relay sollte kundenseitig verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Fluid Relay-Server zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Häufig sind aber kundenseitig verwaltete Schlüssel (CMKs) zur Einhaltung gesetzlicher Bestimmungen erforderlich. Kundenseitig verwaltete Schlüssel ermöglichen es ihnen, die Daten mit einem Azure Key Vault-Schlüssel zu verschlüsseln, der von Ihnen erstellt wurde und Ihnen gehört, mit vollständiger Kontrolle und Verantwortung, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys. | Audit, Disabled | 1.0.0 |
Allgemein
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Zulässige Speicherorte | Mit dieser Richtlinie können Sie die Speicherorte einschränken, die Ihre Organisation beim Bereitstellen von Ressourcen angeben kann. Wird zur Erzwingung Ihrer Geokonformitätsanforderungen verwendet. Schließt Ressourcengruppen, Microsoft.AzureActiveDirectory/b2c-Verzeichnisse und Ressourcen aus, die die Region „global“ verwenden. | deny | 1.0.0 |
| Zulässige Standorte für Ressourcengruppen | Mit dieser Richtlinie können Sie die Standorte einschränken, an denen Ihr Unternehmen Ressourcengruppen erstellen kann. Wird zur Erzwingung Ihrer Geokonformitätsanforderungen verwendet. | deny | 1.0.0 |
| Zulässige Ressourcentypen | Mit dieser Richtlinie können Sie die Ressourcentypen angeben, die Ihre Organisation bereitstellen kann. Diese Richtlinie gilt nur für Ressourcentypen, die „tags“ und „location“ unterstützen. Um alle Ressourcen einzuschränken, duplizieren Sie diese Richtlinie und ändern den Wert für „mode“ in „All“. | deny | 1.0.0 |
| Übereinstimmung des Standorts von Ressource und Ressourcengruppe überwachen | Hiermit wird überwacht, ob der Standort der Ressource mit dem Standort der Ressourcengruppe übereinstimmt. | Überwachung | 2.0.0 |
| Verwendung benutzerdefinierter RBAC-Rollen überwachen | Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. | Audit, Disabled | 1.0.1 |
| Abonnements zum Einrichten von Previewfunktionen konfigurieren | Diese Richtlinie wertet die Previewfunktionen eines vorhandenen Abonnements aus. Abonnements können korrigiert werden, um bei einer neuen Previewfunktion registriert zu werden. Neue Abonnements werden nicht automatisch registriert. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Das Löschen von Ressourcentypen nicht zulassen | Mit dieser Richtlinie können Sie die Ressourcentypen angeben, die Ihre Organisation vor versehentlichem Löschen schützen kann, indem Sie Löschaufrufe mithilfe von Verweigerungsaktionseffekten blockieren. | DenyAction, Deaktiviert | 1.0.1 |
| M365-Ressourcen nicht zulassen | Blockieren der Erstellung von M365-Ressourcen. | Audit, Deny, Disabled | 1.0.0 |
| MCPP-Ressourcen nicht zulassen | Blockieren der Erstellung von MCPP-Ressourcen. | Audit, Deny, Disabled | 1.0.0 |
| Ausschließen von Ressourcen für Nutzungskosten | Mit dieser Richtlinie können Sie Ressourcen für Nutzungskosten ausschließen. Zu den Nutzungskosten gehören Dinge wie gebührenpflichtiger Speicher und Azure-Ressourcen, die nutzungsabhängig abgerechnet werden. | Audit, Deny, Disabled | 1.0.0 |
| Nicht zulässige Ressourcentypen | Schränken Sie ein, welche Ressourcentypen in Ihrer Umgebung bereitgestellt werden können. Durch das Einschränken von Ressourcentypen können Sie die Komplexität und Angriffsfläche Ihrer Umgebung verringern und gleichzeitig die Kosten kontrollieren. Konformitätsergebnisse werden nur für nicht konforme Ressourcen angezeigt. | Audit, Deny, Disabled | 2.0.0 |
Gastkonfiguration
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Hinzufügen einer benutzerseitig zugewiesenen verwalteten Identität zum Aktivieren von Gastkonfigurationszuweisungen auf virtuellen Computern | Mit dieser Richtlinie wird eine benutzerseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die von der Gastkonfiguration unterstützt werden. Eine benutzerseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.1.0-preview |
| [Vorschau]: Konfigurieren von Windows Server, um lokale Benutzer zu deaktivieren. | Erstellt eine Gastkonfigurationszuweisung, um die Deaktivierung lokaler Benutzer unter Windows Server zu konfigurieren. Dadurch wird sichergestellt, dass auf Windows Server nur über ein AAD-Konto (Azure Active Directory) oder durch explizit durch diese Richtlinie zugelassene Benutzer zugegriffen werden kann, um den allgemeinen Sicherheitsstatus zu verbessern. | DeployIfNotExists, Disabled | 1.2.0-preview |
| [Vorschau]: Erweiterte Sicherheitsupdates sollten auf Windows Server 2012 Arc-Computern installiert werden. | Windows Server 2012 Arc-Computer sollten alle von Microsoft veröffentlichten erweiterten Sicherheitsupdates installiert haben. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Preview]: Linux-Computer müssen die Anforderungen der Azure-Sicherheitsbaseline für Docker-Hosts erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Der Computer ist nicht richtig für eine der Empfehlungen in der Azure-Sicherheitsbaseline für Docker-Hosts konfiguriert. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Vorschau]: Linux-Computer müssen die STIG-Complianceanforderung für Azure Compute erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in den STIG-Konformitätsanforderungen für Azure Compute nicht richtig konfiguriert ist. DISA (Defense Information Systems Agency) bietet technische Leitfäden, STIG (Security Technical Implementation Guide), zur Sicherung des Compute-Betriebssystems gemäß den Anforderungen des US-Verteidigungsministeriums (Department of Defense, DoD). Weitere Details finden Sie unter https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Vorschau]: Auf Linux-Computern mit installierter OMI muss mindestens Version 1.6.8-1 installiert sein | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Aufgrund eines Sicherheitsfixes, der in Version 1.6.8-1 des OMI-Pakets für Linux enthalten ist, sollten alle Computer auf das neueste Release aktualisiert werden. Upgraden Sie Apps/Pakete, die OMI verwenden, um das Problem zu beheben. Weitere Informationen finden Sie unter https://aka.ms/omiguidance. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Vorschau]: Virtuelle Linux-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren. | Standardmäßig werden die Datenträger für Betriebssystem und Daten für eine VM im Ruhezustand mithilfe plattformseitig verwalteter Schlüssel verschlüsselt. Temporäre Datenträger und Datencaches werden nicht verschlüsselt, und Daten werden auch bei der Übertragung zwischen Compute- und Speicherressourcen nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost, um alle diese Daten zu verschlüsseln. Einen Vergleich der Verschlüsselungsangebote finden Sie unter https://aka.ms/diskencryptioncomparison. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Vorschau]: Nexus Compute Machines sollten die Sicherheitsbasis einhalten | Verwendet den Azure Policy-Gastkonfigurations-Agent für die Überwachung. Diese Richtlinie stellt sicher, dass Computer die Nexus Compute-Sicherheitsbasis einhalten, die verschiedene Empfehlungen umfasst, um Computer gegen einer Reihe an Sicherheitsrisiken und unsicheren Konfigurationen (nur Linux) zu schützen. | AuditIfNotExists, Disabled | 1.1.0-preview |
| [Vorschau]: Windows-Computer müssen die STIG-Konformitätsanforderungen für Azure Compute erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in den STIG-Konformitätsanforderungen nicht richtig konfiguriert ist. DISA (Defense Information Systems Agency) bietet technische Leitfäden, STIG (Security Technical Implementation Guide), zur Sicherung des Compute-Betriebssystems gemäß den Anforderungen des US-Verteidigungsministeriums (Department of Defense, DoD). Weitere Details finden Sie unter https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Virtuelle Windows-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren. | Standardmäßig werden die Datenträger für Betriebssystem und Daten für eine VM im Ruhezustand mithilfe plattformseitig verwalteter Schlüssel verschlüsselt. Temporäre Datenträger und Datencaches werden nicht verschlüsselt, und Daten werden auch bei der Übertragung zwischen Compute- und Speicherressourcen nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost, um alle diese Daten zu verschlüsseln. Einen Vergleich der Verschlüsselungsangebote finden Sie unter https://aka.ms/diskencryptioncomparison. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.1.0-preview |
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 4.1.0 |
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 4.1.0 |
| Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die Remoteverbindungen über Konten ohne Kennwörter zulassen. | AuditIfNotExists, Disabled | 3.1.0 |
| Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind. | AuditIfNotExists, Disabled | 3.1.0 |
| Linux-Computer überwachen, auf denen die angegebenen Anwendungen nicht installiert sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die Chef InSpec-Ressource angibt, dass mindestens eins der durch den Parameter angegebenen Pakete nicht installiert ist. | AuditIfNotExists, Disabled | 4.2.0 |
| Linux-Computer überwachen, die Konten ohne Kennwörter verwenden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die über Konten ohne Kennwörter verfügen. | AuditIfNotExists, Disabled | 3.1.0 |
| Linux-Computer überwachen, auf denen die angegebenen Anwendungen installiert sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die Chef InSpec-Ressource angibt, dass mindestens eins der durch den Parameter angegebenen Pakete installiert ist. | AuditIfNotExists, Disabled | 4.2.0 |
| Windows-Computer überwachen, auf denen angegebene Mitglieder in der Administratorengruppe fehlen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn mindestens eins der im Richtlinienparameter angegebenen Mitglieder nicht in der lokalen Administratorgruppe enthalten ist. | auditIfNotExists | 2.0.0 |
| Netzwerkkonnektivität von Windows-Computern überwachen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn ein Netzwerkverbindungsstatus für eine IP-Adresse oder einen TCP-Port nicht dem Richtlinienparameter entspricht. | auditIfNotExists | 2.0.0 |
| Windows-Computer mit nicht konformer DSC-Konfiguration überwachen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn durch den Windows PowerShell-Befehl „Get-DSCConfigurationStatus“ zurückgegeben wird, dass die DSC-Konfiguration für den Computer nicht konform ist. | auditIfNotExists | 3.0.0 |
| Windows-Computer überwachen, auf denen der Log Analytics-Agent nicht wie erwartet verbunden ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Agent nicht installiert ist, oder wenn er installiert ist, das COM-Objekt „AgentConfigManager.MgmtSvcCfg“ jedoch zurückgibt, dass er nicht bei dem Arbeitsbereich registriert ist, der der im Richtlinienparameter angegebenen ID entspricht. | auditIfNotExists | 2.0.0 |
| Windows-Computer überwachen, auf denen die angegebenen Dienste nicht installiert sind und ausgeführt werden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn das Ergebnis des Windows PowerShell-Befehls „Get-Service“ nicht den Dienstnamen mit entsprechendem Status enthält (gemäß Angabe durch den Richtlinienparameter). | auditIfNotExists | 3.0.0 |
| Windows-Computer ohne aktivierte serielle Windows-Konsole überwachen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn auf dem Computer die Software der seriellen Konsole nicht installiert ist oder wenn die EMS-Portnummer oder die Baudrate nicht mit den Werten aus den Richtlinienparametern konfiguriert ist. | auditIfNotExists | 3.0.0 |
| Windows-Computer überwachen, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen. Der Standardwert für eindeutige Kennwörter ist 24. | AuditIfNotExists, Disabled | 2.1.0 |
| Windows-Computer überwachen, die nicht in die angegebene Domäne eingebunden sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Wert der Eigenschaft „Domain“ in der WMI-Klasse „win32_computersystem“ nicht dem Wert im Richtlinienparameter entspricht. | auditIfNotExists | 2.0.0 |
| Windows-Computer überwachen, die nicht auf die angegebene Zeitzone festgelegt sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Wert der Eigenschaft „StandardName“ in der WMI-Klasse „Win32_TimeZone“ nicht der für den Richtlinienparameter ausgewählten Zeitzone entspricht. | auditIfNotExists | 3.0.0 |
| Windows-Computer überwachen, auf denen Zertifikate innerhalb der angegebenen Anzahl von Tagen ablaufen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn das Ablaufdatum von Zertifikaten im angegebenen Speicher außerhalb der als Parameter angegeben Anzahl von Tagen liegt. Die Richtlinie bietet auch die Möglichkeit, nur bestimmte Zertifikate zu überprüfen oder bestimmte Zertifikate auszuschließen, und Sie können angeben, ob abgelaufene Zertifikate gemeldet werden sollen. | auditIfNotExists | 2.0.0 |
| Windows-Computer überwachen, die nicht die angegebenen Zertifikate im vertrauenswürdigen Stamm enthalten | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn mindestens eines der durch den Richtlinienparameter angegebenen Zertifikate nicht im vertrauenswürdigen Stammzertifikatspeicher des Computers (Cert:\LocalMachine\Root) enthalten ist. | auditIfNotExists | 3.0.0 |
| Windows-Computer überwachen, für die nicht das maximale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, auf denen das maximale Kennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das maximale Kennwortalter beträgt 70 Tage. | AuditIfNotExists, Disabled | 2.1.0 |
| Windows-Computer überwachen, für die nicht das minimale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, auf denen das Mindestkennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das Mindestalter des Kennworts beträgt 1 Tag. | AuditIfNotExists, Disabled | 2.1.0 |
| Windows-Computer überwachen, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist. | AuditIfNotExists, Disabled | 2.0.0 |
| Windows-VMs ohne die angegebene Windows PowerShell-Ausführungsrichtlinie überwachen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Windows PowerShell-Befehl „Get-ExecutionPolicy“ einen anderen Wert zurückgibt als denjenigen, der im Richtlinienparameter angegeben wurde. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-VMs ohne Installation der angegebenen Windows PowerShell-Module überwachen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn ein Modul an einem durch die Umgebungsvariable „PSModulePath“ angegebenen Speicherort nicht verfügbar ist. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer überwachen, bei denen keine Mindestkennwortlänge auf eine bestimmte Anzahl von Zeichen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, für die keine Mindestkennwortlänge festgelegt ist. Der Standardwert für die Mindestkennwortlänge beträgt 14 Zeichen | AuditIfNotExists, Disabled | 2.1.0 |
| Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern. | AuditIfNotExists, Disabled | 2.0.0 |
| Windows-Computer überwachen, auf denen die angegebenen Anwendungen nicht installiert sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Anwendungsname an keinem der folgenden Registrierungspfade gefunden wird: „HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall“, „HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall“, „HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall“. | auditIfNotExists | 2.0.0 |
| Windows-Computer überwachen, die zusätzliche Konten in der Administratorgruppe enthalten | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die lokale Administratorgruppe Mitglieder enthält, die im Richtlinienparameter nicht angegeben sind. | auditIfNotExists | 2.0.0 |
| Windows-Computer überwachen, die nicht innerhalb der angegebenen Anzahl von Tagen neu gestartet wurden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die WMI-Eigenschaft „LastBootUpTime“ in der Klasse „Win32_Operatingsystem“ außerhalb des durch den Richtlinienparameter angegebenen Bereichs von Tagen liegt. | auditIfNotExists | 2.0.0 |
| Windows-Computer überwachen, auf denen die angegebenen Anwendungen installiert sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Anwendungsname an einem der folgenden Registrierungspfade gefunden wird: „HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall“, „HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall“, „HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall“. | auditIfNotExists | 2.0.0 |
| Windows-Computer überwachen, auf denen die angegebenen Mitglieder in der Administratorengruppe enthalten sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die lokale Administratorgruppe mindestens eins der Mitglieder enthält, die im Richtlinienparameter angegeben sind. | auditIfNotExists | 2.0.0 |
| Windows-VMs mit ausstehendem Neustart überwachen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn aus einem der folgenden Gründe ein Neustart des Computers aussteht: komponentenbasierte Wartung, Windows-Update, ausstehende Dateiumbenennung, ausstehende Computerumbenennung, ausstehender Neustart durch den Konfigurations-Manager. Jede Erkennung verfügt über einen eigenen Registrierungspfad. | auditIfNotExists | 2.0.0 |
| Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein | SSH stellt zwar bereits eine verschlüsselte Verbindung bereit, bei Verwendung von Kennwörtern für SSH ist der virtuelle Computer jedoch weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem virtuellen Azure-Computer unter Linux über SSH besteht in der Verwendung eines Schlüsselpaars aus öffentlichem und privatem Schlüssel (SSH-Schlüssel). Weitere Informationen finden Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Konfigurieren eines Linux-Servers zum Deaktivieren lokaler Benutzer | Erstellt eine Gastkonfigurationszuweisung, um die Deaktivierung lokaler Benutzer auf einem Linux-Server zu konfigurieren. Dadurch wird sichergestellt, dass auf Linux-Server nur über ein AAD-Konto (Azure Active Directory) oder durch explizit durch diese Richtlinie zugelassene Benutzer zugegriffen werden kann, um den allgemeinen Sicherheitsstatus zu verbessern. | DeployIfNotExists, Disabled | 1.3.0-preview |
| Konfigurieren sicherer Kommunikationsprotokolle (TLS 1.1 oder TLS 1.2) auf Windows-Computern | Erstellt eine Gastkonfigurationszuweisung zum Konfigurieren der angegebenen sicheren Protokollversion (TLS 1.1 oder TLS 1.2) auf einem Windows-Computer. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurieren Sie die Zeitzone auf Windows-Computern. | Diese Richtlinie erstellt eine Gastkonfigurationszuweisung, um die angegebene Zeitzone auf virtuellen Windows-Computern festzulegen. | deployIfNotExists | 2.1.0 |
| Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Auf Linux-Computern muss der Log Analytics-Agent auf Azure Arc installiert sein | Computer werden als nicht konform eingestuft, wenn der Log Analytics-Agent nicht auf einem Linux-Server mit Azure Arc-Unterstützung installiert ist. | AuditIfNotExists, Disabled | 1.1.0 |
| Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen. | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. | AuditIfNotExists, Disabled | 2.2.0 |
| Linux-Computer sollten nur lokale Konten enthalten, die zulässig sind. | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Die Verwaltung von Benutzerkonten mit Azure Active Directory ist eine bewährte Methode für die Verwaltung von Identitäten. Das Reduzieren lokaler Computerkonten trägt dazu bei, die Verbreitung von Identitäten zu verhindern, die außerhalb eines zentralen Systems verwaltet werden. Computer sind nicht konform, wenn lokale Benutzerkonten vorhanden sind, die aktiviert und nicht im Richtlinienparameter aufgeführt sind. | AuditIfNotExists, Disabled | 2.2.0 |
| Lokale Authentifizierungsmethoden sollten auf Linux-Servern deaktiviert werden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn lokale Authentifizierungsmethoden auf Linux-Servern nicht deaktiviert sind. Dadurch wird validiert, dass auf Linux-Server nur über ein AAD-Konto (Azure Active Directory) oder durch explizit durch diese Richtlinie zugelassene Benutzer zugegriffen werden kann, um den allgemeinen Sicherheitsstatus zu verbessern. | AuditIfNotExists, Disabled | 1.2.0-preview |
| Lokale Authentifizierungsmethoden sollten auf Windows-Servern deaktiviert werden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn lokale Authentifizierungsmethoden auf Windows-Servern nicht deaktiviert sind. Dadurch wird validiert, dass auf Windows-Server nur über ein AAD-Konto (Azure Active Directory) oder durch explizit durch diese Richtlinie zugelassene Benutzer zugegriffen werden kann, um den allgemeinen Sicherheitsstatus zu verbessern. | AuditIfNotExists, Disabled | 1.0.0-preview |
| Private Endpunkte für Gastkonfigurationszuweisungen sollten aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem eine private Verbindung mit der Gastkonfiguration für VMs aktiviert wird. VMs sind nur dann konform, wenn sie über das Tag „EnablePrivateNetworkGC“ verfügen. Dieses Tag erzwingt die sichere Kommunikation über eine private Verbindung mit der Gastkonfiguration für VMs. Die private Verbindung schränkt den Zugriff auf Datenverkehr ein, der nur aus bekannten Netzwerken stammt, und verhindert den Zugriff von allen anderen IP-Adressen, einschließlich von Adressen innerhalb von Azure. | Audit, Deny, Disabled | 1.1.0 |
| Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). | AuditIfNotExists, Disabled | 2.0.0 |
| Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Disabled | 4.1.1 |
| Auf Windows-Computern muss Windows Defender so konfiguriert werden, dass Schutzsignaturen innerhalb eines Tages aktualisiert werden. | Um einen angemessenen Schutz vor neu veröffentlichter Schadsoftware bereitzustellen, müssen Windows Defender-Schutzsignaturen regelmäßig aktualisiert werden, um neu veröffentlichte Schadsoftware zu berücksichtigen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| Windows-Computer müssen Windows Defender-Echtzeitschutz aktivieren. | Windows-Computer müssen den Echtzeitschutz in Windows Defender aktivieren, um ausreichenden Schutz vor neu veröffentlichter Schadsoftware zu bieten. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| Auf Windows-Computern muss der Log Analytics-Agent auf Azure Arc installiert sein | Computer werden als nicht konform eingestuft, wenn der Log Analytics-Agent nicht auf einem Windows-Server mit Azure Arc-Unterstützung installiert ist. | AuditIfNotExists, Disabled | 2.0.0 |
| Windows-Computer müssen die Anforderungen für „Administrative Vorlagen: Systemsteuerung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Administrative Vorlagen: Systemsteuerung“ für die Eingabepersonalisierung und das Verhindern der Aktivierung von Sperrbildschirmen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Administrative Vorlagen: MSS (Legacy)“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Administrative Vorlagen: MSS (Legacy)“ für automatische Anmeldung, Bildschirmschoner, Netzwerkverhalten, sichere DLLs und Ereignisprotokoll aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Administrative Vorlagen: Netzwerk“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Administrative Vorlagen: Netzwerk“ für Gastanmeldungen, gleichzeitige Verbindungen, Netzwerkbrücken, ICS und Multicastnamensauflösung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Administrative Vorlagen: System“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Administrative Vorlagen: System“ für Einstellungen zur Steuerung von Verwaltungsfunktionalität und Remoteunterstützung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Konten“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Konten“ für die Einschränkung der Verwendung lokaler Konten mit leeren Kennwörtern und den Gastkontostatus aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Überwachen“ erfüllen | Windows-Computer müssen über die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Überwachen“ zum Erzwingen der Unterkategorie der Überwachungsrichtlinie und zum Herunterfahren verfügen, wenn Sicherheitsüberwachungen nicht protokolliert werden können. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Geräte“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Geräte“ für das Abdocken ohne Anmeldung, für die Installation von Druckertreibern und das Formatieren/Auswerfen von Medien aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Interaktive Anmeldung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Interaktive Anmeldung“ zur Anzeige des Namens des letzten Benutzers und zum Anfordern von STRG+ALT+ENT aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Microsoft-Netzwerk (Client)“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Microsoft-Netzwerk (Client)“ für das Microsoft-Netzwerk (Client/Server) und SMB v1 aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Microsoft-Netzwerk (Server)“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Microsoft-Netzwerk (Server)“ zum Deaktivieren des SMB v1-Servers aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerkzugriff“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Netzwerkzugriff“ für anonyme Benutzer, lokale Konten und den Remotezugriff auf die Registrierung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerksicherheit“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Netzwerksicherheit“ für lokales Systemverhalten, PKU2U, LAN Manager, LDAP-Client und NTLM-SSP aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Wiederherstellungskonsole“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Wiederherstellungskonsole“ für das Zulassen von Diskettenkopiervorgängen und den Zugriff auf alle Laufwerke und Ordner aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Herunterfahren“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Herunterfahren“ zum Zulassen des Herunterfahrens ohne Anmeldung und zum Löschen der Auslagerungsdatei des virtuellen Arbeitsspeichers aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Systemobjekte“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Systemobjekte“ zur Groß-/Kleinschreibung für Nicht-Windows-Subsysteme und den Berechtigungen interner Systemobjekte aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Systemeinstellungen“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Systemeinstellungen“ für Zertifikatregeln ausführbarer Dateien für SRP und optionale Subsysteme aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Benutzerkontensteuerung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Benutzerkontensteuerung“ für Administratormodus, Verhalten der Eingabeaufforderung für erhöhte Rechte und die Virtualisierung von Fehlern bei Schreibvorgängen für Dateien und Registrierung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitseinstellungen: Kontorichtlinien“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitseinstellungen: Kontorichtlinien“ für Kennwortverlauf, Kennwortalter, Kennwortlänge, Kennwortkomplexität und die Speicherung von Kennwörtern mit umkehrbarer Verschlüsselung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Kontoanmeldung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Kontoanmeldung“ zum Überwachen der Überprüfung von Anmeldeinformationen und anderer Kontoanmeldeereignisse aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Kontoverwaltung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Kontoverwaltung“ zum Überwachen der Anwendungs-, Sicherheits- und Benutzergruppenverwaltung und anderer Verwaltungsereignisse aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ zum Überwachen von DPAPI, Prozesserstellung/-beendigung, RPC-Ereignissen und PNP-Aktivität aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Anmelden/Abmelden“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Anmelden/Abmelden“ zum Überwachen von IPSec, Netzwerkrichtlinie, Ansprüchen, Kontosperrung, Gruppenmitgliedschaft und Anmelde-/Abmeldeereignissen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Objektzugriff“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Objektzugriff“ zum Überwachen von Dateien, Registrierung, SAM, Speicher, Filterung, Kernel und weiteren Systemtypen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Richtlinienänderung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Kontoanmeldung“ zum Überwachen von Änderungen an Systemüberwachungsrichtlinien aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Rechteverwendung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Rechteverwendung“ zum Überwachen nicht sensibler und anderer Rechte aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: System“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: System“ zum Überwachen von IPsec-Treiber, Systemintegrität, Systemerweiterungen, Statusänderungen und weiteren Systemereignissen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Zuweisen von Benutzerrechten“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Zuweisen von Benutzerrechten“ für lokale Anmeldung, RDP, Zugriff aus dem Netzwerk und viele weitere Benutzeraktivitäten aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Windows-Komponenten“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Windows-Komponenten“ für Standardauthentifizierung, unverschlüsselten Datenverkehr, Microsoft-Konten, Telemetrie, Cortana und das Windows-Verhalten in Bezug auf weitere Aspekte aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Windows-Firewalleigenschaften“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Windows-Firewalleigenschaften“ für Firewallzustand, Verbindungen, Regelverwaltung und Benachrichtigungen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. | AuditIfNotExists, Disabled | 2.0.0 |
| Windows-Computer sollten nur lokale Konten enthalten, die zulässig sind. | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Diese Definition wird unter Windows Server 2012 oder 2012 R2 nicht unterstützt. Die Verwaltung von Benutzerkonten mit Azure Active Directory ist eine bewährte Methode für die Verwaltung von Identitäten. Das Reduzieren lokaler Computerkonten trägt dazu bei, die Verbreitung von Identitäten zu verhindern, die außerhalb eines zentralen Systems verwaltet werden. Computer sind nicht konform, wenn lokale Benutzerkonten vorhanden sind, die aktiviert und nicht im Richtlinienparameter aufgeführt sind. | AuditIfNotExists, Disabled | 2.0.0 |
| Windows-Computer müssen Windows Defender planen, um jeden Tag eine geplante Überprüfung durchzuführen. | Um die sofortige Erkennung von Schadsoftware zu gewährleisten und die Auswirkungen auf Ihr System zu minimieren, wird empfohlen, dass Windows-Computer mit Windows Defender eine tägliche Überprüfung planen. Stellen Sie sicher, dass Windows Defender unterstützt, auf dem Gerät vorinstalliert und die Voraussetzungen für die Gastkonfiguration bereitgestellt werden. Die Nichteinhaltung dieser Anforderungen kann zu ungenauen Bewertungsergebnissen führen. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.0 |
| Windows-Computer müssen den Standard-NTP-Server verwenden. | Richten Sie „time.windows.com“ als Standard-NTP-Server für alle Windows-Computer ein, um sicherzustellen, dass Protokolle auf allen Systemen über Systemuhren verfügen, die alle synchron sind. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
HDInsight
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure HDInsight-Cluster müssen in ein virtuelles Netzwerk eingebunden werden | Durch die Einbindung von Azure HDInsight-Clustern in ein virtuelles Netzwerk werden erweiterte HDInsight-Netzwerk- und Sicherheitsfeatures freigeschaltet, und Sie erhalten die Kontrolle über Ihre Netzwerksicherheitskonfiguration. | Audit, Disabled, Deny | 1.0.0 |
| Azure HDInsight-Cluster müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure HDInsight-Cluster zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/hdi.cmk. | Audit, Deny, Disabled | 1.0.1 |
| Azure HDInsight-Cluster müssen Verschlüsselung auf dem Host zur Verschlüsselung ruhender Daten verwenden | Durch das Aktivieren der Verschlüsselung auf dem Host können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn Sie die Verschlüsselung auf dem Host aktivieren, werden die auf dem VM-Host gespeicherten Daten ruhend verschlüsselt und verschlüsselt an den Speicherdienst übermittelt. | Audit, Deny, Disabled | 1.0.0 |
| Azure HDInsight-Cluster müssen Verschlüsselung während der Übertragung für die Verschlüsselung der Kommunikation zwischen Azure HDInsight-Clusterknoten verwenden | Daten können während der Übertragung zwischen Azure HDInsight-Clusterknoten manipuliert werden. Zur Vermeidung von Missbrauch und Manipulation können die Daten durch Aktivieren der Verschlüsselung während der Übertragung verschlüsselt werden. | Audit, Deny, Disabled | 1.0.0 |
| Azure HDInsight sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure HDInsight-Clustern können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/hdi.pl. | AuditIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Azure HDInsight-Clustern für die Verwendung privater DNS-Zonen | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um Azure HDInsight-Cluster aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/hdi.pl. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Azure HDInsight-Clustern mit privaten Endpunkten | Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Azure HDInsight-Clustern können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/hdi.pl. | DeployIfNotExists, Disabled | 1.0.0 |
Health Bot
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Health Bots sollten kundenseitig verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln | Verwenden Sie kundenseitig verwaltete Schlüssel (Customer Managed Keys, CMKs), um die Verschlüsselung ruhender Daten Ihrer Healthbots zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel (Customer-Managed Key, CMK) sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit CMKs können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/health-bot/cmk. | Audit, Disabled | 1.0.0 |
Health Data Services-Arbeitsbereich
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Der Azure Health Data Services-Arbeitsbereich sollte eine private Verbindung verwenden. | Beim Health Data Services-Arbeitsbereich sollte es mindestens eine genehmigte private Endpunktverbindung geben. Clients in einem virtuellen Netzwerk können über Private Link-Instanzen sicher auf Ressourcen mit Verbindungen mit privaten Endpunkten zugreifen. Weitere Informationen finden Sie unter https://aka.ms/healthcareapisprivatelink. | Audit, Disabled | 1.0.0 |
Healthcare-APIs
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Zugriff auf Ihren FHIR-Dienst über CORS nicht allen Domänen gestatten | Die ursprungsübergreifende Ressourcenfreigabe (Cross-Origin Resource Sharing, CORS) sollte nicht allen Domänen den Zugriff auf Ihren FHIR-Dienst gestatten. Entfernen Sie den Zugriff für alle Domänen zum Schutz Ihres FHIR-Diensts, und definieren Sie explizit diejenigen Domänen, die eine Verbindung herstellen dürfen. | überprüfen, Überprüfung, deaktiviert, Deaktivierung | 1.1.0 |
| DICOM-Dienst sollte einen vom Kunden verwalteten Schlüssel verwenden, um ruhende Daten zu verschlüsseln | Verwenden Sie einen kundenseitig verwalteten Schlüssel, um die ruhende Verschlüsselung gespeicherter Daten zu steuern, die in Azure Health Data Services DICOM Service gespeichert sind, wenn dies eine regulatorische oder Complianceanforderung ist. Kundenseitig verwaltete Schlüssel bieten außerdem eine doppelte Verschlüsselung, indem eine zweite Verschlüsselungsebene zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln hinzugefügt wird. | Audit, Disabled | 1.0.0 |
| FHIR-Dienst sollte einen vom Kunden verwalteten Schlüssel verwenden, um ruhende Daten zu verschlüsseln | Verwenden Sie einen kundenseitig verwalteten Schlüssel, um die ruhende Verschlüsselung gespeicherter Daten zu steuern, die in Azure Health Data Services FHIR Service gespeichert sind, wenn dies eine regulatorische oder Complianceanforderung ist. Kundenseitig verwaltete Schlüssel bieten außerdem eine doppelte Verschlüsselung, indem eine zweite Verschlüsselungsebene zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln hinzugefügt wird. | Audit, Disabled | 1.0.0 |
Internet der Dinge
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Azure IoT Hub muss einen kundenseitig verwalteten Schlüssel zum Verschlüsseln von ruhenden Daten verwenden | Durch die Verschlüsselung ruhender IoT Hub-Daten mithilfe eines kundenseitig verwalteten Schlüssels wird zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln eine weitere Verschlüsselungsebene bereitgestellt. Der Kunde erhält die Kontrolle über die Schlüssel, kann benutzerdefinierte Richtlinien für die Rotation festlegen und durch eine Schlüsselzugriffskontrolle den Zugriff auf die Daten steuern. Kundenseitig verwaltete Schlüssel müssen während der Erstellung des IoT-Hubs konfiguriert werden. Weitere Informationen zum Konfigurieren kundenseitig verwalteter Schlüssel finden Sie unter https://aka.ms/iotcmk. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Daten des IoT Hub-Gerätebereitstellungsdiensts müssen mithilfe von kundenseitig verwalteten Schlüsseln (CMKs) verschlüsselt werden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für Ihren IoT Hub-Gerätebereitstellungsdienst zu verwalten. Ruhende Daten werden automatisch mit dienstseitig verwalteten Schlüsseln verschlüsselt, aber zur Einhaltung behördlicher Konformitätsstandards werden häufig kundenseitig verwaltete Schlüssel (Customer-Managed Keys, CMKs) benötigt. Mit CMKs können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Weitere Informationen zur CMK-Verschlüsselung finden Sie unter https://aka.ms/dps/CMK. | Audit, Deny, Disabled | 1.0.0-preview |
| Azure Device Update-Konten müssen für die Verschlüsselung von ruhenden Daten einen kundenseitig verwalteten Schlüssel verwenden | Durch die Verschlüsselung ruhender Azure-Geräteupdates mithilfe eines kundenseitig verwalteten Schlüssels wird zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln eine weitere Verschlüsselungsebene bereitgestellt. Der Kunde erhält die Kontrolle über die Schlüssel, kann benutzerdefinierte Richtlinien für die Rotation festlegen und durch eine Schlüsselzugriffskontrolle den Zugriff auf die Daten steuern. Weitere Informationen finden Sie unter: https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption. | Audit, Deny, Disabled | 1.0.0 |
| Für Azure Device Update for IoT Hub-Konten muss Private Linke verwendet werden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch die Zuordnung privater Endpunkte zu Azure Device Update für IoT Hub-Konten wird das Risiko von Datenlecks reduziert. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Azure IoT Hub sollten die lokalen Authentifizierungsmethoden für Dienst-APIs deaktiviert sein. | Das Deaktivieren lokaler Authentifizierungsmethoden verbessert die Sicherheit, da hierdurch sichergestellt wird, dass Azure IoT Hub ausschließlich Azure Active Directory-Identitäten für die Dienst-API-Authentifizierung anfordert. Weitere Informationen finden Sie unter https://aka.ms/iothubdisablelocalauth. | Audit, Deny, Disabled | 1.0.0 |
| Konfigurieren von Azure Device Update for IoT Hub-Konten, um den Zugriff über öffentliche Netzwerke zu deaktivieren | Hiermit wird die Eigenschaft für den Zugriff über öffentliche Netzwerke deaktiviert. So wird die Sicherheit erhöht und gewährleistet, dass auf Ihre Device Update for IoT Hub-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Richtlinie wird der Zugriff über öffentliche Netzwerke auf Device Update for IoT Hub-Ressourcen deaktiviert. | Modify, Disabled | 1.0.0 |
| Konfigurieren von Azure Device Update for IoT Hub-Konten für die Verwendung von privaten DNS-Zonen | Privates Azure-DNS bietet einen zuverlässigen, sicheren DNS-Dienst zum Verwalten und Auflösen von Domänennamen in einem virtuellen Netzwerk, ohne dass Sie eine benutzerdefinierte DNS-Lösung hinzufügen müssen. Mithilfe von privaten DNS-Zonen können Sie die DNS-Lösung außer Kraft setzen und eigene benutzerdefinierte Domänennamen für einen privaten Endpunkt verwenden. Diese Richtlinie stellt eine private DNS-Zone für private Device Update for IoT Hub-Endpunkte bereit. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Azure Device Update for IoT Hub-Konten mit privatem Endpunkt | Ein privater Endpunkt ist eine private IP-Adresse, die innerhalb eines kundeneigenen virtuellen Netzwerks zugewiesen wird und über die eine Azure-Ressource erreichbar ist. Mit dieser Richtlinie wird ein privater Endpunkt für Ihre Device Update for IoT Hub-Instanz bereitgestellt, damit Dienste innerhalb Ihres virtuellen Netzwerks diese Ressource erreichen können, ohne dass Datenverkehr an den öffentlichen Endpunkt von Device Update for IoT Hub gesendet werden muss. | DeployIfNotExists, Disabled | 1.1.0 |
| Azure IoT Hub zum Deaktivieren der lokalen Authentifizierung konfigurieren | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Azure IoT Hub ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordert. Weitere Informationen finden Sie unter https://aka.ms/iothubdisablelocalauth. | Modify, Disabled | 1.0.0 |
| IoT Hub Device Provisioning-Instanzen für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um eine IoT Hub Device Provisioning Service-Instanz aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| IoT Hub Device Provisioning-Instanz zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie für Ihre IoT Hub Device Provisioning-Instanz den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/iotdpsvnet. | Modify, Disabled | 1.0.0 |
| IoT Hub Device Provisioning Service-Instanzen mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Bereitstellen: Azure IoT Hub für die Verwendung privater DNS-Zonen konfigurieren | Privates Azure-DNS bietet einen zuverlässigen, sicheren DNS-Dienst zum Verwalten und Auflösen von Domänennamen in einem virtuellen Netzwerk, ohne dass Sie eine benutzerdefinierte DNS-Lösung hinzufügen müssen. Mithilfe von privaten DNS-Zonen können Sie die DNS-Lösung außer Kraft setzen und eigene benutzerdefinierte Domänennamen für einen privaten Endpunkt verwenden. Mit dieser Richtlinie wird eine private DNS-Zone für private IoT Hub-Endpunkte bereitgestellt. | deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Bereitstellen: Azure IoT Hub mit privaten Endpunkten konfigurieren | Ein privater Endpunkt ist eine private IP-Adresse, die innerhalb eines kundeneigenen virtuellen Netzwerks zugewiesen wird und über die eine Azure-Ressource erreichbar ist. Mit dieser Richtlinie wird ein privater Endpunkt für Ihre IoT Hub-Instanz bereitgestellt, damit Dienste innerhalb Ihres virtuellen Netzwerks IoT Hub erreichen können, ohne dass Datenverkehr an den öffentlichen Endpunkt von IoT Hub gesendet werden muss. | DeployIfNotExists, Disabled | 1.0.0 |
| Bereitstellen – Konfigurieren von IoT Central für die Verwendung privater DNS-Zonen | Privates Azure-DNS bietet einen zuverlässigen, sicheren DNS-Dienst zum Verwalten und Auflösen von Domänennamen in einem virtuellen Netzwerk, ohne dass Sie eine benutzerdefinierte DNS-Lösung hinzufügen müssen. Mithilfe von privaten DNS-Zonen können Sie die DNS-Lösung außer Kraft setzen und eigene benutzerdefinierte Domänennamen für einen privaten Endpunkt verwenden. Mit dieser Richtlinie wird eine private DNS-Zone für private IoT Central-Endpunkte bereitgestellt. | DeployIfNotExists, Disabled | 1.0.0 |
| Bereitstellen – Konfigurieren von IoT Central mit privaten Endpunkten | Ein privater Endpunkt ist eine private IP-Adresse, die innerhalb eines kundeneigenen virtuellen Netzwerks zugewiesen wird und über die eine Azure-Ressource erreichbar ist. Mit dieser Richtlinie wird ein privater Endpunkt für Ihre IoT Central-Instanz bereitgestellt, damit Dienste innerhalb Ihres virtuellen Netzwerks IoT Central erreichen können, ohne dass Datenverkehr an den öffentlichen Endpunkt von IoT Central gesendet werden muss. | DeployIfNotExists, Disabled | 1.0.0 |
| IoT Central sollte eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer IoT Central-Anwendung zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotcentral-network-security-using-pe. | Audit, Deny, Disabled | 1.0.0 |
| IoT Hub Device Provisioning Service-Instanzen müssen den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass die IoT Hub Device Provisioning Service-Instanz nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung der IoT Hub Device Provisioning Service-Instanz einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/iotdpsvnet. | Audit, Deny, Disabled | 1.0.0 |
| IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Ändern: Azure IoT Hub zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Hiermit wird die Eigenschaft für den Zugriff über öffentliche Netzwerke deaktiviert. So wird die Sicherheit erhöht und gewährleistet, dass auf Ihre Azure IoT Hub-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Richtlinie wird der Zugriff über öffentliche Netzwerke auf IoT Hub-Ressourcen deaktiviert. | Modify, Disabled | 1.0.0 |
| Ändern – Konfigurieren Sie IoT Central zum Deaktivieren des Zugriffs auf öffentliche Netzwerke | Hiermit wird die Eigenschaft für den Zugriff über öffentliche Netzwerke deaktiviert. So wird die Sicherheit erhöht und gewährleistet, dass auf Ihre Azure IoT Central-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Richtlinie wird der Zugriff über öffentliche Netzwerke auf IoT Hub-Ressourcen deaktiviert. | Modify, Disabled | 1.0.0 |
| Für IoT Hub muss ein privater Endpunkt aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem private Konnektivität mit IoT Hub ermöglicht wird. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | Audit, Disabled | 1.0.0 |
| Der Zugriff über öffentliche Netzwerke für Azure Device Update for IoT Hub-Konten muss deaktiviert sein | Hiermit wird die Eigenschaft für den Zugriff über öffentliche Netzwerke deaktiviert. So wird die Sicherheit erhöht und gewährleistet, dass nur von einem privaten Endpunkt aus auf Ihre Azure Device Update for IoT Hub-Instanz zugegriffen werden kann. | Audit, Deny, Disabled | 1.0.0 |
| Für Azure IoT Hub muss der Zugriff über öffentliche Netzwerke deaktiviert sein | Hiermit wird die Eigenschaft für den Zugriff über öffentliche Netzwerke deaktiviert. So wird die Sicherheit erhöht und gewährleistet, dass auf Ihre Azure IoT Hub-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. | Audit, Deny, Disabled | 1.0.0 |
| Der öffentliche Netzwerkzugriff sollte für IoT Central deaktiviert werden | Stellen Sie zum Verbessern der Sicherheit von ioT Central sicher, dass dieser nicht über das öffentliche Internet, sondern nur über einen privaten Endpunkt zugänglich ist. Deaktivieren Sie die Eigenschaft für den Zugriff über öffentliche Netzwerke wie unter https://aka.ms/iotcentral-restrict-public-access beschrieben. Darüber hinaus werden alle Anmeldungen abgelehnt, die Firewallregeln auf Basis von IP-Adressen oder virtuellen Netzwerken entsprechen. Dadurch wird das Risiko von Datenlecks verringert. | Audit, Deny, Disabled | 1.0.0 |
| In IoT Hub müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 3.1.0 |
Key Vault
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Von Azure Key Vault verwaltete HSM-Schlüssel sollten ein Ablaufdatum haben. | Um die Vorschauversion dieser Richtlinie zu verwenden, müssen Sie zunächst diesen Anweisungen unter https://aka.ms/mhsmgovernance folgen. Kryptografische Schlüssel sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Schlüssel, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, um den Schlüssel zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für kryptografische Schlüssel ein Ablaufdatum festgelegt werden. | Audit, Deny, Disabled | 1.0.1-preview |
| [Vorschau]: Von Azure Key Vault verwaltete HSM-Schlüssel sollten mehr als die angegebene Anzahl von Tagen vor dem Ablauf vorweisen. | Um die Vorschauversion dieser Richtlinie zu verwenden, müssen Sie zunächst diesen Anweisungen unter https://aka.ms/mhsmgovernance folgen. Wenn sich ein Schlüssel zu nah an seinem Ablaufdatum befindet, kann es bei einer organisationsbedingten Verzögerung der Rotation des Schlüssels zu einem Ausfall kommen. Schlüssel sollten nach einer angegebenen Anzahl von Tagen vor ihrem Ablauf rotiert werden, damit genügend Zeit ist, um auf Fehler reagieren zu können. | Audit, Deny, Disabled | 1.0.1-preview |
| [Vorschau]: Von Azure Key Vault verwaltete HSM-Schlüssel, die Kryptografie für elliptische Kurve verwenden, sollten die angegebenen Kurvennamen haben. | Um die Vorschauversion dieser Richtlinie zu verwenden, müssen Sie zunächst diesen Anweisungen unter https://aka.ms/mhsmgovernance folgen. Schlüssel, die durch Kryptografie für elliptische Kurve gesichert sind, können andere Kurvennamen besitzen. Einige Anwendungen sind nur mit bestimmten elliptischen Kurvenschlüsseln kompatibel. Erzwingen Sie die Typen elliptischer Kurvenschlüssel, die für die Erstellung in Ihrer Umgebung zugelassen sind. | Audit, Deny, Disabled | 1.0.1-preview |
| [Vorschau]: Von Azure Key Vault verwaltete HSM-Schlüssel, die RSA-Kryptografie verwenden, sollten eine angegebene Mindestschlüsselgröße haben. | Um die Vorschauversion dieser Richtlinie zu verwenden, müssen Sie zunächst diesen Anweisungen unter https://aka.ms/mhsmgovernance folgen. Legen Sie die zulässige Mindestschlüsselgröße fest, die mit ihren Schlüsseltresoren verwendet werden kann. Die Verwendung kleiner RSA-Schlüssel ist kein sicheres Verfahren und verstößt gegen viele Zertifizierungsanforderungen nach Industriestandard. | Audit, Deny, Disabled | 1.0.1-preview |
| [Vorschau]: Das verwaltete HSM von Azure Key Vault muss den Zugriff über öffentliche Netzwerke deaktivieren. | Deaktivieren Sie für verwaltetes HSM von Azure Key Vault den Zugriff über öffentliche Netzwerke, sodass es nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Das verwaltete HSM von Azure Key Vault muss Private Link verwenden. | Private Link bietet eine Möglichkeit, das verwaltete HSM von Azure Key Vault mit Ihren Azure-Ressourcen zu verbinden, ohne Datenverkehr über das öffentliche Internet zu senden. Der private Link bietet umfassenden Schutz vor Datenexfiltration. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Audit, Disabled | 1.0.0-preview |
| [Vorschau]: Zertifikate müssen von der angegebenen nicht integrierten Zertifizierungsstelle ausgestellt werden | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem benutzerdefinierte oder interne Zertifizierungsstellen angegeben werden, die Zertifikate in Ihrem Schlüsseltresor ausstellen können. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Verwaltetes Azure Key Vault-HSM für das Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren. | Deaktivieren Sie für verwaltetes HSM von Azure Key Vault den Zugriff über öffentliche Netzwerke, sodass es nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Modify, Disabled | 2.0.0-preview |
| [Vorschau]: Konfigurieren des verwalteten HSM von Azure Key Vault mit privaten Endpunkten. | Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Indem Sie private Endpunkte dem verwalteten HSM von Azure Key Vault zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, Disabled | 1.0.0-preview |
| Für ein verwaltetes Azure Key Vault-HSM muss der Löschschutz aktiviert sein | Das böswillige Löschen eines verwalteten Azure Key Vault-HSM kann zu dauerhaftem Datenverlust führen. Ein böswilliger Insider in Ihrer Organisation kann ein verwaltetes Azure Key Vault-HSM löschen oder bereinigen. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für ein vorläufig gelöschtes verwaltetes Azure Key Vault-HSM durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihr verwaltetes Azure Key Vault-HSM während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. | Audit, Deny, Disabled | 1.0.0 |
| Für Azure Key Vault muss der Zugriff über öffentliche Netzwerke deaktiviert werden. | Deaktivieren Sie für Ihren Schlüsseltresor den Zugriff über öffentliche Netzwerke, sodass er nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/akvprivatelink. | Audit, Deny, Disabled | 1.1.0 |
| Azure Key Vault sollte eine aktive Firewall haben | Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
| Azure Key Vault sollte das RBAC-Berechtigungsmodell verwenden. | Aktivieren Sie das RBAC-Berechtigungsmodell in Schlüsseltresoren. Weitere Informationen finden Sie unter: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Deny, Disabled | 1.0.1 |
| Azure Key Vault-Instanzen müssen private Verbindungen verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Zertifikate müssen von der angegebenen integrierten Zertifizierungsstelle ausgestellt werden | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die in Azure integrierten Zertifizierungsstellen angegeben werden, die Zertifikate in Ihrem Schlüsseltresor ausstellen können. Beispiel: Digicert oder GlobalSign. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.0 |
| Zertifikate müssen von der angegebenen nicht integrierten Zertifizierungsstelle ausgestellt werden | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die benutzerdefinierten oder internen Zertifizierungsstellen angegeben werden, die Zertifikate in Ihrem Schlüsseltresor ausstellen können. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.1 |
| Zertifikate müssen die angegebenen Aktionstrigger für die Gültigkeitsdauer aufweisen | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem angegeben wird, ob nach Ablauf eines bestimmten Prozentsatzes der Zertifikatlaufzeit oder bei Erreichen einer bestimmten Anzahl von Tagen vor Ablauf des Zertifikats eine Aktion zur Zertifikatlebensdauer ausgelöst wird. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.0 |
| Zertifikate müssen die angegebene maximale Gültigkeitsdauer aufweisen | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne angegeben wird, für die ein Zertifikat innerhalb Ihres Schlüsseltresors gültig sein darf. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.2.1 |
| Zertifikate dürfen nicht innerhalb der angegebenen Anzahl von Tagen ablaufen | Hiermit werden Zertifikate verwaltet, die innerhalb einer angegebenen Anzahl von Tagen ablaufen. So wird sichergestellt, dass Ihre Organisation über genügend Zeit verfügt, vor Ablauf des Zertifikats eine Rotation durchzuführen. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.1 |
| Zertifikate müssen zulässige Schlüsseltypen verwenden | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die für Zertifikate zulässigen Schlüsseltypen eingeschränkt werden. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.0 |
| Zertifikate mit Kryptografie für elliptische Kurve müssen zulässige Kurvennamen verwenden | Hiermit werden die zulässigen Kurvennamen für ECC-Zertifikate verwaltet, die im Schlüsseltresor gespeichert sind. Weitere Informationen finden Sie unter https://aka.ms/akvpolicy. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.0 |
| Zertifikate mit Verwendung von RSA-Kryptografie müssen die angegebene Mindestgröße für Schlüssel aufweisen | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem eine mindestens erforderliche Schlüsselgröße für RSA-Zertifikate angegeben wird, die in Ihrem Schlüsseltresor gespeichert sind. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.0 |
| Konfigurieren von Azure Key Vault-Instanzen für die Verwendung privater DNS-Zonen | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um einen Schlüsseltresor aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Azure Key Vault-Instanzen mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Schlüsseltresore zum Aktivieren der Firewall konfigurieren | Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Sie können dann bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security | Modify, Disabled | 1.1.1 |
| Bereitstellen: Diagnoseeinstellungen für Azure Key Vault in Log Analytics-Arbeitsbereich konfigurieren | Hiermit werden die Diagnoseeinstellungen für Azure Key Vault zum Streaming von Ressourcenprotokollen in einen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Key Vault-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 2.0.1 |
| Bereitstellen: Diagnoseeinstellungen zur Aktivierung eines Event Hubs in einem verwalteten Azure Key Vault-HSM konfigurieren | Hiermit werden die Diagnoseeinstellungen für ein verwaltetes Azure Key Vault-HSM zum Streaming an einen regionalen Event Hub bereitgestellt, wenn ein verwaltetes Azure Key Vault-HSM erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 1.0.0 |
| Diagnoseeinstellungen für Key Vault in Event Hub bereitstellen | Hiermit werden die Diagnoseeinstellungen für Key Vault zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Key Vault-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 3.0.1 |
| Key Vault-Schlüssel sollten ein Ablaufdatum aufweisen. | Kryptografische Schlüssel sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Schlüssel, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, um den Schlüssel zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für kryptografische Schlüssel ein Ablaufdatum festgelegt werden. | Audit, Deny, Disabled | 1.0.2 |
| Key Vault-Geheimnisse sollten ein Ablaufdatum aufweisen. | Geheimnisse sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Geheimnisse, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, sie zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für Geheimnisse ein Ablaufdatum festgelegt werden. | Audit, Deny, Disabled | 1.0.2 |
| Für Schlüsseltresore sollte der Löschschutz aktiviert sein. | Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Sie können dauerhaften Datenverlust verhindern, indem Sie den Löschschutz und das vorläufige Löschen aktivieren. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Beachten Sie, dass für Schlüsseltresore, die nach dem 1. September 2019 erstellt wurden, das vorläufige Löschen standardmäßig aktiviert ist. | Audit, Deny, Disabled | 2.1.0 |
| Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein. | Wenn Sie einen Schlüsseltresor löschen und vorläufiges Löschen nicht aktiviert ist, werden alle Geheimnisse, Schlüssel und Zertifikate, die im Schlüsseltresor gespeichert sind, dauerhaft gelöscht. Das versehentliche Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Vorläufiges Löschen ermöglicht es Ihnen, einen versehentlich gelöschten Schlüsseltresor innerhalb des konfigurierbaren Aufbewahrungszeitraums wiederherzustellen. | Audit, Deny, Disabled | 3.0.0 |
| Schlüssel müssen durch ein Hardwaresicherheitsmodul (HSM) gesichert werden | Mit einem Hardwaresicherheitsmodul (HSM) werden Schlüssel gespeichert. Hierbei handelt es sich um eine physische Schutzschicht für kryptografische Schlüssel. Der kryptografische Schlüssel kann ein physisches HSM nicht verlassen, sodass dieser einen höheren Schutz als ein Softwareschlüssel bietet. | Audit, Deny, Disabled | 1.0.1 |
| Schlüssel müssen den angegebenen kryptografischen Typ (RSA oder EC) aufweisen | Für einige Anwendungen ist die Verwendung von Schlüsseln erforderlich, die auf einem bestimmten kryptografischen Typ beruhen. Hiermit erzwingen Sie in Ihrer Umgebung einen bestimmten kryptografischen Schlüsseltyp: RSA oder EC. | Audit, Deny, Disabled | 1.0.1 |
| Schlüssel sollten eine Rotationsrichtlinie haben, die sicherstellt, dass ihre Rotation innerhalb der angegebenen Anzahl von Tagen nach der Erstellung geplant ist. | Verwalten Sie Ihre organisatorischen Complianceanforderungen, indem Sie die maximale Anzahl von Tagen nach der Schlüsselerstellung festlegen, bis der Schlüssel rotiert werden muss. | Audit, Disabled | 1.0.0 |
| Für Schlüssel müssen mehr als die angegebene Anzahl von Tagen vor Ablauf vorliegen | Wenn sich ein Schlüssel zu nah an seinem Ablaufdatum befindet, kann es bei einer organisationsbedingten Verzögerung der Rotation des Schlüssels zu einem Ausfall kommen. Schlüssel sollten nach einer angegebenen Anzahl von Tagen vor ihrem Ablauf rotiert werden, damit genügend Zeit ist, um auf Fehler reagieren zu können. | Audit, Deny, Disabled | 1.0.1 |
| Schlüssel müssen die angegebene maximale Gültigkeitsdauer aufweisen | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne in Tagen angegeben wird, für die ein Schlüssel innerhalb Ihres Schlüsseltresors gültig sein darf. | Audit, Deny, Disabled | 1.0.1 |
| Schlüssel dürfen nicht länger als die angegebene Anzahl von Tagen aktiv sein | Geben Sie die Anzahl von Tagen an, die ein Schlüssel aktiv sein soll. Schlüssel, die für einen längeren Zeitraum verwendet werden, erhöhen die Wahrscheinlichkeit, dass ein Angreifer den Schlüssel kompromittieren könnte. Stellen Sie als bewährte Sicherheitsmaßnahme sicher, dass Ihre Schlüssel nicht länger als zwei Jahre aktiv waren. | Audit, Deny, Disabled | 1.0.1 |
| Schlüssel mit Kryptografie für elliptische Kurve müssen die angegebenen Kurvennamen verwenden | Schlüssel, die durch Kryptografie für elliptische Kurve gesichert sind, können andere Kurvennamen besitzen. Einige Anwendungen sind nur mit bestimmten elliptischen Kurvenschlüsseln kompatibel. Erzwingen Sie die Typen elliptischer Kurvenschlüssel, die für die Erstellung in Ihrer Umgebung zugelassen sind. | Audit, Deny, Disabled | 1.0.1 |
| Schlüssel mit RSA-Kryptografie müssen eine angegebene Mindestgröße für Schlüssel aufweisen | Legen Sie die zulässige Mindestschlüsselgröße fest, die mit ihren Schlüsseltresoren verwendet werden kann. Die Verwendung kleiner RSA-Schlüssel ist kein sicheres Verfahren und verstößt gegen viele Zertifizierungsanforderungen nach Industriestandard. | Audit, Deny, Disabled | 1.0.1 |
| In einem verwalteten Azure Key Vault-HSM müssen Ressourcenprotokolle aktiviert sein | Sie können eine Überwachung durchführen, indem Sie Ressourcenprotokolle für verwaltete HSMs aktivieren. Auf diese Weise können Sie zu Untersuchungszwecken vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. Befolgen Sie die hier aufgeführten Anweisungen: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Disabled | 1.1.0 |
| In Key Vault müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| Festlegen des Inhaltstyps für Geheimnisse erforderlich | Mithilfe eines Inhaltstyptags können Sie identifizieren, ob ein Geheimnis ein Kennwort, eine Verbindungszeichenfolge usw. ist. Andere Geheimnisse haben andere Rotationsanforderungen. Das Inhaltstyptag sollte für Geheimnisse festgelegt werden. | Audit, Deny, Disabled | 1.0.1 |
| Für Geheimnisse müssen mehr als die angegebene Anzahl von Tagen vor Ablauf vorliegen | Wenn sich ein Geheimnis zu nah an seinem Ablaufdatum befindet, kann es bei einer organisationsbedingten Verzögerung der Rotation des Geheimnisses zu einem Ausfall kommen. Geheimnisse sollten nach einer angegebenen Anzahl von Tagen vor ihrem Ablauf rotiert werden, damit genügend Zeit ist, um auf Fehler reagieren zu können. | Audit, Deny, Disabled | 1.0.1 |
| Geheimnisse müssen die angegebene maximale Gültigkeitsdauer aufweisen | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne in Tagen angegeben wird, für die ein Geheimnis innerhalb Ihres Schlüsseltresors gültig sein darf. | Audit, Deny, Disabled | 1.0.1 |
| Geheimnisse dürfen nicht länger als die angegebene Anzahl von Tagen aktiv sein | Wenn Ihre Geheimnisse mit einem in der Zukunft liegenden Aktivierungsdatum erstellt wurden, müssen Sie sicherstellen, dass Ihre Geheimnisse nicht länger als für die angegebene Dauer aktiv sind. | Audit, Deny, Disabled | 1.0.1 |
Kubernetes
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: [Bildintegrität] Kubernetes-Cluster dürfen nur Bilder verwenden, die mit Notation signiert sind | Verwenden Sie mit Notation signierte Bilder, um sicherzustellen, dass Bilder aus vertrauenswürdigen Quellen stammen und nicht böswillig geändert werden. Weitere Informationen finden Sie unter https://aka.ms/aks/image-integrity. | Audit, Disabled | 1.0.0-preview |
| [Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. | Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
| [Vorschau]: Einzelne Knoten können nicht bearbeitet werden | Einzelne Knoten können nicht bearbeitet werden. Benutzer*innen sollten einzelne Knoten nicht bearbeiten. Bearbeiten Sie Knotenpools. Das Ändern einzelner Knoten kann zu inkonsistenten Einstellungen, betrieblichen Herausforderungen und potenziellen Sicherheitsrisiken führen. | Audit, Deny, Disabled | 1.1.1-preview |
| [Vorschau]: Konfigurieren von Kubernetes-Clustern mit Azure Arc-Unterstützung für die Installation der Microsoft Defender für Cloud-Erweiterung | Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, Disabled | 7.1.0-preview |
| [Vorschau]: Bereitstellen der Imageintegrität in Azure Kubernetes Service | Stellen Sie sowohl das Imageintegritäts-Add-On als auch das Policy-Add-On in Azure Kubernetes-Clustern bereit. Weitere Informationen finden Sie unter https://aka.ms/aks/image-integrity. | DeployIfNotExists, Disabled | 1.0.5-preview |
| [Vorschau]: Kubernetes-Clustercontainer sollten nur Images pullen, wenn Geheimnisse für das Pullen von Images vorhanden sind | Schränkt das Pullen von Images durch den Container ein, um das Vorhandensein von ImagePullSecrets zu erzwingen und damit einen sicheren und autorisierten Zugriff auf Images in einem Kubernetes-Cluster sicherzustellen | Audit, Deny, Disabled | 1.1.0-preview |
| [Vorschau]: Kubernetes-Clusterdienste sollten eindeutige Selektoren verwenden | Stellen Sie sicher, dass Dienste in einem Namespace eindeutige Selektoren haben. Eine eindeutige Dienstauswahl stellt sicher, dass jeder Dienst innerhalb eines Namespace basierend auf bestimmten Kriterien eindeutig identifizierbar ist. Diese Richtlinie synchronisiert eingehende Ressourcen über Gatekeeper in OPA. Prüfen Sie vor der Anwendung, ob die Speicherkapazität von Gatekeeper-Pods nicht überschritten wird. Parameter gelten für bestimmte Namespaces, synchronisiert aber alle Ressourcen dieses Typs in allen Namespaces. Derzeit in der Vorschau für Kubernetes Service (AKS). | Audit, Deny, Disabled | 1.1.1-preview |
| [Vorschau]: Kubernetes-Cluster sollte präzise Budgets für die Unterbrechung von Pods implementieren | Verhindert fehlerhafte Pod-Unterbrechungsbudgets und stellt so eine minimale Anzahl betriebsbereiter Pods sicher. Details dazu finden Sie in der offiziellen Kubernetes-Dokumentation. Basiert auf der Gatekeeper-Datenreplikation und synchronisiert alle eingehenden Ressourcen, die darauf aufgeteilt sind, in OPA. Stellen Sie vor der Anwendung dieser Richtlinie sicher, dass die synchronisierten Eingangsressourcen Ihre Speicherkapazität nicht belasten. Obwohl Parameter bestimmte Namespaces auswerten, werden alle Ressourcen dieser Art in allen Namespaces synchronisiert. Hinweis: Derzeit in der Vorschau für Kubernetes Service (AKS). | Audit, Deny, Disabled | 1.1.1-preview |
| [Vorschau]: Kubernetes-Cluster sollen das Erstellen des angegebenen Ressourcentyps einschränken. | Der angegebene Kubernetes-Ressourcentyp sollte in bestimmten Namespaces nicht bereitgestellt werden. | Audit, Deny, Disabled | 2.2.0-preview |
| [Vorschau]: Antiaffinitätsregeln müssen festgelegt sein | Diese Richtlinie stellt sicher, dass Pods auf verschiedenen Knoten innerhalb des Clusters geplant werden. Durch das Erzwingen von Antiaffinitätsregeln wird die Verfügbarkeit auch dann beibehalten, wenn einer der Knoten nicht mehr verfügbar ist. Pods werden weiterhin auf anderen Knoten ausgeführt, wodurch die Resilienz verbessert wird. | Audit, Deny, Disabled | 1.1.1-preview |
| [Vorschau]: Keine spezifischen AKS-Bezeichnungen | Verhindert, dass Kunden AKS-spezifische Bezeichnungen anwenden. AKS verwendet Bezeichnungen mit dem Präfix kubernetes.azure.com, um AKS-eigene Komponenten zu kennzeichnen. Der Kunde sollte diese Bezeichnungen nicht verwenden. |
Audit, Deny, Disabled | 1.1.1-preview |
| [Vorschau]: Reservierte Systempool-Taints | Beschränkt den CriticalAddonsOnly-Taint auf nur den Systempool. AKS verwendet den CriticalAddonsOnly-Taint, um Kunden-Pods vom Systempool fernzuhalten. Sie sorgt für eine klare Trennung zwischen AKS-Komponenten und Kunden-Pods, und verhindert, dass Kunden-Pods entfernt werden, wenn sie den CriticalAddonsOnly-Taint nicht tolerieren. | Audit, Deny, Disabled | 1.1.1-preview |
| Für Azure Arc-fähige Kubernetes-Cluster sollte die Azure Policy-Erweiterung installiert sein | Die Azure Policy-Erweiterung für Azure Arc bietet zentrale und konsistente Erzwingungs- und Schutzfunktionen für Ihre Kubernetes-Cluster mit Arc-Unterstützung. Weitere Informationen finden Sie unter https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
| Azure Arc-fähige Kubernetes-Cluster sollten die Open Service Mesh-Erweiterung installiert haben | Die Open Service Mesh-Erweiterung bietet alle standardmäßigen Service Mesh-Funktionen für Sicherheit, Datenverkehrsverwaltung und Einblick in Anwendungsdienste. Weitere Informationen finden Sie hier: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Für Azure Arc-fähige Kubernetes-Cluster muss die Strimzi Kafka-Erweiterung installiert sein | Die Strimzi Kafka-Erweiterung bietet den Operatoren die Möglichkeit, Kafka zum Erstellen von Echtzeitdatenpipelines und Streaminganwendungen mit Sicherheits- und Einblickfunktionen zu installieren. Weitere Informationen finden Sie hier: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Kubernetes-Cluster sollten Container Storage Interface (CSI) aktivieren. | Container Storage Interface (CSI) ist ein Standard für die Bereitstellung beliebiger Block- und Dateispeichersysteme für containerisierte Workloads in Azure Kubernetes Service. Weitere Informationen finden Sie unter https://aka.ms/aks-csi-driver | Audit, Disabled | 1.0.0 |
| Azure Kubernetes-Cluster sollten den Schlüsselverwaltungsdienst (Key Management Service, KMS) aktivieren | Verwenden Sie den Schlüsselverwaltungsdienst (Key Management Service, KMS), um ruhende Geheimnisdaten in etcd für die Kubernetes-Clustersicherheit zu verschlüsseln. Weitere Informationen finden Sie unter https://aka.ms/aks/kmsetcdencryption. | Audit, Disabled | 1.0.0 |
| Azure Kubernetes-Cluster sollten Azure CNI verwenden | Azure CNI ist eine Voraussetzung für einige Azure Kubernetes Service-Funktionen, einschließlich Azure-Netzwerkrichtlinien, Windows-Knotenpools und Add-Ons für virtuelle Knoten. Weitere Informationen finden Sie unter: https://aka.ms/aks-azure-cni | Audit, Disabled | 1.0.1 |
| Azure Kubernetes Service-Cluster sollten den Befehlsaufruf deaktivieren | Das Deaktivieren von Befehlsaufrufen kann die Sicherheit erhöhen, da die Umgehung des eingeschränkten Netzwerkzugriffs oder der rollenbasierten Zugriffssteuerung von Kubernetes vermieden wird. | Audit, Disabled | 1.0.1 |
| Azure Kubernetes Service-Cluster sollten das automatische Upgrade von Clustern aktivieren | Das automatische Upgrade von AKS-Clustern kann sicherstellen, dass Ihre Cluster auf dem neuesten Stand sind und Sie die neuesten AKS-Features oder Patches von AKS und der Upstreamversion von Kubernetes nicht verpassen. Weitere Informationen finden Sie unter https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Audit, Disabled | 1.0.0 |
| Azure Kubernetes-Dienstcluster sollten Image Cleaner aktivieren | Image Cleaner führt die automatische Erkennung und Entfernung von anfälligen und unbenutzten Images durch, sodass das Risiko veralteter Images verringert und die Zeit für das Bereinigen reduziert wird. Weitere Informationen finden Sie unter https://aka.ms/aks/image-cleaner. | Audit, Disabled | 1.0.0 |
| In Azure Kubernetes Service-Clustern sollte die Microsoft Entra ID-Integration aktiviert sein | Die von AKS verwaltete Microsoft Entra ID-Integration kann den Zugriff auf die Cluster verwalten, indem die rollenbasierte Zugriffssteuerung von Kubernetes (Kubernetes RBAC) basierend auf der Identität oder Verzeichnisgruppenmitgliedschaft von Benutzer*innen konfiguriert wird. Weitere Informationen finden Sie unter https://aka.ms/aks-managed-aad. | Audit, Disabled | 1.0.2 |
| Azure Kubernetes-Dienstcluster sollten das automatische Upgrade des Knotenbetriebssystems aktivieren | Das automatische Upgrade des AKS-Knotens steuert Betriebssystem-Sicherheitsupdates auf Knotenebene. Weitere Informationen finden Sie unter https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Audit, Disabled | 1.0.0 |
| Azure Kubernetes Service-Cluster sollten die Workloadidentität aktivieren | Die Workloadidentität ermöglicht es, jedem Kubernetes-Pod eine eindeutige Identität zuzuweisen und sie mit durch Azure AD geschützten Ressourcen wie Azure Key Vault zu verknüpfen, was den sicheren Zugriff auf diese Ressourcen innerhalb des Pods ermöglicht. Weitere Informationen finden Sie unter https://aka.ms/aks/wi. | Audit, Disabled | 1.0.0 |
| Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein | Microsoft Defender für Container bietet cloudnative Kubernetes-Sicherheitsfunktionen wie Umgebungshärtung, Workloadschutz und Laufzeitschutz. Wenn Sie SecurityProfile.AzureDefender in Ihrem Azure Kubernetes Service-Cluster aktivieren, wird ein Agent in Ihrem Cluster bereitgestellt, um Sicherheitsereignisdaten zu sammeln. Weitere Informationen zu Azure Defender für Container finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | Audit, Disabled | 2.0.1 |
| Für Azure Kubernetes Service-Cluster sollten lokale Authentifizierungsmethoden deaktiviert sein | Das Deaktivieren lokaler Authentifizierungsmethoden verbessert die Sicherheit, da hierdurch sichergestellt wird, dass Azure Kubernetes Service-Cluster ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/aks-disable-local-accounts. | Audit, Deny, Disabled | 1.0.1 |
| Azure Kubernetes Service-Cluster sollten verwaltete Identitäten verwenden | Verwenden Sie verwaltete Identitäten, um Dienstprinzipale zu umschließen, die Clusterverwaltung zu vereinfachen und die Komplexität zu vermeiden, die für verwaltete Dienstprinzipale erforderlich ist. Weitere Informationen finden Sie unter: https://aka.ms/aks-update-managed-identities | Audit, Disabled | 1.0.1 |
| Private Azure Kubernetes Service-Cluster müssen aktiviert sein | Aktivieren Sie das Feature für private Cluster für Ihren Azure Kubernetes Service-Cluster, um den Netzwerkdatenverkehr zwischen Ihrem API-Server und Ihren Knotenpools auf das private Netzwerk zu beschränken. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. | Audit, Deny, Disabled | 1.0.1 |
| Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. | Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) erweitert Gatekeeper v3, einen OPA-Webhook (Open Policy Agent) für die Zugangssteuerung, um umfassende Durchsetzungen und Schutzvorrichtungen für Ihre Cluster zentral und konsistent anzuwenden. | Audit, Disabled | 1.0.2 |
| Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden | Das Verschlüsseln von Datenträgern für Betriebssystem und Daten mithilfe von kundenseitig verwalteten Schlüsseln bietet mehr Kontrolle und größere Flexibilität bei der Schlüsselverwaltung. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. | Audit, Deny, Disabled | 1.0.1 |
| Azure Arc-fähige Kubernetes-Cluster für die Installation der Azure Policy-Erweiterung konfigurieren | Stellen Sie die Azure Policy-Erweiterung für Azure Arc bereit, um skalierbare Erzwingungs- und Schutzfunktionen zentral und einheitlich für Kubernetes-Cluster mit Arc-Unterstützung zur Verfügung zu stellen. Weitere Informationen finden Sie unter https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurieren des Azure Kubernetes Service-Clusters zum Aktivieren des Defender-Profils | Microsoft Defender für Container bietet cloudnative Kubernetes-Sicherheitsfunktionen wie Umgebungshärtung, Workloadschutz und Laufzeitschutz. Wenn Sie SecurityProfile.Defender in Ihrem Azure Kubernetes Service-Cluster aktivieren, wird ein Agent in Ihrem Cluster bereitgestellt, um Sicherheitsereignisdaten zu sammeln. Erfahren Sie mehr über Microsoft Defender für Container: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Disabled | 4.1.0 |
| Konfigurieren der Installation der Flux-Erweiterung im Kubernetes-Cluster | Installieren Sie die Flux-Erweiterung im Kubernetes-Cluster, um die Bereitstellung von „fluxconfigurations“ im Cluster zu aktivieren. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Bucketquelle und Geheimnissen in Key Vault | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Bucket abrufen. Für diese Definition ist ein Bucket-SecretKey erforderlich, der in Key Vault gespeichert ist. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und HTTPS-Zertifikat der Zertifizierungsstelle | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition ist ein HTTPS-Zertifikat der Zertifizierungsstelle erforderlich. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und HTTPS-Geheimnissen | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition ist ein HTTPS-Schlüsselgeheimnis erforderlich, das in Key Vault gespeichert ist. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und lokalen Geheimnissen | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition sind lokale Authentifizierungsgeheimnisse erforderlich, die im Kubernetes-Cluster gespeichert sind. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und SSH-Geheimnissen | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition ist ein privates SSH-Schlüsselgeheimnis erforderlich, das in Key Vault gespeichert ist. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels einem öffentlichen Git-Repository | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition werden keine Geheimnisse benötigt. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Kubernetes-Clustern mit der angegebenen Flux v2-Bucketquelle mittels lokalen Geheimnissen | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Bucket abrufen. Für diese Definition sind lokale Authentifizierungsgeheimnisse erforderlich, die im Kubernetes-Cluster gespeichert sind. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-Cluster mit der angegebenen GitOps-Konfiguration unter Verwendung von HTTPS-Geheimnissen konfigurieren | Hiermit wird durch eine Bereitstellung von „sourceControlConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition müssen HTTPS-Benutzer und -Schlüsselgeheimnisse in Key Vault gespeichert werden. Anweisungen finden Sie unter https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 1.1.0 |
| Kubernetes-Clustern mit der angegebenen GitOps-Konfiguration ohne Verwendung von Geheimnissen konfigurieren | Hiermit wird durch eine Bereitstellung von „sourceControlConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition werden keine Geheimnisse benötigt. Anweisungen finden Sie unter https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 1.1.0 |
| Kubernetes-Cluster mit der angegebenen GitOps-Konfiguration unter Verwendung von SSH-Geheimnissen konfigurieren | Hiermit wird durch eine Bereitstellung von „sourceControlConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition muss ein Geheimnis für einen privaten SSH-Schlüssel in Key Vault gespeichert werden. Anweisungen finden Sie unter https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 1.1.0 |
| Mit Microsoft Entra ID integrierte Azure Kubernetes Service-Cluster mit erforderlichem Administratorgruppenzugriff konfigurieren | Stellen Sie sicher, dass Sie die Clustersicherheit verbessern, indem Sie den Administratorzugriff auf die in Microsoft Entra ID integrierten AKS-Cluster zentral steuern. | DeployIfNotExists, Disabled | 2.1.0 |
| Konfigurieren des automatischen Upgrades des Knotenbetriebssystems auf Azure Kubernetes Cluster | Verwenden Sie das automatische Upgrade des Node OS, um Betriebssystem-Sicherheitsupdates auf Knotenebene von Azure Kubernetes Service (AKS)-Clustern zu steuern. Weitere Informationen finden Sie unter https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, Disabled | 1.0.1 |
| Bereitstellen: Diagnoseeinstellungen für Azure Kubernetes Service in Log Analytics-Arbeitsbereich konfigurieren | Hiermit werden die Diagnoseeinstellungen für Azure Kubernetes Service bereitgestellt, um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu streamen. | DeployIfNotExists, Disabled | 3.0.0 |
| Azure Policy-Add-On für Azure Kubernetes Service-Cluster bereitstellen | Verwenden Sie das Azure Policy-Add-On, um den Konformitätsstatus Ihrer AKS-Cluster (Azure Kubernetes Service) zu verwalten und zu melden. Weitere Informationen finden Sie unter https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 4.1.0 |
| Bereitstellen von Image Cleaner auf Azure Kubernetes Service | Stellen Sie Image Cleaner auf Azure Kubernetes-Clustern bereit. Weitere Informationen finden Sie unter https://aka.ms/aks/image-cleaner. | DeployIfNotExists, Disabled | 1.0.4 |
| Bereitstellen der geplanten Wartung zum Planen und Steuern von Upgrades für Ihren Azure Kubernetes Service (AKS)-Cluster | Mit der geplanten Wartung können Sie wöchentliche Wartungsfenster planen, um Updates durchzuführen und die Auswirkungen auf Workloads zu minimieren. Nach der Planung werden Upgrades nur noch während des festgelegten Zeitfensters durchgeführt. Weitere Informationen finden Sie unter: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Deaktivieren des Befehlsaufrufs in Azure Kubernetes Service-Clustern | Das Deaktivieren des Befehlsaufrufs kann die Sicherheit erhöhen, da der Befehlsaufrufzugriff auf den Cluster abgelehnt wird. | DeployIfNotExists, Disabled | 1.2.0 |
| Stellen Sie sicher, dass für Clustercontainer Bereitschafts- oder Livetests konfiguriert sind | Diese Richtlinie erzwingt, dass für alle Pods Bereitschafts- und/oder Livetests konfiguriert sind. Testtypen können tcpSocket, httpGet und exec sein. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Anweisungen zur Verwendung dieser Richtlinie finden Sie unter https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.2.0 |
| CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten | Hiermit werden Ressourcenlimits für Container-CPU und Arbeitsspeicher erzwungen, um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.2.0 |
| Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben | Hiermit wird verhindert, dass Podcontainer die Namespaces für Hostprozess-ID und Host-IPC in einem Kubernetes-Cluster freigeben. Diese Empfehlung ist Bestandteil von CIS 5.2.2 und CIS 5.2.3, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.1.0 |
| Container in einem Kubernetes-Cluster dürfen keine unzulässigen sysctl-Schnittstellen verwenden | Hiermit wird verhindert, dass Container unzulässige sysctl-Schnittstellen in einem Kubernetes-Cluster verwenden. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.1 |
| Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | Hiermit wird sichergestellt, dass Container nur zugelassene AppArmor-Profile in einem Kubernetes-Cluster verwenden dürfen. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.1.1 |
| Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | Hiermit wird durch eine Einschränkung von Funktionen die Angriffsfläche von Containern in einem Kubernetes-Cluster verringert. Diese Empfehlung ist Bestandteil von CIS 5.2.8 und CIS 5.2.9, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.1.0 |
| Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | Hiermit werden Images aus vertrauenswürdigen Registrierungen verwendet. So wird das Risiko einer Einführung unbekannter Schwachstellen, Sicherheitsprobleme und schädlicher Images für Ihren Kubernetes-Clusters verringert. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.2.0 |
| Container in einem Kubernetes-Cluster dürfen nur einen zulässigen ProcMountType verwenden | Hiermit wird sichergestellt, dass Podcontainer nur zugelassene ProcMountTypes in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.1.1 |
| Kubernetes-Clustercontainer dürfen nur zulässige Pullrichtlinien verwenden. | Einschränken der Pullrichtlinie von Containern, um zu erzwingen, dass Container nur zulässige Images für Bereitstellungen verwenden | Audit, Deny, Disabled | 3.1.0 |
| Container in einem Kubernetes-Cluster dürfen nur zulässige seccomp-Profile verwenden | Hiermit wird sichergestellt, dass Podcontainer nur zugelassene seccomp-Profile in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.1 |
| Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | Hiermit werden Container mit einem schreibgeschützten Stammdateisystem ausgeführt. So werden Container vor Änderungen zur Laufzeit geschützt, bei denen in einem Kubernetes-Cluster schädliche Binärdateien in PATH eingefügt werden. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
| Pods in einem Kubernetes-Cluster dürfen nur zulässige FlexVolume-Volumes verwenden | Hiermit wird sichergestellt, dass FlexVolume-Podvolumes in einem Kubernetes-Cluster nur zugelassene Treiber verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.1.1 |
| Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | Hiermit wird die Bereitstellung von Pod HostPath-Volumes auf die zugelassenen Hostpfade in einem Kubernetes-Cluster beschränkt. Diese Richtlinie ist für Kubernetes Service (AKS) und Azure Arc-fähiges Kubernetes allgemein verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.1.1 |
| Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | Hiermit werden die IDs für Benutzer, primäre Gruppen, zusätzliche Gruppen und Dateisystemgruppen gesteuert, die Pods und Container zur Ausführung in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.1.1 |
| Kubernetes-Clusterpods und -container dürfen nur zulässige SELinux-Optionen verwenden. | Hiermit wird sichergestellt, dass Pods und Container nur zugelassene SELinux-Optionen in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.1 |
| Pods in Kubernetes-Clustern dürfen nur zulässige Volumetypen verwenden | Hiermit wird sichergestellt, dass Pods nur zugelassene Volumetypen in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.1.1 |
| Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden | Schränken Sie den Podzugriff auf das Hostnetzwerk und den zulässigen Hostportbereich in einem Kubernetes-Cluster ein. Diese Empfehlung ist Teil von CIS 5.2.4, um die Sicherheit Ihrer Kubernetes-Umgebungen zu verbessern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.1.0 |
| Pods in einem Kubernetes-Cluster müssen die angegebenen Bezeichnungen verwenden | Hiermit werden die angegebenen Bezeichnungen verwendet, um die Pods in einem Kubernetes-Cluster zu identifizieren. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.0 |
| Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | Hiermit wird erzwungen, dass Dienste nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.1.0 |
| Von Kubernetes-Clusterdiensten dürfen nur zulässige externe IP-Adressen verwendet werden. | Verwenden Sie zulässige externe IP-Adressen, um den potenziellen Angriff (CVE-2020-8554) in einem Kubernetes-Cluster zu vermeiden. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.1.0 |
| Kubernetes-Cluster dürfen keine privilegierten Container zulassen | Hiermit wird verhindert, dass privilegierte Container in einem Kubernetes-Cluster erstellt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.1, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.1.0 |
| Kubernetes-Cluster sollten keine Naked Pods verwenden | Blockieren Sie die Verwendung von Naked Pods. Naked Pods werden im Falle eines Knotenausfalls nicht neu geplant. Pods sollten durch Deployment, Replicset, Daemonset oder Jobs verwaltet werden. | Audit, Deny, Disabled | 2.1.0 |
| Windows-Container in Kubernetes-Clustern sollten CPU und Arbeitsspeicher nicht überlasten | Windows-Containerressourcenanforderungen müssen höchstens dem Ressourcenlimit entsprechen oder nicht angegeben sein, um einen übermäßigen Commit zu vermeiden. Wenn der Windows-Arbeitsspeicher überlastet ist, verarbeitet er Seiten auf dem Datenträger, anstatt den Container mit dem Fehler „Nicht genügend Arbeitsspeicher“ zu beenden. Dies kann die Leistung beeinträchtigen. | Audit, Deny, Disabled | 2.1.0 |
| Windows-Container in Kubernetes-Clustern sollten nicht als ContainerAdministrator ausgeführt werden. | Verhindern Sie die Verwendung von ContainerAdministrator als Benutzer*in zum Ausführen der Containerprozesse für Windows-Pods oder -Container. Diese Empfehlung soll die Sicherheit von Windows-Knoten verbessern. Weitere Informationen finden Sie unter https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, Disabled | 1.1.0 |
| Windows-Container in Kubernetes-Clustern dürfen nur mit genehmigten Benutzer- und Domänenbenutzergruppen ausgeführt werden | Steuern Sie den Benutzer, mit dem Windows-Pods und -Container in einem Kubernetes-Cluster ausgeführt werden können. Diese Empfehlung ist Teil der Podsicherheitsrichtlinien auf Windows-Knoten, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. | Audit, Deny, Disabled | 2.1.0 |
| Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.1.0 |
| Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden | Deaktivieren Sie die automatische Bereitstellung von API-Anmeldeinformationen, damit eine potenziell kompromittierte Podressource keine API-Befehle für Kubernetes-Cluster ausführen kann. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 4.1.0 |
| Kubernetes-Cluster sollten sicherstellen, dass die Rolle „Clusteradministrator*in“ nur bei Bedarf verwendet wird | Die Rolle „Clusteradministrator*in“ bietet umfassende Befugnisse über die Umgebung und sollte nur bei Bedarf verwendet werden. | Audit, Disabled | 1.0.0 |
| Kubernetes-Cluster sollten die Verwendung von Platzhaltern in Rollen und Clusterrollen minimieren | Die Verwendung des Platzhalterzeichens „*“ kann ein Sicherheitsrisiko darstellen, da es umfassende Berechtigungen gewährt, die für eine bestimmte Rolle möglicherweise nicht erforderlich sind. Wenn eine Rolle über zu viele Berechtigungen verfügt, kann sie von Angreifer*innen oder kompromittierten Benutzer*innen missbraucht werden, um nicht autorisierten Zugriff auf Ressourcen im Cluster zu erhalten. | Audit, Disabled | 1.0.0 |
| Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | Hiermit wird verhindert, dass Container mit einer Rechteausweitung auf „Root“ in einem Kubernetes-Cluster ausgeführt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.5, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.0 |
| Kubernetes-Cluster dürfen keine Berechtigungen zum Bearbeiten von Endpunkten von ClusterRole/System zulassen: Aggregate-to-Edit | ClusterRole/System: „Aggregate-to-Edit“ darf keine Berechtigungen zum Bearbeiten von Endpunkten zulassen, da aufgrund von CVE-2021-25740 EndPoint- und EndpointSlice-Berechtigungen die namespaceübergreifende Weiterleitung zulassen (https://github.com/kubernetes/kubernetes/issues/103675). Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Audit, Disabled | 3.1.0 |
| Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren | Schränken Sie CAP_SYS_ADMIN-Linux-Funktionen ein, um die Angriffsfläche Ihrer Container zu verringern. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.1.0 |
| Kubernetes-Cluster dürfen keine spezifischen Sicherheitsfunktionen verwenden | Unterbinden Sie bestimmte Sicherheitsfunktionen in Kubernetes-Clustern, um nicht erteilte Berechtigungen für die Podressource zu vermeiden. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.1.0 |
| Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden | Verhindern Sie die Verwendung des Standardnamespace in Kubernetes-Clustern, um ConfigMap-, Pod-, Geheimnis-, Dienst- und Dienstkontoressourcen vor einem nicht autorisierten Zugriff zu schützen. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 4.1.0 |
| Kubernetes-Cluster sollten Container Storage Interface(CSI)-Treiber StorageClass verwenden | Container Storage Interface (CSI) ist ein Standard für die Bereitstellung beliebiger Block- und Dateispeichersysteme für containerisierte Workloads in Kubernetes. Die In-Tree-Provisioner-StorageClass sollte seit AKS-Version 1.21 veraltet sein. Weitere Informationen finden Sie unter https://aka.ms/aks-csi-driver | Audit, Deny, Disabled | 2.2.0 |
| Kubernetes-Cluster müssen interne Lastenausgleichsmodule verwenden | Hiermit wird über interne Lastenausgleichsmodule sichergestellt, dass eine Kubernetes Service-Instanz nur für Anwendungen zugänglich sind, die im selben virtuellen Netzwerk wie der Kubernetes-Cluster ausgeführt werden. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.1.0 |
| Kubernetes-Ressourcen sollten die erforderlichen Anmerkungen haben | Stellen Sie sicher, dass erforderliche Anmerkungen an eine bestimmte Kubernetes-Ressourcenart angefügt werden, um die Ressourcenverwaltung Ihrer Kubernetes-Ressourcen zu verbessern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.1.0 |
| Ressourcenprotokolle müssen im Azure Kubernetes Service aktiviert sein | Azure Kubernetes Service-Ressourcenprotokolle können bei der Untersuchung von Sicherheitsvorfällen dabei helfen, Aktivitätspfade neu zu erstellen. Aktivieren Sie diese Option, um sicherzustellen, dass die Protokolle bei Bedarf vorhanden sind. | AuditIfNotExists, Disabled | 1.0.0 |
| Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. | Um die Datensicherheit zu erhöhen, sollten die auf dem VM-Host Ihrer Azure Kubernetes Service-Knoten-VMs gespeicherten Daten im Ruhezustand verschlüsselt werden. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. | Audit, Deny, Disabled | 1.0.1 |
Lab Services
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Lab-Dienste sollten alle Optionen für das automatische Herunterfahren aktivieren | Diese Richtlinie bietet Hilfe beim Kostenmanagement, indem erzwungen wird, dass alle Optionen für ein automatisches Herunterfahren für ein Lab aktiviert werden. | Audit, Deny, Disabled | 1.1.0 |
| Lab-Dienste sollten keine Vorlagen-VMs für Labs zulassen | Diese Richtlinie verhindert die Erstellung und Anpassung einer Vorlagen-VM für Labs, die über Lab-Dienste verwaltet werden. | Audit, Deny, Disabled | 1.1.0 |
| Lab-Dienste sollten einen Nicht-Administratorbenutzer für Labs erfordern | Diese Richtlinie erfordert, dass Nicht-Administratorbenutzerkonten für die Labs erstellt werden, die über Lab-Dienste verwaltet werden. | Audit, Deny, Disabled | 1.1.0 |
| Lab-Dienste sollten zulässige VM-SKU-Größen einschränken | Mit dieser Richtlinie können Sie bestimmte Compute-VM-SKUs für Labs einschränken, die über Lab-Dienste verwaltet werden. Damit werden bestimmte VM-Größen eingeschränkt. | Audit, Deny, Disabled | 1.1.0 |
Lighthouse
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Allow managing tenant ids to onboard through Azure Lighthouse (Verwaltungsmandanten-IDs das Onboarding über Azure Lighthouse gestatten) | Das Beschränken der Azure Lighthouse-Delegierungen auf bestimmte Verwaltungsmandanten erhöht die Sicherheit, da sich der Personenkreis verkleinert, der Ihre Azure-Ressourcen verwalten kann. | deny | 1.0.1 |
| Delegierung von Bereichen an Verwaltungsmandanten überwachen | Hiermit wird die Delegierung von Bereichen an einen Verwaltungsmandanten über Azure Lighthouse überwacht. | Audit, Disabled | 1.0.0 |
Logic Apps
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Logic Apps-Integrationsdienstumgebung muss mit kundenseitig verwalteten Schlüsseln verschlüsselt werden | Führen Sie eine Bereitstellung in einer Integrationsdienstumgebung durch, um die Verschlüsselung ruhender Logic Apps-Daten mithilfe kundenseitig verwalteter Schlüssel zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. | Audit, Deny, Disabled | 1.0.0 |
| Logic Apps muss in Integrationsdienstumgebung bereitgestellt werden | Durch das Bereitstellen von Logic Apps in einer Integrationsdienstumgebung in einem virtuellen Netzwerk werden erweiterte Logic Apps-Netzwerkfeatures und -Sicherheitsfeatures freigeschaltet, und Sie erhalten mehr Kontrolle über Ihre Netzwerkkonfiguration. Weitere Informationen finden Sie unter https://aka.ms/integration-service-environment. Durch die Bereitstellung in einer Integrationsdienstumgebung ist es außerdem möglich, eine Verschlüsselung mit kundenseitig verwalteten Schlüsseln durchzuführen. Diese Option bietet erweiterten Datenschutz, weil Sie Ihre Verschlüsselungsschlüssel selbst verwalten können. Dies ist häufig erforderlich, um die Konformitätsanforderungen zu erfüllen. | Audit, Deny, Disabled | 1.0.0 |
| In Logic Apps müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.1.0 |
Machine Learning
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Registrierungsbereitstellungen des Azure Machine Learning-Modells sind eingeschränkt mit Ausnahme der zulässigen Registrierung | Stellen Sie Registrierungsmodelle nur in der zulässigen Registrierung bereit und die nicht eingeschränkt sind. | Verweigern, deaktiviert | 1.0.0-preview |
| Azure Machine Learning Compute-Instanz sollte im Leerlauf heruntergefahren werden. | Durch einen Zeitplan für Herunterfahren im Leerlauf werden Kosten reduziert, indem Computeressourcen heruntergefahren werden, die sich nach einem vordefinierten Aktivitätszeitraum im Leerlauf befinden. | Audit, Deny, Disabled | 1.0.0 |
| Azure Machine Learning-Computeinstanzen sollten neu erstellt werden, um die neuesten Softwareupdates zu erhalten. | Stellen Sie sicher, dass Azure Machine Learning-Computeinstanzen unter dem neuesten verfügbaren Betriebssystem ausgeführt werden. Die Sicherheit wird verbessert und Sicherheitsrisiken werden verringert, indem sie mit den neuesten Sicherheitspatches ausgeführt werden. Weitere Informationen finden Sie unter https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Azure Machine Learning Computeressourcen sollten sich in einem virtuellen Netzwerk befinden | Azure Virtual Networks bieten ein höheres Maß an Sicherheit und Isolation sowohl für Ihre Azure Machine Learning Compute-Cluster und -Instanzen als auch für Ihre Subnetze. Sie profitieren außerdem von Richtlinien für die Zugriffssteuerung sowie von weiteren Features zur Einschränkung des Zugriffs. Wenn eine Computeressource mit einem virtuellen Netzwerk konfiguriert wird, ist sie nicht öffentlich adressierbar, und auf das virtuelle Netzwerk kann nur über VMs und Anwendungen innerhalb des virtuellen Netzwerks zugegriffen werden. | Audit, Disabled | 1.0.1 |
| Bei Azure Machine Learning-Computeressourcen sollten lokale Authentifizierungsmethoden deaktiviert sein | Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch sichergestellt wird, dass Machine Learning-Computeressourcen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/azure-ml-aad-policy. | Audit, Deny, Disabled | 2.1.0 |
| Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden. | Verwalten Sie die Verschlüsselung ruhender Daten für Daten im Azure Machine Learning-Arbeitsbereich mit kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.0.3 |
| Für Azure Machine Learning-Arbeitsbereiche sollte der Zugriff über öffentliche Netzwerke deaktiviert sein | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da die Machine Learning-Arbeitsbereiche nicht über das öffentliche Internet verfügbar sind. Sie können die Offenlegung von Arbeitsbereichen steuern, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. | Audit, Deny, Disabled | 2.0.1 |
| Azure Machine Learning-Arbeitsbereiche sollten V1LegacyMode aktivieren, um die Abwärtskompatibilität der Netzwerkisolation zu unterstützen | Derzeit erfolgt ein Übergang von Azure ML zu einer neuen V2-API-Plattform in Azure Resource Manager. Sie können die API-Plattformversion mit dem V1LegacyMode-Parameter steuern. Durch das Aktivieren des V1LegacyMode-Parameters können Sie die Netzwerkisolation von V1 für Ihre Arbeitsbereiche, obwohl die neuen V2-Features nicht verfügbar sind. Es wird empfohlen, den V1-Legacymodus nur zu aktivieren, wenn Sie die Daten der AzureML-Steuerungsebene in Ihren privaten Netzwerken beibehalten möchten. Weitere Informationen finden Sie unter https://aka.ms/V1LegacyMode. | Audit, Deny, Disabled | 1.0.0 |
| Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Azure Machine Learning-Arbeitsbereiche müssen eine benutzerseitig zugewiesene verwaltete Identität verwenden | Verwalten Sie den Zugriff auf den Azure ML-Arbeitsbereich und die zugehörigen Ressourcen, Azure Container Registry, Key Vault, Storage und App Insights mithilfe einer benutzerseitig zugewiesenen verwalteten Identität. Standardmäßig verwendet der Azure ML-Arbeitsbereich eine systemseitig zugewiesene verwaltete Identität für den Zugriff auf die zugehörigen Ressourcen. Bei Verwendung einer benutzerseitig zugewiesenen verwalteten Identität können Sie die Identität als Azure-Ressource erstellen und den Lebenszyklus dieser Identität verwalten. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Audit, Deny, Disabled | 1.0.0 |
| Azure Machine Learning-Computeressourcen zum Deaktivieren lokaler Authentifizierungsmethoden konfigurieren | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Machine Learning-Computeressourcen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/azure-ml-aad-policy. | Modify, Disabled | 2.1.0 |
| Azure Machine Learning-Arbeitsbereich für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Azure Machine Learning-Arbeitsbereiche aufzulösen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
| Azure Machine Learning-Arbeitsbereiche für das Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie den Zugriff auf das öffentliche Netzwerk für Azure Machine Learning-Arbeitsbereiche, damit Ihre Arbeitsbereiche nicht über das öffentliche Internet zugänglich sind. Dies trägt zum Schutz der Arbeitsbereiche vor Datenlecks bei. Sie können die Offenlegung von Arbeitsbereichen steuern, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Modify, Disabled | 1.0.3 |
| Azure Machine Learning-Arbeitsbereiche mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Machine Learning-Arbeitsbereich können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Diagnoseeinstellungen für Azure Machine Learning-Arbeitsbereiche im Log Analytics-Arbeitsbereich | Stellt die Diagnoseeinstellungen für den Azure Machine Learning-Arbeitsbereich bereit, um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu streamen, wenn ein Azure Machine Learning-Arbeitsbereich erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 1.0.1 |
| Ressourcenprotokolle im Azure Machine Learning-Arbeitsbereich sollten aktiviert sein. | Ressourcenprotokolle ermöglichen es, vergangene Aktivitäten nachzuvollziehen, wenn es zu einem Sicherheitsvorfall kommt oder Ihr Netzwerk kompromittiert wird. | AuditIfNotExists, Disabled | 1.0.1 |
Verwaltete Anwendung
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Die Anwendungsdefinition für die verwaltete Anwendung sollte ein vom Kunden angegebenes Speicherkonto verwenden. | Verwenden Sie Ihr eigenes Speicherkonto, um die Anwendungsdefinitionsdaten zu steuern, wenn dies gesetzlich vorgeschrieben ist oder als Konformitätsanforderung gilt. Sie können die Definition der verwalteten Anwendung in einem von Ihnen während der Erstellung angegebenen Speicherkonto speichern. Dadurch können sein Speicherort und der Zugriff zur Erfüllung Ihrer gesetzlichen Konformitätsanforderungen vollständig von Ihnen verwaltet werden. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Zuordnungen für eine verwaltete Anwendung bereitstellen | Hiermit wird eine Zuordnungsressource bereitgestellt, die der angegebenen verwalteten Anwendung ausgewählte Ressourcentypen zuordnet. Diese Richtlinienbereitstellung unterstützt keine geschachtelten Ressourcentypen. | deployIfNotExists | 1.0.0 |
Grafana (verwaltet)
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Managed Grafana muss private Verbindung verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch Zuordnen privater Endpunkte zu Managed Grafana können Sie das Risiko von Datenlecks verringern. | Audit, Disabled | 1.0.0 |
| Für Azure Managed Grafana-Arbeitsbereiche muss der Zugriff über öffentliche Netzwerke deaktiviert sein | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Ihr Azure Managed Grafana-Arbeitsbereich nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihrer Arbeitsbereiche einschränken. | Audit, Deny, Disabled | 1.0.0 |
| Konfigurieren von Azure Managed Grafana-Dashboards mit privaten Endpunkten | Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch Zuordnen privater Endpunkte zu Azure Managed Grafana können Sie das Risiko von Datenlecks verringern. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Azure Managed Grafana-Arbeitsbereichen, um den Zugriff über öffentliche Netzwerke zu deaktivieren | Deaktivieren Sie für Ihren Azure Managed Grafana-Arbeitsbereich den Zugriff über öffentliche Netzwerke, sodass er nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. | Modify, Disabled | 1.0.0 |
| Azure Managed Grafana-Arbeitsbereiche für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Azure Managed Grafana-Arbeitsbereiche aufzulösen. | DeployIfNotExists, Disabled | 1.0.0 |
Verwaltete Identität
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Verbundanmeldeinformationen für verwaltete Identitäten aus Azure Kubernetes müssen aus vertrauenswürdigen Quellen stammen | Diese Richtlinie beschränkt den Verbund mit Azure Kubernetes-Clustern auf Cluster von genehmigten Mandanten und genehmigten Regionen sowie eine bestimmte Ausnahmeliste mit zusätzlichen Clustern. | Audit, Disabled, Deny | 1.0.0-preview |
| [Vorschau]: Verbundanmeldeinformationen für verwaltete Identitäten aus Github müssen von vertrauenswürdigen Repositorybesitzern stammen | Diese Richtlinie beschränkt den Verbund mit Github-Repositorys auf genehmigte Repositorybesitzer. | Audit, Disabled, Deny | 1.0.1-preview |
| [Vorschau]: Verbundanmeldeinformationen für verwaltete Identitäten müssen von zulässigen Zertifikatausstellertypen stammen | Diese Richtlinie schränkt ein, ob verwaltete Identitäten Verbundanmeldeinformationen verwenden können, welche gängigen Zertifikatausstellertypen zulässig sind, und stellt eine Liste der zulässigen Zertifikatausstellerausnahmen bereit. | Audit, Disabled, Deny | 1.0.0-preview |
| [Vorschau]: Zuweisen einer integrierten benutzerseitig zugewiesenen verwalteten Identität zu VM-Skalierungsgruppen | Erstellen Sie eine integrierte, benutzerseitig zugewiesene, verwaltete Identität, und weisen Sie sie zu, oder weisen Sie eine vorab erstellte, benutzerseitig zugewiesene, verwaltete Identität im großen Stil VM-Skalierungsgruppen zu. Ausführlichere Dokumentation finden Sie unter aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.6-preview |
| [Vorschau]: Zuweisen einer integrierten benutzerseitig zugewiesenen verwalteten Identität zu virtuellen Computern | Erstellen Sie eine integrierte, benutzerseitig zugewiesene, verwaltete Identität, und weisen Sie sie zu, oder weisen Sie eine vorab erstellte, benutzerseitig zugewiesene, verwaltete Identität im großen Stil VMs zu. Ausführlichere Dokumentation finden Sie unter aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.6-preview |
Maps
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| CORS sollte nicht allen Ressourcen den Zugriff auf das Zuordnungskonto erlauben. | CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihr Zuordnungskonto erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrem Zuordnungskonto. | Deaktiviert, Überprüfen, Verweigern | 1.0.0 |
Media Services
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Media Services-Konten müssen den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Media Services-Ressourcen nicht über das öffentliche Internet zugänglich sind. Private Endpunkte können die Verfügbarkeit von Media Services-Ressourcen einschränken. Weitere Informationen finden Sie unter https://aka.ms/mediaservicesprivatelinkdocs. | Audit, Deny, Disabled | 1.0.0 |
| Azure Media Services-Konten sollten ein API verwenden, welches Private Link unterstützt | Media Services-Konten sollten mit einem API erstellt werden, welches Private Link unterstützt. | Audit, Deny, Disabled | 1.0.0 |
| Azure Media Services-Konten, die Zugriff auf die Legacy-API (v2) erlauben, sollten blockiert werden | Die Media Services Legacy-API (v2) gestattet Anforderungen, die nicht über Azure Policy verwaltet werden können. Media Services-Ressourcen, die mit der API vom 01.05.2020 oder neuer erstellt wurden, blockieren den Zugriff auf die Legacy-API (v2). | Audit, Deny, Disabled | 1.0.0 |
| Azure Media Services-Richtlinien für symmetrische Schlüssel sollten die Tokenauthentifizierung verwenden | Richtlinien für symmetrische Schlüssel definieren die Bedingungen, die für den Zugriff auf symmetrische Schlüssel erfüllt sein müssen. Eine Tokeneinschränkung stellt sicher, dass nur Benutzer mit gültigen Token von einem Authentifizierungsdienst, z. B. Microsoft Entra ID, auf symmetrische Schlüssel zugreifen können. | Audit, Deny, Disabled | 1.0.1 |
| Azure Media Services-Aufträge mit HTTPS-Eingaben sollten Eingabe-URIs auf zulässige URI-Muster begrenzen | Beschränken Sie HTTPS-Eingaben, die von Media Services-Aufträgen verwendet werden, auf bekannte Endpunkte. Eingaben von HTTPS-Endpunkten können vollständig deaktiviert werden, indem eine leere Liste mit zulässigen Auftragseingabemustern festgelegt wird. Wenn in Auftragseingaben ein „baseUri“ angegeben wird, werden die Muster mit diesem Wert abgeglichen. Wenn „baseUri“ nicht festgelegt ist, wird das Muster mit der „files“-Eigenschaft abgeglichen. | Verweigern, deaktiviert | 1.0.1 |
| Azure Media Services-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihres Media Services-Kontos zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/mediaservicescmkdocs. | Audit, Deny, Disabled | 1.0.0 |
| Azure Media Services muss Private Link verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Media Service können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Media Services für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Media Services-Konten aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Azure Media Services mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Media Service können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
Migrate
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Migrate-Ressourcen für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Ihr Azure Migrate-Projekt aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
Mobilfunknetz
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Konfigurieren des Diagnosezugriffs auf die Packet Core-Steuerungsebene für die Verwendung des Authentifizierungstyps Microsoft EntraID | Der Authentifizierungstyp muss Microsoft EntraID für den Packet Core-Diagnosezugriff über lokale APIs sein | Modify, Disabled | 1.0.0 |
| Der Diagnosezugriff auf Packet Core-Steuerungsebene sollte nur den Microsoft EntraID-Authentifizierungstyp verwenden | Der Authentifizierungstyp muss Microsoft EntraID für den Packet Core-Diagnosezugriff über lokale APIs sein | Audit, Deny, Disabled | 1.0.0 |
| SIM-Gruppe sollte vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln | Verwenden Sie vom Kunden verwaltete Schlüssel, um die Verschlüsselung ruhender SIM-Geheimnisse in einer SIM-Gruppe zu verwalten. Vom Kunden verwaltete Schlüssel sind in der Regel erforderlich, um regulatorische Compliancestandards zu erfüllen, und sie ermöglichen es Ihnen, die Daten mit einem Azure Key Vault-Schlüssel zu verschlüsseln, der von Ihnen erstellt wurde und Ihnen gehört. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. | Audit, Deny, Disabled | 1.0.0 |
Überwachung
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Konfigurieren Sie Azure Arc-fähige Linux-Computer mit Log Analytics-Agents, die mit dem Log Analytics-Standardarbeitsbereich verbunden sind | Schützen Sie Ihre Azure Arc-fähigen Linux-Computer mit Microsoft Defender für Cloud-Funktionen, indem Sie Log Analytics-Agents installieren, die Daten an einen von Microsoft Defender für Cloud erstellten Log Analytics-Standardarbeitsbereich senden. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Konfigurieren Sie Azure Arc-fähige Windows-Computer mit Log Analytics-Agents, die mit dem Log Analytics-Standardarbeitsbereich verbunden sind | Schützen Sie Ihre Azure Arc-fähigen Windows-Computer mit Microsoft Defender für Cloud-Funktionen, indem Sie Log Analytics-Agents installieren, die Daten an einen von Microsoft Defender für Cloud erstellten Log Analytics-Standardarbeitsbereich senden. | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Vorschau]: Konfigurieren einer systemseitig zugewiesenen verwalteten Identität zum Aktivieren von Azure Monitor-Zuweisungen auf VMs | Konfigurieren Sie eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs, die von Azure Monitor unterstützt werden und über keine systemseitig zugewiesene verwaltete Identität verfügen. Eine systemseitig zugewiesene verwaltete Identität ist Voraussetzung für sämtliche Azure Monitor-Zuweisungen und muss den Computern zugewiesen werden, bevor eine Azure Monitor-Erweiterung verwendet wird. Ziel-VMs müssen sich an einem unterstützten Standort befinden. | Modify, Disabled | 6.0.0-preview |
| [Vorschau]: Die Log Analytics-Erweiterung sollte für die aufgeführten VM-Images aktiviert sein | Meldet virtuelle Computer als nicht konform, wenn das VM-Image nicht in der definierten Liste vorhanden und die Erweiterung nicht installiert ist. | AuditIfNotExists, Disabled | 2.0.1-preview |
| [Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Linux installiert sein | Diese Richtlinie überwacht Azure Arc-Computer unter Linux, wenn die Log Analytics-Erweiterung nicht installiert ist. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Windows installiert sein | Diese Richtlinie überwacht Azure Arc-Computer unter Windows, wenn die Log Analytics-Erweiterung nicht installiert ist. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Das Aktivitätsprotokoll muss mindestens ein Jahr lang aufbewahrt werden | Diese Richtlinie überwacht das Aktivitätsprotokoll, wenn die Aufbewahrung nicht auf 365 Tage oder unbegrenzt (Festlegung der Aufbewahrungstage auf 0) festgelegt ist. | AuditIfNotExists, Disabled | 1.0.0 |
| Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Für bestimmte Richtlinienvorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte Richtlinienvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 3.0.0 |
| Für bestimmte Sicherheitsvorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte Sicherheitsvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Protokollerfassung und -abfrage aus öffentlichen Netzwerken in Application Insights-Komponenten blockieren | Verbessern Sie die Sicherheit von Application Insights, indem Sie die Protokollerfassung und -abfrage aus öffentlichen Netzwerken blockieren. Nur über eine private Verbindung verbundene Netzwerke können Protokolle dieser Komponente erfassen und abfragen. Weitere Informationen finden Sie unter https://aka.ms/AzMonPrivateLink#configure-application-insights. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Komponenten von Application Insights sollten eine Erfassung, die nicht auf Azure Active Directory basiert, blockieren. | Wenn eine Azure Active Directory-Authentifizierung für die Protokollerfassung erzwungen wird, werden nicht authentifizierte Protokolle von Angreifern verhindert, welche zu einem falschen Status, falschen Warnungen und falschen Protokollen führen können, die im System gespeichert werden. | Deny, Audit, Disabled | 1.0.0 |
| Komponenten von Application Insights, bei denen Private Link aktiviert ist, sollten „Bring Your Own Storage“-Konten für Profiler und Debugger verwenden. | Erstellen Sie Ihr eigenes Speicherkonto für Profiler und Debugger, um Private Link und kundenseitig verwaltete Schlüsselrichtlinien zu unterstützen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage | Deny, Audit, Disabled | 1.0.0 |
| Hiermit wird die Diagnoseeinstellung für ausgewählte Ressourcentypen überwacht. | Überwachen der Diagnoseeinstellung für ausgewählte Ressourcentypen. Achten Sie darauf, nur Ressourcentypen auszuwählen, die Diagnoseeinstellungen unterstützen. | Auswirkung „AuditIfNotExists“ | 2.0.1 |
| Für Azure Application Gateway sollten Ressourcenprotokolle aktiviert sein. | Aktivieren Sie Ressourcenprotokolle für Azure Application Gateway (plus WAF), und streamen Sie sie in einen Log Analytics-Arbeitsbereich. Erhalten Sie detaillierte Einblicke in eingehenden Webdatenverkehr und Aktionen zur Abwehr von Angriffen. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Azure Front Door müssen Ressourcenprotokolle aktiviert sein | Aktivieren Sie Ressourcenprotokolle für Azure Front Door (plus WAF), und streamen Sie sie in einen Log Analytics-Arbeitsbereich. Erhalten Sie detaillierte Einblicke in eingehenden Webdatenverkehr und Aktionen zur Abwehr von Angriffen. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Azure Front Door Standard oder Premium (Plus WAF) müssen Ressourcenprotokolle aktiviert sein | Aktivieren Sie Ressourcenprotokolle für Azure Front Door Standard oder Premium (plus WAF), und streamen Sie sie in einen Log Analytics-Arbeitsbereich. Erhalten Sie detaillierte Einblicke in eingehenden Webdatenverkehr und Aktionen zur Abwehr von Angriffen. | AuditIfNotExists, Disabled | 1.0.0 |
| Warnungen der Azure-Protokollsuche über Log Analytics-Arbeitsbereiche müssen kundenseitig verwaltete Schlüssel verwenden | Stellen Sie sicher, dass Warnungen für die Azure-Protokollsuche vom Kunden verwaltete Schlüssel implementieren, indem der Abfragetext mithilfe des Speicherkontos protokolliert wird, das der Kunde für den abgefragten Log Analytics-Arbeitsbereich eingerichtet hatte. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | Audit, Disabled, Deny | 1.0.0 |
| Das Azure Monitor-Protokollprofil muss Protokolle für die Kategorien „write“, „delete“ und „action“ erfassen | Diese Richtlinie stellt sicher, dass ein Protokollprofil Protokolle für die Kategorien „write“, „delete“ und „action“ sammelt. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Monitor-Protokollcluster müssen mit aktivierter Infrastrukturverschlüsselung erstellt werden (Mehrfachverschlüsselung) | Verwenden Sie einen dedizierten Azure Monitor-Cluster, um sicherzustellen, dass die sichere Datenverschlüsselung auf der Dienst- und Infrastrukturebene mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei unterschiedlichen Schlüsseln aktiviert ist. Diese Option ist standardmäßig aktiviert, sofern sie in der jeweiligen Region unterstützt wird. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Azure Monitor-Protokollcluster müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | Erstellen Sie Azure Monitor-Protokollcluster mit Verschlüsselung durch kundenseitig verwaltete Schlüssel. Standardmäßig werden die Protokolldaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind aber häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit dem kundenseitig verwalteten Schlüssel in Azure Monitor haben Sie eine bessere Kontrolle über den Zugriff auf Ihre Daten. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Azure Monitor-Protokolle für Application Insights müssen mit einem Log Analytics-Arbeitsbereich verknüpft sein | Verknüpfen Sie die Application Insights-Komponente für die Protokollverschlüsselung mit einem Log Analytics-Arbeitsbereich. Kundenseitig verwaltete Schlüssel sind häufig erforderlich, um gesetzliche Bestimmungen einzuhalten und eine bessere Kontrolle des Zugriffs auf Ihre Daten in Azure Monitor zu erhalten. Durch das Verknüpfen Ihrer Komponente mit einem Log Analytics-Arbeitsbereich, für den ein kundenseitig verwalteter Schlüssel aktiviert ist, wird sichergestellt, dass Ihre Application Insights-Protokolle diese Konformitätsanforderung erfüllen. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Der Azure Monitor Private Link-Bereich sollte den Zugriff auf Nicht-Private Link-Ressourcen blockieren | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Ressourcen über einen privaten Endpunkt mit einem Azure Monitor Private Link-Bereich (AMPLS) verbinden. Es werden Private Link-Zugriffsmodi für Ihren AMPLS festgelegt, um zu steuern, ob Erfassungs- und Abfrageanforderungen aus Ihren Netzwerken alle Ressourcen oder nur Private Link-Ressourcen erreichen können (um Datenexfiltration zu verhindern). Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Audit, Deny, Disabled | 1.0.0 |
| Der Azure Monitor Private Link-Bereich sollte Private Link verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zum Azure Monitor Private Link-Bereich können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Monitor muss Aktivitätsprotokolle aus allen Regionen erfassen | Diese Richtlinie überwacht das Azure Monitor-Protokollprofil darauf, dass keine Aktivitäten aus allen unterstützten Azure-Regionen, einschließlich „Global“, exportiert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Azure Monitor-Lösung „Sicherheit und Überwachung“ muss bereitgestellt werden | Diese Richtlinie stellt sicher, dass „Sicherheit und Überwachung“ bereitgestellt wird. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure-Abonnements benötigen ein Protokollprofil für das Aktivitätsprotokoll | Diese Richtlinie stellt sicher, dass ein Protokollprofil für den Export von Aktivitätsprotokollen aktiviert ist. Sie überwacht, ob für den Export der Protokolle entweder in ein Speicherkonto oder in einen Event Hub ein Protokollprofil erstellt wurde. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure-Aktivitätsprotokolle zum Streaming an einen angegebenen Log Analytics-Arbeitsbereich konfigurieren | Legt Diagnoseeinstellungen für Azure-Aktivitäten fest, damit Überwachungsprotokolle von Abonnements an einen Log Analytics-Arbeitsbereich gestreamt werden, um Ereignisse auf Abonnementebene zu überwachen. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Azure Application Insights-Komponenten für die Deaktivierung des Zugriffs aus öffentlichen Netzwerken für die Protokollerfassung und -Abfrage | Deaktivieren Sie den Zugriff aus öffentlichen Netzwerken für die Protokollerfassung und -abfrage für Komponenten, um die Sicherheit zu verbessern. Nur über eine private Verbindung verbundene Netzwerke können Protokolle dieses Arbeitsbereichs erfassen und abfragen. Weitere Informationen finden Sie unter https://aka.ms/AzMonPrivateLink#configure-application-insights. | Modify, Disabled | 1.1.0 |
| Konfigurieren von Azure Log Analytics-Arbeitsbereichen für die Deaktivierung des Zugriffs aus öffentlichen Netzwerken für die Protokollerfassung und -Abfrage | Verbessern Sie die Sicherheit von Arbeitsbereichen, indem Sie die Protokollerfassung und -abfrage aus öffentlichen Netzwerken blockieren. Nur über eine private Verbindung verbundene Netzwerke können Protokolle dieses Arbeitsbereichs erfassen und abfragen. Weitere Informationen finden Sie unter https://aka.ms/AzMonPrivateLink#configure-log-analytics. | Modify, Disabled | 1.1.0 |
| Konfigurieren des Azure Monitor Private Link-Bereichs zum Blockieren des Zugriffs auf Nicht-Private Link-Ressourcen | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Ressourcen über einen privaten Endpunkt mit einem Azure Monitor Private Link-Bereich (AMPLS) verbinden. Es werden Private Link-Zugriffsmodi für Ihren AMPLS festgelegt, um zu steuern, ob Erfassungs- und Abfrageanforderungen aus Ihren Netzwerken alle Ressourcen oder nur Private Link-Ressourcen erreichen können (um Datenexfiltration zu verhindern). Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Modify, Disabled | 1.0.0 |
| Konfigurieren von Azure Monitor Private Link-Bereichen für die Verwendung privater DNS-Zonen | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Azure Monitor Private Link-Bereiche aufzulösen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Azure Monitor Private Link-Bereichen mit privaten Endpunkten | Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Azure Monitor Private Link-Bereichen können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | DeployIfNotExists, Disabled | 1.0.0 |
| Dependency-Agent für Linux-Server mit Azure Arc-Unterstützung konfigurieren | Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die VM-Erweiterung für den Dependency-Agent installieren. VM Insights nutzt den Dependency-Agent, um Netzwerkmetriken zu sammeln und Daten zu auf dem Computer ausgeführten Prozessen sowie externe Prozessabhängigkeiten zu erfassen. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.0.0 |
| Konfigurieren des Dependency-Agents auf Azure Arc-aktivierten Linux-Servern mit den Azure Monitoring-Agent-Einstellungen | Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die VM-Erweiterung für den Dependency-Agent mit Azure Monitoring-Agent-Einstellungen installieren. VM Insights nutzt den Dependency-Agent, um Netzwerkmetriken zu sammeln und Daten zu auf dem Computer ausgeführten Prozessen sowie externe Prozessabhängigkeiten zu erfassen. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 1.1.2 |
| Dependency-Agent für Windows-Server mit Azure Arc-Unterstützung konfigurieren | Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die VM-Erweiterung für den Dependency-Agent installieren. VM Insights nutzt den Dependency-Agent, um Netzwerkmetriken zu sammeln und Daten zu auf dem Computer ausgeführten Prozessen sowie externe Prozessabhängigkeiten zu erfassen. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.0.0 |
| Konfigurieren des Dependency-Agents auf Azure Arc-aktivierten Windows-Servern mit Azure Monitoring-Agent-Einstellungen | Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die VM-Erweiterung für den Dependency-Agent mit Azure Monitoring-Agent-Einstellungen installieren. VM Insights nutzt den Dependency-Agent, um Netzwerkmetriken zu sammeln und Daten zu auf dem Computer ausgeführten Prozessen sowie externe Prozessabhängigkeiten zu erfassen. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 1.1.2 |
| Konfigurieren von Linux-Computern mit Arc-Unterstützung für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt | Stellen Sie eine Zuordnung bereit, um Linux-Computer mit Arc-Unterstützung mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 2.2.0 |
| Konfigurieren von Arc-fähigen Linux-Computern zum Ausführen des Azure Monitor-Agents | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren Arc-fähigen Linux-Computern zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn die Region unterstützt wird. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 2.3.0 |
| Konfigurieren von Linux-Computern für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt | Stellen Sie eine Zuordnung bereit, um virtuelle Linux-Computer, VM-Skalierunggruppen und Arc-Computer mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 6.3.0 |
| Konfigurieren von Linux Virtual Machine Scale Sets für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt | Stellen Sie eine Zuordnung bereit, um Linux-VM-Skalierungsgruppen mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 4.2.0 |
| Konfigurieren Sie Linux-VM-Skalierungsgruppen, um Azure Monitor-Agent mit systemseitig zugewiesener verwalteter identitätsbasierter Authentifizierung auszuführen | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung in Ihren Linux-VM-Skalierungsgruppen zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.4.0 |
| Konfigurieren Sie Linux-VM-Skalierungsgruppen, um Azure Monitor-Agent mit benutzerseitig zugewiesener verwalteter identitätsbasierter Authentifizierung auszuführen | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung in Ihren Linux-VM-Skalierungsgruppen zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.5.0 |
| Konfigurieren virtueller Linux-Computer für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt | Stellen Sie eine Zuordnung bereit, um virtuelle Linux-Computer mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 4.2.0 |
| Konfigurieren Sie Linux-VMs, um Azure Monitor-Agent mit systemseitig zugewiesener verwalteter identitätsbasierter Authentifizierung auszuführen | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren virtuellen Linux-Computern zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.4.0 |
| Konfigurieren Sie Linux-VMs, um Azure Monitor-Agent mit benutzerseitig zugewiesener verwalteter identitätsbasierter Authentifizierung auszuführen | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren virtuellen Linux-Computern zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.5.0 |
| Konfigurieren der Log Analytics-Erweiterung auf Linux-Servern mit Azure Arc-Unterstützung. Weitere Informationen finden Sie weiter unten im „Hinweis zur Einstellung der Unterstützung“. | Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die Log Analytics-VM-Erweiterung installieren. VM Insights nutzt den Log Analytics-Agent, um Daten zum Gastbetriebssystem zu sammeln und liefert Erkenntnisse zu dessen Leistung. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. Hinweis zur Einstellung der Unterstützung: Der Log Analytics-Agent befindet sich in einem veralteten Pfad und wird nach dem 31. August 2024 nicht mehr unterstützt. Sie müssen vor diesem Datum zum Azure Monitor-Agent als Ersatz migrieren. | DeployIfNotExists, Disabled | 2.1.1 |
| Konfigurieren der Log Analytics-Erweiterung auf Windows-Servern mit Azure Arc-Unterstützung | Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die Log Analytics-VM-Erweiterung installieren. VM Insights nutzt den Log Analytics-Agent, um Daten zum Gastbetriebssystem zu sammeln und liefert Erkenntnisse zu dessen Leistung. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. Hinweis zur Einstellung der Unterstützung: Der Log Analytics-Agent befindet sich in einem veralteten Pfad und wird nach dem 31. August 2024 nicht mehr unterstützt. Sie müssen vor diesem Datum zum Azure Monitor-Agent als Ersatz migrieren. | DeployIfNotExists, Disabled | 2.1.1 |
| Konfigurieren des Log Analytics-Arbeitsbereichs und des Automation-Kontos zum Zentralisieren von Protokollen und Überwachungen | Stellen Sie die Ressourcengruppe mit dem Log Analytics-Arbeitsbereich und dem verknüpften Automation-Konto bereit, um Protokolle und Überwachungen zu zentralisieren. Das Automation-Konto ist für Lösungen wie Updates und Änderungsnachverfolgung erforderlich. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0 |
| Konfigurieren von Windows-Computern mit Arc-Unterstützung für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt | Stellen Sie eine Zuordnung bereit, um Windows-Computer mit Arc-Unterstützung mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 2.2.0 |
| Konfigurieren von Arc-fähigen Windows-Computern für die Ausführung des Azure Monitor-Agents | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren Arc-fähigen Windows-Computern zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 2.4.0 |
| Konfigurieren von Windows-Computern für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt | Stellen Sie eine Zuordnung bereit, um virtuelle Windows-Computer, VM-Skalierunggruppen und Arc-Computer mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 4.4.0 |
| Konfigurieren von Windows Virtual Machine Scale Sets für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt | Stellen Sie eine Zuordnung bereit, um Windows-VM-Skalierungsgruppen mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 3.3.0 |
| Konfigurieren Sie Skalierungsgruppen von Windows-VMs für die Ausführung von Azure Monitor-Agents mithilfe der systemseitig zugewiesenen verwalteten Identität | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung in Ihren Windows-VM-Skalierungsgruppen zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.4.0 |
| Konfigurieren Sie Skalierungsgruppen von Windows-VMs für die Ausführung von Azure Monitor-Agents mithilfe von verwalteter identitätsbasierter Authentifizierung | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung in Ihren Windows-VM-Skalierungsgruppen zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0 |
| Konfigurieren virtueller Windows-Computer für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt | Stellen Sie eine Zuordnung bereit, um virtuelle Windows-Computer mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 3.3.0 |
| Konfigurieren Sie Windows-VMs für die Ausführung von Azure Monitor-Agents mithilfe der systemseitig zugewiesenen verwalteten Identität | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren virtuellen Windows-Computern zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 4.4.0 |
| Konfigurieren Sie Windows-VMs für die Ausführung von Azure Monitor-Agents mit benutzerseitig zugewiesener verwalteter identitätsbasierter Authentifizierung | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren virtuellen Windows-Computern zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0 |
| Für die aufgelisteten VM-Images muss der Dependency-Agent aktiviert werden | Meldet VMs als nicht konform, wenn das VM-Image nicht in der definierten Liste enthalten und der Agent nicht installiert ist. Die Liste der Betriebssystemimages wird mit der Zeit aktualisiert, während Unterstützung hinzugefügt wird. | AuditIfNotExists, Disabled | 2.0.0 |
| Für die aufgelisteten VM-Images muss der Dependency-Agent in VM-Skalierungsgruppen aktiviert werden | Meldet VM-Skalierungsgruppen als nicht konform, wenn das VM-Image nicht in der definierten Liste enthalten und der Agent nicht installiert ist. Die Liste der Betriebssystemimages wird mit der Zeit aktualisiert, während Unterstützung hinzugefügt wird. | AuditIfNotExists, Disabled | 2.0.0 |
| Bereitstellen: Aktivierung des Dependency-Agents in Windows-VM-Skalierungsgruppen konfigurieren | Hiermit wird der Dependency-Agent für Windows-VM-Skalierungsgruppen bereitgestellt, wenn das VM-Image in der definierten Liste vorhanden und der Agent nicht installiert ist. Wenn für Ihre Skalierungsgruppe „upgradePolicy“ auf „Manual“ festgelegt ist, müssen Sie die Erweiterung auf alle VMs in der Gruppe anwenden, indem Sie diese aktualisieren. | DeployIfNotExists, Disabled | 3.1.0 |
| Bereitstellen: Aktivierung des Dependency-Agents auf Windows-VMs konfigurieren | Hiermit wird der Dependency-Agent für Windows-VMs bereitgestellt, wenn das VM-Image in der definierten Liste vorhanden und der Agent nicht installiert ist. | DeployIfNotExists, Disabled | 3.1.0 |
| Bereitstellen: Diagnoseeinstellungen zur Aktivierung eines Log Analytics-Arbeitsbereichs in einem verwalteten Azure Key Vault-HSM konfigurieren | Hiermit werden die Diagnoseeinstellungen für ein verwaltetes Azure Key Vault-HSM zum Streaming an einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn ein verwaltetes Azure Key Vault-HSM erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 1.0.0 |
| Bereitstellen – Konfigurieren der Log Analytics-Erweiterung zum Aktivieren in Windows-VM-Skalierungsgruppen | Stellen Sie die Log Analytics-Erweiterung für Windows-VM-Skalierungsgruppen bereit, wenn das VM-Image in der definierten Liste vorhanden und die Erweiterung nicht installiert ist. Wenn für Ihre Skalierungsgruppe „upgradePolicy“ auf „Manual“ festgelegt ist, müssen Sie die Erweiterung auf alle VMs in der Gruppe anwenden, indem Sie diese aktualisieren. Hinweis zur Einstellung der Unterstützung: Der Log Analytics-Agent befindet sich in einem veralteten Pfad und wird nach dem 31. August 2024 nicht mehr unterstützt. Sie müssen vor diesem Datum zum Azure Monitor-Agent als Ersatz migrieren. | DeployIfNotExists, Disabled | 3.1.0 |
| Bereitstellen – Konfigurieren der Log Analytics-Erweiterung zum Aktivieren auf virtuellen Windows-Computern | Stellen Sie die Log Analytics-Erweiterung für Windows-VMs bereit, wenn das VM-Image in der definierten Liste vorhanden und die Erweiterung nicht installiert ist. Hinweis zur Einstellung der Unterstützung: Der Log Analytics-Agent befindet sich in einem veralteten Pfad und wird nach dem 31. August 2024 nicht mehr unterstützt. Sie müssen vor diesem Datum zum Azure Monitor-Agent als Ersatz migrieren. | DeployIfNotExists, Disabled | 3.1.0 |
| Dependency-Agent für Linux-VM-Skalierungsgruppen bereitstellen | Hiermit wird der Dependency-Agent für Linux-VM-Skalierungsgruppen bereitgestellt, wenn das VM-Image (Betriebssystem) in der definierten Liste enthalten und der Agent nicht installiert ist. Hinweis: Wenn „upgradePolicy“ für Ihre Skalierungsgruppe auf „Manuell“ festgelegt ist, müssen Sie die Erweiterung auf alle virtuellen Computer in der Gruppe anwenden, indem Sie dafür ein Upgrade aufrufen. Führen Sie dazu in der CLI „az vmss update-instances“ aus. | deployIfNotExists | 5.0.0 |
| Bereitstellen des Dependency-Agents für Linux-VM-Skalierungsgruppen mit Azure Monitoring-Agent-Einstellungen | Hiermit wird der Dependency-Agent für VM-Skalierungsgruppen unter Linux mit den Azure Monitoring-Agent-Einstellungen bereitgestellt, wenn das VM-Image (Betriebssystem) in der definierten Liste vorhanden und der Agent nicht installiert ist. Hinweis: Wenn „upgradePolicy“ für Ihre Skalierungsgruppe auf „Manuell“ festgelegt ist, müssen Sie die Erweiterung auf alle virtuellen Computer in der Gruppe anwenden, indem Sie dafür ein Upgrade aufrufen. Führen Sie dazu in der CLI „az vmss update-instances“ aus. | DeployIfNotExists, Disabled | 3.1.1 |
| Dependency-Agent für Linux-VMs bereitstellen | Geben Sie den Dependency-Agent für Linux-VMs an, wenn das VM-Image (Betriebssystem) in der definierten Liste enthalten und der Agent nicht installiert ist. | deployIfNotExists | 5.0.0 |
| Bereitstellen des Dependency-Agents für Linux-VMs mit Azure Monitoring-Agent-Einstellungen | Hiermit wird der Dependency-Agent für virtuelle Linux-Computer mit den Azure Monitoring-Agent-Einstellungen bereitgestellt, wenn das VM-Image (Betriebssystem) in der definierten Liste vorhanden und der Agent nicht installiert ist. | DeployIfNotExists, Disabled | 3.1.1 |
| Bereitstellen des Dependency-Agents, der für Windows-VM-Skalierungsgruppen mit Azure Monitoring-Agent-Einstellungen aktiviert werden soll | Hiermit wird der Dependency-Agent für VM-Skalierungsgruppe unter Windows mit dem Azure Monitoring-Agent-Einstellungen bereitgestellt, wenn das VM-Image in der definierten Liste vorhanden und der Agent nicht installiert ist. Wenn für Ihre Skalierungsgruppe „upgradePolicy“ auf „Manual“ festgelegt ist, müssen Sie die Erweiterung auf alle VMs in der Gruppe anwenden, indem Sie diese aktualisieren. | DeployIfNotExists, Disabled | 1.2.2 |
| Bereitstellen des Dependency-Agents, der für virtuelle Windows-Computer mit Azure Monitoring-Agent-Einstellungen aktiviert werden soll | Hiermit wird der Dependency-Agent für virtuelle Windows-Computer mit Azure Monitoring-Agent-Einstellungen bereitgestellt, wenn das VM-Image in der definierten Liste vorhanden und der Agent nicht installiert ist. | DeployIfNotExists, Disabled | 1.2.2 |
| Diagnoseeinstellungen für Batch-Konto in Event Hub bereitstellen | Hiermit werden die Diagnoseeinstellungen für ein Batch-Konto zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn ein Batch-Konto erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 2.0.0 |
| Diagnoseeinstellungen für Batch-Konto in Log Analytics-Arbeitsbereich bereitstellen | Hiermit werden die Diagnoseeinstellungen für ein Batch-Konto zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn ein Batch-Konto erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 1.0.0 |
| Diagnoseeinstellungen für Data Lake Analytics in Event Hub bereitstellen | Hiermit werden die Diagnoseeinstellungen für Data Lake Analytics zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Data Lake Analytics-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 2.0.0 |
| Diagnoseeinstellungen für Data Lake Analytics in Log Analytics-Arbeitsbereich bereitstellen | Hiermit werden die Diagnoseeinstellungen für Data Lake Analytics zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Data Lake Analytics-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 1.0.0 |
| Diagnoseeinstellungen für Data Lake Storage Gen1 in Event Hub bereitstellen | Hiermit werden die Diagnoseeinstellungen für Data Lake Storage Gen1 zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Data Lake Storage Gen1-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 2.0.0 |
| Diagnoseeinstellungen für Data Lake Storage Gen1 in Log Analytics-Arbeitsbereich bereitstellen | Hiermit werden die Diagnoseeinstellungen für Data Lake Storage Gen1 zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Data Lake Storage Gen1-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 1.0.0 |
| Diagnoseeinstellungen für Event Hub in Event Hub bereitstellen | Hiermit werden die Diagnoseeinstellungen für Event Hub zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Event Hub-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 2.1.0 |
| Diagnoseeinstellungen für Event Hub in Log Analytics-Arbeitsbereich bereitstellen | Hiermit werden die Diagnoseeinstellungen für Event Hub zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Event Hub-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 2.0.0 |
| Diagnoseeinstellungen für Key Vault in Log Analytics-Arbeitsbereich bereitstellen | Hiermit werden die Diagnoseeinstellungen für Key Vault zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Key Vault-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 3.0.0 |
| Diagnoseeinstellungen für Logic Apps in Event Hub bereitstellen | Hiermit werden die Diagnoseeinstellungen für Logic Apps zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Logic Apps-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 2.0.0 |
| Diagnoseeinstellungen für Logic Apps in Log Analytics-Arbeitsbereich bereitstellen | Hiermit werden die Diagnoseeinstellungen für Logic Apps zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Logic Apps-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 1.0.0 |
| Diagnoseeinstellungen für Netzwerksicherheitsgruppen bereitstellen | Diese Richtlinie stellt automatisch Diagnoseeinstellungen für Netzwerksicherheitsgruppen bereit. Es wird automatisch ein Speicherkonto mit dem Namen „{storagePrefixParameter}{NSGLocation}“ erstellt. | deployIfNotExists | 2.0.1 |
| Diagnoseeinstellungen für Suchdienste in Event Hub bereitstellen | Hiermit werden die Diagnoseeinstellungen für Suchdienste zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn ein Suchdienst erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 2.0.0 |
| Diagnoseeinstellungen für Suchdienste in Log Analytics-Arbeitsbereich bereitstellen | Hiermit werden die Diagnoseeinstellungen für Suchdienste zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn ein Suchdienst erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 1.0.0 |
| Diagnoseeinstellungen für Service Bus in Event Hub bereitstellen | Hiermit werden die Diagnoseeinstellungen für Service Bus zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Service Bus-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 2.0.0 |
| Diagnoseeinstellungen für Service Bus in Log Analytics-Arbeitsbereich bereitstellen | Hiermit werden die Diagnoseeinstellungen für Service Bus zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Service Bus-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 2.1.0 |
| Diagnoseeinstellungen für Stream Analytics in Event Hub bereitstellen | Hiermit werden die Diagnoseeinstellungen für Stream Analytics zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Stream Analytics-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 2.0.0 |
| Diagnoseeinstellungen für Stream Analytics in Log Analytics-Arbeitsbereich bereitstellen | Hiermit werden die Diagnoseeinstellungen für Stream Analytics zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Stream Analytics-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 1.0.0 |
| Stellen Sie die Log Analytics-Erweiterung für Linux-VM-Skalierungsgruppen bereit. Weitere Informationen finden Sie weiter unten im „Hinweis zur Einstellung der Unterstützung“. | Stellen Sie die Log Analytics-Erweiterung für Linux-VM-Skalierungsgruppen bereit, wenn das VM-Image (Betriebssystem) in der definierten Liste vorhanden und die Erweiterung nicht installiert ist. Hinweis: Wenn „upgradePolicy“ für Ihre Skalierungsgruppe auf „Manuell“ festgelegt ist, müssen Sie die Erweiterung auf alle VMs in der Gruppe anwenden, indem Sie dafür ein Upgrade aufrufen. Führen Sie dazu in der CLI „az vmss update-instances“ aus. Veraltungshinweis: Der Log Analytics-Agent wird nach dem 31. August 2024 nicht mehr unterstützt. Sie müssen vor diesem Datum zum Azure Monitor-Agent als Ersatz migrieren. | deployIfNotExists | 3.0.0 |
| Stellen Sie die Log Analytics-Erweiterung für Linux-VMs bereit. Weitere Informationen finden Sie weiter unten im „Hinweis zur Einstellung der Unterstützung“. | Stellen Sie die Log Analytics-Erweiterung für Linux-VMs bereit, wenn das VM-Image (Betriebssystem) in der definierten Liste vorhanden und die Erweiterung nicht installiert ist. Hinweis zur Einstellung der Unterstützung: Der Log Analytics-Agent befindet sich in einem veralteten Pfad und wird nach dem 31. August 2024 nicht mehr unterstützt. Sie müssen vor diesem Datum zum Azure Monitor-Agent als Ersatz migrieren. | deployIfNotExists | 3.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für API Management-Dienste (microsoft.apimanagement/service) für Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für API Management zu routen (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für API Management-Dienste (microsoft.apimanagement/service) für Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für API Management zu routen (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für API Management-Dienste (microsoft.apimanagement/service) für Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für API Management zu routen (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für App Configuration (microsoft.appconfiguration/configurationstores) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für App Configuration (microsoft.appconfiguration/configurationstores) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für App Configuration (microsoft.appconfiguration/configurationstores) in Protokollanalyse | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Protokollanalysearbeitsbereich für App Configuration (microsoft.appconfiguration/configurationstores) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für App Configuration (microsoft.appconfiguration/configurationstores) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für App Configuration (microsoft.appconfiguration/configurationstores) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für App Service (microsoft.web/sites) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für App Service (microsoft.web/sites) an einen Log Analytics-Arbeitsbereich weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für die Anwendungsgruppe (microsoft.desktopvirtualization/applicationgroups) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für die Azure Virtual Desktop-Anwendungsgruppe (microsoft.desktopvirtualization/applicationgroups) an einen Log Analytics-Arbeitsbereich weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Application Insights (Microsoft.Insights/components) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für Application Insights (Microsoft.Insights/components) an einen Log Analytics-Arbeitsbereich weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Nachweisanbieter (microsoft.attestation/attestationproviders) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Nachweisanbieter (microsoft.attestation/attestationproviders) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Nachweisanbieter (microsoft.attestation/attestationproviders) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Nachweisanbieter (microsoft.attestation/attestationproviders) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Nachweisanbieter (microsoft.attestation/attestationproviders) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für Nachweisanbieter (microsoft.attestation/attestationproviders) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Automation-Konten (microsoft.automation/automationaccounts) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Automation-Konten (microsoft.automation/automationaccounts) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Automation-Konten (microsoft.automation/automationaccounts) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Automation-Konten (microsoft.automation/automationaccounts) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Automation-Konten (microsoft.automation/automationaccounts) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für Automation-Konten (microsoft.automation/automationaccounts) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für private AVS-Clouds (microsoft.avs/privateclouds) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für private AVS-Clouds (microsoft.avs/privateclouds) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für private AVS-Clouds (microsoft.avs/privateclouds) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für private AVS-Clouds (microsoft.avs/privateclouds) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für private AVS-Clouds (microsoft.avs/privateclouds) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für private AVS-Clouds (microsoft.avs/privateclouds) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Protokollierung nach Kategoriegruppe für Azure Cache for Redis (microsoft.cache/redis) für Event Hub aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Azure Cache for Redis (microsoft.cache/redis) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Protokollierung nach Kategoriegruppe für Azure Cache for Redis (microsoft.cache/redis) für Log Analytics aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Azure Cache for Redis (microsoft.cache/redis) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Protokollierung nach Kategoriegruppe für Azure Cache for Redis (microsoft.cache/redis) für Speicher aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Azure Cache for Redis (microsoft.cache/redis) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Azure Cosmos DB (microsoft.documentdb/databaseaccounts) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für Azure Cosmos DB (microsoft.documentdb/databaseaccounts) an einen Log Analytics-Arbeitsbereich weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Azure FarmBeats (microsoft.agfoodplatform/farmbeats) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Azure FarmBeats (microsoft.agfoodplatform/farmbeats) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Azure FarmBeats (microsoft.agfoodplatform/farmbeats) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Azure FarmBeats (microsoft.agfoodplatform/farmbeats) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Azure FarmBeats (microsoft.agfoodplatform/farmbeats) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für Azure FarmBeats (microsoft.agfoodplatform/farmbeats) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Azure Machine Learning (microsoft.machinelearningservices/workspaces) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Azure Machine Learning (microsoft.machinelearningservices/workspaces) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Azure Machine Learning (microsoft.machinelearningservices/workspaces) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Azure Machine Learning (microsoft.machinelearningservices/workspaces) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Azure Machine Learning (microsoft.machinelearningservices/workspaces) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für Azure Machine Learning (microsoft.machinelearningservices/workspaces) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Bastions (microsoft.network/bastionhosts) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Bastations (microsoft.keyvault/vaults) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Bastions (microsoft.network/bastionhosts) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Bastions (microsoft.network/bastionhosts) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Bastions (microsoft.network/bastionhosts) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Speicherkonto für Bastions (microsoft.keyvault/vaults) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Cognitive Services (microsoft.cognitiveservices/accounts) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub for Cognitive Services zu routen (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Cognitive Services (microsoft.cognitiveservices/accounts) in Protokollanalyse | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Log Analytics Workspace for Cognitive Services zu routen (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Cognitive Services (microsoft.cognitiveservices/accounts) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriengruppe bereit, um Protokolle an ein Storage-Konto for Cognitive Services zu routen (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Protokollierung nach Kategoriegruppe für Containerregistrierungen (microsoft.containerregistry/registries) in Event Hub aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Containerregistrierungen (microsoft.containerregistry/registries) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Protokollierung nach Kategoriegruppe für Containerregistrierungen (microsoft.containerregistry/registries) in Log Analytics aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Containerregistrierungen (microsoft.containerregistry/registries) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Protokollierung nach Kategoriegruppe für Containerregistrierungen (microsoft.containerregistry/registries) im Speicher aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Containerregistrierungen (microsoft.containerregistry/registries) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivierung der Protokollierung nach Kategoriegruppe für Event Grid-Domänen (microsoft.eventgrid/domains) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an einen Event Hub für Event Grid Domains (microsoft.eventgrid/domains) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivierung der Protokollierung nach Kategoriegruppe für Event Grid Domains (microsoft.eventgrid/domains) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an einen Log Analytics-Arbeitsbereich für Event Grid Domains (microsoft.eventgrid/domains) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivierung der Protokollierung nach Kategoriegruppe für Event Grid Domains (microsoft.eventgrid/domains) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an ein Speicherkonto für Event Grid Domains (microsoft.eventgrid/domains) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivierung der Protokollierung nach Kategoriegruppe für Event Grid Partner Namespaces (microsoft.eventgrid/partnernamespaces) für Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an einen Event Hub für Event Grid Partner Namespaces (microsoft.eventgrid/partnernamespaces) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivierung der Protokollierung nach Kategoriegruppe für Event Grid Partner Namespaces (microsoft.eventgrid/partnernamespaces) für Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an einen Log Analytics-Arbeitsbereich für Event Grid Partner Namespaces (microsoft.eventgrid/partnernamespaces) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivierung der Protokollierung nach Kategoriegruppe für Event Grid Partner Namespaces (microsoft.eventgrid/partnernamespaces) zu Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an ein Speicherkonto für Event Grid Partner Namespaces (microsoft.eventgrid/partnernamespaces) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivierung der Protokollierung nach Kategoriegruppe für Event Grid Topics (microsoft.eventgrid/topics) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an einen Event Hub für Event Grid Topics (microsoft.eventgrid/topics) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivierung der Protokollierung nach Kategoriegruppe für Ereignisraster-Themen (microsoft.eventgrid/topics) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an einen Log Analytics-Arbeitsbereich für Ereignisraster-Themen (microsoft.eventgrid/topics) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivierung der Protokollierung nach Kategoriegruppe für Ereignisraster-Themen (microsoft.eventgrid/topics) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an ein Speicherkonto für Ereignisraster-Themen (microsoft.eventgrid/topics) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Protokollierung nach Kategoriegruppe für Service Bus-Namespaces (microsoft.servicebus/namespaces) in Event Hub* aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub* für Service Bus-Namespaces (microsoft.servicebus/namespaces) zu routen. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Protokollierung nach Kategoriegruppe für Event Hubs* Bus-Namespaces (microsoft.servicebus/namespaces) in Log Analytics aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Event Hub* Bus-Namespaces (microsoft.servicebus/namespaces) zu routen. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Protokollierung nach Kategoriegruppe für Event Hub* Bus-Namespaces (microsoft.servicebus/namespaces) in Storage* aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub* für Bus-Namespaces (microsoft.servicebus/namespaces) zu routen. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Firewall (microsoft.network/azurefirewalls) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für Firewall (microsoft.network/azurefirewalls) an einen Log Analytics-Arbeitsbereich weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Front Door- und CDN-Profile (microsoft.cdn/profiles) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Front Door- und CDN-Profile (microsoft.cdn/profiles) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Front Door- und CDN-Profile (microsoft.cdn/profiles) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Front Door- und CDN-Profile (microsoft.cdn/profiles) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Front Door- und CDN-Profile (microsoft.cdn/profiles) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für Front Door- und CDN-Profile (microsoft.cdn/profiles) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Front Door- und CDN-Profile (microsoft.network/frontdoors) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Front Door- und CDN-Profile (microsoft.network/frontdoors) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Front Door- und CDN-Profile (microsoft.network/frontdoors) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Front Door- und CDN-Profile (microsoft.network/frontdoors) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Front Door- und CDN-Profile (microsoft.network/frontdoors) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Front Door- und CDN-Profile (microsoft.network/frontdoors) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für die Funktions-App (microsoft.web/sites) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für die Funktions-App (microsoft.web/sites) an einen Log Analytics-Arbeitsbereich weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für den Hostpool (microsoft.desktopvirtualization/hostpools) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für den Azure Virtual Desktop-Hostpool (microsoft.desktopvirtualization/hostpools) an einen Log Analytics-Arbeitsbereich weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für IoT Hub (microsoft.devices/iothubs) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriengruppe bereit, um Protokolle an einen Event Hub für IoT Hub (microsoft.devices/iothubs) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für IoT Hub (microsoft.devices/iothubs) in Protokollanalyse | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriengruppe bereit, um Protokolle an einen Protokollanalysearbeitsbereich für IoT Hub (microsoft.devices/iothubs) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für IoT Hub (microsoft.devices/iothubs) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriengruppe bereit, um Protokolle an ein Speicherkonto für IoT Hub (microsoft.devices/iothubs) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Protokollierung nach Kategoriegruppe für Schlüsseltresore (microsoft.keyvault/vaults) in Event Hub aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Schlüsseltresore (microsoft.keyvault/vaults) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Protokollierung nach Kategoriegruppe für Schlüsseltresore (microsoft.keyvault/vaults) in Logs Analytics aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Schlüsseltresore (microsoft.keyvault/vaults) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Protokollierung nach Kategoriegruppe für Schlüsseltresore (microsoft.keyvault/vaults) im Speicher aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Schlüsseltresore (microsoft.keyvault/vaults) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Log Analytics-Arbeitsbereiche (microsoft.operationalinsights/workspaces) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Log Analytics-Arbeitsbereiche (microsoft.operationalinsights/workspaces) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Log Analytics-Arbeitsbereiche (microsoft.operationalinsights/workspaces) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Log Analytics-Arbeitsbereiche (microsoft.operationalinsights/workspaces) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Log Analytics-Arbeitsbereiche (microsoft.operationalinsights/workspaces) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für Log Analytics-Arbeitsbereiche (microsoft.operationalinsights/workspaces) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Protokollierung nach Kategoriegruppe für verwaltete HSM (microsoft.keyvault/managedhsms) in Event Hub aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für verwaltete HSM (microsoft.keyvault/managedhsms) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Protokollierung nach Kategoriegruppe für verwaltete HSM (microsoft.keyvault/managedhsms) in Log Analytics aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für verwaltete HSM (microsoft.keyvault/managedhsms) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Protokollierung nach Kategoriegruppe für verwaltete HSM (microsoft.keyvault/managedhsms) im Speicher aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für verwaltete HSM (microsoft.keyvault/managedhsms) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Media Services (microsoft.media/mediaservices) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Media Services (microsoft.media/mediaservices) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Media Services (microsoft.media/mediaservices) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Media Services (microsoft.media/mediaservices) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Media Services (microsoft.media/mediaservices) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für Media Services (microsoft.media/mediaservices) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Microsoft Purview-Konten (microsoft.purview/accounts) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Microsoft Purview-Konten (microsoft.purview/accounts) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Microsoft Purview-Konten (microsoft.purview/accounts) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Microsoft Purview-Konten (microsoft.purview/accounts) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Microsoft Purview-Konten (microsoft.purview/accounts) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für Microsoft Purview-Konten (microsoft.purview/accounts) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für microsoft.network/p2svpngateways zum Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für microsoft.network/p2svpngateways weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für microsoft.network/p2svpngateways in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für microsoft.network/p2svpngateways weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für microsoft.network/p2svpngateways in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für microsoft.network/p2svpngateways weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für PostgreSQL Flexible Server (microsoft.dbforpostgresql/flexibleservers) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für Azure Database for PostgreSQL Flexible Server (microsoft.dbforpostgresql/flexibleservers) an einen Log Analytics-Arbeitsbereich weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für öffentliche IP-Adressen (microsoft.network/publicipaddresses) für Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für öffentlichen IP-Adressen (microsoft.network/publicipaddresses) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für öffentliche IP-Adressen (microsoft.network/publicipaddresses) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für öffentlichen IP-Adressen (microsoft.network/publicipaddresses) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für öffentliche IP-Adressen (microsoft.network/publicipaddresses) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für öffentlichen IP-Adressen (microsoft.network/publicipaddresses) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Protokollierung nach Kategoriegruppe für Service Bus-Namespaces (microsoft.servicebus/namespaces) in Event Hub aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Service Bus-Namespaces (microsoft.servicebus/namespaces) zu routen. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Protokollierung nach Kategoriegruppe für Service Bus-Namespaces (microsoft.servicebus/namespaces) in Log Analytics aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Service Bus-Namespaces (microsoft.servicebus/namespaces) zu routen. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Protokollierung nach Kategoriegruppe für Service Bus-Namespaces (microsoft.servicebus/namespaces) in Speicher aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Service Bus-Namespaces (microsoft.servicebus/namespaces) zu routen. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für SignalR (microsoft.signalrservice/signalr) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für SignalR (microsoft.signalrservice/signalr) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für SignalR (microsoft.signalrservice/signalr) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für SignalR (microsoft.signalrservice/signalr) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für SignalR (microsoft.signalrservice/signalr) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für SignalR (microsoft.signalrservice/signalr) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für SQL-Datenbanken (microsoft.sql/servers/databases) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für SQL-Datenbanken (microsoft.sql/servers/databases) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für SQL-Datenbanken (microsoft.sql/servers/databases) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für SQL-Datenbanken (microsoft.sql/servers/databases) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für SQL-Datenbanken (microsoft.sql/servers/databases) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für SQL-Datenbanken (microsoft.sql/servers/databases) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für verwaltete SQL-Instanzen (microsoft.sql/managedinstances) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für verwaltete SQL-Instanzen (microsoft.sql/managedinstances) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für verwaltete SQL-Instanzen (microsoft.sql/managedinstances) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für verwaltete SQL-Instanzen (microsoft.sql/managedinstances) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für verwaltete SQL-Instanzen (microsoft.sql/managedinstances) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für verwaltete SQL-Instanzen (microsoft.sql/managedinstances) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Video Analyzers (microsoft.media/videoanalyzers) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Video Analyzers (microsoft.media/videoanalyzers) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Video Analyzers (microsoft.media/videoanalyzers) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Video Analyzers (microsoft.media/videoanalyzers) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Video Analyzers (microsoft.media/videoanalyzers) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für Video Analyzers (microsoft.media/videoanalyzers) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Virtuelle Netzwerkgateways (microsoft.network/virtualnetworkgateways) für Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für virtuellen Netzwerkgateways (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Virtuelle Netzwerkgateways (microsoft.network/virtualnetworkgateways) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für virtuellen Netzwerkgateways (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Virtuelle Netzwerkgateways (microsoft.network/virtualnetworkgateways) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Speicherkonto für virtuellen Netzwerkgateways (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Volumes (microsoft.netapp/netappaccounts/capacitypools/volumes) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Volumes (microsoft.netapp/netappaccounts/capacitypools/volumes) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Volumes (microsoft.netapp/netappaccounts/capacitypools/volumes) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Volumes (microsoft.netapp/netappaccounts/capacitypools/volumes) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Volumes (microsoft.netapp/netappaccounts/capacitypools/volumes) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für Volumes (microsoft.netapp/netappaccounts/capacitypools/volumes) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für den Web PubSub-Dienst (microsoft.signalrservice/webpubsub) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für den Web PubSub-Dienst (microsoft.signalrservice/webpubsub) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für den Web PubSub-Dienst (microsoft.signalrservice/webpubsub) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für den Web PubSub-Dienst (microsoft.signalrservice/webpubsub) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für den Web PubSub-Dienst (microsoft.signalrservice/webpubsub) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für den Web PubSub-Dienst (microsoft.signalrservice/webpubsub) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Arbeitsbereiche (microsoft.desktopvirtualization/workspaces) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für den Azure Virtual Desktop-Arbeitsbereich (microsoft.desktopvirtualization/workspaces) an einen Log Analytics-Arbeitsbereich weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Auf Arc-fähigen Linux-Computern sollte der Azure Monitor-Agent installiert sein | Arc-fähige Linux-Computer sollten über den bereitgestellten Azure Monitor-Agent überwacht und gesichert werden. Der Azure Monitor-Agent sammelt Telemetriedaten vom Gastbetriebssystem. Diese Richtlinie überwacht Arc-fähige Computer in unterstützten Regionen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 1.1.0 |
| Für Linux-VM-Skalierungsgruppen sollte der Azure Monitor-Agent installiert sein. | Linux-VM-Skalierungsgruppen sollten über den bereitgestellten Azure Monitor-Agent überwacht und gesichert werden. Der Azure Monitor-Agent sammelt Telemetriedaten vom Gastbetriebssystem. Mit dieser Richtlinie werden VM-Skalierunggruppen mit unterstützten Betriebssystemimages in unterstützten Regionen überwacht. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.1.0 |
| Auf virtuellen Linux-Computern sollte der Azure Monitor-Agent installiert sein | Virtuelle Linux-Computer sollten über den bereitgestellten Azure Monitor-Agent überwacht und gesichert werden. Der Azure Monitor-Agent sammelt Telemetriedaten vom Gastbetriebssystem. Mit diese Richtlinie werden virtuelle Computer mit unterstützten Betriebssystemimages in unterstützten Regionen überwacht. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.1.0 |
| Die Log Analytics-Erweiterung sollte für die aufgelisteten VM-Images in den VM-Skalierungsgruppen aktiviert sein | Meldet VM-Skalierungsgruppen als nicht konform, wenn das VM-Image nicht in der definierten Liste vorhanden und der Agent nicht installiert ist. | AuditIfNotExists, Disabled | 2.0.1 |
| Protokollerfassung und -abfrage aus öffentlichen Netzwerken in Log Analytics-Arbeitsbereichen blockieren | Verbessern Sie die Sicherheit von Arbeitsbereichen, indem Sie die Protokollerfassung und -abfrage aus öffentlichen Netzwerken blockieren. Nur über eine private Verbindung verbundene Netzwerke können Protokolle dieses Arbeitsbereichs erfassen und abfragen. Weitere Informationen finden Sie unter https://aka.ms/AzMonPrivateLink#configure-log-analytics. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Log Analytics-Arbeitsbereiche sollten eine Erfassung, die nicht auf Azure Active Directory basiert, blockieren. | Wenn eine Azure Active Directory-Authentifizierung für die Protokollerfassung erzwungen wird, werden nicht authentifizierte Protokolle von Angreifern verhindert, welche zu einem falschen Status, falschen Warnungen und falschen Protokollen führen können, die im System gespeichert werden. | Deny, Audit, Disabled | 1.0.0 |
| Für öffentliche IP-Adressen in Azure DDoS Protection müssen Ressourcenprotokolle aktiviert sein | Aktivieren Sie Ressourcenprotokolle für öffentliche IP-Adressen in Diagnoseeinstellungen, um Daten an einen Log Analytics-Arbeitsbereich zu streamen. Sie erhalten per Benachrichtigung, anhand von Berichten und Datenflussprotokollen detaillierten Einblick in Angriffsdatenverkehr und Maßnahmen zum Entschärfen von DDoS-Angriffen. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Ressourcenprotokolle sollten für die Überwachung unterstützter Ressourcen aktiviert werden | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Das Vorhandensein einer Diagnoseeinstellung für die Kategoriegruppenprüfung für die ausgewählten Ressourcentypen stellt sicher, dass diese Protokolle aktiviert und erfasst werden. Anwendbare Ressourcentypen sind diejenigen, die die Kategoriegruppe „Audit“ unterstützen. | AuditIfNotExists, Disabled | 1.0.0 |
| Gespeicherte Abfragen in Azure Monitor müssen zur Protokollverschlüsselung im Kundenspeicherkonto gespeichert werden | Verknüpfen Sie das Speicherkonto mit einem Log Analytics-Arbeitsbereich, um gespeicherte Abfragen durch eine Verschlüsselung des Speicherkontos zu schützen. Kundenseitig verwaltete Schlüssel sind häufig erforderlich, um gesetzliche Bestimmungen einzuhalten und eine bessere Kontrolle des Zugriffs auf Ihre gespeicherten Abfragen in Azure Monitor zu erhalten. Ausführlichere Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, muss mit BYOK verschlüsselt sein | Diese Richtlinie überwacht, ob das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, mit BYOK verschlüsselt ist. Die Richtlinie funktioniert nur, wenn sich das Speicherkonto in demselben Abonnement wie die Aktivitätsprotokolle befindet. Weitere Informationen zur Azure Storage-Verschlüsselung im Ruhezustand finden Sie unter https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
| Die Legacy-Log Analytics-Erweiterung sollte nicht auf Azure Arc-aktivierten Linux-Servern installiert werden. | Verhindern Sie automatisch die Installation des Legacy-Log Analytics-Agents als letzten Schritt der Migration von Legacy-Agents zum Azure Monitor-Agent. Nachdem Sie vorhandene Legacyerweiterungen deinstalliert haben, verhindert diese Richtlinie alle zukünftigen Installationen der Erweiterung für einen Agent einer Vorgängerversion auf Azure Arc-fähigen Linux-Servern. Weitere Informationen: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| Die Legacy-Log Analytics-Erweiterung sollte nicht auf Azure Arc-aktivierten Windows-Servern installiert werden. | Verhindern Sie automatisch die Installation des Legacy-Log Analytics-Agents als letzten Schritt der Migration von Legacy-Agents zum Azure Monitor-Agent. Nachdem Sie vorhandene Legacyerweiterungen deinstalliert haben, verhindert diese Richtlinie alle zukünftigen Installationen der Erweiterung für einen Agent einer Vorgängerversion auf Azure Arc-fähigen Windows-Servern. Weitere Informationen: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| Die Legacy-Log Analytics-Erweiterung sollte nicht auf Linux-VM-Skalierungsgruppen installiert sein | Verhindern Sie automatisch die Installation des Legacy-Log Analytics-Agents als letzten Schritt der Migration von Legacy-Agents zum Azure Monitor-Agent. Nachdem Sie vorhandene Legacy-Erweiterungen deinstalliert haben, verweigert diese Richtlinie alle zukünftigen Installationen der Legacy-Agent-Erweiterung in Linux-VM-Skalierungsgruppen. Weitere Informationen: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| Die Legacy-Log Analytics-Erweiterung sollte nicht auf virtuellen Linux-Computern installiert sein | Verhindern Sie automatisch die Installation des Legacy-Log Analytics-Agents als letzten Schritt der Migration von Legacy-Agents zum Azure Monitor-Agent. Nachdem Sie vorhandene Legacy-Erweiterungen deinstalliert haben, verweigert diese Richtlinie alle zukünftigen Installationen der Legacy-Agent-Erweiterung in virtuellen Linux-Computern. Weitere Informationen: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| Die Legacy-Log Analytics-Erweiterung sollte nicht auf VM-Skalierungsgruppen installiert sein | Verhindern Sie automatisch die Installation des Legacy-Log Analytics-Agents als letzten Schritt der Migration von Legacy-Agents zum Azure Monitor-Agent. Nachdem Sie vorhandene Legacy-Erweiterungen deinstalliert haben, verweigert diese Richtlinie alle zukünftigen Installationen der Legacy-Agent-Erweiterung in Windows-VM-Skalierungsgruppen. Weitere Informationen: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| Die Legacy-Log Analytics-Erweiterung sollte nicht auf virtuellen Computern installiert sein | Verhindern Sie automatisch die Installation des Legacy-Log Analytics-Agents als letzten Schritt der Migration von Legacy-Agents zum Azure Monitor-Agent. Nachdem Sie vorhandene Legacy-Erweiterungen deinstalliert haben, verweigert diese Richtlinie alle zukünftigen Installationen der Legacy-Agent-Erweiterung in virtuellen Windows-Computern. Weitere Informationen: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| Die Log Analytics-Erweiterung sollte für VM-Skalierungsgruppen installiert sein | Diese Richtlinie überwacht alle Windows-/Linux-VM-Skalierungsgruppen, wenn die Log Analytics-Erweiterung nicht installiert ist. | AuditIfNotExists, Disabled | 1.0.1 |
| Virtual Machines sollten mit einem angegebenen Arbeitsbereich verbunden sein | Meldet Virtual Machines als nicht konform, wenn sie keine Protokolle an den Log Analytics-Arbeitsbereich senden, der in der Richtlinien-/Initiativenzuweisung angegeben ist. | AuditIfNotExists, Disabled | 1.1.0 |
| Die Log Analytics-Erweiterung sollte auf virtuellen Computern installiert sein | Diese Richtlinie überwacht, ob auf allen Windows-/Linux-VMs die Log Analytics-Erweiterung installiert ist. | AuditIfNotExists, Disabled | 1.0.1 |
| Auf Arc-fähigen Windows-Computern sollte der Azure Monitor-Agent installiert sein | Arc-fähige Windows-Computer sollten über den bereitgestellten Azure Monitor-Agent überwacht und gesichert werden. Der Azure Monitor-Agent sammelt Telemetriedaten vom Gastbetriebssystem. Arc-fähige Windows-Computer in unterstützten Regionen werden für die Azure Monitor-Agent-Bereitstellung überwacht. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 1.2.0 |
| Für Windows-VM-Skalierungsgruppen sollte der Azure Monitor-Agent installiert sein | Windows-VM-Skalierungsgruppen sollten über den bereitgestellten Azure Monitor-Agent überwacht und gesichert werden. Der Azure Monitor-Agent sammelt Telemetriedaten vom Gastbetriebssystem. VM-Skalierungsgruppen mit unterstützten Betriebssystemen und in unterstützten Regionen werden auf Azure Monitor-Agent-Bereitstellung überwacht. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Auf virtuellen Windows-Computern sollte der Azure Monitor-Agent installiert sein | Virtuelle Windows-Computer sollten über den bereitgestellten Azure Monitor-Agent überwacht und gesichert werden. Der Azure Monitor-Agent sammelt Telemetriedaten vom Gastbetriebssystem. Virtuelle Windows-Computer mit unterstützten Betriebssystemen und in unterstützten Regionen werden auf Azure Monitor-Agent-Bereitstellung überwacht. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Arbeitsmappen sollten unter von Ihnen kontrollierten Speicherkonten gespeichert werden | Mit Bring Your Own Storage (BYOS) werden Ihre Arbeitsmappen in ein Speicherkonto hochgeladen, das Ihrer Kontrolle unterliegt. Dies bedeutet, dass Sie die Richtlinie zur Verschlüsselung ruhender Daten, die Richtlinie zur Verwaltung der Lebensdauer und den Netzwerkzugriff festlegen. Sie sind jedoch auch für die mit diesem Speicherkonto verbundenen Kosten verantwortlich. Weitere Informationen finden Sie unter https://aka.ms/workbooksByos. | verweigern, verweigern, überwachen, überwachen, deaktiviert, Deaktivierung | 1.1.0 |
Netzwerk
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Gesamten Internetdatenverkehr über Ihre bereitgestellte Azure Firewall-Instanz leiten | Azure Security Center hat festgestellt, dass einige Ihrer Subnetze nicht durch eine Firewall der nächsten Generation geschützt werden. Schützen Ihrer Subnetze vor möglichen Bedrohungen durch Einschränken des Zugriffs auf die Subnetze mit Azure Firewall oder einer unterstützten Firewall der nächsten Generation | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Vorschau]: Container Registry sollte einen VNET-Dienstendpunkt verwenden. | Diese Richtlinie überwacht alle Container Registry-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | Audit, Disabled | 1.0.0-preview |
| Eine benutzerdefinierte IPSec-/IKE-Richtlinie muss auf alle Gatewayverbindungen in virtuellen Azure-Netzwerken angewendet werden | Mit dieser Richtlinie wird sichergestellt, dass alle Gatewayverbindungen in virtuellen Azure-Netzwerken eine benutzerdefinierte Richtlinie für IPsec (Internetprotokollsicherheit) und IKE (Internetschlüsselaustausch) verwenden. Informationen zu unterstützten Algorithmen und Schlüsselstärken finden Sie unter https://aka.ms/AA62kb0. | Audit, Disabled | 1.0.0 |
| Alle Datenflussprotokollressourcen sollten aktiviert sein | Hiermit werden Datenflussprotokollressourcen überwacht, um zu überprüfen, ob der Datenflussprotokollstatus aktiviert ist. Durch Aktivierung von Datenflussprotokollen können Informationen zum IP-Datenverkehr protokolliert werden. So können Sie Netzwerkdatenflüsse optimieren, den Durchsatz überwachen, Konformität sicherstellen, Eindringversuche erkennen und mehr. | Audit, Disabled | 1.0.1 |
| App Service Apps sollten einen Dienstendpunkt für virtuelle Netzwerke verwenden | Verwenden Sie virtuelle Netzwerkdienstendpunkte, um den Zugriff auf Ihre App von ausgewählten Subnetzen aus einem virtuellen Azure-Netzwerk einzuschränken. Weitere Informationen zu App Service Dienstendpunkten finden Sie unter https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
| Konfiguration für Datenflussprotokolle für jedes virtuelle Netzwerk konfigurieren | Hiermit werden virtuelle Netzwerke überwacht, um sicherzustellen, dass Datenflussprotokolle konfiguriert sind. Durch Aktivierung von Datenflussprotokollen können Informationen zum IP-Datenverkehr protokolliert werden, der durch das virtuelle Netzwerk fließt. So können Sie Netzwerkdatenflüsse optimieren, den Durchsatz überwachen, Konformität sicherstellen, Eindringversuche erkennen und mehr. | Audit, Disabled | 1.0.1 |
| Azure Application Gateway sollte mit Azure WAF bereitgestellt werden | Erfordert, dass Azure Application Gateway-Ressourcen mit Azure WAF bereitgestellt werden. | Audit, Deny, Disabled | 1.0.0 |
| Die Azure Firewall-Richtlinie sollte die TLS-Überprüfung innerhalb von Anwendungsregeln aktivieren. | Die Aktivierung der TLS-Überprüfung wird für alle Anwendungsregeln empfohlen, um schädliche Aktivitäten in HTTPS zu erkennen, vor ihnen zu warnen und sie zu minimieren. Weitere Informationen zur TLS-Überprüfung mit Azure Firewall finden Sie unter https://aka.ms/fw-tlsinspect. | Audit, Deny, Disabled | 1.0.0 |
| Azure Firewall Premium sollte ein gültiges Zwischenzertifikat konfigurieren, um die TLS-Überprüfung zu ermöglichen | Konfigurieren Sie ein gültiges Zwischenzertifikat, und aktivieren Sie die Azure Firewall Premium-TLS-Überprüfung, um schädliche Aktivitäten in HTTPS zu erkennen und zu verhindern und um Warnungen dazu zu senden. Weitere Informationen zur TLS-Überprüfung mit Azure Firewall finden Sie unter https://aka.ms/fw-tlsinspect. | Audit, Deny, Disabled | 1.0.0 |
| Azure-VPN-Gateways dürfen nicht die SKU „Basic“ verwenden | Diese Richtlinie stellt sicher, dass für VPN-Gateways nicht die SKU „Basic“ verwendet wird. | Audit, Disabled | 1.0.0 |
| Bei Azure Web Application Firewall auf Azure Application Gateway sollte die Überprüfung der Anforderungsstellen aktiviert sein | Stellen Sie sicher, dass für Web Application Firewalls, die Azure Application Gateways zugeordnet sind, die Anforderungstextprüfung aktiviert ist. Dadurch kann die WAF Eigenschaften innerhalb des HTTP-Textkörpers überprüfen, die möglicherweise nicht in den HTTP-Headern, Cookies oder URI ausgewertet werden. | Audit, Deny, Disabled | 1.0.0 |
| Bei Azure Web Application Firewall auf Azure Front Door sollte die Überprüfung der Anforderungsstellen aktiviert sein | Stellen Sie sicher, dass für Web Application Firewalls, die Azure Front Doors zugeordnet sind, die Anforderungstextprüfung aktiviert ist. Dadurch kann die WAF Eigenschaften innerhalb des HTTP-Textkörpers überprüfen, die möglicherweise nicht in den HTTP-Headern, Cookies oder URI ausgewertet werden. | Audit, Deny, Disabled | 1.0.0 |
| Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Audit, Deny, Disabled | 1.0.2 |
| Bot-Schutz sollte für das WAF von Azure Application Gateway aktiviert sein | Diese Richtlinie stellt sicher, dass der Bot-Schutz in allen Azure Application Gateway WAF-Richtlinien (Web Application Firewall) aktiviert ist | Audit, Deny, Disabled | 1.0.0 |
| Bot-Schutz sollte für Azure Front Door WAF aktiviert sein | Diese Richtlinie stellt sicher, dass der Botschutz in allen Azure Front Door WAF-Richtlinien (Web Application Firewall) aktiviert ist. | Audit, Deny, Disabled | 1.0.0 |
| Die Umgehungsliste von IDPS (Intrusion Detection and Prevention System) sollte in Firewall Policy Premium leer sein | Mit der IDPS-Umgehungsliste (Intrusion Detection and Prevention System, Angriffserkennungs- und -verhinderungssystem für das Netzwerk) können Sie den Datenverkehr zu den in der Umgehungsliste angegebenen IP-Adressen, Bereichen und Subnetzen nicht filtern. Die Aktivierung von IDPS wird jedoch für alle Datenverkehrsflüsse empfohlen, um bekannte Bedrohungen besser identifizieren zu können. Weitere Informationen zu den IDPS-Signaturen in Azure Firewall Premium finden Sie unter https://aka.ms/fw-idps-signature. | Audit, Deny, Disabled | 1.0.0 |
| Diagnoseeinstellungen für Azure-Netzwerksicherheitsgruppen für Log Analytics-Arbeitsbereich konfigurieren | Stellen Sie Diagnoseeinstellungen für Azure-Netzwerksicherheitsgruppen bereit, um Ressourcenprotokolle in einen Log Analytics-Arbeitsbereich zu streamen. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Netzwerksicherheitsgruppen zum Aktivieren von Traffic Analytics | Traffic Analytics kann für alle Netzwerksicherheitsgruppen aktiviert werden, die in einer bestimmten Region gehostet werden, wobei die Einstellungen während der Richtlinienerstellung bereitgestellt werden. Wenn Traffic Analytics bereits aktiviert ist, überschreibt die Richtlinie ihre Einstellungen nicht. Datenflussprotokolle sind ebenfalls für die Netzwerksicherheitsgruppen aktiviert, die nicht über diese verfügen. Die Datenverkehrsanalyse (Englisch: Traffic Analytics) ist eine cloudbasierte Lösung, die Einblick in Benutzer- und Anwendungsaktivitäten in Cloudnetzwerken bietet. | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurieren von Netzwerksicherheitsgruppen für die Verwendung von bestimmten Arbeitsbereiche, Speicherkonten und Aufbewahrungsrichtlinien für Datenflussprotokolle für Datenverkehrsanalysen | Wenn Traffic Analytics bereits aktiviert ist, überschreibt die Richtlinie die vorhandenen Einstellungen mit denen, die bei der Erstellung der Richtlinie angegeben wurden. Die Datenverkehrsanalyse (Englisch: Traffic Analytics) ist eine cloudbasierte Lösung, die Einblick in Benutzer- und Anwendungsaktivitäten in Cloudnetzwerken bietet. | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurieren des virtuellen Netzwerks, um Datenflussprotokolle und Traffic Analytics zu aktivieren | Traffic Analytics und Datenflussprotokolle können für alle virtuellen Netzwerke aktiviert werden, die in einer bestimmten Region gehostet werden, und bei denen die Einstellungen während der Richtlinienerstellung angegeben werden. Diese Richtlinie überschreibt nicht die aktuelle Einstellung für virtuelle Netzwerke, für die diese Funktion bereits aktiviert ist. Die Datenverkehrsanalyse (Englisch: Traffic Analytics) ist eine cloudbasierte Lösung, die Einblick in Benutzer- und Anwendungsaktivitäten in Cloudnetzwerken bietet. | DeployIfNotExists, Disabled | 1.1.1 |
| Konfigurieren von virtuellen Netzwerken zum Erzwingen von bestimmten Arbeitsbereichen, Speicherkonten und Aufbewahrungsintervallen für Datenflussprotokolle und Traffic Analytics | Wenn Traffic Analytics bereits für ein virtuelles Netzwerk aktiviert ist, überschreibt diese Richtlinie die vorhandenen Einstellungen mit den Einstellungen, die während der Richtlinienerstellung bereitgestellt werden. Die Datenverkehrsanalyse (Englisch: Traffic Analytics) ist eine cloudbasierte Lösung, die Einblick in Benutzer- und Anwendungsaktivitäten in Cloudnetzwerken bietet. | DeployIfNotExists, Disabled | 1.1.2 |
| Cosmos DB sollte einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht alle Cosmos DB-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | Audit, Disabled | 1.0.0 |
| Ressource für Datenflussprotokolle mit Netzwerksicherheitsgruppe für Ziel bereitstellen | Hiermit wird das Datenflussprotokoll für eine bestimmte Netzwerksicherheitsgruppe konfiguriert. Dies ermöglicht die Protokollierung von Informationen über den IP-Datenverkehr, der durch eine Netzwerksicherheitsgruppe fließt. Das Datenflussprotokoll bietet Unterstützung bei der Identifizierung von unbekanntem oder unerwünschtem Datenverkehr, bei der Überprüfung der Netzwerkisolation und bei der Einhaltung von Zugriffsregeln eines Unternehmens sowie bei der Analyse von Netzwerkdatenflüssen von kompromittierten IP-Adressen und Netzwerkschnittstellen. | deployIfNotExists | 1.1.0 |
| Bereitstellen einer Datenflussprotokollressource mit virtuellem Zielnetzwerk | Konfiguriert das Datenflussprotokoll für ein bestimmtes virtuelles Netzwerk. Dies ermöglicht die Protokollierung von Informationen über den IP-Datenverkehr, der durch eine virtuelles Netzwerk fließt. Das Datenflussprotokoll bietet Unterstützung bei der Identifizierung von unbekanntem oder unerwünschtem Datenverkehr, bei der Überprüfung der Netzwerkisolation und bei der Einhaltung von Zugriffsregeln eines Unternehmens sowie bei der Analyse von Netzwerkdatenflüssen von kompromittierten IP-Adressen und Netzwerkschnittstellen. | DeployIfNotExists, Disabled | 1.1.1 |
| Beim Erstellen virtueller Netzwerke Network Watcher bereitstellen | Diese Richtlinie erstellt eine Network Watcher-Ressource in Regionen mit virtuellen Netzwerken. Sie müssen sicherstellen, dass eine Ressourcengruppe namens „networkWatcherRG“ vorhanden ist, die zum Bereitstellen von Network Watcher-Instanzen verwendet wird. | Auswirkung „DeployIfNotExists“ | 1.0.0 |
| Aktivieren der Ratenbegrenzungsregel zum Schutz vor DDoS-Angriffen auf Azure Front Door WAF | Die Azure-WAF-Ratenbegrenzungsregel (Web Application Firewall) für Azure Front Door steuert die Anzahl der Anforderungen, die von einer bestimmten Client-IP-Adresse während der Dauer einer Ratenbegrenzung an die Anwendung zulässig sind. | Audit, Deny, Disabled | 1.0.0 |
| Event Hub sollte einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht jeden Event Hub, der nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert ist. | AuditIfNotExists, Disabled | 1.0.0 |
| Firewall Policy Premium sollte alle IDPS-Signaturregeln aktivieren, um alle ein- und ausgehenden Datenverkehrsflüsse zu überwachen | Das Aktivieren aller IDPS-Signaturregeln (Intrusion Detection and Prevention System, Angriffserkennungs- und -verhinderungssystem für das Netzwerk) wird empfohlen, um bekannte Bedrohungen in den Datenverkehrsflüssen besser identifizieren zu können. Weitere Informationen zu den IDPS-Signaturen in Azure Firewall Premium finden Sie unter https://aka.ms/fw-idps-signature. | Audit, Deny, Disabled | 1.0.0 |
| Firewall Policy Premium sollte das Angriffserkennungs- und -verhinderungssystem (IDPS) aktivieren | Die Aktivierung von IDPS (Intrusion Detection and Prevention System, Angriffserkennungs- und -verhinderungssystem für das Netzwerk) ermöglicht Ihnen, Ihr Netzwerk auf schädliche Aktivitäten zu überwachen, Informationen zu diesen Aktivitäten zu protokollieren, sie zu melden und optional zu versuchen, sie zu blockieren. Weitere Informationen zu IDPS (Intrusion Detection and Prevention System) in Azure Firewall Premium finden Sie unter https://aka.ms/fw-idps. | Audit, Deny, Disabled | 1.0.0 |
| Für jede Netzwerksicherheitsgruppe müssen Datenflussprotokolle konfiguriert sein | Hiermit werden Netzwerksicherheitsgruppen überwacht, um sicherzustellen, dass Datenflussprotokolle konfiguriert sind. Durch die Aktivierung von Datenflussprotokollen können Informationen zum IP-Datenverkehr protokolliert werden, der durch die Netzwerksicherheitsgruppe fließt. So können Sie Netzwerkdatenflüsse optimieren, den Durchsatz überwachen, Konformität sicherstellen, Eindringversuche erkennen und mehr. | Audit, Disabled | 1.1.0 |
| Gatewaysubnetze dürfen nicht mit einer Netzwerksicherheitsgruppe konfiguriert werden | Diese Richtlinie lehnt Gatewaysubnetze ab, die mit einer Netzwerksicherheitsgruppe konfiguriert sind. Das Zuweisen einer Netzwerksicherheitsgruppe zu einem Gatewaysubnetz führt dazu, dass das Gateway nicht mehr funktioniert. | deny | 1.0.0 |
| Key Vault sollte einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht alle Key Vault-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | Audit, Disabled | 1.0.0 |
| Migrieren von WAF zu WAF-Konfiguration zu WAF-Richtlinie auf Application Gateway | Wenn Sie über WAF Config anstatt von WAF-Richtlinie verfügen, sollten Sie in Erwägung ziehen, zu der neuen WAF-Richtlinie zu wechseln. In Zukunft unterstützt die Firewallrichtlinie WAF-Richtlinieneinstellungen, verwaltete Regelsätze, Ausschlüsse und deaktivierte Regelgruppen. | Audit, Deny, Disabled | 1.0.0 |
| Netzwerkschnittstellen müssen die IP-Weiterleitung deaktivieren | Diese Richtlinie lehnt Netzwerkschnittstellen ab, für die die IP-Weiterleitung aktiviert ist. Durch die Aktivierung der IP-Weiterleitung wird die Azure-Überprüfung von Quelle und Ziel für eine Netzwerkschnittstelle deaktiviert. Diese Konfiguration muss durch das Netzwerksicherheitsteam überprüft werden. | deny | 1.0.0 |
| Netzwerkschnittstellen dürfen keine öffentlichen IP-Adressen aufweisen | Diese Richtlinie lehnt Netzwerkschnittstellen ab, die mit einer öffentlichen IP-Adresse konfiguriert sind. Anhand öffentlicher IP-Adressen können Internetressourcen in eingehender Richtung mit Azure-Ressourcen und Azure-Ressourcen in ausgehender Richtung mit dem Internet kommunizieren. Diese Konfiguration muss durch das Netzwerksicherheitsteam überprüft werden. | deny | 1.0.0 |
| Für Network Watcher-Datenflussprotokolle sollte Traffic Analytics aktiviert sein. | Datenverkehrsanalysen analysieren Datenflussprotokolle, um Erkenntnisse zum Datenfluss in Ihrer Azure-Cloud bereitzustellen. Es kann verwendet werden, um Netzwerkaktivitäten in Ihren Azure-Abonnements zu visualisieren, Hotspots und Sicherheitsbedrohungen zu identifizieren, Datenverkehrsflussmuster zu verstehen, Fehlkonfigurationen im Netzwerk zu ermitteln und vieles mehr. | Audit, Disabled | 1.0.1 |
| Network Watcher muss aktiviert sein | Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. | AuditIfNotExists, Disabled | 3.0.0 |
| SQL Server sollte einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht alle SQL Server-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | AuditIfNotExists, Disabled | 1.0.0 |
| Speicherkonten sollten einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht alle Speicherkonten, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | Audit, Disabled | 1.0.0 |
| Das Abonnement sollte die Azure Firewall Premium so konfigurieren, zusätzliche Schutzebenen bereitzustellen. | Azure Firewall Premium bietet erweiterten Bedrohungsschutz, der die Anforderungen hochsensibler und regulierter Umgebungen erfüllt. Stellen Sie Azure Firewall Premium in Ihrem Abonnement bereit, und stellen Sie sicher, dass der gesamte Dienstdatenverkehr durch Azure Firewall Premium geschützt ist. Weitere Informationen zu Azure Firewall Premium finden Sie unter https://aka.ms/fw-premium. | AuditIfNotExists, Disabled | 1.0.0 |
| Virtuelle Computer müssen mit einem genehmigten virtuellen Netzwerk verbunden sein | Diese Richtlinie überwacht alle virtuellen Computer darauf, ob sie mit einem nicht genehmigten virtuellen Netzwerk verbunden sind. | Audit, Deny, Disabled | 1.0.0 |
| Virtuelle Netzwerke müssen durch Azure DDoS Protection geschützt werden | Schützen Sie Ihre virtuellen Netzwerke mit Azure DDoS Protection vor volumetrischen Angriffen und Protokollangriffen. Weitere Informationen finden Sie unter https://aka.ms/ddosprotectiondocs. | Modify, Audit, Disabled | 1.0.1 |
| Virtuelle Netzwerke müssen ein angegebenes Gateway für virtuelle Netzwerke verwenden | Diese Richtlinie überwacht alle virtuellen Netzwerke, wenn die Standardroute nicht auf das angegebene Gateway für virtuelle Netzwerke zeigt. | AuditIfNotExists, Disabled | 1.0.0 |
| VPN-Gateways sollten nur Azure Active Directory-Authentifizierung (Azure AD) für Point-to-Site-Benutzer verwenden | Das Deaktivieren lokaler Authentifizierungsmethoden verbessert die Sicherheit, da hierdurch sichergestellt wird, dass VPN Gateways ausschließlich Azure Active Directory-Identitäten für die Authentifizierung verwenden. Weitere Informationen zur Azure AD-Authentifizierung finden Sie unter https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant. | Audit, Deny, Disabled | 1.0.0 |
| Web Application Firewall (WAF) muss für Application Gateway aktiviert sein. | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Audit, Deny, Disabled | 2.0.0 |
| Web Application Firewall (WAF) sollte alle Firewallregeln für Application Gateway aktivieren | Durch Aktivieren aller Web Application Firewall (WAF)-Regeln wird die Anwendungssicherheit gestärkt und Ihre Webanwendungen vor allgemeinen Sicherheitsrisiken geschützt. Weitere Informationen zu Web Application Firewall (WAF) mit Application Gateway finden Sie unter https://aka.ms/waf-ag | Audit, Deny, Disabled | 1.0.1 |
| Web Application Firewall (WAF) muss den angegebenen Modus für Application Gateway verwenden. | Legt fest, dass die Verwendung des Modus „Erkennung“ oder „Prävention“ für alle Web Application Firewall-Richtlinien für Application Gateway aktiv ist. | Audit, Deny, Disabled | 1.0.0 |
| Web Application Firewall (WAF) muss den angegebenen Modus für Azure Front Door Service verwenden. | Legt fest, dass die Verwendung des Modus „Erkennung“ oder „Prävention“ für alle Web Application Firewall-Richtlinien für Azure Front Door Service aktiv ist. | Audit, Deny, Disabled | 1.0.0 |
Portal
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Freigegebene Dashboards dürfen keine Markdownkacheln mit Inline-Inhalten aufweisen | Verhindert das Erstellen eines freigegebenen Dashboards mit Inlineinhalten auf Markdownkacheln und erzwingt, dass der Inhalt als online gehostete Markdowndatei gespeichert werden soll. Wenn Sie Inlineinhalte auf der Markdownkachel verwenden, können Sie die Verschlüsselung des Inhalts nicht verwalten. Das Konfigurieren eines eigenen Speichers ermöglicht das Verschlüsseln, das doppelte Verschlüsseln und sogar das Verwenden eigener Schlüssel. Wenn Sie diese Richtlinie aktivieren, können Benutzer die Version 2020-09-01-preview oder eine höhere Version der REST-API für freigegebene Dashboards verwenden. | Audit, Deny, Disabled | 1.0.0 |
Resilienz
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau:] API Management-Dienst sollte zonenredundant sein | Der API Management-Dienst kann zonenredundant konfiguriert werden. Ein API Management-Dienst ist zonenredundant, wenn der SKU-Name „Premium“ lautet und mindestens zwei Einträge im Zonenarray aufweist. Diese Richtlinie identifiziert API Management-Dienste, die nicht über die erforderliche Redundanz zum Überstehen eines Zonenausfalls verfügen. | Audit, Deny, Disabled | 1.0.1-preview |
| [Vorschau]: App Service-Pläne sollten zonenredundant sein | App Service-Pläne können so konfiguriert werden, dass sie zonenredundant sind oder nicht. Wenn die Eigenschaft "zoneRedundant" für einen App Service-Plan auf "falsch" festgelegt ist, ist sie nicht für Zonenredundanz konfiguriert. Diese Richtlinie identifiziert und erzwingt die Konfiguration der Zonenredundanz für App Service-Pläne. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Anwendungsgateways sollten zonenresilient sein. | Anwendungsgateways können so konfiguriert werden, dass sie zonenausgerichtet, zonenredundant oder keines von beidem sind. Anwendungsgateways mit genau einem Eintrag in ihrem Zonenarray gelten als zonenausgerichtet. Im Gegensatz dazu gelten Anwendungsgateways mit mindestens drei Einträgen in ihrem Zonenarray als zonenredundant. Diese Richtlinie hilft dabei, diese Resilienzkonfigurationen zu identifizieren und zu erzwingen. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Der Dienst für Azure KI-Suche sollte zonenredundant sein. | Der Dienst für Azure KI-Suche kann so konfiguriert werden, dass er zonenredundant oder nicht zonenredundant ist. Verfügbarkeitszonen werden verwendet, wenn Sie Ihrem Suchdienst zwei oder mehr Replikate hinzufügen. Jedes Replikat wird in einer anderen Verfügbarkeitszone innerhalb der Region platziert. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Azure Cache for Redis Enterprise & Flash sollte zonenredundant sein | Der Azure Cache for Redis Enterprise & Flash kann so konfiguriert werden, dass er zonenredundant ist oder nicht. Azure Cache for Redis Enterprise & Flash-Instanzen mit weniger als 3 Einträgen in ihrem Zonenarray sind nicht zonenredundant. Diese Richtlinie identifiziert Azure Cache for Redis Enterprise & Flash-Instanzen, denen die Redundanz fehlt, die erforderlich ist, um einem Zonenausfall standzuhalten. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Azure Cache für Redis sollte zonenredundant sein | Der Azure-Cache für Redis kann so konfiguriert werden, dass er zonenredundant ist oder nicht. Azure Cache for Redis-Instanzen mit weniger als 2 Einträgen in ihrem Zonenarray sind nicht zonenredundant. Diese Richtlinie identifiziert den Azure Cache für Redis-Instanzen, denen die Redundanz fehlt, die erforderlich ist, um einem Zonenausfall standzuhalten. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Azure Data Explorer-Cluster sollten zonenredundant sein | Azure-Data Explorer-Cluster können so konfiguriert werden, dass sie zonenredundant sind oder nicht. Ein Azure Data Explorer-Cluster gilt als zonenredundant, wenn er mindestens zwei Einträge in seinem Zonenarray enthält. Diese Richtlinie trägt dazu bei, dass Ihre Azure Data Explorer-Cluster zonenredundant sind. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Azure Database for MySQL Flexible Server sollte zonenresilient sein. | Azure Database for MySQL Flexible Server kann so konfiguriert werden, dass der Dienst zonenausgerichtet, zonenredundant oder keines von beidem ist. Der MySQL-Server mit einem Standbyserver, der in derselben Zone für die Hochverfügbarkeit ausgewählt ist, gilt als zonenausgerichtet. Im Gegensatz dazu gilt der MySQL-Server mit einem Standbyserver, der in einer anderen Zone für die Hochverfügbarkeit ausgewählt wurde, als zonenredundant. Diese Richtlinie hilft dabei, diese Resilienzkonfigurationen zu identifizieren und zu erzwingen. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Azure Database for PostgreSQL Flexible Server sollte zonenresilient sein. | Azure Database for PostgreSQL Flexible Server kann so konfiguriert werden, dass der Dienst zonenausgerichtet, zonenredundant oder keines von beidem ist. Der PostgreSQL-Server mit einem Standbyserver, der in derselben Zone für die Hochverfügbarkeit ausgewählt ist, gilt als zonenausgerichtet. Im Gegensatz dazu gilt der PostgreSQL-Server mit einem Standbyserver, der in einer anderen Zone für die Hochverfügbarkeit ausgewählt wurde, als zonenredundant. Diese Richtlinie hilft dabei, diese Resilienzkonfigurationen zu identifizieren und zu erzwingen. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Azure HDInsight sollte zonenausgerichtet sein. | Der Azure HDInsight-Dienst kann so konfiguriert werden, dass er zonenausgerichtet oder nicht zonenausgerichtet ist. Der Azure HDInsight-Dienst mit genau einem Eintrag in seinem Zonenarray gilt als zonenausgerichtet. Diese Richtlinie stellt sicher, dass ein Azure HDInsight-Cluster so konfiguriert ist, dass er innerhalb einer einzigen Verfügbarkeitszone ausgeführt wird. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Verwaltete Azure Kubernetes-Servicecluster sollten zonenredundant sein | Verwaltete Azure Kubernetes-Servicecluster können so konfiguriert werden, dass sie zonenredundant sind oder nicht. Die Richtlinie überprüft die Knotenpools im Cluster und stellt sicher, dass Verfügbarkeitszonen für alle Knotenpools festgelegt werden. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Azure Managed Grafana sollte zonenredundant sein | Azure Managed Grafana kann so konfiguriert werden, dass es zonenredundant ist oder nicht. Eine Azure Managed Grafana-Instanz ist Zonenredundant, wenn die Eigenschaft "zoneRedundancy" auf "Aktiviert" festgelegt ist. Durch das Erzwingen dieser Richtlinie wird sichergestellt, dass Ihr Azure Managed Grafana entsprechend für die Zonenresilienz konfiguriert ist, wodurch das Risiko von Ausfallzeiten während Zonenausfällen verringert wird. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Backup und Site Recovery sollten zonenredundant sein. | Die Dienste Backup und Site Recovery können so konfiguriert werden, dass sie zonenredundant oder nicht zonenredundant sind. Die Dienste Backup und Site Recovery sind zonenredundant, wenn die standardTierStorageRedundancy-Eigenschaft auf ZoneRedundant festgelegt ist. Durch das Erzwingen dieser Richtlinie wird sichergestellt, dass die Dienste Backup und Site Recovery für die Zonenresilienz entsprechend konfiguriert sind, wodurch das Risiko für Downtimes bei Zonenausfällen verringert wird. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Sicherungstresore sollten zonenredundant sein. | Sicherungstresore können so konfiguriert werden, dass sie zonenredundant oder nicht zonenredundant sind. Sicherungstresore sind zonenredundant, wenn der Typ der Speichereinstellungen auf ZoneRedundant festgelegt ist und sie als resilient gelten. Georedundante oder lokal redundante Sicherungstresore gelten nicht als resilient. Durch das Erzwingen dieser Richtlinie wird sichergestellt, dass Sicherungstresore für die Zonenresilienz entsprechend konfiguriert sind, wodurch das Risiko für Downtimes bei Zonenausfällen verringert wird. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Die Container-App sollte zonenredundant sein. | Die Container-App kann so konfiguriert werden, dass sie zonenredundant oder nicht zonenredundant ist. Eine Container-App ist zonenredundant, wenn die ZoneRedundant-Eigenschaft der verwalteten Umgebung auf TRUE festgelegt ist. Diese Richtlinie identifiziert, dass die Container-App nicht über die erforderliche Redundanz verfügt, um einen Zonenausfall zu überstehen. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Containerinstanzen sollten zonenausgerichtet sein. | Containerinstanzen können so konfiguriert werden, dass sie zonenausgerichtet oder nicht zonenausgerichtet sind. Sie werden als zonenausgerichtet betrachtet, wenn sie nur einen Eintrag in ihrem Zonenarray haben. Diese Richtlinie stellt sicher, dass sie für den Betrieb innerhalb einer einzelnen Verfügbarkeitszone konfiguriert sind. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Containerregistrierung sollte zonenredundant sein | Die Containerregistrierung kann so konfiguriert werden, dass sie zonenredundant ist oder nicht. Wenn die zoneRedundancy-Eigenschaft für eine Containerregistrierung auf „Disabled“ festgelegt ist, bedeutet dies, dass die Registrierung nicht zonenredundant ist. Durch das Erzwingen dieser Richtlinie wird sichergestellt, dass Ihre Containerregistrierung korrekt für die Zonenresilienz konfiguriert ist, wodurch das Risiko von Ausfallzeiten während Zonenausfällen verringert wird. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Cosmos-Datenbankkonten sollten zonenredundant sein | Cosmos-Datenbankkonten können so konfiguriert werden, dass sie entweder zonenredundant sind oder nicht. Wenn enableMultipleWriteLocations auf TRUE festgelegt ist, müssen alle Standorte über eine isZoneRedundant-Eigenschaft verfügen, die auf TRUE festgelegt ist. Wenn „enableMultipleWriteLocations“ auf „false“ festgelegt ist, muss der primäre Speicherort („failoverPriority“ auf 0 festgelegt) über eine „isZoneRedundant“-Eigenschaft verfügen und auf „true“ festgelegt werden. Durch das Erzwingen dieser Richtlinie wird sichergestellt, dass Cosmos-Datenbankkonten ordnungsgemäß für Zonenredundanz konfiguriert sind. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Event Hubs sollten zonenredundant sein | Event Hubs können so konfiguriert werden, dass sie zonenredundant sind oder nicht. Event Hubs sind zonenredundant, wenn die Eigenschaft "zoneRedundant" auf "wahr" festgelegt ist. Durch das Erzwingen dieser Richtlinie wird sichergestellt, dass Event Hubs korrekt für Zonenresilienz konfiguriert sind, wodurch das Risiko von Ausfallzeiten während Zonenausfällen verringert wird. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Firewalls sollten zonenresilient sein. | Firewalls können so konfiguriert werden, dass sie zonenausgerichtet, zonenredundant oder keines von beidem sind. Firewalls mit genau einem Eintrag in ihrem Zonenarray gelten als zonenausgerichtet. Im Gegensatz dazu gelten Firewalls mit mindestens drei Einträgen in ihrem Zonenarray als zonenredundant. Diese Richtlinie hilft dabei, diese Resilienzkonfigurationen zu identifizieren und zu erzwingen. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Lastenausgleiche sollten zonenresilient sein. | Lastenausgleiche mit einer anderen SKU als Basic erben in ihrem Frontend die Resilienz der öffentlichen IP-Adressen. Wenn sie in Kombination mit der Richtlinie „Öffentliche IP-Adressen sollten zonenresilient sein.“ verwendet werden, stellt dieser Ansatz die notwendige Redundanz sicher, um einen Zonenausfall zu überstehen. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Verwaltete Datenträger sollten zonenresilient sein | Verwaltete Datenträger können entweder als zonenausgerichtet, zonenredundant oder nichts davon konfiguriert werden. Verwaltete Datenträger mit genau einer Zonenzuweisung sind zonenausgerichtet. Verwaltete Datenträger mit einem SKU-Namen, der auf ZRS endet, sind zonenredundant. Diese Richtlinie unterstützt die Identifizierung und Erzwingung dieser Resilienzkonfigurationen für verwaltete Datenträger. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Das NAT-Gateway sollte zonenausgerichtet sein. | Das NAT-Gateway kann so konfiguriert werden, dass es zonenausgerichtet oder nicht zonenausgerichtet ist. Das NAT-Gateway mit genau einem Eintrag in seinem Zonenarray gilt als zonenausgerichtet. Diese Richtlinie stellt sicher, dass ein NAT-Gateway so konfiguriert ist, dass es innerhalb einer einzigen Verfügbarkeitszone ausgeführt wird. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Öffentliche IP-Adressen sollten zonenresilient sein | Öffentliche IP-Adressen können entweder als zonenausgerichtet, zonenredundant oder nichts davon konfiguriert werden. Regionale öffentliche IP-Adressen mit genau einem Eintrag in ihrem Zonenarray gelten als zonenausgerichtet. Im Gegensatz dazu gelten regionale öffentliche IP-Adressen mit mindestens drei Einträgen in ihrem Zonenarray als zonenredundant. Diese Richtlinie hilft dabei, diese Resilienzkonfigurationen zu identifizieren und zu erzwingen. | Audit, Deny, Disabled | 1.1.0-preview |
| [Vorschau]: Öffentliche IP-Präfixe sollten zonenresilient sein | Öffentliche IP-Präfixe können so konfiguriert werden, dass sie entweder zonenausgerichtet, zonenredundant oder keines davon sind. Öffentliche IP-Präfixe mit genau einem Eintrag in ihrem Zonenarray werden als zonenausgerichtet betrachtet. Im Gegensatz dazu werden öffentliche IP-Präfixe mit 3 oder mehr Einträgen in ihrem Zonenarray als zonenredundant anerkannt. Diese Richtlinie hilft dabei, diese Resilienzkonfigurationen zu identifizieren und zu erzwingen. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Service Bus sollte zonenredundant sein | Der Service Bus kann so konfiguriert werden, dass er zonenredundant ist oder nicht. Wenn die Eigenschaft „zoneRedundant“ für einen Service Bus auf „false“ festgelegt ist, bedeutet dies, dass er nicht für Zonenredundanz konfiguriert ist. Diese Richtlinie identifiziert und erzwingt die Konfiguration der Zonenredundanz für Service Bus-Instanzen. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Service Fabric-Cluster sollten zonenredundant sein | Service Fabric-Cluster können so konfiguriert werden, dass sie zonenredundant sind oder nicht. Service Fabric-Cluster, deren nodeType die multipleAvailabilityZones nicht auf "wahr" festgelegt ist, sind nicht zonenredundant. Diese Richtlinie identifiziert Service Fabric-Cluster, denen die Redundanz fehlt, einen Zonenausfall zu überstehen. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: SQL-Datenbanken sollten zonenredundant sein | SQL-Datenbanken können so konfiguriert werden, dass sie zonenredundant sind oder nicht. Datenbanken bei denen die Einstellung "zoneRedundant" auf "falsch" festgelegt ist, sind nicht für Zonenredundanz konfiguriert. Diese Richtlinie hilft bei der Identifizierung von SQL-Datenbanken, die eine Zonenredundanzkonfiguration benötigen, um die Verfügbarkeit und Resilienz in Azure zu verbessern. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: SQL-Pools für elastische Datenbanken sollten zonenredundant sein | SQL-Pools für elastische Datenbanken können so konfiguriert werden, dass sie entweder zonenredundant sind oder nicht. SQL-Pools für elastische Datenbanken sind zonenredundant, wenn die Eigenschaft "zoneRedundant" auf "wahr" festgelegt ist. Durch das Erzwingen dieser Richtlinie wird sichergestellt, dass Event Hubs korrekt für Zonenresilienz konfiguriert sind, wodurch das Risiko von Ausfallzeiten während Zonenausfällen verringert wird. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: SQL Managed Instances sollten zonenredundant sein | SQL Managed Instances können so konfiguriert werden, dass sie zonenredundant sind oder nicht. Instanzen bei denen die Einstellung "zoneRedundant" auf "falsch" festgelegt ist, sind nicht für Zonenredundanz konfiguriert. Diese Richtlinie hilft bei der Identifizierung von verwalteten SQL-Datenbanken, die eine Zonenredundanzkonfiguration benötigen, um die Verfügbarkeit und Resilienz in Azure zu verbessern. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Speicherkonten sollten zonenredundant sein | Speicherkonten können so konfiguriert werden, dass sie zonenredundant sind oder nicht. Wenn der SKU-Name eines Speicherkontos nicht mit „ZRS“ endet oder seine Art „Speicher“ lautet, ist er nicht zonenredundant. Diese Richtlinie stellt sicher, dass Ihre Speicherkonten eine zonenredundante Konfiguration verwenden. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Skalierungssätze für VMs sollten zonenresilient sein | VM-Skalierungsgruppen können entweder mit Zonenausrichtung, Zonenredundanz oder keinem konfiguriert werden. VM-Skalierungsgruppen, die genau einen Eintrag in ihrem Zonenarray aufweisen, werden als zonenausgerichtet betrachtet. Im Gegensatz dazu werden VM-Skalierungsgruppen mit drei oder mehr Einträgen in ihrem Zonenarray und einer Kapazität von mindestens drei als zonenredundant erkannt. Diese Richtlinie hilft dabei, diese Resilienzkonfigurationen zu identifizieren und zu erzwingen. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: VMs sollten zonenausgerichtet sein | VMs können so konfiguriert werden, dass sie entweder zonenausgerichtet sind oder nicht. Sie werden als zonenausgerichtet betrachtet, wenn sie nur einen Eintrag in ihrem Zonenarray haben. Diese Richtlinie stellt sicher, dass sie für den Betrieb innerhalb einer einzelnen Verfügbarkeitszone konfiguriert sind. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Virtuelle Netzwerkgateways sollten zonenredundant sein | Virtuelle Netzwerkgateways können so konfiguriert werden, dass sie zonenredundant sind oder nicht. Virtuelle Netzwerkgateways, deren SKU-Name oder -Ebene nicht auf "AZ" endet, sind nicht zonenredundant. Diese Richtlinie identifiziert virtuelle Netzwerkgateways, denen die Redundanz fehlt, einem Zonenausfall standzuhalten. | Audit, Deny, Disabled | 1.0.0-preview |
Search
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden | Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienste müssen den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Ihr Azure Cognitive Search-Dienst nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihres Suchdiensts einschränken. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Für Azure Cognitive Search-Dienste sollten lokale Authentifizierungsmethoden deaktiviert sein | Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch gewährleistet wird, dass Azure Cognitive Search-Dienste ausschließlich Azure Active Directory-Identitäten für die Authentifizierung erfordern. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/rbac. Beachten Sie, dass der Parameter zum Deaktivieren der lokalen Authentifizierung noch in der Vorschau ist und die Verweigerungswirkung dieser Richtlinie zu einer eingeschränkten Funktionalität des Azure Cognitive Search-Portals führen kann, da einige Funktionen des Portals die GA-API verwenden, die den Parameter nicht unterstützt. | Audit, Deny, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienste sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Das Aktivieren der Verschlüsselung ruhender Daten mit einem kundenseitig verwalteten Schlüssel in Ihren Azure Cognitive Search-Diensten bietet zusätzliche Kontrolle über den Schlüssel, der zum Verschlüsseln ruhender Daten verwendet wird. Diese Funktion gilt häufig für Kunden mit speziellen Complianceanforderungen an das Verwalten von Datenverschlüsselungsschlüsseln mithilfe eines Schlüsseltresors. | Audit, Deny, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienste müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Konfigurieren des Azure Cognitive Search-Dienstes zum Deaktivieren lokaler Authentifizierung | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Azure Cognitive Search-Dienste ausschließlich Azure Active Directory-Identitäten für die Authentifizierung erfordern. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/rbac. | Modify, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienst zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie für Ihren Azure Cognitive Search-Dienst den Zugriff über öffentliche Netzwerke, sodass er nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Modify, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienste für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um Ihren Azure Cognitive Search-Dienst aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienste mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Cognitive Search-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| In Suchdiensten müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
Security Center
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Azure-Sicherheits-Agent muss auf Linux-Arc-Computern installiert werden | Hiermit installieren Sie den Azure-Sicherheits-Agent auf Ihren Linux-Arc-Computern, um Ihre Computer auf Sicherheitskonfigurationen und Sicherheitsrisiken zu überwachen. Die Ergebnisse der Bewertungen können in Azure Security Center eingesehen und verwaltet werden. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Azure-Sicherheits-Agent muss in Linux-VM-Skalierungsgruppen installiert werden | Hiermit installieren Sie den Azure-Sicherheits-Agent in Ihren Linux-VM-Skalierungsgruppen, um Ihre Computer auf Sicherheitskonfigurationen und Sicherheitsrisiken zu überwachen. Die Ergebnisse der Bewertungen können in Azure Security Center eingesehen und verwaltet werden. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Vorschau]: Azure-Sicherheits-Agent muss auf Linux-VMs installiert werden | Hiermit installieren Sie den Azure-Sicherheits-Agent auf Ihren Linux-VMs, um Ihre Computer auf Sicherheitskonfigurationen und Sicherheitsrisiken zu überwachen. Die Ergebnisse der Bewertungen können in Azure Security Center eingesehen und verwaltet werden. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Vorschau]: Azure-Sicherheits-Agent muss auf Windows-Arc-Computern installiert sein | Hiermit installieren Sie den Azure-Sicherheits-Agent auf Ihren Windows-Arc-Computern, um Ihre Computer auf Sicherheitskonfigurationen und Sicherheitsrisiken zu überwachen. Die Ergebnisse der Bewertungen können in Azure Security Center eingesehen und verwaltet werden. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Azure-Sicherheits-Agent muss in Windows-VM-Skalierungsgruppen installiert werden | Hiermit installieren Sie den Azure-Sicherheits-Agent in Ihren Windows-VM-Skalierungsgruppen, um Ihre Computer auf Sicherheitskonfigurationen und Sicherheitsrisiken zu überwachen. Die Ergebnisse der Bewertungen können in Azure Security Center eingesehen und verwaltet werden. | AuditIfNotExists, Disabled | 2.1.0-preview |
| [Vorschau]: Azure-Sicherheits-Agent muss auf Windows-VMs installiert sein | Hiermit installieren Sie den Azure-Sicherheits-Agent auf Ihren Windows-VMs, um Ihre Computer auf Sicherheitskonfigurationen und Sicherheitsrisiken zu überwachen. Die Ergebnisse der Bewertungen können in Azure Security Center eingesehen und verwaltet werden. | AuditIfNotExists, Disabled | 2.1.0-preview |
| [Vorschau]: Die ChangeTracking-Erweiterung sollte auf Ihrem Linux Arc-Computer installiert sein | Installieren Sie die ChangeTracking-Erweiterung auf Linux Arc-Computern, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitoring-Agent unterstützt werden. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Die ChangeTracking-Erweiterung sollte auf Ihrer Linux-VM installiert sein | Installieren Sie die ChangeTracking-Erweiterung auf Linux-VMs, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitoring-Agent unterstützt werden. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Vorschau]: Die ChangeTracking-Erweiterung sollte in Ihren Linux-VM-Skalierungsgruppen installiert sein | Installieren Sie die ChangeTracking-Erweiterung in Linux-VM-Skalierungsgruppen, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitoring-Agent unterstützt werden. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Vorschau]: Die ChangeTracking-Erweiterung sollte auf Ihrem Windows Arc-Computer installiert sein | Installieren Sie die ChangeTracking-Erweiterung auf Windows Arc-Computern, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitoring-Agent unterstützt werden. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Die ChangeTracking-Erweiterung sollte auf Ihrer Windows-VM installiert sein | Installieren Sie die ChangeTracking-Erweiterung auf Windows-VMs, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitoring-Agent unterstützt werden. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Vorschau]: Die ChangeTracking-Erweiterung sollte in Ihren Windows-VM-Skalierungsgruppen installiert sein | Installieren Sie die ChangeTracking-Erweiterung in Windows-VM-Skalierungsgruppen, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitoring-Agent unterstützt werden. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Vorschau]: Konfigurieren von Azure Defender für SQL-Agent auf VM | Konfigurieren Sie Windows-Computer für die automatische Installation von Azure Defender für SQL-Agent, auf dem der Azure Monitor-Agent installiert ist. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Erstellt eine Ressourcengruppe und einen Log Analytics-Arbeitsbereich in derselben Region, in der auch der Computer enthalten ist. Ziel-VMs müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Konfigurieren der ChangeTracking-Erweiterung für Linux Arc-Computer | Konfigurieren Sie Linux Arc-Computer so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitor-Agent unterstützt werden. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Vorschau]: Konfigurieren der ChangeTracking-Erweiterung für Linux-VM-Skalierungsgruppen | Konfigurieren Sie Linux-VM-Skalierungsgruppen so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitor-Agent unterstützt werden. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Preview]: Konfigurieren der ChangeTracking-Erweiterung für Linux-VMs | Konfigurieren Sie Linux-VMs so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitor-Agent unterstützt werden. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Vorschau]:Konfigurieren der ChangeTracking-Erweiterung für Windows Arc-Computer | Konfigurieren Sie Windows Arc-Computer so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitor-Agent unterstützt werden. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Vorschau]: Konfigurieren der ChangeTracking-Erweiterung für Windows-VM-Skalierungsgruppen | Konfigurieren Sie Windows-VM-Skalierungsgruppen so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitor-Agent unterstützt werden. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Vorschau]: Konfigurieren der ChangeTracking-Erweiterung für Windows-VMs | Konfigurieren Sie Windows-VMs so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitor-Agent unterstützt werden. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Vorschau]: Unterstützte Linux-Arc-Computer zum automatischen Installieren des Azure Security-Agents konfigurieren | Konfigurieren Sie unterstützte Linux-Arc-Computer so, dass der Azure Security-Agent automatisch installiert wird. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Arc-Zielcomputer unter Linux müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Unterstützte Linux-VM-Skalierungsgruppen zum automatischen Installieren des Azure-Sicherheits-Agents konfigurieren | Konfigurieren Sie unterstützte Linux-VM-Skalierungsgruppen so, dass der Azure-Sicherheits-Agent automatisch installiert wird. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Ziel-VMs müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Vorschau]: Unterstützte Linux-VM-Skalierungsgruppen zum automatischen Installieren der Erweiterung für den Gastnachweis konfigurieren | Konfigurieren Sie für unterstützte Linux-VM-Skalierungsgruppen die automatische Installation der Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, Disabled | 6.1.0-preview |
| [Vorschau]: Unterstützte Linux-VMs konfigurieren, um den sicheren Start automatisch zu aktivieren | Konfigurieren Sie unterstützte virtuelle Linux-Computer so, dass „Sicherer Start“ automatisch aktiviert wird, um schädliche und nicht autorisierte Änderungen an der Startkette zu verhindern. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. | DeployIfNotExists, Disabled | 5.0.0-preview |
| [Vorschau]: Unterstützte Linux-VMs zum automatischen Installieren des Azure Security-Agents konfigurieren | Konfigurieren Sie unterstützte Linux-VMs für die automatische Installation des Azure Security-Agents. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Ziel-VMs müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, Disabled | 7.0.0-preview |
| [Vorschau]: Unterstützte Linux-VMs zum automatischen Installieren der Erweiterung für den Gastnachweis konfigurieren | Konfigurieren Sie für unterstützte Linux-VMs die automatische Installation der Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, Disabled | 7.1.0-preview |
| [Vorschau]: Unterstützte VMs konfigurieren, um vTPM automatisch zu aktivieren | Konfigurieren Sie unterstützte virtuelle Computer so, dass vTPM automatisch aktiviert wird, um „Kontrollierter Start“ und andere Sicherheitsfeatures des Betriebssystems zu erleichtern, für die TPM erforderlich ist. Nach der Aktivierung kann ein virtuelles TPM verwendet werden, um die Startintegrität nachzuweisen. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Vorschau]: Unterstützte Windows-Arc-Computer zur automatischen Installation des Azure-Sicherheits-Agents konfigurieren | Konfigurieren Sie unterstützte Windows-Arc-Computer so, dass der Azure Security-Agent automatisch installiert wird. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Arc-Zielcomputer unter Windows müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Unterstützte Windows-Computer zum automatischen Installieren des Azure Security-Agents konfigurieren | Unterstützte Windows-Computer zum automatischen Installieren des Azure Security-Agents konfigurieren. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Ziel-VMs müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, Disabled | 5.1.0-preview |
| [Vorschau]: Unterstützte Windows-VM-Skalierungsgruppen zum automatischen Installieren des Azure-Sicherheits-Agents konfigurieren | Hiermit konfigurieren Sie unterstützte Windows-VM-Skalierungsgruppen so, dass der Azure-Sicherheits-Agent automatisch installiert wird. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Ziel-VM-Skalierungsgruppen unter Windows müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, Disabled | 2.1.0-preview |
| [Vorschau]: Unterstützte Windows-VM-Skalierungsgruppen zum automatischen Installieren der Erweiterung für den Gastnachweis konfigurieren | Konfigurieren Sie für unterstützte Windows-VM-Skalierungsgruppen die automatische Installation der Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, Disabled | 4.1.0-preview |
| [Vorschau]: Unterstützte Windows-VMs konfigurieren, um den sicheren Start automatisch zu aktivieren | Konfigurieren Sie unterstützte virtuelle Windows-Computer so, dass „Sicherer Start“ automatisch aktiviert wird, um schädliche und nicht autorisierte Änderungen an der Startkette zu verhindern. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. | DeployIfNotExists, Disabled | 3.0.0-preview |
| [Vorschau]: Unterstützte Windows-VMs zum automatischen Installieren der Erweiterung für den Gastnachweis konfigurieren | Konfigurieren Sie für unterstützte Windows-VMs die automatische Installation der Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, Disabled | 5.1.0-preview |
| [Vorschau]: Konfigurieren von VMs, die mit Images der Shared Image Gallery erstellt wurden, um die Erweiterung für den Gastnachweis zu installieren | Konfigurieren Sie VMs, die mit Images der Shared Image Gallery erstellt wurden, um die Erweiterung für den Gastnachweis automatisch zu installieren, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Vorschau]: Konfigurieren von VMSS, die mit Images der Shared Image Gallery erstellt wurden, um die Erweiterung für den Gastnachweis zu installieren | Konfigurieren Sie VMSS, die mit Images aus der Shared Image Gallery erstellt wurden, um die Erweiterung für den Gastnachweis automatisch zu installieren, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, Disabled | 2.1.0-preview |
| [Vorschau]: Bereitstellen des Agents für Microsoft Defender für Endpunkt auf hybriden Linux-Computern | Stellen Sie den Agent für Microsoft Defender für Endpunkt auf hybriden Linux-Computern bereit. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Vorschau]: Bereitstellen des Agents für Microsoft Defender für Endpunkt auf virtuellen Linux-Computern | Stellen Sie den Agent für Microsoft Defender für Endpunkt auf den entsprechenden Images virtueller Linux-Computer bereit. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-preview |
| [Vorschau]: Bereitstellen des Agents für Microsoft Defender für Endpunkt auf Windows Azure Arc-Computern | Stellen Sie Microsoft Defender für Endpunkt auf Windows Azure Arc-Computern bereit. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Vorschau]: Bereitstellen des Agents für Microsoft Defender für Endpunkt auf virtuellen Windows-Computern | Stellen Sie Microsoft Defender für Endpunkt auf den entsprechenden Images virtueller Windows-Computer bereit. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Vorschau]: Für unterstützte Linux-VMs muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie auf unterstützten Linux-VMs die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Disabled | 6.0.0-preview |
| [Vorschau]: Für unterstützte Linux-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie in unterstützten Linux-VM-Skalierungsgruppen die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VM-Skalierungsgruppen des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Disabled | 5.1.0-preview |
| [Vorschau]: Für unterstützte Windows-VMs muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie auf unterstützten VMs die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Windows-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Disabled | 4.0.0-preview |
| [Vorschau]: Für unterstützte Windows-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie in unterstützten VM-Skalierungsgruppen die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Windows-VM-Skalierungsgruppen des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Disabled | 3.1.0-preview |
| [Vorschau]: Linux-VMs sollten nur signierte und vertrauenswürdige Startkomponenten verwenden | Alle Betriebssystem-Startkomponenten (Startladeprogramm, Kernel, Kerneltreiber) müssen von vertrauenswürdigen Herausgebern signiert werden. Defender für Cloud hat nicht vertrauenswürdige Betriebssystemstartkomponenten auf einem oder mehreren Ihrer Linux-Computer identifiziert. Um Ihre Computer vor potenziell schädlichen Komponenten zu schützen, fügen Sie sie Ihrer Positivliste hinzu, oder entfernen Sie die identifizierten Komponenten. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Linux-VMs sollten Secure Boot verwenden | Zum Schutz vor der Installation von auf Schadsoftware basierten Rootkits und Startkits aktivieren Sie „Sicherer Start“ auf unterstützten virtuellen Linux-Computern. „Sicherer Start“ stellt sicher, dass nur signierte Betriebssysteme und Treiber ausgeführt werden können. Diese Bewertung gilt nur für virtuelle Linux-Computer, auf denen der Azure Monitor-Agent installiert ist. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Auf Computern sollten Ports geschlossen sein, die Angriffsvektoren verfügbar machen könnten | Die Nutzungsbedingungen von Azure verhindern die Verwendung von Azure-Diensten auf eine Weise, die einen Microsoft-Server oder das Netzwerk beschädigen, deaktivieren, überlasten oder beeinträchtigen könnte. Die durch diese Empfehlung identifizierten verfügbar gemachten Ports müssen geschlossen werden, um die Sicherheit weiter zu erhöhen. Für jeden identifizierten Port enthält die Empfehlung auch eine Erläuterung der potenziellen Bedrohung. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Für unterstützte Windows-VMs muss der sichere Neustart aktiviert sein | Die Aktivierung von „Sicherer Start“ auf unterstützten virtuellen Computern dient als Schutz vor schädlichen und nicht autorisierten Änderungen der Startkette. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. Diese Bewertung gilt für Windows-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | Audit, Disabled | 4.0.0-preview |
| [Vorschau]: Systemupdates sollten auf Ihren Computern installiert sein (über Update Center) | Auf Ihren Computern fehlen System-, Sicherheits- und kritische Updates. Softwareupdates enthalten häufig wichtige Patches für Sicherheitslücken. Da diese Lücken bei Angriffen mit Schadsoftware häufig ausgenutzt werden, ist es sehr wichtig, dass Sie Ihre Software immer auf dem aktuellen Stand halten. Führen Sie die Schritte zur Problembehebung aus, um alle ausstehenden Patches zu installieren und Ihre Computer zu schützen. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Der Gastnachweisstatus der virtuellen Computer sollte fehlerfrei sein | Der Gastnachweis wird durchgeführt, indem ein vertrauenswürdiges Protokoll (TCGLog) an einen Nachweisserver gesendet wird. Der Server verwendet diese Protokolle zur Ermittlung, ob Startkomponenten vertrauenswürdig sind. Diese Bewertung dient dazu, Gefährdungen der Startkette zu erkennen, die das Ergebnis einer Startkit- oder Rootkit-Infektion sein könnten. Diese Bewertung gilt nur für virtuelle Computer mit aktiviertem vertrauenswürdigen Start, auf denen die Erweiterung für den Gastnachweis installiert ist. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Für unterstützte VMs muss ein virtuelles TPM-Gerät aktiviert werden | Aktivieren Sie ein virtuelles TPM-Gerät auf unterstützten virtuellen Computern, um die Nutzung von „Kontrollierter Start“ und anderen Sicherheitsfeatures des Betriebssystems zu ermöglichen, für die TPM erforderlich ist. Nach der Aktivierung kann ein virtuelles TPM verwendet werden, um die Startintegrität nachzuweisen. Diese Bewertung gilt nur für vertrauenswürdige startfähige VMs. | Audit, Disabled | 2.0.0-preview |
| Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein | Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
| Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. | AuditIfNotExists, Disabled | 3.0.0 |
| Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein | Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. | AuditIfNotExists, Disabled | 3.0.0 |
| Auf virtuelle Computer mit Internetzugang müssen Empfehlungen zur adaptiven Netzwerkhärtung angewendet werden. | Azure Security Center analysiert die Datenverkehrsmuster von virtuellen Computern mit Internetzugriff und stellt Empfehlungen zu NSG-Regeln (Netzwerksicherheitsgruppe) bereit, um die potenzielle Angriffsfläche zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
| Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Disabled | 3.0.0 |
| Zulassungslistenregeln in der Richtlinie für die adaptive Anwendungssteuerung müssen aktualisiert werden | Überwachen Sie die Verhaltensänderungen für Computergruppen, die für die Überwachung durch die adaptive Anwendungssteuerung von Azure Security Center konfiguriert sind. Security Center nutzt Machine Learning, um die ausgeführten Prozesse auf Ihren Computern zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. Diese werden als zuzulassende Apps in den Richtlinien für die adaptive Anwendungssteuerung empfohlen. | AuditIfNotExists, Disabled | 3.0.0 |
| API-Endpunkte in Azure API Management sollten authentifiziert werden. | API-Endpunkte, die in Azure API Management veröffentlicht werden, sollten die Authentifizierung erzwingen, um das Sicherheitsrisiko zu minimieren. Authentifizierungsmechanismen werden manchmal falsch implementiert oder fehlen. Dies erlaubt Angreifern, Implementierungsfehler auszunutzen und auf Daten zuzugreifen. Weitere Informationen zur OWASP-API-Bedrohung für fehlerhafte Benutzerauthentifizierung finden Sie hier: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
| Nicht verwendete API-Endpunkte sollten deaktiviert und aus dem Azure API Management-Dienst entfernt werden. | Als bewährte Sicherheitsmethode gelten API-Endpunkte, die 30 Tage lang keinen Datenverkehr empfangen haben, als ungenutzt und sollten aus dem Azure API Management-Dienst entfernt werden. Die Beibehaltung nicht verwendeter API-Endpunkte kann ein Sicherheitsrisiko für Ihre Organisation darstellen. Dies könnten APIs sein, die im Azure API Management-Dienst als veraltet gekennzeichnet sein sollten, aber u. U. versehentlich aktiv bleiben. Solche APIs erhalten in der Regel nicht die aktuellste Sicherheitsabdeckung. | AuditIfNotExists, Disabled | 1.0.1 |
| In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. | Audit, Disabled | 2.0.1 |
| Für Ihr Abonnement sollte die automatische Bereitstellung des Log Analytics-Agents aktiviert sein. | Azure Security Center sammelt Daten von Ihren Azure-VMs, um diese auf Sicherheitslücken und Bedrohungen zu überwachen. Die Daten werden mit dem Log Analytics-Agent (ehemals Microsoft Monitoring Agent, MMA) gesammelt. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer und kopiert die Daten zur Analyse in den Log Analytics-Arbeitsbereich. Wir empfehlen Ihnen, die automatische Bereitstellung zu aktivieren, damit der Agent auf allen unterstützten und allen neu erstellten Azure-VMs automatisch bereitgestellt wird. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure DDoS Protection sollte aktiviert sein. | DDoS Protection sollte für alle virtuellen Netzwerke mit einem Subnetz aktiviert werden, das Teil eines Anwendungsgateways mit einer öffentlichen IP-Adresse ist. | AuditIfNotExists, Disabled | 3.0.1 |
| Azure Defender für App Service sollte aktiviert werden | Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Key Vault sollte aktiviert werden | Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für relationale Open-Source-Datenbanken sollte aktiviert sein | Azure Defender für relationale Open-Source-Datenbanken erkennt anormale Aktivitäten, die auf ungewöhnliche und potenziell schädliche Zugriffsversuche auf oder Exploits von Datenbanken hinweisen. Weitere Informationen zu den Funktionen von Azure Defender für relationale Open-Source-Datenbanken finden Sie unter https://aka.ms/AzDforOpenSourceDBsDocu. Wichtig: Wenn Sie diesen Plan aktivieren, entstehen Gebühren für den Schutz Ihrer relationalen Open-Source-Datenbanken. Weitere Informationen zu den Preisen finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL-Server auf Computern sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender for SQL sollte für nicht geschützte PostgreSQL Flexible Server-Instanzen aktiviert sein. | Überwachen von flexiblen PostgreSQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 1.0.0 |
| Containerimages der Azure-Registrierung sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Das Beheben von Sicherheitsrisiken kann Ihren Sicherheitsstatus erheblich verbessern und sicherstellen, dass Images vor der Bereitstellung gefahrlos verwendet werden können. | AuditIfNotExists, Disabled | 1.0.1 |
| Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden. | Um eine präzise Filterung nach den Aktionen zu ermöglichen, die von Benutzer*innen ausgeführt werden können, verwenden Sie die rollenbasierte Zugriffssteuerung von Azure (Role Based Access Control, RBAC). Damit können Sie Berechtigungen in Kubernetes Service-Clustern verwalten und relevante Autorisierungsrichtlinien konfigurieren. | Audit, Disabled | 1.0.3 |
| Sicherheitsrisiken in den in Azure ausgeführten Container-Images sollten behoben sein (unterstützt von Microsoft Defender Vulnerability Management) | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden. Das Beheben von Sicherheitsrisiken in Containerimages, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihres Sicherheitsstatus, wodurch die Angriffsoberfläche für Ihre Containerworkloads erheblich reduziert wird. | AuditIfNotExists, Disabled | 1.0.1 |
| Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
| Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
| Cloud Services-Rolleninstanzen (erweiterter Support) müssen sicher konfiguriert werden | Cloud Services-Rolleninstanzen (erweiterter Support) werden vor Angriffen geschützt, indem sichergestellt wird, dass sie keinen Schwachstellen im Betriebssystem ausgesetzt sind. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Cloud Services-Rolleninstanzen (erweiterter Support) muss eine Lösung zum Schutz von Endpunkten installiert sein | Schützen Sie Ihre Cloud Services-Rolleninstanzen (erweiterter Support) vor Bedrohungen und Sicherheitsrisiken, indem Sie sicherstellen, dass eine Lösung für den Schutz von Endpunkten installiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Cloud Services-Rolleninstanzen (erweiterter Support) müssen Systemupdates installiert sein | Schützen Sie Ihre Cloud Services-Rolleninstanzen (erweiterter Support), indem Sie sicherstellen, dass die neuesten Sicherheitsupdates und alle kritischen Updates installiert wurden. | AuditIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Advanced Threat Protection, das auf Azure-Datenbanken für flexible PostgreSQL-Server aktiviert werden soll | Aktivieren Sie Advanced Threat Protection auf Ihrer Azure-Datenbank für flexible Server für PostgreSQL, um anomale Aktivitäten zu erkennen, die ungewöhnliche und potenziell schädliche Versuche zeigen, um auf Datenbanken zuzugreifen oder sie auszunutzen. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurieren von arcfähigen SQL-Servern für die automatische Installation von Azure Monitor Agent | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren Arc-fähigen Windows-SQL-Servern. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0 |
| Konfigurieren von arcfähigen SQL-Servern für die automatische Installation von Microsoft Defender für SQL | Konfigurieren Sie Arc-fähige Windows-SQL-Server so, dass der Microsoft Defender for SQL-Agent automatisch installiert wird. Microsoft Defender for SQL erfasst Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurieren von arcfähigen SQL-Servern für die automatische Installation von Microsoft Defender für SQL und DCR mit einem Log Analytics-Arbeitsbereich | Microsoft Defender for SQL erfasst Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe, eine Datensammlungsregel und einen Log Analytics-Arbeitsbereich in der gleichen Region, in der sich der Computer befindet. | DeployIfNotExists, Disabled | 1.3.0 |
| Konfigurieren von arcfähigen SQL-Servern für die automatische Installation von Microsoft Defender für SQL und DCR mit einem benutzerdefinierten LA-Arbeitsbereich | Microsoft Defender for SQL erfasst Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe und eine Datensammlungsregel in der gleichen Region, in der sich der benutzerdefinierte Log Analytics-Arbeitsbereich befindet. | DeployIfNotExists, Disabled | 1.4.0 |
| Konfigurieren von arcfähigen SQL-Servern mit der Datensammlungsregelzuordnung zu Microsoft Defender für SQL DCR | Konfigurieren Sie die Zuordnung zwischen Arc-fähigen SQL Servern und dem Microsoft Defender for SQL-DCR. Durch das Löschen dieser Zuordnung wird die Erkennung von Sicherheitsrisiken für diese Arc-fähigen SQL-Server unterbrochen. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurieren von arcfähigen SQL-Servern mit der Datensammlungsregelzuordnung in Microsoft Defender für SQL benutzerdefinierte DCR | Konfigurieren Sie die Zuordnung zwischen Arc-fähigen SQL Servern und dem benutzerdefinierten Microsoft Defender for SQL-DCR. Durch das Löschen dieser Zuordnung wird die Erkennung von Sicherheitsrisiken für diese Arc-fähigen SQL-Server unterbrochen. | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurieren von Azure Defender für App Service für die Aktivierung | Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurieren von Azure Defender für Azure SQL-Datenbank für die Aktivierung | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurieren von Azure Defender für relationale Open-Source-Datenbanken als aktiviert | Azure Defender für relationale Open-Source-Datenbanken erkennt anormale Aktivitäten, die auf ungewöhnliche und potenziell schädliche Zugriffsversuche auf oder Exploits von Datenbanken hinweisen. Weitere Informationen zu den Funktionen von Azure Defender für relationale Open-Source-Datenbanken finden Sie unter https://aka.ms/AzDforOpenSourceDBsDocu. Wichtig: Wenn Sie diesen Plan aktivieren, entstehen Gebühren für den Schutz Ihrer relationalen Open-Source-Datenbanken. Weitere Informationen zu den Preisen finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Azure Defender für Resource Manager für die Aktivierung | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurieren von Azure Defender für Server für die Aktivierung | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurieren von Azure Defender für SQL-Server für die Aktivierung auf Computern | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | DeployIfNotExists, Disabled | 1.0.1 |
| Grundlegenden Microsoft Defender für Storage (nur Aktivitätsüberwachung) in Konfiguration aktivieren | Microsoft Defender für Storage ist eine Azure-native Ebene der Sicherheitsintelligenz, die potentielle Bedrohungen Ihrer Speicherkonten erkennt. Diese Richtlinie aktiviert die grundlegenden Funktionen von Defender für Storage (Aktivitätsüberwachung). Verwenden Sie zum Aktivieren des vollständigen Schutzes, der auch die Prüfung auf Malware beim Hochladen und die Erkennung von Bedrohungen vertraulicher Daten umfasst, die vollständige Aktivierungsrichtlinie: aka.ms/DefenderForStoragePolicy. Weitere Informationen zu den Funktionen und Vorteilen von Defender für Storage finden Sie unter aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurieren von Computern für den Empfang eines Anbieters für Sicherheitsrisikobewertung | Azure Defender umfasst eine kostenlose Überprüfung auf Sicherheitsrisiken für Ihre Computer. Sie benötigen keine Qualys-Lizenz und auch kein Qualys-Konto – alles erfolgt nahtlos innerhalb von Security Center. Wenn Sie diese Richtlinie aktivieren, stellt Azure Defender automatisch den Qualys-Anbieter zur Bewertung von Sicherheitsrisiken auf allen unterstützten Computern bereit, auf denen er noch nicht installiert ist. | DeployIfNotExists, Disabled | 4.0.0 |
| Konfigurieren des Microsoft Defender CSPM-Plans | Defender Cloud Security Posture Management (CSPM) bietet erweiterte Statusfunktionen und einen neuen intelligenten Cloudsicherheitsgraphen, um Risiken zu identifizieren, zu priorisieren und zu verringern. Defender CSPM ist zusätzlich zu den kostenlosen grundlegenden Funktionen für den Sicherheitsstatus verfügbar, die in Defender for Cloud standardmäßig aktiviert sind. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren der Aktivierung von Microsoft Defender-CSPM | Defender Cloud Security Posture Management (CSPM) bietet erweiterte Statusfunktionen und einen neuen intelligenten Cloudsicherheitsgraphen, um Risiken zu identifizieren, zu priorisieren und zu verringern. Defender CSPM ist zusätzlich zu den kostenlosen grundlegenden Funktionen für den Sicherheitsstatus verfügbar, die in Defender for Cloud standardmäßig aktiviert sind. | DeployIfNotExists, Disabled | 1.0.2 |
| Microsoft Defender für Azure Cosmos DB für die Aktivierung konfigurieren | Microsoft Defender für Azure Cosmos DB ist eine in Azure native Sicherheitsebene, die Versuche erkennt, Datenbanken in Ihren Azure Cosmos DB-Konten auszunutzen. Defender für Azure Cosmos DB erkennt potenzielle Einschleusungen von SQL-Befehlen, bekannte böswillige Akteure basierend auf Microsoft Threat Intelligence, verdächtige Zugriffsmuster und potenzielle Exploits Ihrer Datenbank durch kompromittierte Identitäten oder böswillige Insider. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren des Microsoft Defender for Containers-Plans | Neue Funktionen werden dem Defender for Containers-Plan kontinuierlich hinzugefügt, was die explizite Aktivierung durch den Benutzer erfordern kann. Verwenden Sie diese Richtlinie, um sicherzustellen, dass alle neuen Funktionen aktiviert werden. | DeployIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Container als Aktiviert konfigurieren | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurieren der Integrationseinstellungen für Microsoft Defender for Endpoint mit Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX...) | Konfiguriert die Integrationseinstellungen für Microsoft Defender for Endpoint in Microsoft Defender for Cloud (auch bekannt als WDATP_EXCLUDE_LINUX_...), um die automatische MDE-Bereitstellung für Linux-Server zu aktivieren. Die WDATP-Einstellung muss aktiviert sein, damit diese Einstellung angewendet werden kann. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren der Integrationseinstellungen für Microsoft Defender for Endpoint mit Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION) | Konfiguriert die Integrationseinstellungen für Microsoft Defender for Endpoint in Microsoft Defender for Cloud (auch bekannt als WDATP_UNIFIED_SOLUTION), um die automatische Bereitstellung von MDE Unified Agent für Windows Server 2012R2 und 2016 zu aktivieren. Die WDATP-Einstellung muss aktiviert sein, damit diese Einstellung angewendet werden kann. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren der Integrationseinstellungen für Microsoft Defender for Endpoint mit Microsoft Defender for Cloud (WDATP) | Konfiguriert die Integrationseinstellungen für Microsoft Defender for Endpoint in Microsoft Defender for Cloud (auch bekannt als WDATP) für Windows-Downlevelcomputer, für die ein Onboarding über MMA in MDE durchgeführt wurde, und für die automatische Bereitstellung von MDE auf Windows Server 2019 sowie Windows Virtual Desktop und höher. Muss aktiviert sein, damit die anderen Einstellungen (wie WDATP_UNIFIED) funktionieren. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren des Microsoft Defender for Key Vault-Plans | Microsoft Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Versuche, auf Key Vault-Konten zuzugreifen oder sie zu missbrauchen, ermittelt werden. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurieren des Microsoft Defender for Servers-Plans | Neue Funktionen werden Defender for Servers kontinuierlich hinzugefügt, was die explizite Aktivierung durch den Benutzer erfordern kann. Verwenden Sie diese Richtlinie, um sicherzustellen, dass alle neuen Funktionen aktiviert werden. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Microsoft Defender für SQL für die Aktivierung in Synapse-Arbeitsbereichen | Aktivieren Sie Microsoft Defender für SQL in Ihren Azure Synapse Arbeitsbereichen, um anomale Aktivitäten zu erkennen, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf SQL-Datenbanken zuzugreifen oder diese zu missbrauchen. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren zum Aktivieren von Microsoft Defender für Storage (klassisch) | Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. | DeployIfNotExists, Disabled | 1.0.2 |
| Microsoft Defender für Storage in Konfiguration aktivieren | Microsoft Defender für Storage ist eine Azure-native Ebene der Sicherheitsintelligenz, die potentielle Bedrohungen Ihrer Speicherkonten erkennt. Mit dieser Richtlinie werden alle Defender für Storage-Funktionen aktiviert: Aktivitätsüberwachung, Prüfung auf Schadsoftware und Erkennung von Bedrohungen sensibler Daten. Weitere Informationen zu den Funktionen und Vorteilen von Defender für Storage finden Sie unter aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurieren von virtuellen SQL-Computern für die automatische Installation von Azure Monitor Agent | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren Windows-SQL-Virtual Machines. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0 |
| Konfigurieren von virtuellen SQL-Computern für die automatische Installation von Microsoft Defender für SQL | Konfigurieren Sie Windows SQL-Virtual Machines für die automatische Installation der Microsoft Defender for SQL-Erweiterung. Microsoft Defender for SQL erfasst Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. | DeployIfNotExists, Disabled | 1.3.0 |
| Konfigurieren von virtuellen SQL-Computern für die automatische Installation von Microsoft Defender für SQL und DCR mit einem Log Analytics-Arbeitsbereich | Microsoft Defender for SQL erfasst Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe, eine Datensammlungsregel und einen Log Analytics-Arbeitsbereich in der gleichen Region, in der sich der Computer befindet. | DeployIfNotExists, Disabled | 1.4.0 |
| Konfigurieren von virtuellen SQL-Computern für die automatische Installation von Microsoft Defender für SQL und DCR mit einem benutzerdefinierten LA-Arbeitsbereich | Microsoft Defender for SQL erfasst Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe und eine Datensammlungsregel in der gleichen Region, in der sich der benutzerdefinierte Log Analytics-Arbeitsbereich befindet. | DeployIfNotExists, Disabled | 1.4.0 |
| Konfigurieren des Microsoft Defender für SQL Log Analytics-Arbeitsbereichs | Microsoft Defender for SQL erfasst Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe und einen Log Analytics-Arbeitsbereich in der gleichen Region, in der sich der Computer befindet. | DeployIfNotExists, Disabled | 1.2.0 |
| Erstellen und Zuweisen einer integrierten benutzerzugewiesenen verwalteten Identität | Weisen Sie eine integrierte benutzerseitig zugewiesene verwaltete Identität im großen Stil zu SQL-VMs zu. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Bereitstellen – Unterdrückungsregeln für Azure Security Center-Warnungen konfigurieren | Unterdrücken Sie Azure Security Center-Warnungen, um eine Überlastung durch zu viele Warnungen zu vermeiden, indem Sie Unterdrückungsregeln für Ihre Verwaltungsgruppe oder Ihr Abonnement bereitstellen. | deployIfNotExists | 1.0.0 |
| Export in Event Hub als vertrauenswürdigen Dienst für Microsoft Defender for Cloud-Daten bereitstellen | Aktivieren Sie den Export in Event Hub als vertrauenswürdigen Dienst von Microsoft Defender for Cloud-Daten. Diese Richtlinie stellt einen Export in Event Hub als Konfiguration eines vertrauenswürdigen Dienstes mit Ihren Bedingungen und der Event Hub-Zielinstanz für den zugewiesenen Bereich bereit. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | DeployIfNotExists, Disabled | 1.0.0 |
| Export für Microsoft Defender für Cloud-Daten in Event Hub bereitstellen | Aktivieren Sie den Export in den Event Hub von Microsoft Defender für Cloud-Daten. Diese Richtlinie stellt einen Export in die Event Hub-Konfiguration mit Ihren Bedingungen und der Event Hub-Zielinstanz für den zugewiesenen Bereich bereit. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | deployIfNotExists | 4.2.0 |
| Export zu Log Analytics-Arbeitsbereich für Microsoft Defender für Cloud-Daten bereitstellen | Aktivieren Sie den Export in den Log Analytics-Arbeitsbereich von Microsoft Defender für Clouddaten. Diese Richtlinie stellt einen Export in die Konfiguration eines Log Analytics-Arbeitsbereichs mit Ihren Bedingungen und dem Zielarbeitsbereich für den zugewiesenen Bereich bereit. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | deployIfNotExists | 4.1.0 |
| Bereitstellen der Workflowautomatisierung für Microsoft Defender für Cloud-Warnungen | Aktivieren Sie die Automatisierung von Microsoft Defender für Cloudbenachrichtigungen. Diese Richtlinie stellt die Workflowautomatisierung mit Ihren Bedingungen bereit und wird für den zugewiesenen Bereich ausgelöst. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | deployIfNotExists | 5.0.1 |
| Bereitstellen der Workflowautomatisierung für Microsoft Defender für Cloud-Empfehlungen | Aktivieren Sie die Automatisierung von Microsoft Defender für Cloud-Empfehlungen. Diese Richtlinie stellt die Workflowautomatisierung mit Ihren Bedingungen bereit und wird für den zugewiesenen Bereich ausgelöst. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | deployIfNotExists | 5.0.1 |
| Bereitstellen der Workflowautomatisierung für die Einhaltung gesetzlicher Bestimmungen in Microsoft Defender für Cloud | Aktivieren Sie die Automatisierung von Microsoft Defender für die Cloud-Compliance. Diese Richtlinie stellt die Workflowautomatisierung mit Ihren Bedingungen bereit und wird für den zugewiesenen Bereich ausgelöst. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | deployIfNotExists | 5.0.1 |
| E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein | Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
| E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein | Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 2.0.0 |
| Aktivieren von Microsoft Defender für Cloud in Ihrem Abonnement | Identifiziert vorhandene Abonnements, die von Microsoft Defender für Cloud nicht überwacht werden, und schützt sie mit den kostenlosen Features von Defender für Cloud. Abonnements, die bereits überwacht werden, werden als konform betrachtet. Um neu erstellte Abonnements zu registrieren, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen einen Wartungstask. | deployIfNotExists | 1.0.1 |
| Aktivieren der automatischen Bereitstellung des Log Analytics-Agents für Ihre Abonnements mit einem benutzerdefinierten Arbeitsbereich in Security Center | Ermöglichen Sie Security Center die automatische Bereitstellung des Log Analytics-Agents für Ihre Abonnements, um Sicherheitsdaten über einen benutzerdefinierten Arbeitsbereich zu überwachen und zu sammeln. | DeployIfNotExists, Disabled | 1.0.0 |
| Aktivieren der automatischen Bereitstellung des Log Analytics-Agents für Ihre Abonnements mit dem Standardarbeitsbereich in Security Center | Ermöglichen Sie Security Center die automatische Bereitstellung des Log Analytics-Agents für Ihre Abonnements, um Sicherheitsdaten über den ASC-Standardarbeitsbereich zu überwachen und zu sammeln. | DeployIfNotExists, Disabled | 1.0.0 |
| Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Von Azure Security Center unterstützte Endpoint Protection-Lösungen sind unter https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions dokumentiert. Die Endpoint Protection-Bewertung ist unter https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection dokumentiert. | AuditIfNotExists, Disabled | 1.0.0 |
| Endpoint Protection sollte auf Ihren Computern installiert sein | Installieren Sie eine unterstützte Endpoint Protection-Lösung, um Ihre Computer vor Bedrohungen und Sicherheitsrisiken zu schützen. | AuditIfNotExists, Disabled | 1.0.0 |
| Die Endpoint Protection-Lösung sollte für VM-Skalierungsgruppen installiert sein | Hiermit überprüfen Sie die Existenz und die Integrität einer Endpoint Protection-Lösung in Ihren VM-Skalierungsgruppen, um sie vor Bedrohungen und Sicherheitsrisiken zu schützen. | AuditIfNotExists, Disabled | 3.0.0 |
| Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden. | Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. | Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. | AuditIfNotExists, Disabled | 3.0.0 |
| Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | Führen Sie ein Upgrade Ihres Kubernetes Service-Clusters auf eine höhere Kubernetes-Version durch, um es vor bekannten Sicherheitsrisiken in Ihrer aktuellen Kubernetes-Version zu schützen. Das Sicherheitsrisiko „CVE-2019-9946“ wurde in den Kubernetes-Versionen 1.11.9+, 1.12.7+, 1.13.5+ und 1.14.0+ gepatcht. | Audit, Disabled | 1.0.2 |
| Für Cloud Services-Rolleninstanzen (erweiterter Support) muss der Log Analytics-Agent installiert sein. | Security Center erfasst Daten aus Cloud Services-Rolleninstanzen (erweiterter Support), um eine Überwachung auf Sicherheitsrisiken und Bedrohungen durchzuführen. | AuditIfNotExists, Disabled | 2.0.0 |
| Der Log Analytics-Agent muss für die Azure Security Center-Überwachung auf Ihrer VM installiert sein | Diese Richtlinie überwacht alle virtuellen Windows-/Linux-Computer (Virtual Machines, VMs), wenn der Log Analytics-Agent nicht installiert ist, den Security Center zum Überwachen von Sicherheitsrisiken und Bedrohungen verwendet. | AuditIfNotExists, Disabled | 1.0.0 |
| Der Log Analytics-Agent muss in den VM-Skalierungsgruppen für Azure Security Center-Überwachung installiert sein | Security Center sammelt Daten von Ihren virtuellen Azure-Computern (VMs), um sie hinsichtlich Sicherheitslücken und Bedrohungen zu überwachen. | AuditIfNotExists, Disabled | 1.0.0 |
| Geheime Ergebnisse auf Computern müssen aufgelöst werden | Überprüft VMs, um festzustellen, ob sie geheime Erkenntnisse aus den geheimen Scan-Lösungen auf Ihren VMs enthalten. | AuditIfNotExists, Disabled | 1.0.2 |
| Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
| Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Defender-CSPM muss aktiviert sein. | Defender Cloud Security Posture Management (CSPM) bietet erweiterte Statusfunktionen und einen neuen intelligenten Cloudsicherheitsgraphen, um Risiken zu identifizieren, zu priorisieren und zu verringern. Defender CSPM ist zusätzlich zu den kostenlosen grundlegenden Funktionen für den Sicherheitsstatus verfügbar, die in Defender for Cloud standardmäßig aktiviert sind. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für APIs muss aktiviert sein. | Microsoft Defender für APIs bietet neue Ermittlungs-, Schutz-, Erkennungs- und Reaktionsabdeckung, um allgemeine API-basierte Angriffe und Sicherheitsfehler zu überwachen. | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft Defender für Azure Cosmos DB sollte aktiviert sein | Microsoft Defender für Azure Cosmos DB ist eine in Azure native Sicherheitsebene, die Versuche erkennt, Datenbanken in Ihren Azure Cosmos DB-Konten auszunutzen. Defender für Azure Cosmos DB erkennt potenzielle Einschleusungen von SQL-Befehlen, bekannte böswillige Akteure basierend auf Microsoft Threat Intelligence, verdächtige Zugriffsmuster und potenzielle Exploits Ihrer Datenbank durch kompromittierte Identitäten oder böswillige Insider. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für SQL muss für ungeschützte Synapse-Arbeitsbereiche aktiviert sein. | Aktivieren Sie Defender für SQL, um Ihre Synapse-Arbeitsbereiche zu schützen. Defender für SQL überwacht Synapse SQL, um anomale Aktivitäten zu erkennen, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf Datenbanken zuzugreifen oder diese zu missbrauchen. | AuditIfNotExists, Disabled | 1.0.0 |
| Der Microsoft Defender für SQL-Status muss für Arc-fähige SQL Server-Instanzen geschützt werden. | Microsoft Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. Nach der Aktivierung gibt der Schutzstatus an, dass die Ressource aktiv überwacht wird. Selbst wenn Defender aktiviert ist, sollten mehrere Konfigurationseinstellungen für den Agent, den Computer, den Arbeitsbereich und SQL Server überprüft werden, um den aktiven Schutz sicherzustellen. | Audit, Disabled | 1.0.1 |
| Microsoft Defender für Storage muss aktiviert sein. | Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. | AuditIfNotExists, Disabled | 1.0.0 |
| Fehlenden Endpoint Protection-Schutz in Azure Security Center überwachen | Hiermit werden Server ohne installierten Endpoint Protection-Agent über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
| Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Security Center Standard-Tarif muss ausgewählt sein | Der Tarif „Standard“ ermöglicht die Bedrohungserkennung für Netzwerke und VMs und stellt Threat Intelligence-Daten, Anomalieerkennung und Verhaltensanalysen in Azure Security Center bereit. | Audit, Disabled | 1.1.0 |
| Einrichten von Abonnements für den Übergang zu einer alternativen Lösung zur Sicherheitsrisikobewertung | Microsoft Defender for Cloud bietet eine kostenlose Überprüfung auf Sicherheitsrisiken für Ihre Computer. Das Aktivieren dieser Richtlinie führt dazu, dass Defender for Cloud die Ergebnisse aus der integrierten Microsoft Defender-Sicherheitsrisikoverwaltungslösung automatisch an alle unterstützten Computer weiterverbreitet. | DeployIfNotExists, Disabled | 1.0.0-preview |
| Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. | AuditIfNotExists, Disabled | 4.1.0 |
| Die auf SQL Server ausgerichtete automatische Bereitstellung sollte für SQL-Server auf Computerplänen aktiviert werden | Um sicherzustellen, dass Ihre SQL-VMs und Arc-fähigen SQL-Server geschützt sind, stellen Sie sicher, dass der auf SQL ausgerichtete Azure Monitoring Agent für die automatische Bereitstellung konfiguriert ist. Dies ist auch erforderlich, wenn Sie die automatische Bereitstellung des Microsoft Monitoring Agent zuvor konfiguriert haben, da diese Komponente veraltet ist. Weitere Informationen: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Disabled | 1.0.0 |
| Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden | Die SQL-Sicherheitsrisikobewertung überprüft Ihre Datenbank auf Sicherheitsrisiken und zeigt Abweichungen von Best Practices wie Fehlkonfigurationen, übermäßige Berechtigungen und ungeschützte vertrauliche Daten an. Durch das Beseitigen der Sicherheitsrisiken kann der Sicherheitsstatus Ihrer Datenbank deutlich verbessert werden. | AuditIfNotExists, Disabled | 1.0.0 |
| Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden | Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. | AuditIfNotExists, Disabled | 3.0.0 |
| In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. | Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
| Systemupdates für VM-Skalierungsgruppen sollten installiert werden | Hiermit überprüfen Sie, ob Systemsicherheitsupdates und kritische Updates fehlen, durch deren Installation sichergestellt werden soll, dass Ihre Windows- und Linux-VM-Skalierungsgruppen sicher sind. | AuditIfNotExists, Disabled | 3.0.0 |
| Systemupdates sollten auf Ihren Computern installiert sein | Hiermit werden fehlende Sicherheitssystemupdates auf Ihren Servern über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 4.0.0 |
| Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein | Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. | AuditIfNotExists, Disabled | 3.0.0 |
| Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln | Standardmäßig werden die Datenträger für Betriebssystem und Daten für eine VM im Ruhezustand mithilfe plattformseitig verwalteter Schlüssel verschlüsselt. Temporäre Datenträger, Datencaches und zwischen Compute- und Speicherressourcen übertragene Daten werden nicht verschlüsselt. In folgenden Fällen sollten Sie diese Empfehlung ignorieren: 1. Verwenden der Verschlüsselung auf dem Host, oder 2. Die serverseitige Verschlüsselung in Managed Disks erfüllt Ihre Sicherheitsanforderungen. Weitere Informationen erhalten Sie unter „Serverseitige Verschlüsselung von Azure Disk Storage“ (https://aka.ms/disksse,) und „Übersicht über Verschlüsselungsoptionen für andere Datenträger“ (https://aka.ms/diskencryptioncomparison). | AuditIfNotExists, Disabled | 2.0.3 |
| VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
| Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden | Hiermit werden Sicherheitsrisiken in der Sicherheitskonfiguration von Computern überwacht, auf denen Docker installiert ist, und es werden Empfehlungen in Azure Security Center angezeigt. | AuditIfNotExists, Disabled | 3.0.0 |
| Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.1.0 |
| Sicherheitsrisiken in der Sicherheitskonfiguration von VM-Skalierungsgruppen sollten beseitigt werden | Hiermit überwachen Sie die Betriebssystem-Sicherheitsrisiken für Ihre VM-Skalierungsgruppen, um sie vor Angriffen zu schützen. | AuditIfNotExists, Disabled | 3.0.0 |
Security Center – differenzierte Preise
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Konfigurieren von Azure Defender for Servers als deaktiviert für alle Ressourcen (Ressourcenebene) | Azure Defender for Servers verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. Diese Richtlinie deaktiviert den Defender for Servers-Plan für alle Ressourcen (VMs, VMSSs und ARC-Computer) im ausgewählten Bereich (Abonnement oder Ressourcengruppe). | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Azure Defender for Servers als deaktiviert für Ressourcen (Ressourcenebene) mit dem ausgewählten Tag | Azure Defender for Servers verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. Diese Richtlinie deaktiviert den Defender for Servers-Plan für alle Ressourcen (VMs, VMSSs und ARC-Computer) mit den ausgewählten Tagnamen und -wert(en). | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Azure Defender for Servers als aktiviert (Unterplan „P1“) für alle Ressourcen (Ressourcenebene) mit dem ausgewählten Tag | Azure Defender for Servers verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. Diese Richtlinie aktiviert den Defender for Servers-Plan (mit Unterplan „P1“) für alle Ressourcen (VMs, VMSSs und ARC-Computer) mit den ausgewählten Tagnamen und -wert(en). | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Azure Defender for Servers als aktiviert (mit Unterplan „P1“) für alle Ressourcen (Ressourcenebene) | Azure Defender for Servers verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. Diese Richtlinie aktiviert den Defender for Servers-Plan (mit Unterplan „P1“) für alle Ressourcen (VMs und ARC-Computer) im ausgewählten Bereich (Abonnement oder Ressourcengruppe). | DeployIfNotExists, Disabled | 1.0.0 |
Service Bus
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Alle Autorisierungsregeln außer RootManageSharedAccessKey sollten aus dem Service Bus-Namespace entfernt werden | Service Bus-Clients dürfen keine Zugriffsrichtlinie auf Namespace-Ebene verwenden, die Zugriff auf alle Warteschlangen und Themen in einem Namespace bereitstellt. Um dem Sicherheitsmodell der geringsten Rechte zu entsprechen, müssen Sie Zugriffsrichtlinien auf Entitätsebene erstellen, damit nur der jeweiligen Entität Zugriff auf Warteschlangen und Themen gewährt wird. | Audit, Deny, Disabled | 1.0.1 |
| Für Azure Service Bus-Namespaces sollten lokale Authentifizierungsmethoden deaktiviert sein | Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch gewährleistet wird, dass Azure Service Bus-Namespaces ausschließlich Microsoft Entra ID-Identitäten für die Authentifizierung erfordern. Weitere Informationen finden Sie unter https://aka.ms/disablelocalauth-sb. | Audit, Deny, Disabled | 1.0.1 |
| Azure Service Bus-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Service Bus-Namespaces zum Deaktivieren der lokalen Authentifizierung konfigurieren | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Azure ServiceBus-Namespaces ausschließlich Microsoft Entra ID-Identitäten für die Authentifizierung erfordern. Weitere Informationen finden Sie unter https://aka.ms/disablelocalauth-sb. | Modify, Disabled | 1.0.1 |
| Service Bus-Namespaces für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um Service Bus-Namespaces aufzulösen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Service Bus-Namespaces mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces können Sie das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| In Service Bus müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| Service Bus-Namespaces sollten den öffentlichen Netzwerkzugriff deaktivieren | Bei Azure Service Bus sollte der öffentliche Netzwerkzugriff deaktiviert sein. Die Deaktivierung des Zugriff über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Audit, Deny, Disabled | 1.1.0 |
| Für Service Bus-Namespaces sollte doppelte Verschlüsselung aktiviert sein | Durch das Aktivieren der doppelten Verschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn die doppelte Verschlüsselung aktiviert ist, werden Daten im Speicherkonto zweimal – einmal auf Dienstebene und einmal auf Infrastrukturebene – mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln verschlüsselt. | Audit, Deny, Disabled | 1.0.0 |
| Für Service Bus Premium-Namespaces muss ein kundenseitig verwaltete Schlüssel zur Verschlüsselung verwendet werden | Azure Service Bus unterstützt die Option zum Verschlüsseln ruhender Daten mit von Microsoft verwalteten Schlüsseln (Standardeinstellung) oder kundenseitig verwalteten Schlüsseln. Wenn Sie Daten mithilfe von kundenseitig verwalteten Schlüsseln verschlüsseln, können Sie den Zugriff auf die Schlüssel zuweisen, rotieren, deaktivieren und widerrufen, die von Service Bus zum Verschlüsseln von Daten in Ihrem Namespace verwendet werden. Beachten Sie, dass Service Bus nur Verschlüsselung mit kundenseitig verwalteten Schlüsseln für Premium-Namespaces unterstützt. | Audit, Disabled | 1.0.0 |
Service Fabric
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Service Fabric Cluster sollten die Eigenschaft ClusterProtectionLevel auf EncryptAndSign setzen | Service Fabric bietet drei Schutzebenen („None“, „Sign“ und „EncryptAndSign“) für die Kommunikation zwischen zwei Knoten unter Verwendung eines primären Clusterzertifikats. Legen Sie die Schutzebene fest, um sicherzustellen, dass alle zwischen Knoten übertragenen Nachrichten verschlüsselt und digital signiert werden. | Audit, Deny, Disabled | 1.1.0 |
| Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden | Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. | Audit, Deny, Disabled | 1.1.0 |
SignalR
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure SignalR Service muss den Zugriff über öffentliche Netzwerke deaktivieren | Stellen Sie zum Verbessern der Sicherheit Ihrer Azure SignalR Service-Ressource sicher, dass diese nicht über das öffentliche Internet, sondern nur über einen privaten Endpunkt zugänglich ist. Deaktivieren Sie die Eigenschaft für den Zugriff über öffentliche Netzwerke wie unter https://aka.ms/asrs/networkacls beschrieben. Darüber hinaus werden alle Anmeldungen abgelehnt, die Firewallregeln auf Basis von IP-Adressen oder virtuellen Netzwerken entsprechen. Dadurch wird das Risiko von Datenlecks verringert. | Audit, Deny, Disabled | 1.1.0 |
| Azure SignalR Service sollte Diagnoseprotokolle aktivieren | Hiermit wird die Aktivierung von Diagnoseprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Azure SignalR Service sollten die lokalen Authentifizierungsmethoden deaktiviert sein | Das Deaktivieren lokaler Authentifizierungsmethoden verbessert die Sicherheit, da hierdurch sichergestellt wird, dass Azure SignalR Service ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordert. | Audit, Deny, Disabled | 1.0.0 |
| Azure SignalR Service muss eine SKU mit Private Link-Unterstützung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Auf diese Weise werden Ihre Ressourcen vor dem Risiko von Datenlecks geschützt. Die Richtlinie ist auf SKUs für Azure SignalR Service beschränkt, die Private Link unterstützen. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| Azure SignalR Service muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Konfigurieren von Azure SignalR Service zum Deaktivieren der lokalen Authentifizierung | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Azure SignalR Service ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordert. | Modify, Disabled | 1.0.0 |
| Private Endpunkte für Azure SignalR Service konfigurieren | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Azure SignalR Service-Ressourcen können Sie das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Bereitstellen: Private DNS-Zonen für private Endpunkte zur Verbindungsherstellung mit Azure SignalR Service konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um Ihre Azure SignalR Service-Ressource aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service-Ressourcen zum Deaktivieren des Zugriff über öffentliche Netzwerke konfigurieren | Stellen Sie zum Verbessern der Sicherheit Ihrer Azure SignalR Service-Ressource sicher, dass diese nicht über das öffentliche Internet, sondern nur über einen privaten Endpunkt zugänglich ist. Deaktivieren Sie die Eigenschaft für den Zugriff über öffentliche Netzwerke wie unter https://aka.ms/asrs/networkacls beschrieben. Darüber hinaus werden alle Anmeldungen abgelehnt, die Firewallregeln auf Basis von IP-Adressen oder virtuellen Netzwerken entsprechen. Dadurch wird das Risiko von Datenlecks verringert. | Modify, Disabled | 1.1.0 |
Site Recovery
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Azure Recovery Services-Tresore für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Recovery Services-Tresore aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Private Endpunkte auf Azure Recovery Services Tresoren konfigurieren | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch die Zuordnung privater Endpunkte zu Ihren Sitewiederherstellungsressourcen von Recovery Services-Tresoren können Sie das Risiko von Datenlecks reduzieren. Für die Verwendung privater Links muss die Identität des verwalteten Diensts dem Recovery Services-Tresor zugewiesen werden. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Recovery Services Tresore sollten privaten Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Recovery Services-Tresoren wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen für Azure Site Recovery finden Sie unter: https://aka.ms/HybridScenarios-PrivateLink und https://aka.ms/AzureToAzure-PrivateLink. | Audit, Disabled | 1.0.0-preview |
SQL
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Ein Microsoft Entra-Administrator sollte für MySQL-Server bereitgestellt werden | Überprüfen Sie die Einrichtung von Microsoft Entra-Administrator*innen für Ihren MySQL-Server, um die Microsoft Entra-Authentifizierung zu aktivieren. Die Microsoft Entra-Authentifizierung ermöglicht eine vereinfachte Berechtigungsverwaltung und eine zentralisierte Identitätsverwaltung von Datenbankbenutzer*innen und anderen Microsoft-Diensten. | AuditIfNotExists, Disabled | 1.1.1 |
| Ein*e Microsoft Entra-Administrator*in sollte für PostgreSQL-Server bereitgestellt werden | Überprüfen Sie die Einrichtung von Microsoft Entra-Administrator*innen für Ihren PostgreSQL-Server, um die Microsoft Entra-Authentifizierung zu aktivieren. Die Microsoft Entra-Authentifizierung ermöglicht eine vereinfachte Berechtigungsverwaltung und eine zentralisierte Identitätsverwaltung von Datenbankbenutzer*innen und anderen Microsoft-Diensten. | AuditIfNotExists, Disabled | 1.0.1 |
| Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. | AuditIfNotExists, Disabled | 1.0.0 |
| Die Überwachung in SQL Server muss aktiviert werden | Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. | AuditIfNotExists, Disabled | 2.0.0 |
| Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
| Für flexible Azure MySQL Server darf nur die Microsoft Entra-Authentifizierung aktiviert sein | Durch die Deaktivierung lokaler Authentifizierungsmethoden und die ausschließliche Zulassung der Microsoft Entra-Authentifizierung wird die Sicherheit verbessert, da sichergestellt wird, dass ausschließlich Microsoft Entra-Identitäten auf den flexiblen Azure MySQL Server zugreifen können. | AuditIfNotExists, Disabled | 1.0.1 |
| Die Azure SQL-Datenbank muss eine TLS-Version 1.2 oder höher ausführen | Höhere Sicherheit wird durch Festlegen von TLS-Version 1.2 oder höher erzielt. So können nur Clients, die TLS 1.2 oder höher verwenden, auf Ihre Azure SQL-Datenbank-Instanz zugreifen. Niedrigere TLS-Versionen als Version 1.2 weisen gut dokumentierte Sicherheitsrisiken auf und sind daher zu vermeiden. | Audit, Disabled, Deny | 2.0.0 |
| Für Azure SQL-Datenbank darf nur die Microsoft Entra-Authentifizierung aktiviert sein | Erfordert, dass logische Azure SQL-Server die Microsoft Entra-only-Authentifizierung verwenden. Diese Richtlinie verhindert nicht, dass Server mit aktivierter lokaler Authentifizierung erstellt werden. Nach dem Erstellen verhindert sie, dass die lokale Authentifizierung für Ressourcen aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.0.0 |
| Für Azure SQL-Datenbank muss die Microsoft Entra-only-Authentifizierung aktiviert sein | Fordern Sie die Erstellung logischer Azure SQL-Server mit der Microsoft Entra-only-Authentifizierung an. Diese Richtlinie verhindert nicht, dass die lokale Authentifizierung nach dem Erstellen für Ressourcen erneut aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.2.0 |
| Für Azure SQL Managed Instance darf nur die Microsoft Entra-Authentifizierung aktiviert sein | Azure SQL Managed Instance ist für die Verwendung der Microsoft Entra-only-Authentifizierung erforderlich. Diese Richtlinie verhindert nicht, dass Azure SQL Managed Instance mit aktivierter lokaler Authentifizierung erstellt werden. Nach dem Erstellen verhindert sie, dass die lokale Authentifizierung für Ressourcen aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.0.0 |
| Azure SQL Managed Instances sollten den öffentlichen Netzwerkzugriff deaktivieren | Durch Deaktivieren des öffentlichen Netzwerkzugriffs (öffentlicher Endpunkt) in Azure SQL Managed Instance wird die Sicherheit verbessert, indem sichergestellt wird, dass ein Zugriff nur in den zugehörigen virtuellen Netzwerke oder über private Endpunkte möglich ist. Weitere Informationen zum Zugriff auf öffentliche Netzwerke finden Sie unter https://aka.ms/mi-public-endpoint. | Audit, Deny, Disabled | 1.0.0 |
| Für Azure SQL Managed Instance muss die Microsoft Entra-only-Authentifizierung aktiviert sein | Erfordert, dass Azure SQL Managed Instance mit Microsoft Entra-only-Authentifizierung erstellt wird. Diese Richtlinie verhindert nicht, dass die lokale Authentifizierung nach dem Erstellen für Ressourcen erneut aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.2.0 |
| Advanced Threat Protection für die Aktivierung auf Azure Database for MariaDB-Servern konfigurieren | Aktivieren Sie Advanced Threat Protection auf Ihren Azure Database for MariaDB-Servern außerhalb des Basic-Tarifs, um anomale Aktivitäten zu ermitteln, die auf ungewöhnliche und potenziell schädliche Zugriffs- oder Exploitversuche für Datenbanken hinweisen. | DeployIfNotExists, Disabled | 1.2.0 |
| Advanced Threat Protection für die Aktivierung auf Azure Database for MySQL-Servern konfigurieren | Aktivieren Sie Advanced Threat Protection auf Ihren Azure Database for MySQL-Servern außerhalb des Basic-Tarifs, um anomale Aktivitäten zu ermitteln, die auf ungewöhnliche und potenziell schädliche Zugriffs- oder Exploitversuche für Datenbanken hinweisen. | DeployIfNotExists, Disabled | 1.2.0 |
| Advanced Threat Protection für die Aktivierung auf Azure Database for PostgreSQL-Servern konfigurieren | Aktivieren Sie Advanced Threat Protection auf Ihren Azure Database for PostgreSQL-Servern außerhalb des Basic-Tarifs, um anomale Aktivitäten zu ermitteln, die auf ungewöhnliche und potenziell schädliche Zugriffs- oder Exploitversuche für Datenbanken hinweisen. | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurieren von Azure Defender für die Aktivierung auf verwalteten SQL-Instanzen | Aktivieren Sie Azure Defender für Azure SQL Managed Instance-Instanzen, um anomale Aktivitäten zu erkennen, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf Datenbanken zuzugreifen oder sie missbräuchlich zu verwenden. | DeployIfNotExists, Disabled | 2.0.0 |
| Konfigurieren von Azure Defender für die Aktivierung auf SQL-Servern | Aktivieren Sie Azure Defender für Azure SQL Server-Instanzen, um anomale Aktivitäten zu erkennen, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf Datenbanken zuzugreifen oder sie missbräuchlich zu verwenden. | Auswirkung „DeployIfNotExists“ | 2.1.0 |
| Azure SQL-Datenbank-Serverdiagnoseeinstellungen für Log Analytics-Arbeitsbereich konfigurieren | Aktiviert Überwachungsprotokolle für Azure SQL-Datenbank-Server und streamt die Protokolle an einen Log Analytics-Arbeitsbereich, wenn eine beliebige SQL Server-Instanz erstellt oder aktualisiert wird, für die diese Überwachung fehlt. | DeployIfNotExists, Disabled | 1.0.2 |
| Azure SQL Server zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Durch Deaktivieren der Eigenschaft für den Zugriff über öffentliche Netzwerke werden öffentliche Verbindungen blockiert, sodass der Zugriff auf Azure SQL Server nur von einem privaten Endpunkt aus möglich ist. Durch diese Konfiguration wird der Zugriff über öffentliche Netzwerke für alle Azure SQL Server-Datenbanken deaktiviert. | Modify, Disabled | 1.0.0 |
| Azure SQL Server zum Aktivieren privater Endpunktverbindungen konfigurieren | Eine private Endpunktverbindung ermöglicht private Konnektivität mit Ihrer Azure SQL-Datenbank-Instanz über eine private IP-Adresse in einem virtuellen Netzwerk. Diese Konfiguration verbessert Ihren Sicherheitsstatus und unterstützt Tools und Szenarien für den Azure-Netzwerkbetrieb. | DeployIfNotExists, Disabled | 1.0.0 |
| Für SQL Server-Instanzen muss die Überwachung aktiviert werden | Um sicherzustellen, dass die für Ihre SQL-Ressourcen ausgeführten Vorgänge erfasst werden, muss für SQL Server-Instanzen die Überwachung aktiviert sein. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. | DeployIfNotExists, Disabled | 3.0.0 |
| Konfigurieren von SQL-Servern für die Aktivierung der Überwachung im Log Analytics-Arbeitsbereich | Um sicherzustellen, dass die für Ihre SQL-Ressourcen ausgeführten Vorgänge erfasst werden, muss für SQL Server-Instanzen die Überwachung aktiviert sein. Wenn die Überwachung nicht aktiviert ist, konfiguriert diese Richtlinie Überwachungsereignisse zum angegebenen Log Analytics-Arbeitsbereich. | DeployIfNotExists, Disabled | 1.0.0 |
| Die Verbindungsdrosselung muss für PostgreSQL-Datenbankserver aktiviert sein | Mit dieser Richtlinie können Sie überwachen, ob für alle PostgreSQL-Datenbanken in Ihrer Umgebung die Verbindungsdrosselung aktiviert ist. Diese Einstellung aktiviert die temporäre Verbindungsdrosselung pro IP-Adresse bei zu vielen Anmeldefehlern aufgrund ungültiger Kennwörter. | AuditIfNotExists, Disabled | 1.0.0 |
| Bereitstellen: Diagnoseeinstellungen für SQL-Datenbanken in Log Analytics-Arbeitsbereich konfigurieren | Hiermit werden die Diagnoseeinstellungen für SQL-Datenbanken für das Streaming von Ressourcenprotokollen in einen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine SQL-Datenbank erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 4.0.0 |
| Advanced Data Security auf SQL Server-Instanzen bereitstellen | Mit dieser Richtlinie wird Advanced Data Security auf SQL Server-Instanzen aktiviert. Dazu gehört auch die Aktivierung der Bedrohungserkennung und der Sicherheitsrisikobewertung. Es wird automatisch ein Speicherkonto in derselben Region und derselben Ressourcengruppe wie die SQL Server-Instanz erstellt, um Überprüfungsergebnisse mit dem Präfix „sqlva“ zu speichern. | Auswirkung „DeployIfNotExists“ | 1.3.0 |
| Diagnoseeinstellungen für Azure SQL-Datenbank in Event Hub bereitstellen | Hiermit werden die Diagnoseeinstellungen für Azure SQL-Datenbank zum Streamen in eine regionale Event Hub-Instanz für alle erstellten oder aktualisierten Azure SQL-Datenbank-Instanzen bereitgestellt, in denen diese Diagnoseeinstellungen fehlen. | Auswirkung „DeployIfNotExists“ | 1.2.0 |
| Transparente SQL DB-Datenverschlüsselung bereitstellen | Ermöglicht die transparente Datenverschlüsselung für SQL-Datenbanken. | DeployIfNotExists, Disabled | 2.2.0 |
| Verbindungstrennungen für PostgreSQL-Datenbankserver müssen aktiviert sein | Mit dieser Richtlinie können PostgreSQL-Datenbanken in Ihrer Umgebung überwacht werden, ohne dass die log_disconnections-Einstellung aktiviert ist. | AuditIfNotExists, Disabled | 1.0.0 |
| Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein | Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
| Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein | Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
| Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein | Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein | Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein | Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Infrastructure encryption should be enabled for Azure Database for MySQL servers (Infrastrukturverschlüsselung muss für Azure Database for MySQL-Server aktiviert sein) | Aktivieren Sie die Infrastrukturverschlüsselung für Azure Database for MySQL-Server, um die Sicherheit der Daten zu erhöhen. Wenn die Infrastrukturverschlüsselung aktiviert ist, werden die ruhenden Daten mithilfe der von Microsoft verwalteten FIPS 140-2-konformen Schlüsseln doppelt verschlüsselt. | Audit, Deny, Disabled | 1.0.0 |
| Infrastrukturverschlüsselung muss für Azure Database for PostgreSQL-Server aktiviert sein | Aktivieren Sie die Infrastrukturverschlüsselung für Azure Database for PostgreSQL-Server, um die Sicherheit der Daten zu erhöhen. Wenn die Infrastrukturverschlüsselung aktiviert ist, werden die ruhenden Daten doppelt mithilfe FIPS 140-2-konformer Schlüssel verschlüsselt, die von Microsoft verwaltet werden. | Audit, Deny, Disabled | 1.0.0 |
| Protokollprüfpunkte für PostgreSQL-Datenbankserver müssen aktiviert sein | Mit dieser Richtlinie können PostgreSQL-Datenbanken in Ihrer Umgebung überwacht werden, ohne dass die log_checkpoints-Einstellung aktiviert ist. | AuditIfNotExists, Disabled | 1.0.0 |
| Protokollverbindungen für PostgreSQL-Datenbankserver müssen aktiviert sein | Mit dieser Richtlinie können PostgreSQL-Datenbanken in Ihrer Umgebung überwacht werden, ohne dass die log_connections-Einstellung aktiviert ist. | AuditIfNotExists, Disabled | 1.0.0 |
| Verbindungsdauer für PostgreSQL-Datenbankserver muss aktiviert sein | Mit dieser Richtlinie können PostgreSQL-Datenbanken in Ihrer Umgebung überwacht werden, ohne dass die log_duration-Einstellung aktiviert ist. | AuditIfNotExists, Disabled | 1.0.0 |
| Langfristige georedundante Sicherung muss für Azure SQL-Datenbank aktiviert sein | Diese Richtlinie überwacht alle Azure SQL-Datenbank-Instanzen mit nicht aktivierter langfristiger georedundanter Sicherung. | AuditIfNotExists, Disabled | 2.0.0 |
| MariaDB-Server muss einen VNET-Dienstendpunkt verwenden | Auf virtuellen Netzwerken basierende Firewallregeln werden verwendet, um Datenverkehr von einem bestimmten Subnetz zu Azure Database for MariaDB zu ermöglichen und gleichzeitig sicherzustellen, dass der Datenverkehr Azure nicht verlässt. Diese Richtlinie bietet eine Möglichkeit, zu überprüfen, ob Azure Database for MariaDB einen VNET-Dienstendpunkt verwendet. | AuditIfNotExists, Disabled | 1.0.2 |
| MySQL-Server muss einen VNET-Dienstendpunkt verwenden | Auf virtuellen Netzwerken basierende Firewallregeln werden verwendet, um Datenverkehr von einem bestimmten Subnetz zu Azure Database for MySQL zu ermöglichen und gleichzeitig sicherzustellen, dass der Datenverkehr Azure nicht verlässt. Diese Richtlinie bietet eine Möglichkeit, zu überprüfen, ob Azure Database for MySQL einen VNET-Dienstendpunkt verwendet. | AuditIfNotExists, Disabled | 1.0.2 |
| MySQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer MySQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. | AuditIfNotExists, Disabled | 1.0.4 |
| PostgreSQL-Server muss einen VNET-Dienstendpunkt verwenden | Auf virtuellen Netzwerken basierende Firewallregeln werden verwendet, um Datenverkehr von einem bestimmten Subnetz zu Azure Database for PostgreSQL zu ermöglichen und gleichzeitig sicherzustellen, dass der Datenverkehr Azure nicht verlässt. Diese Richtlinie bietet eine Möglichkeit, zu überprüfen, ob Azure Database for PostgreSQL einen VNET-Dienstendpunkt verwendet. | AuditIfNotExists, Disabled | 1.0.2 |
| PostgreSQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer PostgreSQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. | AuditIfNotExists, Disabled | 1.0.4 |
| Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. | Audit, Disabled | 1.1.0 |
| Privater Endpunkt muss für MariaDB-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MariaDB. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
| Privater Endpunkt muss für MySQL-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MySQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
| Privater Endpunkt muss für PostgreSQL-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for PostgreSQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
| Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. | Audit, Deny, Disabled | 1.1.0 |
| Öffentlicher Netzwerkzugriff muss für MariaDB-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MariaDB-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. | Audit, Deny, Disabled | 2.0.0 |
| Public network access should be disabled for MySQL flexible servers (Zugriff über öffentliche Netzwerke muss für flexible MySQL-Server deaktiviert sein) | Das Deaktivieren der Eigenschaft für öffentlichen Netzwerkzugriff erhöht die Sicherheit, indem sichergestellt wird, dass auf Ihre flexiblen Azure Database for MySQL-Server nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen, werden verweigert. | Audit, Deny, Disabled | 2.1.0 |
| Öffentlicher Netzwerkzugriff muss für MySQL-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MySQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. | Audit, Deny, Disabled | 2.0.0 |
| Zugriff über öffentliche Netzwerke muss für flexible PostgreSQL-Server deaktiviert sein | Das Deaktivieren der Eigenschaft für öffentlichen Netzwerkzugriff verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre flexiblen Azure Database for PostgreSQL-Server nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen, werden verweigert. | Audit, Deny, Disabled | 3.0.1 |
| Öffentlicher Netzwerkzugriff muss für PostgreSQL-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for PostgreSQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs deaktiviert, und alle Anmeldungen, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen, werden verweigert. | Audit, Deny, Disabled | 2.0.1 |
| Für SQL-Überwachungseinstellungen müssen Aktionsgruppen zum Erfassen kritischer Aktivitäten konfiguriert sein | Die AuditActionsAndGroups-Eigenschaft muss mindestens SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP enthalten, um eine umfassende Überwachungsprotokollierung sicherzustellen. | AuditIfNotExists, Disabled | 1.0.0 |
| Verwendung von GRS-Sicherungsredundanz für SQL-Datenbank vermeiden | Datenbanken dürfen den georedundanten Standardspeicher nicht für Sicherungen verwenden, wenn die Daten aufgrund von Datenresidenzregeln in einer bestimmten Region verbleiben müssen. Hinweis: Diese Azure-Richtlinie wird beim Erstellen einer Datenbank mithilfe von T-SQL nicht erzwungen. Sofern nicht explizit anders angegeben, werden Datenbanken mit georedundantem Sicherungsspeicher über T-SQL erstellt. | Verweigern, deaktiviert | 2.0.0 |
| SQL Managed Instance muss TLS-Version 1.2 oder höher verwenden | Höhere Sicherheit wird durch Festlegen von Version 1.2 als Mindestversion für TLS erzielt. So können nur Clients, die TLS 1.2 verwenden, auf Ihre SQL Managed Instance-Instanz zugreifen. Niedrigere TLS-Versionen als Version 1.2 weisen gut dokumentierte Sicherheitsrisiken auf und sind daher zu vermeiden. | Audit, Disabled | 1.0.1 |
| Verwendung von GRS-Sicherungsredundanz für SQL Managed Instance-Instanzen vermeiden | Verwaltete Instanzen dürfen den georedundanten Standardspeicher nicht für Sicherungen verwenden, wenn die Daten aufgrund von Datenresidenzregeln in einer bestimmten Region verbleiben müssen. Hinweis: Diese Azure-Richtlinie wird beim Erstellen einer Datenbank mithilfe von T-SQL nicht erzwungen. Sofern nicht explizit anders angegeben, werden Datenbanken mit georedundantem Sicherungsspeicher über T-SQL erstellt. | Verweigern, deaktiviert | 2.0.0 |
| Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. | Audit, Deny, Disabled | 2.0.0 |
| SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. | Audit, Deny, Disabled | 2.0.1 |
| Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden | Zum Zweck der Untersuchung von Incidents wird empfohlen, die im Rahmen der SQL Server-Überwachung im Speicherkontoziel erfassten Daten für mindestens 90 Tage aufzubewahren. Stellen Sie sicher, dass Sie die erforderlichen Aufbewahrungsregeln für die Regionen einhalten, in denen Sie tätig sind. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. | AuditIfNotExists, Disabled | 3.0.0 |
| Transparent Data Encryption für SQL-Datenbanken aktivieren | TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. | AuditIfNotExists, Disabled | 2.0.0 |
| Für Azure SQL-Datenbank muss eine auf virtuellen Netzwerken basierende Firewallregel aktiviert werden, um Datenverkehr aus dem angegebenen Subnetz zuzulassen | Auf virtuellen Netzwerken basierende Firewallregeln werden verwendet, um Datenverkehr von einem bestimmten Subnetz zu Azure SQL-Datenbank zu ermöglichen und gleichzeitig sicherzustellen, dass der Datenverkehr die Azure-Grenzen nicht verlässt. | Auswirkung „AuditIfNotExists“ | 1.0.0 |
| Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Disabled | 1.0.1 |
| Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | Hiermit werden Azure SQL Server-Instanzen überwacht, für die die Sicherheitsrisikobewertung nicht ordnungsgemäß konfiguriert ist. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Disabled | 3.0.0 |
Verwaltete SQL-Instanz
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Verschlüsselung mit kundenseitig verwalteten Schlüsseln muss im Rahmen der CMK-Verschlüsselung für verwaltete Arc SQL-Instanzen verwendet werden. | Im Rahmen der CMK-Verschlüsselung muss die Verschlüsselung mit kundenseitig verwalteten Schlüsseln verwendet werden. Weitere Informationen finden Sie unter https://aka.ms/EnableTDEArcSQLMI. | Audit, Disabled | 1.0.0 |
| TLS-Protokoll 1.2 muss für verwaltete Arc SQL-Instanzen verwendet werden. | Im Rahmen der Netzwerkeinstellungen empfiehlt Microsoft, nur TLS 1.2 für TLS-Protokolle in SQL Server zuzulassen. Weitere Informationen zu Netzwerkeinstellungen für SQL Server finden Sie unter https://aka.ms/TlsSettingsSQLServer. | Audit, Disabled | 1.0.0 |
| Transparent Data Encryption muss für verwaltete Arc SQL-Instanzen aktiviert sein. | Aktivieren Sie Transparent Data Encryption (TDE) in SQL Managed Instance mit Azure Arc-Unterstützung. Weitere Informationen finden Sie unter https://aka.ms/EnableTDEArcSQLMI. | Audit, Disabled | 1.0.0 |
SQL Server
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Systemseitig zugewiesene Identität für SQL-VMs aktivieren | Aktivieren Sie die systemseitig zugewiesene Identität im großen Stil auf SQL-VMs. Sie müssen diese Richtlinie auf Abonnementebene zuweisen. Die Zuweisung auf Ressourcengruppenebene funktioniert nicht wie erwartet. | DeployIfNotExists, Disabled | 1.0.0-preview |
| Konfigurieren von Servern mit Arc-Unterstützung mit installierter SQL Server-Erweiterung zum Aktivieren oder Deaktivieren der SQL-Best-Practices-Bewertung. | Aktivieren oder deaktivieren Sie die SQL-Best-Practices-Bewertung für die SQL Server-Instanzen auf Ihren Arc-fähigen Servern, um bewährte Methoden auszuwerten. Weitere Informationen finden Sie unter https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, Disabled | 1.0.1 |
| Berechtigte Arc-fähige SQL Server-Instanzen sollten erweiterte Sicherheitsupdates abonnieren | Abonnieren Sie für berechtigte Arc-fähige SQL Server-Instanzen erweiterte Sicherheitsupdates. Dazu benötigen Sie den Lizenztyp „Kostenpflichtig“ oder „Nutzungsbasierte Zahlung“ (PAYG). Erfahren Sie mehr über erweiterte Sicherheitsupdates: https://go.microsoft.com/fwlink/?linkid=2239401. | DeployIfNotExists, Disabled | 1.0.0 |
Stack HCI
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Azure Stack HCI-Server sollten über einheitlich durchgesetzte Anwendungssteuerungsrichtlinien verfügen | Wenden Sie mindestens die Microsoft WDAC-Basisrichtlinie im erzwungenen Modus auf allen Azure Stack HCI-Servern an. Angewendete WDAC (Windows Defender Application Control)-Richtlinien müssen auf allen Servern im selben Cluster einheitlich sein. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
| [Vorschau]: Azure Stack HCI-Server sollten Anforderungen für gesicherte Kerne erfüllen | Stellen Sie sicher, dass alle Azure Stack HCI-Server die Anforderungen für gesicherte Kerne erfüllen. So aktivieren Sie die Anforderungen für Server mit gesicherten Kernen: 1. Wechseln Sie auf der Azure Stack HCI-Clusterseite zum Windows Admin Center, und wählen Sie „Verbinden“ aus. 2. Wechseln Sie zur Sicherheitserweiterung, und wählen Sie „Gesicherter Kern“ aus. 3. Wählen Sie eine beliebige Einstellung aus, die nicht aktiviert ist, und klicken Sie auf „Aktivieren“. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
| [Vorschau]: Azure Stack HCI-Systeme sollten über verschlüsselte Volumes verfügen | Verwenden Sie BitLocker zum Verschlüsseln von Betriebssystem- und Datenvolumes auf Azure Stack HCI-Systemen. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
| [Vorschau]: Host- und VM-Netzwerke sollten auf Azure Stack HCI-Systemen geschützt sein | Schützen Sie Daten im Netzwerk der Azure Stack HCI-Hosts und in VM-Netzwerkverbindungen. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
Storage
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Der öffentliche Zugriff auf Speicherkonten muss untersagt sein | Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 3.1.0-preview |
| Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden | Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. | AuditIfNotExists, Disabled | 1.0.0 |
| SMB-Volumes für Azure NetApp Files müssen die SMB3-Verschlüsselung verwenden | Lassen Sie die Erstellung von SMB-Volumes ohne SMB3-Verschlüsselung nicht zu, um die Datenintegrität und den Datenschutz sicherzustellen. | Audit, Deny, Disabled | 1.0.0 |
| Azure NetApp Files-Volumes vom Typ NFSv4.1 sollten Kerberos-Datenverschlüsselung verwenden | Lassen Sie nur die Verwendung des Sicherheitsmodus „Kerberos-Datenschutz“ (5p) zu, um sicherzustellen, dass Daten verschlüsselt werden. | Audit, Deny, Disabled | 1.0.0 |
| Azure NetApp Files-Volumes vom Typ NFSv4.1 sollten Kerberos-Datenintegrität und Datenschutz verwenden | Stellen Sie sicher, dass mindestens die Kerberos-Integrität (krb5i) oder der Kerberos-Datenschutz (krb5p) ausgewählt ist, um die Datenintegrität und den Datenschutz sicherzustellen. | Audit, Deny, Disabled | 1.0.0 |
| Azure NetApp Files-Volumes dürfen nicht den NFSv3-Protokolltyp verwenden | Lassen Sie die Verwendung des NFSv3-Protokolltyps nicht zu, um unsicheren Zugriff auf Volumes zu verhindern. NFSv4.1 mit Kerberos-Protokoll muss für den Zugriff auf NFS-Volumes verwendet werden, um die Datenintegrität und -verschlüsselung sicherzustellen. | Audit, Deny, Disabled | 1.0.0 |
| Konfigurieren einer privaten DNS-Zonen-ID für „blob groupID“ | Konfigurieren Sie eine private DNS-Zonengruppe, um die DNS-Auflösung für einen privaten „blob groupID“-Endpunkt außer Kraft zu setzen. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren einer privaten DNS-Zonen-ID für „blob_secondary groupID“ | Konfigurieren Sie eine private DNS-Zonengruppe, um die DNS-Auflösung für einen privaten „blob_secondary groupID“-Endpunkt außer Kraft zu setzen. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren einer privaten DNS-Zonen-ID für „dfs groupID“ | Konfigurieren Sie eine private DNS-Zonengruppe, um die DNS-Auflösung für einen privaten „dfs groupID“-Endpunkt außer Kraft zu setzen. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren einer privaten DNS-Zonen-ID für „dfs_secondary groupID“ | Konfigurieren Sie eine private DNS-Zonengruppe, um die DNS-Auflösung für einen privaten „dfs_secondary groupID“-Endpunkt außer Kraft zu setzen. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren einer privaten DNS-Zonen-ID für „file groupID“ | Konfigurieren Sie eine private DNS-Zonengruppe, um die DNS-Auflösung für einen privaten „file groupID“-Endpunkt außer Kraft zu setzen. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren einer privaten DNS-Zonen-ID für „queue groupID“ | Konfigurieren Sie eine private DNS-Zonengruppe, um die DNS-Auflösung für einen privaten „queue groupID“-Endpunkt außer Kraft zu setzen. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren einer privaten DNS-Zonen-ID für „queue_secondary groupID“ | Konfigurieren Sie eine private DNS-Zonengruppe, um die DNS-Auflösung für einen privaten „queue_secondary groupID“-Endpunkt außer Kraft zu setzen. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren einer privaten DNS-Zonen-ID für „table groupID“ | Konfigurieren Sie eine private DNS-Zonengruppe, um die DNS-Auflösung für einen privaten „table groupID“-Endpunkt außer Kraft zu setzen. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren einer privaten DNS-Zonen-ID für „table_secondary groupID“ | Konfigurieren Sie eine private DNS-Zonengruppe, um die DNS-Auflösung für einen privaten „table_secondary groupID“-Endpunkt außer Kraft zu setzen. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren einer privaten DNS-Zonen-ID für „web groupID“ | Konfigurieren Sie eine private DNS-Zonengruppe, um die DNS-Auflösung für einen privaten „web groupID“-Endpunkt außer Kraft zu setzen. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren einer privaten DNS-Zonen-ID für „web_secondary groupID“ | Konfigurieren Sie eine private DNS-Zonengruppe, um die DNS-Auflösung für einen privaten „web_secondary groupID“-Endpunkt außer Kraft zu setzen. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren der Azure-Dateisynchronisierung für die Verwendung privater DNS-Zonen | Um von einem registrierten Server aus auf die privaten Endpunkte für Speichersynchronisierungsdienst-Ressourcenschnittstellen zuzugreifen, müssen Sie DNS so konfigurieren, dass die richtigen Namen in die privaten IP-Adressen Ihres privaten Endpunkts aufgelöst werden. Mit dieser Richtlinie werden die erforderliche private Azure-DNS-Zone und A-Einträge für die Schnittstellen der privaten Endpunkte Ihres Speichersynchronisierungsdiensts erstellt. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurieren der Azure-Dateisynchronisierung mit privaten Endpunkten | Hiermit wird ein privater Endpunkt für die angegebene Speichersynchronisierungsdienst-Ressource erstellt. So können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Vorhandensein von einem oder mehreren privaten Endpunkten an sich führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Diagnoseeinstellungen für Blob Services im Log Analytics-Arbeitsbereich | Stellt die Diagnoseeinstellungen für Blob Services bereit, um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu streamen, wenn ein Blobdienst erstellt oder aktualisiert wird, dem diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Konfigurieren von Diagnoseeinstellungen für Dateidienste im Log Analytics-Arbeitsbereich | Stellt die Diagnoseeinstellungen für Dateidienste bereit, um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu streamen, wenn ein Dateidienst erstellt oder aktualisiert wird, dem diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Konfigurieren von Diagnoseeinstellungen für Warteschlangendienste im Log Analytics-Arbeitsbereich | Stellt die Diagnoseeinstellungen für Warteschlangendienste bereit, um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu streamen, wenn ein Warteschlangendienst erstellt oder aktualisiert wird, dem diese Diagnoseeinstellungen fehlen. Hinweis: Diese Richtlinie wird bei der Erstellung des Speicherkontos nicht ausgelöst und erfordert die Erstellung eines Wartungstasks, damit das Konto aktualisiert werden kann. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Konfigurieren von Diagnoseeinstellungen für Speicherkonten im Log Analytics-Arbeitsbereich | Stellt die Diagnoseeinstellungen für Speicherkonten bereit, um Ressourcenprotokolle in einen Log Analytics-Arbeitsbereich zu streamen, wenn Speicherkonten erstellt oder aktualisiert werden, für die diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Konfigurieren von Diagnoseeinstellungen für Table Services im Log Analytics-Arbeitsbereich | Stellt die Diagnoseeinstellungen für Table Services bereit, um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu streamen, wenn ein Tabellendienst erstellt oder aktualisiert wird, dem diese Diagnoseeinstellungen fehlen. Hinweis: Diese Richtlinie wird bei der Erstellung des Speicherkontos nicht ausgelöst und erfordert die Erstellung eines Wartungstasks, damit das Konto aktualisiert werden kann. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Konfigurieren der sicheren Datenübertragung in einem Speicherkonto | Sichere Übertragung ist eine Option, die erzwingt, dass das Speicherkonto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Modify, Disabled | 1.0.0 |
| Speicherkonto zum Verwenden einer Private Link-Verbindung konfigurieren | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Speicherkonten zum Deaktivieren des Zugriffs auf öffentliche Netzwerke | Stellen Sie zum Verbessern der Sicherheit von Speicherkonten sicher, dass diese nicht über das öffentliche Internet, sondern nur über einen privaten Endpunkt zugänglich sind. Deaktivieren Sie die Eigenschaft für den Zugriff über öffentliche Netzwerke wie unter https://aka.ms/storageaccountpublicnetworkaccess beschrieben. Darüber hinaus werden alle Anmeldungen abgelehnt, die Firewallregeln auf Basis von IP-Adressen oder virtuellen Netzwerken entsprechen. Dadurch wird das Risiko von Datenlecks verringert. | Modify, Disabled | 1.0.1 |
| Öffentlichen Zugriff auf Ihr Speicherkonto so konfigurieren, dass er nicht zulässig ist | Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist. | Modify, Disabled | 1.0.0 |
| Konfigurieren Ihres Speicherkontos zum Aktivieren der Blobversionsverwaltung | Sie können die Blob Storage-Versionsverwaltung aktivieren, um frühere Versionen eines Objekts automatisch zu verwalten. Wenn die Blobversionsverwaltung aktiviert ist, können Sie auf frühere Versionen eines Blobs zugreifen, um Daten wiederherzustellen, wenn diese geändert oder gelöscht wurden. | Audit, Deny, Disabled | 1.0.0 |
| Bereitstellen von Defender for Storage (Klassisch) in Speicherkonten | Diese Richtlinie aktiviert Defender for Storage (Klassisch) für Speicherkonten. | DeployIfNotExists, Disabled | 1.0.1 |
| Georedundanter Speicher muss für Speicherkonten aktiviert sein | Georedundanz zum Erstellen hoch verfügbarer Anwendungen verwenden | Audit, Disabled | 1.0.0 |
| HPC Cache-Konten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden | Verwalten Sie die Verschlüsselung ruhender Azure HPC Cache-Daten mithilfe von kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. | Audit, Disabled, Deny | 2.0.0 |
| Ändern – Azure-Dateisynchronisierung zum Deaktivieren des Zugriffs auf öffentliche Netzwerke konfigurieren | Die über das Internet zugänglichen öffentlichen Endpunkte der Azure-Dateisynchronisierung wurden durch eine organisationsweite Richtlinie deaktiviert. Sie können über die privaten Endpunkte weiterhin auf den Azure-Dateisynchronisierungsdienst zugreifen. | Modify, Disabled | 1.0.0 |
| Ändern: Ihres Speicherkontos zum Aktivieren der Blobversionsverwaltung | Sie können die Blob Storage-Versionsverwaltung aktivieren, um frühere Versionen eines Objekts automatisch zu verwalten. Wenn die Blobversionsverwaltung aktiviert ist, können Sie auf frühere Versionen eines Blobs zugreifen, um Daten wiederherzustellen, wenn diese geändert oder gelöscht wurden. Beachten Sie, dass vorhandene Speicherkonten nicht geändert werden, um die Blob Storage-Versionsverwaltung zu aktivieren. Nur bei neu erstellten Speicherkonten ist die Blob Storage-Versionsverwaltung aktiviert. | Modify, Disabled | 1.0.0 |
| Für die Azure-Dateisynchronisierung sollte der Zugriff auf öffentliche Netzwerke deaktiviert sein | Durch das Deaktivieren des öffentlichen Endpunkts können Sie den Zugriff auf Ihre Speichersynchronisierungsdienst-Ressource auf Anforderungen beschränken, die für genehmigte private Endpunkte im Netzwerk Ihrer Organisation bestimmt sind. Das Zulassen von Anforderungen an den öffentlichen Endpunkt ist nicht grundsätzlich unsicher, aber möglicherweise muss der öffentliche Endpunkt zur Erfüllung gesetzlicher, rechtlicher oder organisatorischer Richtlinienanforderungen deaktiviert werden. Sie können den öffentlichen Endpunkt für einen Speichersynchronisierungsdienst deaktivieren, indem Sie „incomingTrafficPolicy“ für die Ressource auf „AllowVirtualNetworksOnly“ festlegen. | Audit, Deny, Disabled | 1.0.0 |
| Queue Storage sollte kundenseitig verwalteten Schlüssel für die Verschlüsselung verwenden. | Schützen Sie Ihren Warteschlangenspeicher mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. | Audit, Deny, Disabled | 1.0.0 |
| Sichere Übertragung in Speicherkonten sollte aktiviert werden | Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 2.0.0 |
| Verschlüsselungsbereiche für Speicherkonten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel zur Verwaltung ruhender Verschlüsselungen Ihrer Verschlüsselungsbereiche für Speicherkonten. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zu Verschlüsselungsbereichen für Speicherkonten finden Sie unter https://aka.ms/encryption-scopes-overview. | Audit, Deny, Disabled | 1.0.0 |
| Speicherkonto-Verschlüsselungsbereiche müssen die doppelte Verschlüsselung für ruhende Daten verwenden | Hiermit wird zur zusätzlichen Sicherheit die Infrastrukturverschlüsselung für die Verschlüsselung ruhender Daten in Ihren Speicherkonto-Verschlüsselungsbereichen aktiviert. Durch die Infrastrukturverschlüsselung wird eine zweimalige Verschlüsselung Ihrer Daten sichergestellt. | Audit, Deny, Disabled | 1.0.0 |
| Speicherkontoschlüssel sollten nicht abgelaufen sein | Stellen Sie sicher, dass die Schlüssel für Benutzerspeicherkonten nicht abgelaufen sind, wenn die Schlüsselablaufrichtlinie festgelegt ist. Sie verbessern die Sicherheit von Kontoschlüsseln, wenn bei abgelaufenen Schlüsseln Maßnahmen ergriffen werden. | Audit, Deny, Disabled | 3.0.0 |
| Speicherkonten sollten Zugriff von vertrauenswürdigen Microsoft-Diensten zulassen | Einige Microsoft-Dienste, die mit Speicherkonten interagieren, agieren von Netzwerken aus, denen nicht mithilfe von Netzwerkregeln Zugriff gewährt werden kann. Lassen Sie für vertrauenswürdige Microsoft-Dienste die Umgehung der Netzwerkregeln zu, damit solche Dienste ordnungsgemäß funktionieren. Diese Dienste verwenden dann eine strenge Authentifizierung, um auf das Speicherkonto zuzugreifen. | Audit, Deny, Disabled | 1.0.0 |
| Speicherkonten müssen auf zugelassene SKUs eingeschränkt werden | Schränken Sie die Speicherkonto-SKUs ein, die Ihre Organisation bereitstellen kann. | Audit, Deny, Disabled | 1.1.0 |
| Speicherkonten sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager für Ihre Speicherkonten, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen für eine einfachere Sicherheitsverwaltung. | Audit, Deny, Disabled | 1.0.0 |
| Speicherkonten sollten den Zugriff auf öffentliche Netzwerke deaktivieren | Stellen Sie zum Verbessern der Sicherheit von Speicherkonten sicher, dass diese nicht über das öffentliche Internet, sondern nur über einen privaten Endpunkt zugänglich sind. Deaktivieren Sie die Eigenschaft für den Zugriff über öffentliche Netzwerke wie unter https://aka.ms/storageaccountpublicnetworkaccess beschrieben. Darüber hinaus werden alle Anmeldungen abgelehnt, die Firewallregeln auf Basis von IP-Adressen oder virtuellen Netzwerken entsprechen. Dadurch wird das Risiko von Datenlecks verringert. | Audit, Deny, Disabled | 1.0.1 |
| Speicherkonten sollten eine Infrastrukturverschlüsselung aufweisen | Aktivieren Sie die Infrastrukturverschlüsselung, um die Sicherheit der Daten zu erhöhen. Bei aktivierter Infrastrukturverschlüsselung werden die Daten in einem Speicherkonto doppelt verschlüsselt. | Audit, Deny, Disabled | 1.0.0 |
| Für Speicherkonten müssen SAS-(Shared Access Signature-)Richtlinien konfiguriert sein | Stellen Sie sicher, dass für Speicherkonten die Ablaufrichtlinie für SAS (Shared Access Signature) aktiviert ist. Benutzer verwenden eine SAS, um den Zugriff auf Ressourcen im Azure Storage-Konto zu delegieren. Außerdem empfiehlt die SAS-Ablaufrichtlinie eine Obergrenze für den Ablauf, wenn ein Benutzer ein SAS-Token erstellt. | Audit, Deny, Disabled | 1.0.0 |
| Speicherkonten müssen die angegebene TLS-Mindestversion aufweisen | Konfigurieren Sie eine TLS-Mindestversion für die sichere Kommunikation zwischen der Clientanwendung und dem Speicherkonto. Um Sicherheitsrisiken zu minimieren, ist die empfohlene TLS-Mindestversion die neueste veröffentlichte Version, derzeit TLS 1.2. | Audit, Deny, Disabled | 1.0.0 |
| Speicherkonten sollten eine mandantenübergreifende Objektreplikation verhindern | Überwachen Sie die Einschränkung der Objektreplikation für Ihr Speicherkonto. Standardmäßig können Benutzer die Objektreplikation mit einem Quellspeicherkonto in einem Azure AD-Mandanten und einem Zielkonto in einem anderen Mandanten konfigurieren. Dies ist ein Sicherheitsproblem, da Kundendaten in ein Speicherkonto repliziert werden können, das im Besitz des Kunden ist. Durch Festlegen von allowCrossTenantReplication auf „false“ kann die Objektreplikation nur konfiguriert werden, wenn sich sowohl Quell- als auch Zielkonten im selben Azure AD-Mandanten befinden. | Audit, Deny, Disabled | 1.0.0 |
| Speicherkonten sollten den Zugriff auf gemeinsam genutzte Schlüssel verhindern | Hiermit wird die Anforderung von Azure Active Directory (Azure AD) zum Autorisieren von Anforderungen für Ihr Speicherkonto überwacht. Standardmäßig können Anforderungen entweder mit Azure Active Directory-Anmeldeinformationen oder mithilfe des Kontozugriffsschlüssels (bei einer Autorisierung mit einem gemeinsam verwendeten Schlüssel) autorisiert werden. Von diesen beiden Autorisierungsarten bietet Azure AD eine höhere Sicherheit und einfachere Verwendung gegenüber einem gemeinsam verwendeten Schlüssel und wird von Microsoft empfohlen. | Audit, Deny, Disabled | 2.0.0 |
| Netzwerkzugriff auf Speicherkonten einschränken | Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. | Audit, Deny, Disabled | 1.1.1 |
| Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken | Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. | Audit, Deny, Disabled | 1.0.1 |
| Speicherkonten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden | Schützen Sie Ihr Blob und Speicherkonto mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. | Audit, Disabled | 1.0.3 |
| Speicherkonten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Table Storage sollte kundenseitig verwalteten Schlüssel für die Verschlüsselung verwenden. | Schützen Sie Ihren Tabellenspeicher mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. | Audit, Deny, Disabled | 1.0.0 |
Stream Analytics
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Stream Analytics-Aufträge sollten kundenseitig verwaltete Schlüssel zur Datenverschlüsselung verwenden | Verwenden Sie vom Kunden verwaltete Schlüssel, wenn Sie alle Metadaten und privaten Datenbestände Ihrer Stream Analytics-Aufträge sicher in Ihrem Speicherkonto speichern möchten. Dadurch haben Sie die vollständige Kontrolle darüber, wie Ihre Stream Analytics-Daten verschlüsselt werden. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| Der Stream Analytics-Auftrag sollte eine Verbindung mit vertrauenswürdigen Ein- und Ausgaben herstellen. | Stellen Sie sicher, dass Stream Analytics-Aufträge keine beliebigen Eingabe- oder Ausgabeverbindungen aufweisen, die nicht in der Positivliste definiert sind. Dadurch wird überprüft, ob Stream Analytics-Aufträge keine Daten exfiltrieren, indem sie eine Verbindung mit beliebigen Senken außerhalb Ihrer Organisation herstellen. | Verweigern, Deaktiviert, Überprüfen | 1.1.0 |
| Der Stream Analytics-Auftrag sollte die verwaltete Identität verwenden, um Endpunkte zu authentifizieren | Stellen Sie sicher, dass Stream Analytics-Aufträge nur mithilfe der Authentifizierung über verwaltete Identitäten eine Verbindung mit Endpunkten herstellen. | Verweigern, Deaktiviert, Überprüfen | 1.0.0 |
Synapse
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Für den Synapse-Arbeitsbereich muss die Überwachung aktiviert sein | In Ihrem Synapse-Arbeitsbereich muss die Überwachung aktiviert werden, um Datenbankaktivitäten für alle Datenbanken in dedizierten SQL-Pools nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. | AuditIfNotExists, Disabled | 1.0.0 |
| Dedizierte SQL-Pools in Azure Synapse Analytics sollten Verschlüsselung aktivieren | Aktivieren Sie Transparent Data Encryption (TDE) für dedizierte SQL-Pools in Azure Synapse Analytics, um ruhende Daten zu schützen und Complianceanforderungen zu erfüllen. Beachten Sie, dass sich das Aktivieren der TDE für den Pool auf die Abfrageleistung auswirken kann. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2147714. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Synapse Workspace SQL-Server muss TLS Version 1.2 oder höher ausführen | Durch Festlegen der TLS-Version 1.2 oder höher in Ihrem Azure Synapse-Arbeitsbereich-SQL-Server erhöht die Sicherheit und kann nur von Clients aufgerufen werden, die TLS 1.2 oder höher verwenden. Niedrigere TLS-Versionen als Version 1.2 weisen gut dokumentierte Sicherheitsrisiken auf und sind daher zu vermeiden. | Audit, Deny, Disabled | 1.1.0 |
| Für Azure Synapse-Arbeitsbereiche darf ausgehender Datenverkehr nur zu genehmigten Zielen zugelassen sein | Erhöhen Sie die Sicherheit Ihres Synapse-Arbeitsbereichs, indem Sie ausgehenden Datenverkehr nur zu genehmigten Zielen zulassen. Dies ist ein Beitrag zum Schutz vor Datenexfiltration, indem das Ziel vor dem Senden von Daten überprüft wird. | Audit, Disabled, Deny | 1.0.0 |
| Azure Synapse-Arbeitsbereiche sollten den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da der Synapse-Arbeitsbereich nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihrer Synapse-Arbeitsbereiche einschränken. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Audit, Deny, Disabled | 1.0.0 |
| Azure Synapse-Arbeitsbereiche müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten zu steuern, die in Azure Synapse-Arbeitsbereichen gespeichert sind. Kundenseitig verwaltete Schlüssel bieten eine Mehrfachverschlüsselung, indem zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln eine zweite Verschlüsselungsebene hinzugefügt wird. | Audit, Deny, Disabled | 1.0.0 |
| Azure Synapse-Arbeitsbereiche müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Konfigurieren der TLS-Mindestversion für Azure Synapse-Arbeitsbereich Dedicated SQL | Kunden können die TLS-Version mithilfe der API sowohl für neue Synapse-Arbeitsbereiche als auch für vorhandene Arbeitsbereiche herauf- oder herabsetzen. Benutzer, die eine niedrigere Client-Version in den Arbeitsbereichen verwenden müssen, können also eine Verbindung herstellen, während Benutzer, die über Sicherheitsanforderungen verfügen, die Mindest-TLS-Version erhöhen können. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modify, Disabled | 1.1.0 |
| Konfigurieren von Azure Synapse-Arbeitsbereichen, um den Zugriff über öffentliche Netzwerke zu deaktivieren | Deaktivieren Sie für Ihren Synapse-Arbeitsbereich den Zugriff über öffentliche Netzwerke, sodass er nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modify, Disabled | 1.0.0 |
| Azure Synapse-Arbeitsbereiche für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um einen Azure Synapse-Arbeitsbereich aufzulösen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, Disabled | 2.0.0 |
| Azure Synapse-Arbeitsbereiche mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Azure Synapse-Arbeitsbereichen können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists, Disabled | 1.0.0 |
| Für Synapse-Arbeitsbereiche muss die Überwachung aktiviert werden | Um sicherzustellen, dass die für Ihre SQL-Ressourcen ausgeführten Vorgänge erfasst werden, muss für Synapse-Arbeitsbereiche die Überwachung aktiviert sein. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. | DeployIfNotExists, Disabled | 2.0.0 |
| Konfigurieren Sie Synapse-Arbeitsbereiche, dass die Überwachung für den Log Analytics-Arbeitsbereich aktiviert ist | Um sicherzustellen, dass die für Ihre SQL-Ressourcen ausgeführten Vorgänge erfasst werden, muss für Synapse-Arbeitsbereiche die Überwachung aktiviert sein. Wenn die Überwachung nicht aktiviert ist, konfiguriert diese Richtlinie Überwachungsereignisse zum angegebenen Log Analytics-Arbeitsbereich. | DeployIfNotExists, Disabled | 1.0.0 |
| Synapse-Arbeitsbereiche nur mit Microsoft Entra-Identitäten für die Authentifizierung konfigurieren | Fordern Sie Synapse-Arbeitsbereiche für die Verwendung der Microsoft Entra-only-Authentifizierung, und konfigurieren Sie sie neu. Diese Richtlinie verhindert nicht, dass Arbeitsbereiche mit aktivierter lokaler Authentifizierung erstellt werden. Sie verhindert, dass die lokale Authentifizierung aktiviert wird und aktiviert die Microsoft Entra-only-Authentifizierung nach dem Erstellen neu. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/Synapse. | Modify, Disabled | 1.0.0 |
| Synapse-Arbeitsbereich so konfigurieren, dass sie Microsoft Entra-Identitäten für die Authentifizierung während der Erstellung des Arbeitsbereichs verwenden | Fordern Sie, dass Synapse-Arbeitsbereiche mit der Microsoft Entra-only-Authentifizierung erstellt werden, und konfigurieren Sie sie neu. Diese Richtlinie verhindert nicht, dass die lokale Authentifizierung nach dem Erstellen für Ressourcen erneut aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/Synapse. | Modify, Disabled | 1.2.0 |
| IP-Firewallregeln für Azure Synapse-Arbeitsbereiche müssen entfernt werden | Das Entfernen aller IP-Firewallregeln erhöht die Sicherheit, indem sichergestellt wird, dass nur über einen privaten Endpunkt auf Ihren Azure Synapse-Arbeitsbereich zugegriffen werden kann. Diese Konfiguration überwacht die Erstellung von Firewallregeln, die Zugriff auf den Arbeitsbereich aus öffentlichen Netzwerken zulassen. | Audit, Disabled | 1.0.0 |
| Virtuelles Netzwerk mit verwaltetem Arbeitsbereich in Azure Synapse-Arbeitsbereichen muss aktiviert sein | Durch Aktivieren eines virtuellen Netzwerks mit verwaltetem Arbeitsbereich wird sichergestellt, dass Ihr Arbeitsbereich im Netzwerk von anderen Arbeitsbereichen isoliert ist. Datenintegration und in diesem Netzwerk bereitgestellte Spark-Ressourcen bieten zudem Isolierung auf Benutzerebene für Spark-Aktivitäten. | Audit, Deny, Disabled | 1.0.0 |
| Von Synapse verwaltete private Endpunkte dürfen nur eine Verbindung mit Ressourcen in genehmigten Azure Active Directory-Mandanten herstellen | Schützen Sie Ihren Synapse-Arbeitsbereich, indem Sie nur Verbindungen mit Ressourcen in genehmigten Azure AD-Mandanten zulassen. Die genehmigten Azure AD-Mandanten können während der Richtlinienzuweisung definiert werden. | Audit, Disabled, Deny | 1.0.0 |
| In den Überwachungseinstellungen von Synapse-Arbeitsbereichen sollten Aktionsgruppen zum Erfassen kritischer Aktivitäten konfiguriert sein | Um sicherzustellen, dass Ihre Überwachungsprotokolle so umfassend wie möglich sind, sollte die Eigenschaft „AuditActionsAndGroups“ alle relevanten Gruppen enthalten. Wir empfehlen, mindestens die folgenden Gruppen hinzuzufügen: SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Synapse-Arbeitsbereiche muss die Microsoft Entra-only-Authentifizierung aktiviert sein | Für Synapse-Arbeitsbereiche ist die Microsoft Entra-only-Authentifizierung erforderlich. Diese Richtlinie verhindert nicht, dass Arbeitsbereiche mit aktivierter lokaler Authentifizierung erstellt werden. Nach dem Erstellen verhindert sie, dass die lokale Authentifizierung für Ressourcen aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/Synapse. | Audit, Deny, Disabled | 1.0.0 |
| Synapse-Arbeitsbereiche müssen die Microsoft Entra-only-Identitäten für die Authentifizierung während der Arbeitsbereichserstellung verwenden- | Fordern Sie, dass Synapse-Arbeitsbereiche mit der Microsoft Entra-only-Authentifizierung erstellt werden. Diese Richtlinie verhindert nicht, dass die lokale Authentifizierung nach dem Erstellen für Ressourcen erneut aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/Synapse. | Audit, Deny, Disabled | 1.2.0 |
| Für Synapse-Arbeitsbereiche mit SQL-Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden | Zum Zweck der Untersuchung von Incidents wird empfohlen, die im Rahmen der SQL-Überwachung Ihres Synapse-Arbeitsbereichs im Speicherkontoziel erfassten Daten für mindestens 90 Tage aufzubewahren. Stellen Sie sicher, dass Sie die erforderlichen Aufbewahrungsregeln für die Regionen einhalten, in denen Sie tätig sind. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. | AuditIfNotExists, Disabled | 2.0.0 |
| Für Ihre Synapse-Arbeitsbereiche muss eine Sicherheitsrisikobewertung aktiviert sein | Ermitteln, verfolgen und beheben Sie potenzielle Sicherheitsrisiken, indem Sie regelmäßige Überprüfungen zur SQL-Sicherheitsrisikobewertung für Ihre Synapse-Arbeitsbereiche konfigurieren. | AuditIfNotExists, Disabled | 1.0.0 |
Systemrichtlinie
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Zulässige Ressourcenbereitstellungsregionen | Diese Richtlinie verwaltet eine Reihe der besten verfügbaren Regionen, in denen Ihr Abonnement Ressourcen bereitstellen kann. Ziel dieser Richtlinie ist es, sicherzustellen, dass Ihr Abonnement Vollzugriff auf Azure-Dienste mit optimaler Leistung hat. Wenn Sie zusätzliche oder andere Regionen benötigen, wenden Sie sich an den Support. | verweigern | 1.0.0 |
Tags
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Tag zu Ressourcengruppen hinzufügen | Hiermit werden das angegebene Tag und der zugehörige Wert hinzugefügt, wenn eine Ressourcengruppe erstellt oder aktualisiert wird, in der dieses Tag fehlt. Vorhandene Ressourcengruppen können korrigiert werden, indem eine Korrekturaufgabe ausgelöst wird. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. | modify | 1.0.0 |
| Tag zu Ressourcen hinzufügen | Hiermit werden das angegebene Tag und der zugehörige Wert hinzugefügt, wenn eine Ressource erstellt oder aktualisiert wird, in der dieses Tag fehlt. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. Tags für Ressourcengruppen werden nicht geändert. | modify | 1.0.0 |
| Tag zu Abonnements hinzufügen | Fügt Abonnements das angegebene Tag und den angegebenen Wert über eine Wiederherstellungsaufgabe hinzu. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. Weitere Informationen zur Richtlinienwartung finden Sie unter https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
| Tag für Ressourcengruppen hinzufügen oder ersetzen | Hiermit werden das angegebene Tag und der zugehörige Wert hinzugefügt oder ersetzt, wenn eine Ressourcengruppe erstellt oder aktualisiert wird. Vorhandene Ressourcengruppen können korrigiert werden, indem eine Korrekturaufgabe ausgelöst wird. | modify | 1.0.0 |
| Tag für Ressourcen hinzufügen oder ersetzen | Hiermit werden das angegebene Tag und der zugehörige Wert hinzugefügt oder ersetzt, wenn eine Ressource erstellt oder aktualisiert wird. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. Tags für Ressourcengruppen werden nicht geändert. | modify | 1.0.0 |
| Tag für Abonnements hinzufügen oder ersetzen | Fügt Abonnements das angegebene Tag und den angegebenen Wert über eine Wiederherstellungsaufgabe hinzu oder ersetzt diese. Vorhandene Ressourcengruppen können korrigiert werden, indem eine Korrekturaufgabe ausgelöst wird. Weitere Informationen zur Richtlinienwartung finden Sie unter https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
| Tag und zugehörigen Wert aus der Ressourcengruppe anfügen | Hiermit werden das angegebene Tag und der zugehörige Wert aus der Ressourcengruppe angefügt, wenn eine Ressource erstellt oder aktualisiert wird, in der dieses Tag fehlt. Tags von Ressourcen, die vor Anwendung dieser Richtlinie erstellt wurden, werden erst bei Bearbeitung geändert. Ab sofort ist die neue Richtlinienauswirkung „modify“ verfügbar, die eine Korrektur von Tags für vorhandene Ressourcen unterstützt (siehe https://aka.ms/modifydoc). | append | 1.0.0 |
| Tag und zugehörigen Wert an Ressourcengruppen anfügen | Hiermit werden das angegebene Tag und der zugehörige Wert angefügt, wenn eine Ressourcengruppe erstellt oder aktualisiert wird, in der dieses Tag fehlt. Tags von Ressourcengruppen, die vor Anwendung dieser Richtlinie erstellt wurden, werden erst bei Bearbeitung geändert. Ab sofort ist die neue Richtlinienauswirkung „modify“ verfügbar, die eine Korrektur von Tags für vorhandene Ressourcen unterstützt (siehe https://aka.ms/modifydoc). | append | 1.0.0 |
| Tag und zugehörigen Wert an Ressourcen anfügen | Hiermit werden das angegebene Tag und der zugehörige Wert angefügt, wenn eine Ressource erstellt oder aktualisiert wird, in der dieses Tag fehlt. Tags von Ressourcen, die vor Anwendung dieser Richtlinie erstellt wurden, werden erst bei Bearbeitung geändert. Dies gilt nicht für Ressourcengruppen. Ab sofort ist die neue Richtlinienauswirkung „modify“ verfügbar, die eine Korrektur von Tags für vorhandene Ressourcen unterstützt (siehe https://aka.ms/modifydoc). | append | 1.0.1 |
| Tag von der Ressourcengruppe erben | Hiermit werden das angegebene Tag und der zugehörige Wert aus der übergeordneten Ressourcengruppe hinzugefügt oder ersetzt, wenn eine Ressource erstellt oder aktualisiert wird. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. | modify | 1.0.0 |
| Tag von der Ressourcengruppe erben, falls nicht vorhanden | Hiermit werden das angegebene Tag und der zugehörige Wert aus der übergeordneten Ressourcengruppe hinzugefügt, wenn eine Ressource erstellt oder aktualisiert wird, in der dieses Tag fehlt. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. | modify | 1.0.0 |
| Tag vom Abonnement erben | Hiermit werden das angegebene Tag und der zugehörige Wert aus dem enthaltenden Abonnement hinzugefügt oder ersetzt, wenn eine Ressource erstellt oder aktualisiert wird. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. | modify | 1.0.0 |
| Tag vom Abonnement erben, falls nicht vorhanden | Hiermit werden das angegebene Tag und der zugehörige Wert aus dem enthaltenden Abonnement hinzugefügt, wenn eine Ressource erstellt oder aktualisiert wird, in der dieses Tag fehlt. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. | modify | 1.0.0 |
| Tag und zugehöriger Wert für Ressourcengruppen erforderlich | Erzwingt ein erforderliches Tag und dessen Wert für Ressourcengruppen. | deny | 1.0.0 |
| Tag und zugehöriger Wert für Ressourcen erforderlich | Erzwingt ein erforderliches Tag und dessen Wert. Dies gilt nicht für Ressourcengruppen. | deny | 1.0.1 |
| Tag für Ressourcengruppen erforderlich | Hiermit wird das Vorhandensein eines Tags für Ressourcengruppen erzwungen. | deny | 1.0.0 |
| Tag für Ressourcen erforderlich | Erzwingt das Vorhandensein eines Tags. Dies gilt nicht für Ressourcengruppen. | deny | 1.0.1 |
| Erfordert, dass Ressourcen kein spezielles Tag aufweisen. | Verweigert die Erstellung einer Ressource, die das angegebene Tag enthält. Dies gilt nicht für Ressourcengruppen. | Audit, Deny, Disabled | 2.0.0 |
Vertrauenswürdiger Start
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Datenträger und Betriebssystemimage sollten TrustedLaunch unterstützen | TrustedLaunch verbessert die Sicherheit eines virtuellen Computers, der das Betriebssystemdatenträger- und Betriebssystemimage erfordert, um ihn zu unterstützen (Gen 2). Weitere Informationen zu TrustedLaunch finden Sie unter https://aka.ms/trustedlaunch | Audit, Disabled | 1.0.0 |
| Für den virtuellen Computer sollte TrustedLaunch aktiviert sein | Aktivieren Sie TrustedLaunch auf dem virtuellen Computer für erhöhte Sicherheit, verwenden Sie VM-SKU (Gen 2), was TrustedLaunch unterstützt. Weitere Informationen zu TrustedLaunch finden Sie unter https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Audit, Disabled | 1.0.0 |
VirtualEnclaves
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Konfigurieren von Speicherkonten, um den Netzwerkzugriff nur über die Netzwerk-ACL-Umgehungskonfiguration einzuschränken. | Um die Sicherheit von Speicherkonten zu verbessern, aktivieren Sie den Zugriff nur über die Netzwerk-ACL-Umgehung. Diese Richtlinie sollte in Kombination mit einem privaten Endpunkt für den Zugriff auf Speicherkonten verwendet werden. | Modify, Disabled | 1.0.0 |
| Lassen Sie das Erstellen von Ressourcentypen außerhalb der Zulassungsliste nicht zu | Diese Richtlinie verhindert die Bereitstellung von Ressourcentypen außerhalb der explizit zulässigen Typen, um die Sicherheit in einer virtuellen Enklave aufrechtzuerhalten. https://aka.ms/VirtualEnclaves | Audit, Deny, Disabled | 1.0.0 |
| Lassen Sie das Erstellen von angegebenen Ressourcentypen oder Typen unter bestimmten Anbietern nicht zu | Die über die Parameterliste angegebenen Ressourcenanbieter und Typen dürfen nicht ohne explizite Genehmigung des Sicherheitsteams erstellt werden. Wenn der Richtlinienzuordnung eine Ausnahme gewährt wird, kann die Ressource innerhalb der Enklave genutzt werden. https://aka.ms/VirtualEnclaves | Audit, Deny, Disabled | 1.0.0 |
| Netzwerkschnittstellen sollten mit einem genehmigten Subnetz des genehmigten virtuellen Netzwerks verbunden werden | Diese Richtlinie verhindert, dass Netzwerkschnittstellen eine Verbindung mit einem virtuellen Netzwerk oder Subnetz herstellen, das nicht genehmigt wurde. https://aka.ms/VirtualEnclaves | Audit, Deny, Disabled | 1.0.0 |
| Speicherkonten sollten den Netzwerkzugriff nur über die Konfiguration der Netzwerk-ACL-Umgehung einschränken. | Um die Sicherheit von Speicherkonten zu verbessern, aktivieren Sie den Zugriff nur über die Netzwerk-ACL-Umgehung. Diese Richtlinie sollte in Kombination mit einem privaten Endpunkt für den Zugriff auf Speicherkonten verwendet werden. | Audit, Deny, Disabled | 1.0.0 |
VM Image Builder
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| VM Image Builder-Vorlagen müssen eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Web PubSub
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Der Azure Web PubSub-Dienst muss den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da der Azure Web PubSub-Dienst nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung des Azure Web PubSub-Diensts einschränken. Weitere Informationen finden Sie unter https://aka.ms/awps/networkacls. | Audit, Deny, Disabled | 1.0.0 |
| Azure Web PubSub-Dienst sollte Diagnoseprotokolle aktivieren | Hiermit wird die Aktivierung von Diagnoseprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 1.0.0 |
| Für den Azure Web PubSub-Dienst müssen lokale Authentifizierungsmethoden deaktiviert sein | Das Deaktivieren lokaler Authentifizierungsmethoden verbessert die Sicherheit, indem sichergestellt wird, dass der Azure Web PubSub-Dienst ausschließlich Azure Active Directory-Identitäten für die Authentifizierung erfordert. | Audit, Deny, Disabled | 1.0.0 |
| Der Azure Web PubSub-Dienst muss eine SKU mit Unterstützung von Private Link verwenden | Bei Verwendung einer unterstützten SKU können Sie mit Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zum Azure Web PubSub-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/awps/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| Der Azure Web PubSub-Dienst muss Private Link verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Web PubSub-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Azure Web PubSub-Diensts zum Deaktivieren der lokalen Authentifizierung konfigurieren | Deaktivieren Sie lokale Authentifizierungsmethoden, sodass Ihr Azure Web PubSub-Dienst ausschließlich Azure Active Directory-Identitäten für die Authentifizierung benötigt. | Modify, Disabled | 1.0.0 |
| Azure Web PubSub-Dienst zum Deaktivieren des öffentlichen Netzwerkzugriffs konfigurieren | Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Azure Web PubSub-Ressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/awps/networkacls. | Modify, Disabled | 1.0.0 |
| Azure Web PubSub-Dienst für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um einen Azure Web PubSub-Dienst aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/awps/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Azure Web PubSub-Dienst mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zum Azure Web PubSub-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/awps/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
Nächste Schritte
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.