Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß CIS Microsoft Azure Foundations Benchmark 1.3.0

Artikel
04/10/2024

Der folgende Artikel enthält Details dazu, wie die integrierte Azure Policy-Initiative zur Einhaltung gesetzlicher Bestimmungen den Compliancebereichen und Steuerungen in CIS Microsoft Azure Foundations Benchmark 1.3.0 entspricht. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CIS Microsoft Azure Foundations Benchmark 1.3.0. Grundlegendes zum Besitzer finden Sie unter Azure Policy-Richtliniendefinition und Gemeinsame Verantwortung in der Cloud.

Die folgenden Zuordnungen gelten für die Steuerungen gemäß CIS Microsoft Azure Foundations Benchmark 1.3.0. Viele der Steuerungen werden über die Definition einer Azure Policy-Initiative implementiert. Zum Anzeigen der vollständigen Initiativendefinition öffnen Sie Policy im Azure-Portal und wählen dann die Seite Definitionen aus. Suchen Sie anschließend die integrierte Initiativendefinition zur Einhaltung der gesetzlichen Bestimmungen gemäß CIS Microsoft Azure Foundations Benchmark 1.3.0, und wählen Sie sie aus.

Wichtig

Jede Steuerung unten ist einer oder mehreren Azure Policy-Definitionen zugeordnet. Diese Richtlinien können Ihnen bei der Konformitätsbewertung mit der Steuerung helfen. Es gibt jedoch oft keine 1:1- oder vollständige Übereinstimmung zwischen einer Steuerung und einer bzw. mehreren Richtlinien. Daher bezieht sich Konform in Azure Policy nur auf die Richtliniendefinitionen selbst und gewährleistet nicht die vollständige Compliance mit allen Anforderungen einer Steuerung. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Compliancebereichen, Steuerungen und Azure Policy-Definitionen für diesen Konformitätsstandard können sich im Lauf der Zeit ändern. Den Änderungsverlaufs finden Sie im GitHub-Commit-Verlauf.

1 Identitäts- und Zugriffsverwaltung

Sicherstellen, dass die mehrstufige Authentifizierung für alle privilegierten Benutzer aktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.1 Eigentum: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein	MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern.	AuditIfNotExists, Disabled	1.0.0
Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein	MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern.	AuditIfNotExists, Disabled	1.0.0
Biometrische Authentifizierungsmechanismen anwenden	CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden	Manuell, deaktiviert	1.1.0

„Benutzer können ihrem Zugriffsbereich Katalog-Apps hinzufügen“ muss auf „Nein“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.10 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	Manuell, deaktiviert	1.1.0
Zugriff autorisieren und verwalten	CMA_0023 – Zugriff autorisieren und verwalten	Manuell, deaktiviert	1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	Manuell, deaktiviert	1.1.0

„Benutzer können Anwendungen registrieren“ muss auf „Nein“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.11 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	Manuell, deaktiviert	1.1.0
Zugriff autorisieren und verwalten	CMA_0023 – Zugriff autorisieren und verwalten	Manuell, deaktiviert	1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	Manuell, deaktiviert	1.1.0

„Gastbenutzerberechtigungen sind eingeschränkt“ muss auf „Ja“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.12 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	Manuell, deaktiviert	1.1.0
Zugriff autorisieren und verwalten	CMA_0023 – Zugriff autorisieren und verwalten	Manuell, deaktiviert	1.1.0
Zugriffssteuerungsmodell entwerfen	CMA_0129 – Zugriffssteuerungsmodell entwerfen	Manuell, deaktiviert	1.1.0
Zugriff mit den geringsten Rechten verwenden	CMA_0212 – Zugriff mit den geringsten Rechten verwenden	Manuell, deaktiviert	1.1.0
Logischen Zugriff erzwingen	CMA_0245 – Logischen Zugriff erzwingen	Manuell, deaktiviert	1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	Manuell, deaktiviert	1.1.0
Genehmigung für Kontoerstellung anfordern	CMA_0431 – Genehmigung für Kontoerstellung anfordern	Manuell, deaktiviert	1.1.0
Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen	CMA_0481 – Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen	Manuell, deaktiviert	1.1.0

„Mitglieder können einladen“ muss auf „Nein“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.13 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	Manuell, deaktiviert	1.1.0
Zugriff autorisieren und verwalten	CMA_0023 – Zugriff autorisieren und verwalten	Manuell, deaktiviert	1.1.0
Zugriffssteuerungsmodell entwerfen	CMA_0129 – Zugriffssteuerungsmodell entwerfen	Manuell, deaktiviert	1.1.0
Zugriff mit den geringsten Rechten verwenden	CMA_0212 – Zugriff mit den geringsten Rechten verwenden	Manuell, deaktiviert	1.1.0
Logischen Zugriff erzwingen	CMA_0245 – Logischen Zugriff erzwingen	Manuell, deaktiviert	1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	Manuell, deaktiviert	1.1.0
Genehmigung für Kontoerstellung anfordern	CMA_0431 – Genehmigung für Kontoerstellung anfordern	Manuell, deaktiviert	1.1.0
Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen	CMA_0481 – Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen	Manuell, deaktiviert	1.1.0

„Gäste können einladen“ muss auf „Nein“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.14 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	Manuell, deaktiviert	1.1.0
Zugriff autorisieren und verwalten	CMA_0023 – Zugriff autorisieren und verwalten	Manuell, deaktiviert	1.1.0
Zugriffssteuerungsmodell entwerfen	CMA_0129 – Zugriffssteuerungsmodell entwerfen	Manuell, deaktiviert	1.1.0
Zugriff mit den geringsten Rechten verwenden	CMA_0212 – Zugriff mit den geringsten Rechten verwenden	Manuell, deaktiviert	1.1.0
Logischen Zugriff erzwingen	CMA_0245 – Logischen Zugriff erzwingen	Manuell, deaktiviert	1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	Manuell, deaktiviert	1.1.0
Genehmigung für Kontoerstellung anfordern	CMA_0431 – Genehmigung für Kontoerstellung anfordern	Manuell, deaktiviert	1.1.0
Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen	CMA_0481 – Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen	Manuell, deaktiviert	1.1.0

„Zugriff auf Azure AD-Verwaltungsportal einschränken“ muss auf „Ja“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.15 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	Manuell, deaktiviert	1.1.0
Zugriff autorisieren und verwalten	CMA_0023 – Zugriff autorisieren und verwalten	Manuell, deaktiviert	1.1.0
Logischen Zugriff erzwingen	CMA_0245 – Logischen Zugriff erzwingen	Manuell, deaktiviert	1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	Manuell, deaktiviert	1.1.0
Genehmigung für Kontoerstellung anfordern	CMA_0431 – Genehmigung für Kontoerstellung anfordern	Manuell, deaktiviert	1.1.0
Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen	CMA_0481 – Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen	Manuell, deaktiviert	1.1.0

„Benutzerfähigkeit zum Zugriff auf Gruppenfunktionen im Zugriffsbereich einschränken“ muss auf „Nein“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.16 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	Manuell, deaktiviert	1.1.0
Zugriff autorisieren und verwalten	CMA_0023 – Zugriff autorisieren und verwalten	Manuell, deaktiviert	1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	Manuell, deaktiviert	1.1.0
Änderungssteuerungsprozesse einrichten und dokumentieren	CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren	Manuell, deaktiviert	1.1.0

„Benutzer können Sicherheitsgruppen in Azure-Portalen erstellen“ muss auf „Nein“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.17 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	Manuell, deaktiviert	1.1.0
Zugriff autorisieren und verwalten	CMA_0023 – Zugriff autorisieren und verwalten	Manuell, deaktiviert	1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	Manuell, deaktiviert	1.1.0
Änderungssteuerungsprozesse einrichten und dokumentieren	CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren	Manuell, deaktiviert	1.1.0

„Besitzer können Anforderungen für eine Gruppenmitgliedschaft im Zugriffspanel verwalten“ muss auf „Nein“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.18 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	Manuell, deaktiviert	1.1.0
Zugriff autorisieren und verwalten	CMA_0023 – Zugriff autorisieren und verwalten	Manuell, deaktiviert	1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	Manuell, deaktiviert	1.1.0
Änderungssteuerungsprozesse einrichten und dokumentieren	CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren	Manuell, deaktiviert	1.1.0

„Benutzer können Microsoft 365 Gruppen in Azure-Portalen erstellen“ muss auf „Nein“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.19 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	Manuell, deaktiviert	1.1.0
Zugriff autorisieren und verwalten	CMA_0023 – Zugriff autorisieren und verwalten	Manuell, deaktiviert	1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	Manuell, deaktiviert	1.1.0
Änderungssteuerungsprozesse einrichten und dokumentieren	CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren	Manuell, deaktiviert	1.1.0

Sicherstellen, dass die mehrstufige Authentifizierung für alle nicht privilegierten Benutzer aktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.2 Eigentum: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein	MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern.	AuditIfNotExists, Disabled	1.0.0
Biometrische Authentifizierungsmechanismen anwenden	CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden	Manuell, deaktiviert	1.1.0

„Mehrstufige Authentifizierung zum Verknüpfen von Geräten erforderlich“ muss auf „Ja“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.20 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Biometrische Authentifizierungsmechanismen anwenden	CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden	Manuell, deaktiviert	1.1.0
Remotezugriff autorisieren	CMA_0024 – Remotezugriff autorisieren	Manuell, deaktiviert	1.1.0
Mobilitätstraining dokumentieren	CMA_0191 – Mobilitätstraining dokumentieren	Manuell, deaktiviert	1.1.0
Richtlinien für den Remotezugriff dokumentieren	CMA_0196 – Richtlinien für den Remotezugriff dokumentieren	Manuell, deaktiviert	1.1.0
Netzwerkgeräte identifizieren und authentifizieren	CMA_0296 – Netzwerkgeräte identifizieren und authentifizieren	Manuell, deaktiviert	1.1.0
Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren	CMA_0315 – Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren	Manuell, deaktiviert	1.1.0
Training zum Datenschutz bereitstellen	CMA_0415 – Training zum Datenschutz bereitstellen	Manuell, deaktiviert	1.1.0
Tokenqualitätsanforderungen erfüllen	CMA_0487 – Tokenqualitätsanforderungen erfüllen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass keine benutzerdefinierten Abonnementbesitzerrollen erstellt werden

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.21 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	Manuell, deaktiviert	1.1.0
Zugriff autorisieren und verwalten	CMA_0023 – Zugriff autorisieren und verwalten	Manuell, deaktiviert	1.1.0
Zugriffssteuerungsmodell entwerfen	CMA_0129 – Zugriffssteuerungsmodell entwerfen	Manuell, deaktiviert	1.1.0
Zugriff mit den geringsten Rechten verwenden	CMA_0212 – Zugriff mit den geringsten Rechten verwenden	Manuell, deaktiviert	1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	Manuell, deaktiviert	1.1.0
Änderungssteuerungsprozesse einrichten und dokumentieren	CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren	Manuell, deaktiviert	1.1.0

„Sicherheitsstandards“ muss in Azure Active Directory aktiviert sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.22 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Biometrische Authentifizierungsmechanismen anwenden	CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden	Manuell, deaktiviert	1.1.0
Beim kryptografischen Modul authentifizieren	CMA_0021 – Beim kryptografischen Modul authentifizieren	Manuell, deaktiviert	1.1.0
Remotezugriff autorisieren	CMA_0024 – Remotezugriff autorisieren	Manuell, deaktiviert	1.1.0
Mobilitätstraining dokumentieren	CMA_0191 – Mobilitätstraining dokumentieren	Manuell, deaktiviert	1.1.0
Richtlinien für den Remotezugriff dokumentieren	CMA_0196 – Richtlinien für den Remotezugriff dokumentieren	Manuell, deaktiviert	1.1.0
Netzwerkgeräte identifizieren und authentifizieren	CMA_0296 – Netzwerkgeräte identifizieren und authentifizieren	Manuell, deaktiviert	1.1.0
Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren	CMA_0315 – Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren	Manuell, deaktiviert	1.1.0
Training zum Datenschutz bereitstellen	CMA_0415 – Training zum Datenschutz bereitstellen	Manuell, deaktiviert	1.1.0
Tokenqualitätsanforderungen erfüllen	CMA_0487 – Tokenqualitätsanforderungen erfüllen	Manuell, deaktiviert	1.1.0

Die benutzerdefinierte Rolle muss für „Verwaltung von Ressourcensperren“ zugewiesen sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.23 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	Manuell, deaktiviert	1.1.0
Zugriff autorisieren und verwalten	CMA_0023 – Zugriff autorisieren und verwalten	Manuell, deaktiviert	1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	Manuell, deaktiviert	1.1.0
Änderungssteuerungsprozesse einrichten und dokumentieren	CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren	Manuell, deaktiviert	1.1.0

Sicherstellen, dass Gastbenutzer monatlich überprüft werden

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.3 Eigentum: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Status des Benutzerkontos überwachen	CMA_0020 – Status des Benutzerkontos überwachen	Manuell, deaktiviert	1.1.0
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden.	Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern.	AuditIfNotExists, Disabled	1.0.0
Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden	Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern.	AuditIfNotExists, Disabled	1.0.0
Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden	Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern.	AuditIfNotExists, Disabled	1.0.0
Benutzerberechtigungen bei Bedarf neu zuweisen oder entfernen	CMA_C1040 – Benutzerberechtigungen bei Bedarf neu zuweisen oder entfernen	Manuell, deaktiviert	1.1.0
Kontobereitstellungsprotokolle überprüfen	CMA_0460 – Kontobereitstellungsprotokolle überprüfen	Manuell, deaktiviert	1.1.0
Überprüfen von Benutzerkonten	CMA_0480 – Überprüfen von Benutzerkonten	Manuell, deaktiviert	1.1.0
Benutzerberechtigungen überprüfen	CMA_C1039 – Benutzerberechtigungen überprüfen	Manuell, deaktiviert	1.1.0

„Benutzern das Speichern der Multi-Faktor-Authentifizierung auf vertrauenswürdigen Geräten ermöglichen“ muss auf „Deaktiviert“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.4 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Biometrische Authentifizierungsmechanismen anwenden	CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden	Manuell, deaktiviert	1.1.0
Netzwerkgeräte identifizieren und authentifizieren	CMA_0296 – Netzwerkgeräte identifizieren und authentifizieren	Manuell, deaktiviert	1.1.0
Tokenqualitätsanforderungen erfüllen	CMA_0487 – Tokenqualitätsanforderungen erfüllen	Manuell, deaktiviert	1.1.0

„Anzahl der Tage, bevor Benutzer aufgefordert werden, ihre Authentifizierungsinformationen erneut zu bestätigen“ darf nicht auf 0 festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.6 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Kontoverwaltung automatisieren	CMA_0026 – Kontoverwaltung automatisieren	Manuell, deaktiviert	1.1.0
System- und Administratorkonten verwalten	CMA_0368 – System- und Administratorkonten verwalten	Manuell, deaktiviert	1.1.0
Zugriff in der gesamten Organisation überwachen	CMA_0376 – Zugriff in der gesamten Organisation überwachen	Manuell, deaktiviert	1.1.0
Benachrichtigen, wenn das Konto nicht benötigt wird	CMA_0383 – Benachrichtigen, wenn das Konto nicht benötigt wird	Manuell, deaktiviert	1.1.0

„Benutzer über Kennwortzurücksetzungen benachrichtigen?“ muss auf „Ja“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.7 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Kontoverwaltung automatisieren	CMA_0026 – Kontoverwaltung automatisieren	Manuell, deaktiviert	1.1.0
Schulung zum Schutz von Authentifikatoren implementieren	CMA_0329 – Schulung zum Schutz von Authentifikatoren implementieren	Manuell, deaktiviert	1.1.0
System- und Administratorkonten verwalten	CMA_0368 – System- und Administratorkonten verwalten	Manuell, deaktiviert	1.1.0
Zugriff in der gesamten Organisation überwachen	CMA_0376 – Zugriff in der gesamten Organisation überwachen	Manuell, deaktiviert	1.1.0
Benachrichtigen, wenn das Konto nicht benötigt wird	CMA_0383 – Benachrichtigen, wenn das Konto nicht benötigt wird	Manuell, deaktiviert	1.1.0

„Sollen alle Administratoren benachrichtigt werden, wenn andere Administratoren ihr Kennwort zurücksetzen?“ muss auf „Ja“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.8 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Privilegierte Funktionen überwachen	CMA_0019 – Privilegierte Funktionen überwachen	Manuell, deaktiviert	1.1.0
Kontoverwaltung automatisieren	CMA_0026 – Kontoverwaltung automatisieren	Manuell, deaktiviert	1.1.0
Schulung zum Schutz von Authentifikatoren implementieren	CMA_0329 – Schulung zum Schutz von Authentifikatoren implementieren	Manuell, deaktiviert	1.1.0
System- und Administratorkonten verwalten	CMA_0368 – System- und Administratorkonten verwalten	Manuell, deaktiviert	1.1.0
Zugriff in der gesamten Organisation überwachen	CMA_0376 – Zugriff in der gesamten Organisation überwachen	Manuell, deaktiviert	1.1.0
Privilegierte Rollenzuweisung überwachen	CMA_0378 – Privilegierte Rollenzuweisung überwachen	Manuell, deaktiviert	1.1.0
Benachrichtigen, wenn das Konto nicht benötigt wird	CMA_0383 – Benachrichtigen, wenn das Konto nicht benötigt wird	Manuell, deaktiviert	1.1.0
Zugriff auf privilegierte Konten einschränken	CMA_0446 – Zugriff auf privilegierte Konten einschränken	Manuell, deaktiviert	1.1.0
Privilegierte Rollen nach Bedarf widerrufen	CMA_0483 – Privilegierte Rollen nach Bedarf widerrufen	Manuell, deaktiviert	1.1.0
Privileged Identity Management verwenden	CMA_0533 – Privileged Identity Management verwenden	Manuell, deaktiviert	1.1.0

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.9 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	Manuell, deaktiviert	1.1.0
Zugriff autorisieren und verwalten	CMA_0023 – Zugriff autorisieren und verwalten	Manuell, deaktiviert	1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	Manuell, deaktiviert	1.1.0

2 Security Center

Sicherstellen, dass Azure Defender für Storage auf EIN festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Azure Defender für Server sollte aktiviert werden	Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten.	AuditIfNotExists, Disabled	1.0.3
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren	CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden	Manuell, deaktiviert	1.1.0
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	Manuell, deaktiviert	1.1.0
Verwalten von Gateways	CMA_0363 – Gateways verwalten	Manuell, deaktiviert	1.1.0
Trendanalyse für Bedrohungen ausführen	CMA_0389 – Trendanalyse für Bedrohungen ausführen	Manuell, deaktiviert	1.1.0
Sicherheitsrisikoüberprüfungen ausführen	CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen	Manuell, deaktiviert	1.1.0
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Bedrohungsschutzstatus wöchentlich überprüfen	CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Virendefinitionen aktualisieren	CMA_0517 – Virendefinitionen aktualisieren	Manuell, deaktiviert	1.1.0

Die Microsoft Cloud App Security-Integration (MCAS) mit Security Center muss ausgewählt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.10 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren	CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden	Manuell, deaktiviert	1.1.0
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	Manuell, deaktiviert	1.1.0
Verwalten von Gateways	CMA_0363 – Gateways verwalten	Manuell, deaktiviert	1.1.0
Trendanalyse für Bedrohungen ausführen	CMA_0389 – Trendanalyse für Bedrohungen ausführen	Manuell, deaktiviert	1.1.0
Sicherheitsrisikoüberprüfungen ausführen	CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen	Manuell, deaktiviert	1.1.0
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Bedrohungsschutzstatus wöchentlich überprüfen	CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Virendefinitionen aktualisieren	CMA_0517 – Virendefinitionen aktualisieren	Manuell, deaktiviert	1.1.0

Sicherstellen, dass „Automatische Bereitstellung des Überwachungs-Agents“ auf „Ein“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.11 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Für Ihr Abonnement sollte die automatische Bereitstellung des Log Analytics-Agents aktiviert sein.	Azure Security Center sammelt Daten von Ihren Azure-VMs, um diese auf Sicherheitslücken und Bedrohungen zu überwachen. Die Daten werden mit dem Log Analytics-Agent (ehemals Microsoft Monitoring Agent, MMA) gesammelt. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer und kopiert die Daten zur Analyse in den Log Analytics-Arbeitsbereich. Wir empfehlen Ihnen, die automatische Bereitstellung zu aktivieren, damit der Agent auf allen unterstützten und allen neu erstellten Azure-VMs automatisch bereitgestellt wird.	AuditIfNotExists, Disabled	1.0.1
Security Operations dokumentieren	CMA_0202 – Security Operations dokumentieren	Manuell, deaktiviert	1.1.0
Sensoren für Endpunktsicherheitslösung aktivieren	CMA_0514 – Sensoren für Endpunktsicherheitslösung aktivieren	Manuell, deaktiviert	1.1.0

Keine der ASC-Standardrichtlinieneinstellungen darf auf „Deaktiviert“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.12 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Aktionen für nicht kompatible Geräte konfigurieren	CMA_0062 – Aktionen für nicht kompatible Geräte konfigurieren	Manuell, deaktiviert	1.1.0
Basisplankonfigurationen entwickeln und verwalten	CMA_0153 – Basisplankonfigurationen entwickeln und verwalten	Manuell, deaktiviert	1.1.0
Einstellungen für die Sicherheitskonfiguration erzwingen	CMA_0249 – Einstellungen für die Sicherheitskonfiguration erzwingen	Manuell, deaktiviert	1.1.0
Konfigurationssteuerungsgremium einrichten	CMA_0254 – Konfigurationssteuerungsgremium einrichten	Manuell, deaktiviert	1.1.0
Konfigurationsverwaltungsplan einrichten und dokumentieren	CMA_0264 – Konfigurationsverwaltungsplan einrichten und dokumentieren	Manuell, deaktiviert	1.1.0
Tool für die automatisierte Konfigurationsverwaltung implementieren	CMA_0311 – Tool für die automatisierte Konfigurationsverwaltung implementieren	Manuell, deaktiviert	1.1.0

Sicherstellen, dass „Weitere E-Mail-Adressen“ mit einer E-Mail-Adresse für den Sicherheitskontakt konfiguriert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.13 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein.	Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist.	AuditIfNotExists, Disabled	1.0.1

Sicherstellen, dass „Notify about alerts with the following severity“ (Benachrichtigung bei Warnungen mit dem folgenden Schweregrad) auf „Hoch“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.14 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein	Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist.	AuditIfNotExists, Disabled	1.0.1

Sicherstellen, dass Azure Defender für App Service auf EIN festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.2 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Azure Defender für App Service sollte aktiviert werden	Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen.	AuditIfNotExists, Disabled	1.0.3
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren	CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden	Manuell, deaktiviert	1.1.0
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	Manuell, deaktiviert	1.1.0
Verwalten von Gateways	CMA_0363 – Gateways verwalten	Manuell, deaktiviert	1.1.0
Trendanalyse für Bedrohungen ausführen	CMA_0389 – Trendanalyse für Bedrohungen ausführen	Manuell, deaktiviert	1.1.0
Sicherheitsrisikoüberprüfungen ausführen	CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen	Manuell, deaktiviert	1.1.0
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Bedrohungsschutzstatus wöchentlich überprüfen	CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Virendefinitionen aktualisieren	CMA_0517 – Virendefinitionen aktualisieren	Manuell, deaktiviert	1.1.0

Sicherstellen, dass Azure Defender für Azure SQL-Datenbank-Server auf EIN festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.3 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden	Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten.	AuditIfNotExists, Disabled	1.0.2
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren	CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden	Manuell, deaktiviert	1.1.0
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	Manuell, deaktiviert	1.1.0
Verwalten von Gateways	CMA_0363 – Gateways verwalten	Manuell, deaktiviert	1.1.0
Trendanalyse für Bedrohungen ausführen	CMA_0389 – Trendanalyse für Bedrohungen ausführen	Manuell, deaktiviert	1.1.0
Sicherheitsrisikoüberprüfungen ausführen	CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen	Manuell, deaktiviert	1.1.0
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Bedrohungsschutzstatus wöchentlich überprüfen	CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Virendefinitionen aktualisieren	CMA_0517 – Virendefinitionen aktualisieren	Manuell, deaktiviert	1.1.0

Sicherstellen, dass Azure Defender für SQL Server-Instanzen auf Computern auf EIN festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.4 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Azure Defender für SQL-Server auf Computern sollte aktiviert werden	Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten.	AuditIfNotExists, Disabled	1.0.2
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren	CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden	Manuell, deaktiviert	1.1.0
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	Manuell, deaktiviert	1.1.0
Verwalten von Gateways	CMA_0363 – Gateways verwalten	Manuell, deaktiviert	1.1.0
Trendanalyse für Bedrohungen ausführen	CMA_0389 – Trendanalyse für Bedrohungen ausführen	Manuell, deaktiviert	1.1.0
Sicherheitsrisikoüberprüfungen ausführen	CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen	Manuell, deaktiviert	1.1.0
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Bedrohungsschutzstatus wöchentlich überprüfen	CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Virendefinitionen aktualisieren	CMA_0517 – Virendefinitionen aktualisieren	Manuell, deaktiviert	1.1.0

Sicherstellen, dass Azure Defender für Storage auf EIN festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.5 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren	CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden	Manuell, deaktiviert	1.1.0
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	Manuell, deaktiviert	1.1.0
Verwalten von Gateways	CMA_0363 – Gateways verwalten	Manuell, deaktiviert	1.1.0
Microsoft Defender für Storage muss aktiviert sein.	Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben.	AuditIfNotExists, Disabled	1.0.0
Trendanalyse für Bedrohungen ausführen	CMA_0389 – Trendanalyse für Bedrohungen ausführen	Manuell, deaktiviert	1.1.0
Sicherheitsrisikoüberprüfungen ausführen	CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen	Manuell, deaktiviert	1.1.0
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Bedrohungsschutzstatus wöchentlich überprüfen	CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Virendefinitionen aktualisieren	CMA_0517 – Virendefinitionen aktualisieren	Manuell, deaktiviert	1.1.0

Sicherstellen, dass Azure Defender für Kubernetes auf EIN festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.6 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren	CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden	Manuell, deaktiviert	1.1.0
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	Manuell, deaktiviert	1.1.0
Verwalten von Gateways	CMA_0363 – Gateways verwalten	Manuell, deaktiviert	1.1.0
Microsoft Defender für Container sollte aktiviert sein	Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen.	AuditIfNotExists, Disabled	1.0.0
Trendanalyse für Bedrohungen ausführen	CMA_0389 – Trendanalyse für Bedrohungen ausführen	Manuell, deaktiviert	1.1.0
Sicherheitsrisikoüberprüfungen ausführen	CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen	Manuell, deaktiviert	1.1.0
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Bedrohungsschutzstatus wöchentlich überprüfen	CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Virendefinitionen aktualisieren	CMA_0517 – Virendefinitionen aktualisieren	Manuell, deaktiviert	1.1.0

Sicherstellen, dass Azure Defender für Containerregistrierungen auf EIN festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.7 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren	CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden	Manuell, deaktiviert	1.1.0
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	Manuell, deaktiviert	1.1.0
Verwalten von Gateways	CMA_0363 – Gateways verwalten	Manuell, deaktiviert	1.1.0
Microsoft Defender für Container sollte aktiviert sein	Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen.	AuditIfNotExists, Disabled	1.0.0
Trendanalyse für Bedrohungen ausführen	CMA_0389 – Trendanalyse für Bedrohungen ausführen	Manuell, deaktiviert	1.1.0
Sicherheitsrisikoüberprüfungen ausführen	CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen	Manuell, deaktiviert	1.1.0
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Bedrohungsschutzstatus wöchentlich überprüfen	CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Virendefinitionen aktualisieren	CMA_0517 – Virendefinitionen aktualisieren	Manuell, deaktiviert	1.1.0

Sicherstellen, dass Azure Defender für Key Vault auf EIN festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.8 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Azure Defender für Key Vault sollte aktiviert werden	Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden.	AuditIfNotExists, Disabled	1.0.3
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren	CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden	Manuell, deaktiviert	1.1.0
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	Manuell, deaktiviert	1.1.0
Verwalten von Gateways	CMA_0363 – Gateways verwalten	Manuell, deaktiviert	1.1.0
Trendanalyse für Bedrohungen ausführen	CMA_0389 – Trendanalyse für Bedrohungen ausführen	Manuell, deaktiviert	1.1.0
Sicherheitsrisikoüberprüfungen ausführen	CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen	Manuell, deaktiviert	1.1.0
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Bedrohungsschutzstatus wöchentlich überprüfen	CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Virendefinitionen aktualisieren	CMA_0517 – Virendefinitionen aktualisieren	Manuell, deaktiviert	1.1.0

Die Integration von Windows Defender ATP (WDATP) mit Security Center muss ausgewählt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.9 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren	CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden	Manuell, deaktiviert	1.1.0
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	Manuell, deaktiviert	1.1.0
Verwalten von Gateways	CMA_0363 – Gateways verwalten	Manuell, deaktiviert	1.1.0
Trendanalyse für Bedrohungen ausführen	CMA_0389 – Trendanalyse für Bedrohungen ausführen	Manuell, deaktiviert	1.1.0
Sicherheitsrisikoüberprüfungen ausführen	CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen	Manuell, deaktiviert	1.1.0
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Bedrohungsschutzstatus wöchentlich überprüfen	CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Virendefinitionen aktualisieren	CMA_0517 – Virendefinitionen aktualisieren	Manuell, deaktiviert	1.1.0

3 Speicherkonten

Sicherstellen, dass „Sichere Übertragung erforderlich“ aktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.1 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren	CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren	Manuell, deaktiviert	1.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen	CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0
Kennwörter mit Verschlüsselung schützen	CMA_0408 – Kennwörter mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0
Sichere Übertragung in Speicherkonten sollte aktiviert werden	Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking.	Audit, Deny, Disabled	2.0.0

Die Speicherprotokollierung muss für Lese-, Schreib- und Löschanforderungen für den Blob-Dienst aktiviert sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.10 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Privilegierte Funktionen überwachen	CMA_0019 – Privilegierte Funktionen überwachen	Manuell, deaktiviert	1.1.0
Status des Benutzerkontos überwachen	CMA_0020 – Status des Benutzerkontos überwachen	Manuell, deaktiviert	1.1.0
Azure-Überwachungsfunktionen konfigurieren	CMA_C1108: Azure-Überwachungsfunktionen konfigurieren	Manuell, deaktiviert	1.1.1
Überwachbare Ereignisse bestimmen	CMA_0137 – Überwachbare Ereignisse bestimmen	Manuell, deaktiviert	1.1.0
Überwachungsdaten überprüfen	CMA_0466 – Überwachungsdaten überprüfen	Manuell, deaktiviert	1.1.0

Die Speicherprotokollierung muss für Lese-, Schreib- und Löschanforderungen an den Tabellendienst aktiviert sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.11 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Privilegierte Funktionen überwachen	CMA_0019 – Privilegierte Funktionen überwachen	Manuell, deaktiviert	1.1.0
Status des Benutzerkontos überwachen	CMA_0020 – Status des Benutzerkontos überwachen	Manuell, deaktiviert	1.1.0
Azure-Überwachungsfunktionen konfigurieren	CMA_C1108: Azure-Überwachungsfunktionen konfigurieren	Manuell, deaktiviert	1.1.1
Überwachbare Ereignisse bestimmen	CMA_0137 – Überwachbare Ereignisse bestimmen	Manuell, deaktiviert	1.1.0
Überwachungsdaten überprüfen	CMA_0466 – Überwachungsdaten überprüfen	Manuell, deaktiviert	1.1.0

Zugriffsschlüssel für Speicherkonten müssen regelmäßig neu generiert werden.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.2 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Verwaltungsprozess physischer Schlüssel definieren	CMA_0115 – Verwaltungsprozess physischer Schlüssel definieren	Manuell, deaktiviert	1.1.0
Kryptografische Verwendung definieren	CMA_0120 – Kryptografische Verwendung definieren	Manuell, deaktiviert	1.1.0
Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren	CMA_0123 – Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren	Manuell, deaktiviert	1.1.0
Assertionsanforderungen bestimmen	CMA_0136 – Assertionsanforderungen bestimmen	Manuell, deaktiviert	1.1.0
Öffentliche Schlüsselzertifikate ausstellen	CMA_0347 – Öffentliche Schlüsselzertifikate ausstellen	Manuell, deaktiviert	1.1.0
Symmetrische kryptografische Schlüssel verwalten	CMA_0367 – Symmetrische kryptografische Schlüssel verwalten	Manuell, deaktiviert	1.1.0
Zugriff auf private Schlüssel einschränken	CMA_0445 – Zugriff auf private Schlüssel einschränken	Manuell, deaktiviert	1.1.0

Für Lese-, Schreib- und Löschanforderungen an den Warteschlangendienst muss die Speicherprotokollierung aktiviert sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.3 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Privilegierte Funktionen überwachen	CMA_0019 – Privilegierte Funktionen überwachen	Manuell, deaktiviert	1.1.0
Status des Benutzerkontos überwachen	CMA_0020 – Status des Benutzerkontos überwachen	Manuell, deaktiviert	1.1.0
Azure-Überwachungsfunktionen konfigurieren	CMA_C1108: Azure-Überwachungsfunktionen konfigurieren	Manuell, deaktiviert	1.1.1
Überwachbare Ereignisse bestimmen	CMA_0137 – Überwachbare Ereignisse bestimmen	Manuell, deaktiviert	1.1.0
Überwachungsdaten überprüfen	CMA_0466 – Überwachungsdaten überprüfen	Manuell, deaktiviert	1.1.0

SAS-Token (Shared Access Signature) müssen innerhalb einer Stunde ablaufen.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.4 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Authentifikatoren bei Beendigung deaktivieren	CMA_0169 – Authentifikatoren bei Beendigung deaktivieren	Manuell, deaktiviert	1.1.0
Privilegierte Rollen nach Bedarf widerrufen	CMA_0483 – Privilegierte Rollen nach Bedarf widerrufen	Manuell, deaktiviert	1.1.0
Benutzersitzung automatisch beenden	CMA_C1054 – Benutzersitzung automatisch beenden	Manuell, deaktiviert	1.1.0

Sicherstellen, dass „Öffentliche Zugriffsebene“ für Blobcontainer auf „Privat“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.5 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
[Vorschau]: Der öffentliche Zugriff auf Speicherkonten muss untersagt sein	Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	3.1.0-preview
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	Manuell, deaktiviert	1.1.0
Zugriff autorisieren und verwalten	CMA_0023 – Zugriff autorisieren und verwalten	Manuell, deaktiviert	1.1.0
Logischen Zugriff erzwingen	CMA_0245 – Logischen Zugriff erzwingen	Manuell, deaktiviert	1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	Manuell, deaktiviert	1.1.0
Genehmigung für Kontoerstellung anfordern	CMA_0431 – Genehmigung für Kontoerstellung anfordern	Manuell, deaktiviert	1.1.0
Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen	CMA_0481 – Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass die Standard-Netzwerkzugriffsregel für Speicherkonten auf „Verweigern“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.6 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Netzwerkzugriff auf Speicherkonten einschränken	Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden.	Audit, Deny, Disabled	1.1.1
Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken	Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können.	Audit, Deny, Disabled	1.0.1

Sicherstellen, dass „Vertrauenswürdige Microsoft-Dienste“ für den Speicherkontozugriff aktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.7 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Informationsfluss steuern	CMA_0079 – Informationsfluss steuern	Manuell, deaktiviert	1.1.0
Flusssteuerungsmechanismen verschlüsselter Informationen verwenden	CMA_0211 – Flusssteuerungsmechanismen verschlüsselter Informationen verwenden	Manuell, deaktiviert	1.1.0
Firewall- und Routerkonfigurationsstandards einrichten	CMA_0272 – Firewall- und Routerkonfigurationsstandards einrichten	Manuell, deaktiviert	1.1.0
Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten	CMA_0273 – Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten	Manuell, deaktiviert	1.1.0
Downstream-Informationsaustausche identifizieren und verwalten	CMA_0298 – Downstream-Informationsaustausche identifizieren und verwalten	Manuell, deaktiviert	1.1.0
Speicherkonten sollten Zugriff von vertrauenswürdigen Microsoft-Diensten zulassen	Einige Microsoft-Dienste, die mit Speicherkonten interagieren, agieren von Netzwerken aus, denen nicht mithilfe von Netzwerkregeln Zugriff gewährt werden kann. Lassen Sie für vertrauenswürdige Microsoft-Dienste die Umgehung der Netzwerkregeln zu, damit solche Dienste ordnungsgemäß funktionieren. Diese Dienste verwenden dann eine strenge Authentifizierung, um auf das Speicherkonto zuzugreifen.	Audit, Deny, Disabled	1.0.0

Sicherstellen, dass der Speicher für wichtige Daten mit einem kundenseitig verwalteten Schlüssel verschlüsselt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.9 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Datenleck-Verwaltungsprozedur einrichten	CMA_0255 – Datenleck-Verwaltungsprozedur einrichten	Manuell, deaktiviert	1.1.0
Steuerelemente zum Sichern aller Medien implementieren	CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren	Manuell, deaktiviert	1.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen	CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0
Spezielle Informationen schützen	CMA_0409 – Spezielle Informationen schützen	Manuell, deaktiviert	1.1.0
Speicherkonten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden	Schützen Sie Ihr Blob und Speicherkonto mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten.	Audit, Disabled	1.0.3

4 Datenbankdienste

Sicherstellen, dass „Überwachung“ auf „Ein“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.1.1 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Privilegierte Funktionen überwachen	CMA_0019 – Privilegierte Funktionen überwachen	Manuell, deaktiviert	1.1.0
Status des Benutzerkontos überwachen	CMA_0020 – Status des Benutzerkontos überwachen	Manuell, deaktiviert	1.1.0
Die Überwachung in SQL Server muss aktiviert werden	Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern.	AuditIfNotExists, Disabled	2.0.0
Überwachbare Ereignisse bestimmen	CMA_0137 – Überwachbare Ereignisse bestimmen	Manuell, deaktiviert	1.1.0
Überwachungsdaten überprüfen	CMA_0466 – Überwachungsdaten überprüfen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass „Datenverschlüsselung“ für eine SQL-Datenbank auf „Ein“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.1.2 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Datenleck-Verwaltungsprozedur einrichten	CMA_0255 – Datenleck-Verwaltungsprozedur einrichten	Manuell, deaktiviert	1.1.0
Steuerelemente zum Sichern aller Medien implementieren	CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren	Manuell, deaktiviert	1.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen	CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0
Spezielle Informationen schützen	CMA_0409 – Spezielle Informationen schützen	Manuell, deaktiviert	1.1.0
Transparent Data Encryption für SQL-Datenbanken aktivieren	TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen.	AuditIfNotExists, Disabled	2.0.0

Sicherstellen, dass die Aufbewahrungsdauer für die Überwachung auf über 90 Tage festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.1.3 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Festgelegte Aufbewahrungszeiträume einhalten	CMA_0004 – Festgelegte Aufbewahrungszeiträume einhalten	Manuell, deaktiviert	1.1.0
Überwachungsverarbeitungsaktivitäten steuern und überwachen	CMA_0289 – Überwachungsverarbeitungsaktivitäten steuern und überwachen	Manuell, deaktiviert	1.1.0
Sicherheitsrichtlinien und -verfahren beibehalten	CMA_0454 – Sicherheitsrichtlinien und -verfahren beibehalten	Manuell, deaktiviert	1.1.0
Daten von gekündigten Benutzern aufbewahren	CMA_0455 – Daten von gekündigten Benutzern aufbewahren	Manuell, deaktiviert	1.1.0
Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden	Zum Zweck der Untersuchung von Incidents wird empfohlen, die im Rahmen der SQL Server-Überwachung im Speicherkontoziel erfassten Daten für mindestens 90 Tage aufzubewahren. Stellen Sie sicher, dass Sie die erforderlichen Aufbewahrungsregeln für die Regionen einhalten, in denen Sie tätig sind. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich.	AuditIfNotExists, Disabled	3.0.0

Sicherstellen, dass Advanced Threat Detection (ATP) für eine SQL Server-Instanz auf „Aktiviert“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.2.1 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden	Überwachen von SQL-Servern ohne Advanced Data Security	AuditIfNotExists, Disabled	2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein	Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht.	AuditIfNotExists, Disabled	1.0.2
Trendanalyse für Bedrohungen ausführen	CMA_0389 – Trendanalyse für Bedrohungen ausführen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass die Sicherheitsrisikobewertung für eine SQL Server-Instanz durch Festlegen eines Speicherkontos aktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.2.2 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Sicherheitsrisikoüberprüfungen ausführen	CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen	Manuell, deaktiviert	1.1.0
Informationssystemfehler korrigieren	CMA_0427 – Informationssystemfehler korrigieren	Manuell, deaktiviert	1.1.0
Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein	Hiermit wird jede SQL Managed Instance-Instanz überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben.	AuditIfNotExists, Disabled	1.0.1
Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein	Hiermit werden Azure SQL Server-Instanzen überwacht, für die die Sicherheitsrisikobewertung nicht ordnungsgemäß konfiguriert ist. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben.	AuditIfNotExists, Disabled	3.0.0

Die VA-Einstellung „Periodisch wiederkehrende Scans“ muss auf einem SQL Server aktiviert sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.2.3 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Sicherheitsrisikoüberprüfungen ausführen	CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen	Manuell, deaktiviert	1.1.0
Informationssystemfehler korrigieren	CMA_0427 – Informationssystemfehler korrigieren	Manuell, deaktiviert	1.1.0

Sicherstellen, dass die Einstellung „Überprüfungsberichte senden an“ der Sicherheitsrisikobewertung für eine SQL Server-Instanz konfiguriert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.2.4 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Informationen zur Überprüfung auf Sicherheitsrisiken korrelieren	CMA_C1558: Informationen zur Überprüfung auf Sicherheitsrisiken korrelieren	Manuell, deaktiviert	1.1.1
Sicherheitsrisikoüberprüfungen ausführen	CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen	Manuell, deaktiviert	1.1.0
Informationssystemfehler korrigieren	CMA_0427 – Informationssystemfehler korrigieren	Manuell, deaktiviert	1.1.0

Die VA-Einstellung „E-Mail-Benachrichtigungen auch an Administratoren und Abonnementbesitzer senden“ muss für einen SQL-Server festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.2.5 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Informationen zur Überprüfung auf Sicherheitsrisiken korrelieren	CMA_C1558: Informationen zur Überprüfung auf Sicherheitsrisiken korrelieren	Manuell, deaktiviert	1.1.1
Sicherheitsrisikoüberprüfungen ausführen	CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen	Manuell, deaktiviert	1.1.0
Informationssystemfehler korrigieren	CMA_0427 – Informationssystemfehler korrigieren	Manuell, deaktiviert	1.1.0

Sicherstellen, dass „SSL-Verbindung erzwingen“ für den PostgreSQL-Datenbankserver auf „AKTIVIERT“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.1 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren	CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren	Manuell, deaktiviert	1.1.0
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein	Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist.	Audit, Disabled	1.0.1
In Übertragung begriffene Daten mit Verschlüsselung schützen	CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0
Kennwörter mit Verschlüsselung schützen	CMA_0408 – Kennwörter mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass „SSL-Verbindung erzwingen“ für den MySQL-Datenbankserver auf „AKTIVIERT“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.2 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren	CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren	Manuell, deaktiviert	1.1.0
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein	Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist.	Audit, Disabled	1.0.1
In Übertragung begriffene Daten mit Verschlüsselung schützen	CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0
Kennwörter mit Verschlüsselung schützen	CMA_0408 – Kennwörter mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass der Serverparameter „log_checkpoints“ für den PostgreSQL-Datenbankserver auf „EIN“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.3 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Privilegierte Funktionen überwachen	CMA_0019 – Privilegierte Funktionen überwachen	Manuell, deaktiviert	1.1.0
Status des Benutzerkontos überwachen	CMA_0020 – Status des Benutzerkontos überwachen	Manuell, deaktiviert	1.1.0
Überwachbare Ereignisse bestimmen	CMA_0137 – Überwachbare Ereignisse bestimmen	Manuell, deaktiviert	1.1.0
Protokollprüfpunkte für PostgreSQL-Datenbankserver müssen aktiviert sein	Mit dieser Richtlinie können PostgreSQL-Datenbanken in Ihrer Umgebung überwacht werden, ohne dass die log_checkpoints-Einstellung aktiviert ist.	AuditIfNotExists, Disabled	1.0.0
Überwachungsdaten überprüfen	CMA_0466 – Überwachungsdaten überprüfen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass der Serverparameter „log_connections“ für den PostgreSQL-Datenbankserver auf „EIN“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.4 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Privilegierte Funktionen überwachen	CMA_0019 – Privilegierte Funktionen überwachen	Manuell, deaktiviert	1.1.0
Status des Benutzerkontos überwachen	CMA_0020 – Status des Benutzerkontos überwachen	Manuell, deaktiviert	1.1.0
Überwachbare Ereignisse bestimmen	CMA_0137 – Überwachbare Ereignisse bestimmen	Manuell, deaktiviert	1.1.0
Protokollverbindungen für PostgreSQL-Datenbankserver müssen aktiviert sein	Mit dieser Richtlinie können PostgreSQL-Datenbanken in Ihrer Umgebung überwacht werden, ohne dass die log_connections-Einstellung aktiviert ist.	AuditIfNotExists, Disabled	1.0.0
Überwachungsdaten überprüfen	CMA_0466 – Überwachungsdaten überprüfen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass der Serverparameter „log_disconnections“ für den PostgreSQL-Datenbankserver auf „EIN“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.5 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Privilegierte Funktionen überwachen	CMA_0019 – Privilegierte Funktionen überwachen	Manuell, deaktiviert	1.1.0
Status des Benutzerkontos überwachen	CMA_0020 – Status des Benutzerkontos überwachen	Manuell, deaktiviert	1.1.0
Überwachbare Ereignisse bestimmen	CMA_0137 – Überwachbare Ereignisse bestimmen	Manuell, deaktiviert	1.1.0
Verbindungstrennungen für PostgreSQL-Datenbankserver müssen aktiviert sein	Mit dieser Richtlinie können PostgreSQL-Datenbanken in Ihrer Umgebung überwacht werden, ohne dass die log_disconnections-Einstellung aktiviert ist.	AuditIfNotExists, Disabled	1.0.0
Überwachungsdaten überprüfen	CMA_0466 – Überwachungsdaten überprüfen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass der Serverparameter „connection_throttling“ für den PostgreSQL-Datenbankserver auf „EIN“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.6 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Privilegierte Funktionen überwachen	CMA_0019 – Privilegierte Funktionen überwachen	Manuell, deaktiviert	1.1.0
Status des Benutzerkontos überwachen	CMA_0020 – Status des Benutzerkontos überwachen	Manuell, deaktiviert	1.1.0
Die Verbindungsdrosselung muss für PostgreSQL-Datenbankserver aktiviert sein	Mit dieser Richtlinie können Sie überwachen, ob für alle PostgreSQL-Datenbanken in Ihrer Umgebung die Verbindungsdrosselung aktiviert ist. Diese Einstellung aktiviert die temporäre Verbindungsdrosselung pro IP-Adresse bei zu vielen Anmeldefehlern aufgrund ungültiger Kennwörter.	AuditIfNotExists, Disabled	1.0.0
Überwachbare Ereignisse bestimmen	CMA_0137 – Überwachbare Ereignisse bestimmen	Manuell, deaktiviert	1.1.0
Überwachungsdaten überprüfen	CMA_0466 – Überwachungsdaten überprüfen	Manuell, deaktiviert	1.1.0

Für PostgreSQL-Datenbankserver muss der Serverparameter „log_retention_days“ auf einen höheren Wert als 3 Tage festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.7 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Festgelegte Aufbewahrungszeiträume einhalten	CMA_0004 – Festgelegte Aufbewahrungszeiträume einhalten	Manuell, deaktiviert	1.1.0
Überwachungsverarbeitungsaktivitäten steuern und überwachen	CMA_0289 – Überwachungsverarbeitungsaktivitäten steuern und überwachen	Manuell, deaktiviert	1.1.0
Sicherheitsrichtlinien und -verfahren beibehalten	CMA_0454 – Sicherheitsrichtlinien und -verfahren beibehalten	Manuell, deaktiviert	1.1.0
Daten von gekündigten Benutzern aufbewahren	CMA_0455 – Daten von gekündigten Benutzern aufbewahren	Manuell, deaktiviert	1.1.0

„Zugriff auf Azure-Dienste zulassen“ für den PostgreSQL-Datenbankserver muss deaktiviert sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.8 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Informationsfluss steuern	CMA_0079 – Informationsfluss steuern	Manuell, deaktiviert	1.1.0
Flusssteuerungsmechanismen verschlüsselter Informationen verwenden	CMA_0211 – Flusssteuerungsmechanismen verschlüsselter Informationen verwenden	Manuell, deaktiviert	1.1.0
Firewall- und Routerkonfigurationsstandards einrichten	CMA_0272 – Firewall- und Routerkonfigurationsstandards einrichten	Manuell, deaktiviert	1.1.0
Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten	CMA_0273 – Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten	Manuell, deaktiviert	1.1.0
Downstream-Informationsaustausche identifizieren und verwalten	CMA_0298 – Downstream-Informationsaustausche identifizieren und verwalten	Manuell, deaktiviert	1.1.0

Sicherstellen, dass der Azure Active Directory-Administrator konfiguriert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.4 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden	Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste.	AuditIfNotExists, Disabled	1.0.0
Kontoverwaltung automatisieren	CMA_0026 – Kontoverwaltung automatisieren	Manuell, deaktiviert	1.1.0
System- und Administratorkonten verwalten	CMA_0368 – System- und Administratorkonten verwalten	Manuell, deaktiviert	1.1.0
Zugriff in der gesamten Organisation überwachen	CMA_0376 – Zugriff in der gesamten Organisation überwachen	Manuell, deaktiviert	1.1.0
Benachrichtigen, wenn das Konto nicht benötigt wird	CMA_0383 – Benachrichtigen, wenn das Konto nicht benötigt wird	Manuell, deaktiviert	1.1.0

Sicherstellen, dass die TDE-Schutzvorrichtung der SQL Server-Instanz mit einem kundenseitig verwalteten Schlüssel verschlüsselt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.5 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Datenleck-Verwaltungsprozedur einrichten	CMA_0255 – Datenleck-Verwaltungsprozedur einrichten	Manuell, deaktiviert	1.1.0
Steuerelemente zum Sichern aller Medien implementieren	CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren	Manuell, deaktiviert	1.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen	CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0
Spezielle Informationen schützen	CMA_0409 – Spezielle Informationen schützen	Manuell, deaktiviert	1.1.0
Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden.	Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen.	Audit, Deny, Disabled	2.0.0
SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden.	Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen.	Audit, Deny, Disabled	2.0.1

5 Protokollierung und Überwachung

Eine „Diagnoseeinstellung“ muss vorhanden sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.1.1 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Überwachbare Ereignisse bestimmen	CMA_0137 – Überwachbare Ereignisse bestimmen	Manuell, deaktiviert	1.1.0

Die Diagnoseeinstellung muss geeignete Kategorien erfassen.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.1.2 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Privilegierte Funktionen überwachen	CMA_0019 – Privilegierte Funktionen überwachen	Manuell, deaktiviert	1.1.0
Status des Benutzerkontos überwachen	CMA_0020 – Status des Benutzerkontos überwachen	Manuell, deaktiviert	1.1.0
Azure-Überwachungsfunktionen konfigurieren	CMA_C1108: Azure-Überwachungsfunktionen konfigurieren	Manuell, deaktiviert	1.1.1
Überwachbare Ereignisse bestimmen	CMA_0137 – Überwachbare Ereignisse bestimmen	Manuell, deaktiviert	1.1.0
Überwachungsdaten überprüfen	CMA_0466 – Überwachungsdaten überprüfen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass der Speichercontainer, in dem die Aktivitätsprotokolle gespeichert sind, nicht öffentlich zugänglich ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.1.3 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
[Vorschau]: Der öffentliche Zugriff auf Speicherkonten muss untersagt sein	Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	3.1.0-preview
Duale oder gemeinsame Autorisierung aktivieren	CMA_0226 – Duale oder gemeinsame Autorisierung aktivieren	Manuell, deaktiviert	1.1.0
Überwachungsinformationen schützen	CMA_0401 – Überwachungsinformationen schützen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, per BYOK (Bring Your Own Key) verschlüsselt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.1.4 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Duale oder gemeinsame Autorisierung aktivieren	CMA_0226 – Duale oder gemeinsame Autorisierung aktivieren	Manuell, deaktiviert	1.1.0
Integrität des Überwachungssystems beibehalten	CMA_C1133 – Integrität des Überwachungssystems beibehalten	Manuell, deaktiviert	1.1.0
Überwachungsinformationen schützen	CMA_0401 – Überwachungsinformationen schützen	Manuell, deaktiviert	1.1.0
Das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, muss mit BYOK verschlüsselt sein	Diese Richtlinie überwacht, ob das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, mit BYOK verschlüsselt ist. Die Richtlinie funktioniert nur, wenn sich das Speicherkonto in demselben Abonnement wie die Aktivitätsprotokolle befindet. Weitere Informationen zur Azure Storage-Verschlüsselung im Ruhezustand finden Sie unter https://aka.ms/azurestoragebyok.	AuditIfNotExists, Disabled	1.0.0

Sicherstellen, dass die Protokollierung für Azure Key Vault aktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.1.5 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Privilegierte Funktionen überwachen	CMA_0019 – Privilegierte Funktionen überwachen	Manuell, deaktiviert	1.1.0
Status des Benutzerkontos überwachen	CMA_0020 – Status des Benutzerkontos überwachen	Manuell, deaktiviert	1.1.0
Überwachbare Ereignisse bestimmen	CMA_0137 – Überwachbare Ereignisse bestimmen	Manuell, deaktiviert	1.1.0
In Key Vault müssen Ressourcenprotokolle aktiviert sein.	Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Disabled	5.0.0
Überwachungsdaten überprüfen	CMA_0466 – Überwachungsdaten überprüfen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Richtlinienzuweisung erstellen“ vorhanden ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.1 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Personal bzgl. Informationslecks warnen	CMA_0007 – Personal bzgl. Informationslecks warnen	Manuell, deaktiviert	1.1.0
Für bestimmte Richtlinienvorgänge muss eine Aktivitätsprotokollwarnung vorliegen	Diese Richtlinie überwacht bestimmte Richtlinienvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen.	AuditIfNotExists, Disabled	3.0.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle	CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln	Manuell, deaktiviert	1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen	CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Richtlinienzuweisung löschen“ vorhanden ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.2 Eigentum: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Personal bzgl. Informationslecks warnen	CMA_0007 – Personal bzgl. Informationslecks warnen	Manuell, deaktiviert	1.1.0
Für bestimmte Richtlinienvorgänge muss eine Aktivitätsprotokollwarnung vorliegen	Diese Richtlinie überwacht bestimmte Richtlinienvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen.	AuditIfNotExists, Disabled	3.0.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle	CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln	Manuell, deaktiviert	1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen	CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Netzwerksicherheitsgruppe erstellen oder aktualisieren“ vorhanden ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.3 Eigentum: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Personal bzgl. Informationslecks warnen	CMA_0007 – Personal bzgl. Informationslecks warnen	Manuell, deaktiviert	1.1.0
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen	Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen.	AuditIfNotExists, Disabled	1.0.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle	CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln	Manuell, deaktiviert	1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen	CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Netzwerksicherheitsgruppe löschen“ vorhanden ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.4 Eigentum: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Personal bzgl. Informationslecks warnen	CMA_0007 – Personal bzgl. Informationslecks warnen	Manuell, deaktiviert	1.1.0
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen	Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen.	AuditIfNotExists, Disabled	1.0.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle	CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln	Manuell, deaktiviert	1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen	CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass eine Aktivitätsprotokollwarnung für die Regel „Netzwerksicherheitsgruppe erstellen oder aktualisieren“ vorhanden ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.5 Eigentum: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Personal bzgl. Informationslecks warnen	CMA_0007 – Personal bzgl. Informationslecks warnen	Manuell, deaktiviert	1.1.0
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen	Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen.	AuditIfNotExists, Disabled	1.0.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle	CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln	Manuell, deaktiviert	1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen	CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass eine Aktivitätsprotokollwarnung für die Regel „Netzwerksicherheitsgruppe löschen“ vorhanden ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.6 Eigentum: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Personal bzgl. Informationslecks warnen	CMA_0007 – Personal bzgl. Informationslecks warnen	Manuell, deaktiviert	1.1.0
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen	Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen.	AuditIfNotExists, Disabled	1.0.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle	CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln	Manuell, deaktiviert	1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen	CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Sicherheitslösung erstellen oder aktualisieren“ vorhanden ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.7 Eigentum: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Personal bzgl. Informationslecks warnen	CMA_0007 – Personal bzgl. Informationslecks warnen	Manuell, deaktiviert	1.1.0
Für bestimmte Sicherheitsvorgänge muss eine Aktivitätsprotokollwarnung vorliegen	Diese Richtlinie überwacht bestimmte Sicherheitsvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen.	AuditIfNotExists, Disabled	1.0.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle	CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln	Manuell, deaktiviert	1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen	CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Sicherheitslösung löschen“ vorhanden ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.8 Eigentum: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Personal bzgl. Informationslecks warnen	CMA_0007 – Personal bzgl. Informationslecks warnen	Manuell, deaktiviert	1.1.0
Für bestimmte Sicherheitsvorgänge muss eine Aktivitätsprotokollwarnung vorliegen	Diese Richtlinie überwacht bestimmte Sicherheitsvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen.	AuditIfNotExists, Disabled	1.0.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle	CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln	Manuell, deaktiviert	1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen	CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass eine Aktivitätsprotokollwarnung für „SQL Server-Firewallregel erstellen oder aktualisieren bzw. löschen“ vorhanden ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.9 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Personal bzgl. Informationslecks warnen	CMA_0007 – Personal bzgl. Informationslecks warnen	Manuell, deaktiviert	1.1.0
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen	Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen.	AuditIfNotExists, Disabled	1.0.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle	CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln	Manuell, deaktiviert	1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen	CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass Diagnoseprotokolle für alle Dienste aktiviert sind, die sie unterstützen

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.3 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Festgelegte Aufbewahrungszeiträume einhalten	CMA_0004 – Festgelegte Aufbewahrungszeiträume einhalten	Manuell, deaktiviert	1.1.0
Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein	Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Disabled	2.0.1
Privilegierte Funktionen überwachen	CMA_0019 – Privilegierte Funktionen überwachen	Manuell, deaktiviert	1.1.0
Status des Benutzerkontos überwachen	CMA_0020 – Status des Benutzerkontos überwachen	Manuell, deaktiviert	1.1.0
Azure-Überwachungsfunktionen konfigurieren	CMA_C1108: Azure-Überwachungsfunktionen konfigurieren	Manuell, deaktiviert	1.1.1
Überwachbare Ereignisse bestimmen	CMA_0137 – Überwachbare Ereignisse bestimmen	Manuell, deaktiviert	1.1.0
Überwachungsverarbeitungsaktivitäten steuern und überwachen	CMA_0289 – Überwachungsverarbeitungsaktivitäten steuern und überwachen	Manuell, deaktiviert	1.1.0
In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein.	Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Disabled	5.0.0
In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein.	Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Disabled	5.0.0
In Batch-Konten müssen Ressourcenprotokolle aktiviert sein.	Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Disabled	5.0.0
In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein	Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Disabled	5.0.0
In Event Hub müssen Ressourcenprotokolle aktiviert sein	Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Disabled	5.0.0
In IoT Hub müssen Ressourcenprotokolle aktiviert sein.	Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Disabled	3.1.0
In Key Vault müssen Ressourcenprotokolle aktiviert sein.	Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Disabled	5.0.0
In Logic Apps müssen Ressourcenprotokolle aktiviert sein.	Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Disabled	5.1.0
In Suchdiensten müssen Ressourcenprotokolle aktiviert sein	Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Disabled	5.0.0
In Service Bus müssen Ressourcenprotokolle aktiviert sein	Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Disabled	5.0.0
Sicherheitsrichtlinien und -verfahren beibehalten	CMA_0454 – Sicherheitsrichtlinien und -verfahren beibehalten	Manuell, deaktiviert	1.1.0
Daten von gekündigten Benutzern aufbewahren	CMA_0455 – Daten von gekündigten Benutzern aufbewahren	Manuell, deaktiviert	1.1.0
Überwachungsdaten überprüfen	CMA_0466 – Überwachungsdaten überprüfen	Manuell, deaktiviert	1.1.0

6 Netzwerk

Keine SQL-Datenbank-Instanz darf eingehenden Datenverkehr von 0.0.0.0/0 (beliebige IP) zulassen.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 6.3 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Informationsfluss steuern	CMA_0079 – Informationsfluss steuern	Manuell, deaktiviert	1.1.0
Flusssteuerungsmechanismen verschlüsselter Informationen verwenden	CMA_0211 – Flusssteuerungsmechanismen verschlüsselter Informationen verwenden	Manuell, deaktiviert	1.1.0

Für Datenflussprotokolle der Netzwerksicherheitsgruppen muss die Aufbewahrungsdauer auf „mehr als 90 Tage“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 6.4 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Festgelegte Aufbewahrungszeiträume einhalten	CMA_0004 – Festgelegte Aufbewahrungszeiträume einhalten	Manuell, deaktiviert	1.1.0
Sicherheitsrichtlinien und -verfahren beibehalten	CMA_0454 – Sicherheitsrichtlinien und -verfahren beibehalten	Manuell, deaktiviert	1.1.0
Daten von gekündigten Benutzern aufbewahren	CMA_0455 – Daten von gekündigten Benutzern aufbewahren	Manuell, deaktiviert	1.1.0

Sicherstellen, dass Network Watcher aktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 6.5 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Network Watcher muss aktiviert sein	Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt.	AuditIfNotExists, Disabled	3.0.0
Sicherheitsfunktionen bestätigen	CMA_C1708 – Sicherheitsfunktionen bestätigen	Manuell, deaktiviert	1.1.0

7 Virtuelle Computer

Sicherstellen, dass Virtual Machines Managed Disks verwendet

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 7.1 Eigentum: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden	Diese Richtlinie überwacht virtuelle Computer, die keine verwalteten Datenträger verwenden.	Überwachung	1.0.0
Physischen Zugriff steuern	CMA_0081 – Physischen Zugriff steuern	Manuell, deaktiviert	1.1.0
Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten	CMA_0369 – Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten	Manuell, deaktiviert	1.1.0
Bezeichnungsaktivitäten und Analysen überprüfen	CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass Betriebssystemdatenträger und Datenträger mit Daten mit einem kundenseitig verwalteten Schlüssel verschlüsselt sind

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 7.2 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Datenleck-Verwaltungsprozedur einrichten	CMA_0255 – Datenleck-Verwaltungsprozedur einrichten	Manuell, deaktiviert	1.1.0
Steuerelemente zum Sichern aller Medien implementieren	CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren	Manuell, deaktiviert	1.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen	CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0
Spezielle Informationen schützen	CMA_0409 – Spezielle Informationen schützen	Manuell, deaktiviert	1.1.0
Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln	Standardmäßig werden die Datenträger für Betriebssystem und Daten für eine VM im Ruhezustand mithilfe plattformseitig verwalteter Schlüssel verschlüsselt. Temporäre Datenträger, Datencaches und zwischen Compute- und Speicherressourcen übertragene Daten werden nicht verschlüsselt. In folgenden Fällen sollten Sie diese Empfehlung ignorieren: 1. Verwenden der Verschlüsselung auf dem Host, oder 2. Die serverseitige Verschlüsselung in Managed Disks erfüllt Ihre Sicherheitsanforderungen. Weitere Informationen erhalten Sie unter „Serverseitige Verschlüsselung von Azure Disk Storage“ (https://aka.ms/disksse,) und „Übersicht über Verschlüsselungsoptionen für andere Datenträger“ (https://aka.ms/diskencryptioncomparison).	AuditIfNotExists, Disabled	2.0.3

Sicherstellen, dass „nicht angefügte Datenträger“ mit einem kundenseitig verwalteten Schlüssel verschlüsselt sind

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 7.3 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Datenleck-Verwaltungsprozedur einrichten	CMA_0255 – Datenleck-Verwaltungsprozedur einrichten	Manuell, deaktiviert	1.1.0
Steuerelemente zum Sichern aller Medien implementieren	CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren	Manuell, deaktiviert	1.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen	CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0
Spezielle Informationen schützen	CMA_0409 – Spezielle Informationen schützen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass nur genehmigte Erweiterungen installiert werden

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 7.4 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Es dürfen nur genehmigte VM-Erweiterungen installiert werden	Diese Richtlinie regelt die nicht genehmigten VM-Erweiterungen.	Audit, Deny, Disabled	1.0.0

Sicherstellen, dass die neuesten Betriebssystempatches für alle virtuellen Computer angewendet werden

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 7.5 Eigentum: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Informationssystemfehler korrigieren	CMA_0427 – Informationssystemfehler korrigieren	Manuell, deaktiviert	1.1.0
Systemupdates sollten auf Ihren Computern installiert sein	Hiermit werden fehlende Sicherheitssystemupdates auf Ihren Servern über Azure Security Center in Form von Empfehlungen überwacht.	AuditIfNotExists, Disabled	4.0.0

Sicherstellen, dass Endpoint Protection für alle virtuellen Computer installiert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 7.6 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren	CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden	Manuell, deaktiviert	1.1.0
Security Operations dokumentieren	CMA_0202 – Security Operations dokumentieren	Manuell, deaktiviert	1.1.0
Verwalten von Gateways	CMA_0363 – Gateways verwalten	Manuell, deaktiviert	1.1.0
Fehlenden Endpoint Protection-Schutz in Azure Security Center überwachen	Hiermit werden Server ohne installierten Endpoint Protection-Agent über Azure Security Center in Form von Empfehlungen überwacht.	AuditIfNotExists, Disabled	3.0.0
Trendanalyse für Bedrohungen ausführen	CMA_0389 – Trendanalyse für Bedrohungen ausführen	Manuell, deaktiviert	1.1.0
Sicherheitsrisikoüberprüfungen ausführen	CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen	Manuell, deaktiviert	1.1.0
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Bedrohungsschutzstatus wöchentlich überprüfen	CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Sensoren für Endpunktsicherheitslösung aktivieren	CMA_0514 – Sensoren für Endpunktsicherheitslösung aktivieren	Manuell, deaktiviert	1.1.0
Virendefinitionen aktualisieren	CMA_0517 – Virendefinitionen aktualisieren	Manuell, deaktiviert	1.1.0
Software-, Firmware- und Informationsintegrität bestätigen	CMA_0542 – Software-, Firmware- und Informationsintegrität bestätigen	Manuell, deaktiviert	1.1.0

Alle VHDs müssen verschlüsselt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 7.7 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Datenleck-Verwaltungsprozedur einrichten	CMA_0255 – Datenleck-Verwaltungsprozedur einrichten	Manuell, deaktiviert	1.1.0
Steuerelemente zum Sichern aller Medien implementieren	CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren	Manuell, deaktiviert	1.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen	CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0
Spezielle Informationen schützen	CMA_0409 – Spezielle Informationen schützen	Manuell, deaktiviert	1.1.0

8 Weitere Überlegungen zur Sicherheit

Sicherstellen, dass das Ablaufdatum für alle Schlüssel festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 8.1 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Verwaltungsprozess physischer Schlüssel definieren	CMA_0115 – Verwaltungsprozess physischer Schlüssel definieren	Manuell, deaktiviert	1.1.0
Kryptografische Verwendung definieren	CMA_0120 – Kryptografische Verwendung definieren	Manuell, deaktiviert	1.1.0
Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren	CMA_0123 – Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren	Manuell, deaktiviert	1.1.0
Assertionsanforderungen bestimmen	CMA_0136 – Assertionsanforderungen bestimmen	Manuell, deaktiviert	1.1.0
Öffentliche Schlüsselzertifikate ausstellen	CMA_0347 – Öffentliche Schlüsselzertifikate ausstellen	Manuell, deaktiviert	1.1.0
Key Vault-Schlüssel sollten ein Ablaufdatum aufweisen.	Kryptografische Schlüssel sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Schlüssel, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, um den Schlüssel zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für kryptografische Schlüssel ein Ablaufdatum festgelegt werden.	Audit, Deny, Disabled	1.0.2
Symmetrische kryptografische Schlüssel verwalten	CMA_0367 – Symmetrische kryptografische Schlüssel verwalten	Manuell, deaktiviert	1.1.0
Zugriff auf private Schlüssel einschränken	CMA_0445 – Zugriff auf private Schlüssel einschränken	Manuell, deaktiviert	1.1.0

Sicherstellen, dass das Ablaufdatum für alle Geheimnisse festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 8.2 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Verwaltungsprozess physischer Schlüssel definieren	CMA_0115 – Verwaltungsprozess physischer Schlüssel definieren	Manuell, deaktiviert	1.1.0
Kryptografische Verwendung definieren	CMA_0120 – Kryptografische Verwendung definieren	Manuell, deaktiviert	1.1.0
Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren	CMA_0123 – Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren	Manuell, deaktiviert	1.1.0
Assertionsanforderungen bestimmen	CMA_0136 – Assertionsanforderungen bestimmen	Manuell, deaktiviert	1.1.0
Öffentliche Schlüsselzertifikate ausstellen	CMA_0347 – Öffentliche Schlüsselzertifikate ausstellen	Manuell, deaktiviert	1.1.0
Key Vault-Geheimnisse sollten ein Ablaufdatum aufweisen.	Geheimnisse sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Geheimnisse, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, sie zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für Geheimnisse ein Ablaufdatum festgelegt werden.	Audit, Deny, Disabled	1.0.2
Symmetrische kryptografische Schlüssel verwalten	CMA_0367 – Symmetrische kryptografische Schlüssel verwalten	Manuell, deaktiviert	1.1.0
Zugriff auf private Schlüssel einschränken	CMA_0445 – Zugriff auf private Schlüssel einschränken	Manuell, deaktiviert	1.1.0

Für unternehmenskritische Azure-Ressourcen müssen Ressourcensperren festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 8.3 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Änderungssteuerungsprozesse einrichten und dokumentieren	CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren	Manuell, deaktiviert	1.1.0

Sicherstellen, dass der Schlüsseltresor wiederhergestellt werden kann

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 8.4 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Für Schlüsseltresore sollte der Löschschutz aktiviert sein.	Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Sie können dauerhaften Datenverlust verhindern, indem Sie den Löschschutz und das vorläufige Löschen aktivieren. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Beachten Sie, dass für Schlüsseltresore, die nach dem 1. September 2019 erstellt wurden, das vorläufige Löschen standardmäßig aktiviert ist.	Audit, Deny, Disabled	2.1.0
Verfügbarkeit von Informationen beibehalten	CMA_C1644 – Verfügbarkeit von Informationen beibehalten	Manuell, deaktiviert	1.1.0

Aktivieren der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure Kubernetes Service

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 8.5 Eigentum: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	Manuell, deaktiviert	1.1.0
Zugriff autorisieren und verwalten	CMA_0023 – Zugriff autorisieren und verwalten	Manuell, deaktiviert	1.1.0
Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden.	Um eine präzise Filterung nach den Aktionen zu ermöglichen, die von Benutzer*innen ausgeführt werden können, verwenden Sie die rollenbasierte Zugriffssteuerung von Azure (Role Based Access Control, RBAC). Damit können Sie Berechtigungen in Kubernetes Service-Clustern verwalten und relevante Autorisierungsrichtlinien konfigurieren.	Audit, Disabled	1.0.3
Logischen Zugriff erzwingen	CMA_0245 – Logischen Zugriff erzwingen	Manuell, deaktiviert	1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	Manuell, deaktiviert	1.1.0
Genehmigung für Kontoerstellung anfordern	CMA_0431 – Genehmigung für Kontoerstellung anfordern	Manuell, deaktiviert	1.1.0
Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen	CMA_0481 – Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen	Manuell, deaktiviert	1.1.0

9 AppService

Sicherstellen, dass die App Service-Authentifizierung für Azure App Service festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.1 Eigentum: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Für App Service-Apps sollte die Authentifizierung aktiviert sein	Die Azure App Service-Authentifizierung ist eine Funktion, mit der Sie verhindern können, dass anonyme HTTP-Anforderungen die Web-App erreichen, oder die zu authentifizieren, die Token haben, bevor sie die Web-App erreichen.	AuditIfNotExists, Disabled	2.0.1
Beim kryptografischen Modul authentifizieren	CMA_0021 – Beim kryptografischen Modul authentifizieren	Manuell, deaktiviert	1.1.0
Benutzereindeutigkeit erzwingen	CMA_0250 – Benutzereindeutigkeit erzwingen	Manuell, deaktiviert	1.1.0
Für Funktions-Apps sollte die Authentifizierung aktiviert sein	Die Azure App Service-Authentifizierung ist eine Funktion, mit der Sie verhindern können, dass anonyme HTTP-Anforderungen die Funktions-App erreichen, oder die zu authentifizieren, die Token haben, bevor sie die Funktions-App erreichen.	AuditIfNotExists, Disabled	3.0.0
Anmeldeinformationen für persönliche Überprüfung durch gesetzliche Behörden unterstützen	CMA_0507 – Anmeldeinformationen für persönliche Überprüfung durch gesetzliche Behörden unterstützen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass FTP-Bereitstellungen deaktiviert sind

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.10 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
App Service-Apps sollten nur FTPS erfordern	Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit.	AuditIfNotExists, Disabled	3.0.0
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren	CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren	Manuell, deaktiviert	1.1.0
Funktions-Apps sollten nur FTPS erfordern	Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit.	AuditIfNotExists, Disabled	3.0.0
In Übertragung begriffene Daten mit Verschlüsselung schützen	CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0
Kennwörter mit Verschlüsselung schützen	CMA_0408 – Kennwörter mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0

Azure-Schlüsseltresore müssen zum Speichern von Geheimnissen verwendet werden.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.11 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Verwaltungsprozess physischer Schlüssel definieren	CMA_0115 – Verwaltungsprozess physischer Schlüssel definieren	Manuell, deaktiviert	1.1.0
Kryptografische Verwendung definieren	CMA_0120 – Kryptografische Verwendung definieren	Manuell, deaktiviert	1.1.0
Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren	CMA_0123 – Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren	Manuell, deaktiviert	1.1.0
Assertionsanforderungen bestimmen	CMA_0136 – Assertionsanforderungen bestimmen	Manuell, deaktiviert	1.1.0
Sicherstellen, dass kryptografische Mechanismen unter Konfigurationsverwaltung stehen	CMA_C1199 – Sicherstellen, dass kryptografische Mechanismen unter Konfigurationsverwaltung stehen	Manuell, deaktiviert	1.1.0
Öffentliche Schlüsselzertifikate ausstellen	CMA_0347 – Öffentliche Schlüsselzertifikate ausstellen	Manuell, deaktiviert	1.1.0
Verfügbarkeit von Informationen beibehalten	CMA_C1644 – Verfügbarkeit von Informationen beibehalten	Manuell, deaktiviert	1.1.0
Symmetrische kryptografische Schlüssel verwalten	CMA_0367 – Symmetrische kryptografische Schlüssel verwalten	Manuell, deaktiviert	1.1.0
Zugriff auf private Schlüssel einschränken	CMA_0445 – Zugriff auf private Schlüssel einschränken	Manuell, deaktiviert	1.1.0

Sicherstellen, dass die Web-App den gesamten HTTP-Datenverkehr in Azure App Service an HTTPS umleitet

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.2 Eigentum: Shared

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein	Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt.	Audit, Disabled, Deny	4.0.0
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren	CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren	Manuell, deaktiviert	1.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen	CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0
Kennwörter mit Verschlüsselung schützen	CMA_0408 – Kennwörter mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass die Web-App die neueste Version der TLS-Verschlüsselung verwendet

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.3 Eigentum: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
App Service-Apps sollten die neueste TLS-Version verwenden	Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Disabled	2.0.1
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren	CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren	Manuell, deaktiviert	1.1.0
Funktions-Apps sollten die neueste TLS-Version verwenden	Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Disabled	2.0.1
In Übertragung begriffene Daten mit Verschlüsselung schützen	CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0
Kennwörter mit Verschlüsselung schützen	CMA_0408 – Kennwörter mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0

Sicherstellen, dass „Clientzertifikate (eingehende Clientzertifikate)“ für die Web-App auf „Ein“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.4 Eigentum: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
[Veraltet]: Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein	Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit gültigen Zertifikaten können auf die App zugreifen. Diese Richtlinie wurde durch eine neue Richtlinie mit demselben Namen ersetzt, da HTTP 2.0 keine Clientzertifikate unterstützt.	Audit, Disabled	3.1.0-deprecated
App Service-Apps sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben	Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1.	AuditIfNotExists, Disabled	1.0.0
Beim kryptografischen Modul authentifizieren	CMA_0021 – Beim kryptografischen Modul authentifizieren	Manuell, deaktiviert	1.1.0

Sicherstellen, dass „Registrierung bei Azure Active Directory“ für App Service aktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.5 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
App Service-Apps sollten eine verwaltete Identität verwenden	Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden	AuditIfNotExists, Disabled	3.0.0
Kontoverwaltung automatisieren	CMA_0026 – Kontoverwaltung automatisieren	Manuell, deaktiviert	1.1.0
Funktions-Apps sollten eine verwaltete Identität verwenden	Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden	AuditIfNotExists, Disabled	3.0.0
System- und Administratorkonten verwalten	CMA_0368 – System- und Administratorkonten verwalten	Manuell, deaktiviert	1.1.0
Zugriff in der gesamten Organisation überwachen	CMA_0376 – Zugriff in der gesamten Organisation überwachen	Manuell, deaktiviert	1.1.0
Benachrichtigen, wenn das Konto nicht benötigt wird	CMA_0383 – Benachrichtigen, wenn das Konto nicht benötigt wird	Manuell, deaktiviert	1.1.0

Sicherstellen, dass die neueste „PHP-Version“ angegeben ist, wenn sie zum Ausführen der Web-App verwendet wird

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.6 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Informationssystemfehler korrigieren	CMA_0427 – Informationssystemfehler korrigieren	Manuell, deaktiviert	1.1.0

Sicherstellen, dass die neueste „Python-Version“ angegeben ist, wenn sie zum Ausführen der Web-App verwendet wird

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.7 Zuständigkeit: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Informationssystemfehler korrigieren	CMA_0427 – Informationssystemfehler korrigieren	Manuell, deaktiviert	1.1.0

Sicherstellen, dass die neueste „Java-Version“ angegeben ist, wenn sie zum Ausführen der Web-App verwendet wird

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.8 Eigentum: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Informationssystemfehler korrigieren	CMA_0427 – Informationssystemfehler korrigieren	Manuell, deaktiviert	1.1.0

Sicherstellen, dass die neueste „HTTP-Version“ angegeben ist, wenn sie zum Ausführen der Web-App verwendet wird

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.9 Eigentum: Gemeinsam

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
App Service-Apps sollten die neueste „HTTP-Version“ verwenden	Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Disabled	4.0.0
Funktions-Apps sollten die neueste 'HTTP Version' verwenden	Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Disabled	4.0.0
Informationssystemfehler korrigieren	CMA_0427 – Informationssystemfehler korrigieren	Manuell, deaktiviert	1.1.0

Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß CIS Microsoft Azure Foundations Benchmark 1.3.0

1 Identitäts- und Zugriffsverwaltung

Sicherstellen, dass die mehrstufige Authentifizierung für alle privilegierten Benutzer aktiviert ist

„Benutzer können ihrem Zugriffsbereich Katalog-Apps hinzufügen“ muss auf „Nein“ festgelegt sein.

„Benutzer können Anwendungen registrieren“ muss auf „Nein“ festgelegt sein.

„Gastbenutzerberechtigungen sind eingeschränkt“ muss auf „Ja“ festgelegt sein.

„Mitglieder können einladen“ muss auf „Nein“ festgelegt sein.

„Gäste können einladen“ muss auf „Nein“ festgelegt sein.

„Zugriff auf Azure AD-Verwaltungsportal einschränken“ muss auf „Ja“ festgelegt sein.

„Benutzerfähigkeit zum Zugriff auf Gruppenfunktionen im Zugriffsbereich einschränken“ muss auf „Nein“ festgelegt sein.

„Benutzer können Sicherheitsgruppen in Azure-Portalen erstellen“ muss auf „Nein“ festgelegt sein.

„Besitzer können Anforderungen für eine Gruppenmitgliedschaft im Zugriffspanel verwalten“ muss auf „Nein“ festgelegt sein.

„Benutzer können Microsoft 365 Gruppen in Azure-Portalen erstellen“ muss auf „Nein“ festgelegt sein.

Sicherstellen, dass die mehrstufige Authentifizierung für alle nicht privilegierten Benutzer aktiviert ist

„Mehrstufige Authentifizierung zum Verknüpfen von Geräten erforderlich“ muss auf „Ja“ festgelegt sein.

Sicherstellen, dass keine benutzerdefinierten Abonnementbesitzerrollen erstellt werden

„Sicherheitsstandards“ muss in Azure Active Directory aktiviert sein.

Die benutzerdefinierte Rolle muss für „Verwaltung von Ressourcensperren“ zugewiesen sein.

Sicherstellen, dass Gastbenutzer monatlich überprüft werden

„Benutzern das Speichern der Multi-Faktor-Authentifizierung auf vertrauenswürdigen Geräten ermöglichen“ muss auf „Deaktiviert“ festgelegt sein.

„Anzahl der Tage, bevor Benutzer aufgefordert werden, ihre Authentifizierungsinformationen erneut zu bestätigen“ darf nicht auf 0 festgelegt sein.

„Benutzer über Kennwortzurücksetzungen benachrichtigen?“ muss auf „Ja“ festgelegt sein.

„Sollen alle Administratoren benachrichtigt werden, wenn andere Administratoren ihr Kennwort zurücksetzen?“ muss auf „Ja“ festgelegt sein.

„Benutzer können Apps den Zugriff auf Unternehmensdaten in ihrem Namen gestatten“ muss auf „Nein“ festgelegt sein.

2 Security Center

Sicherstellen, dass Azure Defender für Storage auf EIN festgelegt ist

Die Microsoft Cloud App Security-Integration (MCAS) mit Security Center muss ausgewählt sein.

Sicherstellen, dass „Automatische Bereitstellung des Überwachungs-Agents“ auf „Ein“ festgelegt ist

Keine der ASC-Standardrichtlinieneinstellungen darf auf „Deaktiviert“ festgelegt sein.

Sicherstellen, dass „Weitere E-Mail-Adressen“ mit einer E-Mail-Adresse für den Sicherheitskontakt konfiguriert ist

Sicherstellen, dass „Notify about alerts with the following severity“ (Benachrichtigung bei Warnungen mit dem folgenden Schweregrad) auf „Hoch“ festgelegt ist

Sicherstellen, dass Azure Defender für App Service auf EIN festgelegt ist

Sicherstellen, dass Azure Defender für Azure SQL-Datenbank-Server auf EIN festgelegt ist

Sicherstellen, dass Azure Defender für SQL Server-Instanzen auf Computern auf EIN festgelegt ist

Sicherstellen, dass Azure Defender für Storage auf EIN festgelegt ist

Sicherstellen, dass Azure Defender für Kubernetes auf EIN festgelegt ist

Sicherstellen, dass Azure Defender für Containerregistrierungen auf EIN festgelegt ist

Sicherstellen, dass Azure Defender für Key Vault auf EIN festgelegt ist

Die Integration von Windows Defender ATP (WDATP) mit Security Center muss ausgewählt sein.

3 Speicherkonten

Sicherstellen, dass „Sichere Übertragung erforderlich“ aktiviert ist

Die Speicherprotokollierung muss für Lese-, Schreib- und Löschanforderungen für den Blob-Dienst aktiviert sein.

Die Speicherprotokollierung muss für Lese-, Schreib- und Löschanforderungen an den Tabellendienst aktiviert sein.

Zugriffsschlüssel für Speicherkonten müssen regelmäßig neu generiert werden.

Für Lese-, Schreib- und Löschanforderungen an den Warteschlangendienst muss die Speicherprotokollierung aktiviert sein.

SAS-Token (Shared Access Signature) müssen innerhalb einer Stunde ablaufen.

Sicherstellen, dass „Öffentliche Zugriffsebene“ für Blobcontainer auf „Privat“ festgelegt ist

Sicherstellen, dass die Standard-Netzwerkzugriffsregel für Speicherkonten auf „Verweigern“ festgelegt ist

Sicherstellen, dass „Vertrauenswürdige Microsoft-Dienste“ für den Speicherkontozugriff aktiviert ist

Sicherstellen, dass der Speicher für wichtige Daten mit einem kundenseitig verwalteten Schlüssel verschlüsselt ist

4 Datenbankdienste

Sicherstellen, dass „Überwachung“ auf „Ein“ festgelegt ist

Sicherstellen, dass „Datenverschlüsselung“ für eine SQL-Datenbank auf „Ein“ festgelegt ist

Sicherstellen, dass die Aufbewahrungsdauer für die Überwachung auf über 90 Tage festgelegt ist

Sicherstellen, dass Advanced Threat Detection (ATP) für eine SQL Server-Instanz auf „Aktiviert“ festgelegt ist

Sicherstellen, dass die Sicherheitsrisikobewertung für eine SQL Server-Instanz durch Festlegen eines Speicherkontos aktiviert ist

Die VA-Einstellung „Periodisch wiederkehrende Scans“ muss auf einem SQL Server aktiviert sein.

Sicherstellen, dass die Einstellung „Überprüfungsberichte senden an“ der Sicherheitsrisikobewertung für eine SQL Server-Instanz konfiguriert ist

Die VA-Einstellung „E-Mail-Benachrichtigungen auch an Administratoren und Abonnementbesitzer senden“ muss für einen SQL-Server festgelegt sein.

Sicherstellen, dass „SSL-Verbindung erzwingen“ für den PostgreSQL-Datenbankserver auf „AKTIVIERT“ festgelegt ist

Sicherstellen, dass „SSL-Verbindung erzwingen“ für den MySQL-Datenbankserver auf „AKTIVIERT“ festgelegt ist

Sicherstellen, dass der Serverparameter „log_checkpoints“ für den PostgreSQL-Datenbankserver auf „EIN“ festgelegt ist

Sicherstellen, dass der Serverparameter „log_connections“ für den PostgreSQL-Datenbankserver auf „EIN“ festgelegt ist

Sicherstellen, dass der Serverparameter „log_disconnections“ für den PostgreSQL-Datenbankserver auf „EIN“ festgelegt ist

Sicherstellen, dass der Serverparameter „connection_throttling“ für den PostgreSQL-Datenbankserver auf „EIN“ festgelegt ist

Für PostgreSQL-Datenbankserver muss der Serverparameter „log_retention_days“ auf einen höheren Wert als 3 Tage festgelegt sein.

„Zugriff auf Azure-Dienste zulassen“ für den PostgreSQL-Datenbankserver muss deaktiviert sein.

Sicherstellen, dass der Azure Active Directory-Administrator konfiguriert ist

Sicherstellen, dass die TDE-Schutzvorrichtung der SQL Server-Instanz mit einem kundenseitig verwalteten Schlüssel verschlüsselt ist

5 Protokollierung und Überwachung

Eine „Diagnoseeinstellung“ muss vorhanden sein.

Die Diagnoseeinstellung muss geeignete Kategorien erfassen.

Sicherstellen, dass der Speichercontainer, in dem die Aktivitätsprotokolle gespeichert sind, nicht öffentlich zugänglich ist

Sicherstellen, dass das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, per BYOK (Bring Your Own Key) verschlüsselt ist

Sicherstellen, dass die Protokollierung für Azure Key Vault aktiviert ist

Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Richtlinienzuweisung erstellen“ vorhanden ist

Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Richtlinienzuweisung löschen“ vorhanden ist

Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Netzwerksicherheitsgruppe erstellen oder aktualisieren“ vorhanden ist

Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Netzwerksicherheitsgruppe löschen“ vorhanden ist

Sicherstellen, dass eine Aktivitätsprotokollwarnung für die Regel „Netzwerksicherheitsgruppe erstellen oder aktualisieren“ vorhanden ist