Mechanizmy kontroli zgodności z przepisami usługi Azure Policy dla serwerów z obsługą usługi Azure Arc
Zgodność z przepisami w usłudze Azure Policy udostępnia definicje inicjatyw utworzonych i zarządzanych przez firmę Microsoft, znanych jako wbudowane, dla domen zgodności i mechanizmów kontroli zabezpieczeń związanych z różnymi standardami zgodności. Ta strona zawiera listę domen zgodności i mechanizmów kontroli zabezpieczeń dla serwerów z obsługą usługi Azure Arc. Wbudowane funkcje kontroli zabezpieczeń można przypisać indywidualnie, aby ułatwić zapewnienie zgodności zasobów platformy Azure z określonym standardem.
Tytuł każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja zasad, aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Ważne
Każda kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą. Jednak często między kontrolką a co najmniej jedną zasadą nie występuje dopasowanie jeden do jednego lub całkowitego dopasowania. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między kontrolkami i definicjami zgodności z przepisami usługi Azure Policy dla tych standardów zgodności mogą ulec zmianie w czasie.
Australian Government ISM PROTECTED
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — Australian Government ISM PROTECTED. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Australian Government ISM PROTECTED.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 415 | Identyfikacja użytkownika — 415 | Przeprowadź inspekcję maszyn z systemem Windows, które mają określone elementy członkowskie w grupie Administracja istratorów | 2.0.0 |
| Wytyczne dotyczące wzmacniania zabezpieczeń systemu — wzmacnianie zabezpieczeń uwierzytelniania | 421 | Uwierzytelnianie jednoskładnikowe — 421 | Maszyny z systemem Windows powinny spełniać wymagania dotyczące Ustawienia zabezpieczeń — zasady konta | 3.0.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 445 | Uprzywilejowany dostęp do systemów — 445 | Przeprowadź inspekcję maszyn z systemem Windows, które mają określone elementy członkowskie w grupie Administracja istratorów | 2.0.0 |
| Wytyczne dotyczące kryptografii — Transport Layer Security | 1139 | Korzystanie z zabezpieczeń warstwy transportu — 1139 | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Wytyczne dotyczące systemów baz danych — serwery baz danych | 1277 | Komunikacja między serwerami baz danych a serwerami internetowymi — 1277 | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 1503 | Standardowy dostęp do systemów — 1503 | Przeprowadź inspekcję maszyn z systemem Windows, które mają określone elementy członkowskie w grupie Administracja istratorów | 2.0.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 1507 | Uprzywilejowany dostęp do systemów — 1507 | Przeprowadź inspekcję maszyn z systemem Windows, które mają określone elementy członkowskie w grupie Administracja istratorów | 2.0.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 1508 | Uprzywilejowany dostęp do systemów — 1508 | Przeprowadź inspekcję maszyn z systemem Windows, które mają określone elementy członkowskie w grupie Administracja istratorów | 2.0.0 |
| Wytyczne dotyczące wzmacniania zabezpieczeń systemu — wzmacnianie zabezpieczeń uwierzytelniania | 1546 | Uwierzytelnianie w systemach — 1546 | Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | 3.1.0 |
| Wytyczne dotyczące wzmacniania zabezpieczeń systemu — wzmacnianie zabezpieczeń uwierzytelniania | 1546 | Uwierzytelnianie w systemach — 1546 | Inspekcja maszyn z systemem Linux z kontami bez haseł | 3.1.0 |
Canada Federal PBMM
Aby dowiedzieć się, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — Canada Federal PBMM. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Canada Federal PBMM.
CIS Microsoft Azure Foundations Benchmark 2.0.0
Aby dowiedzieć się, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Azure Policy Regulatory Compliance details for CIS v2.0.0 (Szczegóły zgodności z przepisami usługi Azure Policy w wersji 2.0.0). Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| 2.1 | 2.1.13 | Upewnij się, że stan "Zastosuj aktualizacje systemu" w usłudze Microsoft Defender to "Ukończono" | Maszyny należy skonfigurować do okresowego sprawdzania brakujących aktualizacji systemu | 3.7.0 |
| 7 | 7.6 | Upewnij się, że program Endpoint Protection dla wszystkich maszyn wirtualnych jest zainstalowany | Program Endpoint Protection powinien być zainstalowany na maszynach | 1.0.0 |
CmMC Poziom 3
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz zgodność z przepisami usługi Azure Policy — poziom 3. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Certyfikacja modelu dojrzałości cyberbezpieczeństwa (CMMC).
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Kontrola dostępu | AC.1.001 | Ogranicz dostęp systemu informacyjnego do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów informacyjnych). | Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | 3.1.0 |
| Kontrola dostępu | AC.1.001 | Ogranicz dostęp systemu informacyjnego do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów informacyjnych). | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — dostęp sieciowy | 3.0.0 |
| Kontrola dostępu | AC.1.001 | Ogranicz dostęp systemu informacyjnego do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów informacyjnych). | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Kontrola dostępu | AC.1.002 | Ogranicz dostęp systemu informacyjnego do typów transakcji i funkcji, które autoryzowani użytkownicy mogą wykonywać. | Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | 3.1.0 |
| Kontrola dostępu | AC.1.002 | Ogranicz dostęp systemu informacyjnego do typów transakcji i funkcji, które autoryzowani użytkownicy mogą wykonywać. | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Kontrola dostępu | AC.1.002 | Ogranicz dostęp systemu informacyjnego do typów transakcji i funkcji, które autoryzowani użytkownicy mogą wykonywać. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — dostęp sieciowy | 3.0.0 |
| Kontrola dostępu | AC.2.008 | Podczas uzyskiwania dostępu do funkcji niezwiązanych z zabezpieczeniami należy używać kont lub ról innych niż uprzywilejowane. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — kontrola konta użytkownika | 3.0.0 |
| Kontrola dostępu | AC.2.008 | Podczas uzyskiwania dostępu do funkcji niezwiązanych z zabezpieczeniami należy używać kont lub ról innych niż uprzywilejowane. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące przypisywania praw użytkownika | 3.0.0 |
| Kontrola dostępu | AC.2.013 | Monitorowanie i kontrolowanie sesji dostępu zdalnego. | Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | 3.1.0 |
| Kontrola dostępu | AC.2.013 | Monitorowanie i kontrolowanie sesji dostępu zdalnego. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Kontrola dostępu | AC.2.016 | Kontrolowanie przepływu cuI zgodnie z zatwierdzonymi autoryzacjami. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — dostęp sieciowy | 3.0.0 |
| Kontrola dostępu | AC.3.017 | Rozdziel obowiązki osób, aby zmniejszyć ryzyko złośliwych działań bez zmowy. | Przeprowadź inspekcję maszyn z systemem Windows bez określonych elementów członkowskich w grupie Administracja istratorów | 2.0.0 |
| Kontrola dostępu | AC.3.017 | Rozdziel obowiązki osób, aby zmniejszyć ryzyko złośliwych działań bez zmowy. | Przeprowadź inspekcję maszyn z systemem Windows, które mają określone elementy członkowskie w grupie Administracja istratorów | 2.0.0 |
| Kontrola dostępu | AC.3.018 | Uniemożliwiaj użytkownikom niebędącym uprzywilejowanym wykonywanie funkcji uprzywilejowanych i przechwytywanie wykonywania takich funkcji w dziennikach inspekcji. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — użycie uprawnień | 3.0.0 |
| Kontrola dostępu | AC.3.021 | Autoryzowanie zdalnego wykonywania uprzywilejowanych poleceń i dostępu zdalnego do informacji istotnych dla zabezpieczeń. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — kontrola konta użytkownika | 3.0.0 |
| Kontrola dostępu | AC.3.021 | Autoryzowanie zdalnego wykonywania uprzywilejowanych poleceń i dostępu zdalnego do informacji istotnych dla zabezpieczeń. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące przypisywania praw użytkownika | 3.0.0 |
| Zarządzanie konfiguracją | CM.2.061 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.2.0 |
| Zarządzanie konfiguracją | CM.2.062 | Zastosowanie zasady najmniejszych funkcji przez skonfigurowanie systemów organizacyjnych w celu zapewnienia tylko podstawowych możliwości. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — użycie uprawnień | 3.0.0 |
| Zarządzanie konfiguracją | CM.2.063 | Kontrolowanie i monitorowanie oprogramowania zainstalowanego przez użytkownika. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — kontrola konta użytkownika | 3.0.0 |
| Zarządzanie konfiguracją | CM.2.064 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Zarządzanie konfiguracją | CM.2.065 | Śledzenie, przeglądanie, zatwierdzanie lub odrzucanie zmian w systemach organizacyjnych oraz rejestrowanie ich. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — zmiana zasad | 3.0.0 |
| Identyfikacja i uwierzytelnianie | IA.1.077 | Uwierzytelnianie (lub weryfikowanie) tożsamości tych użytkowników, procesów lub urządzeń jako wymagania wstępne umożliwiającego dostęp do systemów informacyjnych organizacji. | Przeprowadź inspekcję maszyn z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | 3.1.0 |
| Identyfikacja i uwierzytelnianie | IA.1.077 | Uwierzytelnianie (lub weryfikowanie) tożsamości tych użytkowników, procesów lub urządzeń jako wymagania wstępne umożliwiającego dostęp do systemów informacyjnych organizacji. | Inspekcja maszyn z systemem Linux z kontami bez haseł | 3.1.0 |
| Identyfikacja i uwierzytelnianie | IA.1.077 | Uwierzytelnianie (lub weryfikowanie) tożsamości tych użytkowników, procesów lub urządzeń jako wymagania wstępne umożliwiającego dostęp do systemów informacyjnych organizacji. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Identyfikacja i uwierzytelnianie | IA.2.078 | Wymuszanie minimalnej złożoności hasła i zmiany znaków podczas tworzenia nowych haseł. | Inspekcja maszyn z systemem Linux z kontami bez haseł | 3.1.0 |
| Identyfikacja i uwierzytelnianie | IA.2.078 | Wymuszanie minimalnej złożoności hasła i zmiany znaków podczas tworzenia nowych haseł. | Przeprowadź inspekcję maszyn z systemem Windows, które nie mają włączonego ustawienia złożoności hasła | 2.0.0 |
| Identyfikacja i uwierzytelnianie | IA.2.078 | Wymuszanie minimalnej złożoności hasła i zmiany znaków podczas tworzenia nowych haseł. | Przeprowadź inspekcję maszyn z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków | 2.1.0 |
| Identyfikacja i uwierzytelnianie | IA.2.078 | Wymuszanie minimalnej złożoności hasła i zmiany znaków podczas tworzenia nowych haseł. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Identyfikacja i uwierzytelnianie | IA.2.079 | Zakazać ponownego użycia hasła dla określonej liczby generacji. | Przeprowadź inspekcję maszyn z systemem Windows, które umożliwiają ponowne użycie haseł po określonej liczbie unikatowych haseł | 2.1.0 |
| Identyfikacja i uwierzytelnianie | IA.2.079 | Zakazać ponownego użycia hasła dla określonej liczby generacji. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Identyfikacja i uwierzytelnianie | IA.2.081 | Przechowywanie i przesyłanie tylko haseł chronionych kryptograficznie. | Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | 2.0.0 |
| Identyfikacja i uwierzytelnianie | IA.2.081 | Przechowywanie i przesyłanie tylko haseł chronionych kryptograficznie. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Identyfikacja i uwierzytelnianie | IA.3.084 | Stosowanie mechanizmów uwierzytelniania odpornych na odtwarzanie w celu uzyskania dostępu sieciowego do uprzywilejowanych i nieuprzywilejowanych kont. | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Ochrona systemu i komunikacji | SC.1.175 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Ochrona systemu i komunikacji | SC.1.175 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — dostęp sieciowy | 3.0.0 |
| Ochrona systemu i komunikacji | SC.1.175 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Ochrona systemu i komunikacji | SC.3.177 | Stosowanie kryptografii zweryfikowanej przez standard FIPS w przypadku ochrony poufności cuI. | Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | 2.0.0 |
| Ochrona systemu i komunikacji | SC.3.181 | Oddziel funkcje użytkownika od funkcji zarządzania systemem. | Przeprowadź inspekcję maszyn z systemem Windows, które mają określone elementy członkowskie w grupie Administracja istratorów | 2.0.0 |
| Ochrona systemu i komunikacji | SC.3.183 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — dostęp sieciowy | 3.0.0 |
| Ochrona systemu i komunikacji | SC.3.183 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Ochrona systemu i komunikacji | SC.3.185 | Zaimplementuj mechanizmy kryptograficzne, aby zapobiec nieautoryzowanemu ujawnieniu cuI podczas transmisji, chyba że są chronione w inny sposób przez alternatywne zabezpieczenia fizyczne. | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Ochrona systemu i komunikacji | SC.3.190 | Ochrona autentyczności sesji komunikacyjnych. | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
FedRAMP High
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz zgodność z przepisami usługi Azure Policy — FedRAMP High. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz FedRAMP High.
FedRAMP Moderate
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — FedRAMP Moderate. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz FedRAMP Moderate.
HIPAA HITRUST 9.2
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — HIPAA HITRUST 9.2. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz HIPAA HITRUST 9.2.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Identyfikacja i uwierzytelnianie użytkowników | 11210.01q2Organizational.10 – 01.q | Podpisy elektroniczne i podpisy odręczne wykonywane w rejestrach elektronicznych są powiązane z odpowiednimi zapisami elektronicznymi. | Przeprowadź inspekcję maszyn z systemem Windows, które mają określone elementy członkowskie w grupie Administracja istratorów | 2.0.0 |
| Identyfikacja i uwierzytelnianie użytkowników | 11211.01q2Organizational.11 - 01.q | Podpisane zapisy elektroniczne zawierają informacje związane z podpisywaniem w formacie czytelnym dla człowieka. | Przeprowadź inspekcję maszyn z systemem Windows bez określonych elementów członkowskich w grupie Administracja istratorów | 2.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Zabezpieczenia plików systemowych | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — inspekcja | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Zabezpieczenia plików systemowych | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — zarządzanie kontami | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 Security In Development and Support Processes | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 Security In Development and Support Processes | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 Security In Development and Support Processes | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Security In Development and Support Processes | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 Security In Development and Support Processes | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Security In Development and Support Processes | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Security In Development and Support Processes | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0642.10k3Organizacja.12-10.k | 0642.10k3Organizational.12-10.k 10.05 Security In Development and Support Processes | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0643.10k3Organizacja.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Security In Development and Support Processes | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0644.10k3Organizacja.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Security In Development and Support Processes (Zabezpieczenia w procesach tworzenia i obsługi technicznej) | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | 3.0.0 |
| 07 Zarządzanie lukami w zabezpieczeniach | 0709.10m1Organizacja.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Technical Vulnerability Management | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — Microsoft Network Server | 3.0.0 |
| 08 Ochrona sieci | 0858.09m1Organizacja.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Network Security Management | Maszyny z systemem Windows powinny spełniać wymagania dotyczące właściwości zapory systemu Windows | 3.0.0 |
| 08 Ochrona sieci | 0861.09m2Organizacja.67-09.m | 0861.09m2Organizational.67-09.m 09.06 Network Security Management | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — dostęp sieciowy | 3.0.0 |
| 09 Ochrona transmisji | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 Electronic Commerce Services | Przeprowadź inspekcję maszyn z systemem Windows, które nie zawierają określonych certyfikatów w zaufanym katalogu głównym | 3.0.0 |
| 11 Kontrola dostępu | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 Kontrola dostępu systemu operacyjnego | Przeprowadź inspekcję maszyn z systemem Windows z dodatkowymi kontami w grupie Administracja istratorów | 2.0.0 |
| 11 Kontrola dostępu | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 Kontrola dostępu do systemu operacyjnego | Przeprowadź inspekcję maszyn z systemem Windows, które mają określone elementy członkowskie w grupie Administracja istratorów | 2.0.0 |
| 11 Kontrola dostępu | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 Kontrola dostępu systemu operacyjnego | Przeprowadź inspekcję maszyn z systemem Windows bez określonych elementów członkowskich w grupie Administracja istratorów | 2.0.0 |
| 11 Kontrola dostępu | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 Autoryzowany dostęp do systemów informacyjnych | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — konta | 3.0.0 |
| 12 Inspekcja rejestrowania i monitorowania | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 Monitoring | Inspekcja maszyn z systemem Windows, na których agent usługi Log Analytics nie jest połączony zgodnie z oczekiwaniami | 2.0.0 |
| 12 Inspekcja rejestrowania i monitorowania | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 Monitorowanie | Inspekcja maszyn z systemem Windows, na których agent usługi Log Analytics nie jest połączony zgodnie z oczekiwaniami | 2.0.0 |
| 12 Inspekcja rejestrowania i monitorowania | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Udokumentowane procedury operacyjne | Maszyny z systemem Windows powinny spełniać wymagania dotyczące przypisywania praw użytkownika | 3.0.0 |
| 12 Inspekcja rejestrowania i monitorowania | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 Udokumentowane procedury operacyjne | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — kontrola konta użytkownika | 3.0.0 |
| 16 Ciągłość działania i odzyskiwanie po awarii | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 Information Security Aspects of Business Continuity Management | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — konsola odzyskiwania | 3.0.0 |
IRS 1075 września 2016 r.
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — IRS 1075 wrzesień 2016. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz IRS 1075 wrzesień 2016.
ISO 27001:2013
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — ISO 27001:2013. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz ISO 27001:2013.
Wzorzec bezpieczeństwa w chmurze Microsoft
Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Aby zobaczyć, jak ta usługa całkowicie mapuje się na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pliki mapowania testów porównawczych zabezpieczeń platformy Azure.
Aby dowiedzieć się, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Artykuł Azure Policy Regulatory Compliance — Microsoft Cloud Security Benchmark (Zgodność z przepisami usługi Azure Policy — test porównawczy zabezpieczeń w chmurze firmy Microsoft).
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Zarządzanie tożsamością | Im-6 | Używanie kontrolek silnego uwierzytelniania | Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | 3.2.0 |
| Ochrona danych | DP-3 | Szyfrowanie poufnych danych przesyłanych | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Rejestrowanie i wykrywanie zagrożeń | LT-1 | Włączanie możliwości wykrywania zagrożeń | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| Rejestrowanie i wykrywanie zagrożeń | LT-2 | Włączanie wykrywania zagrożeń na potrzeby zarządzania tożsamościami i dostępem | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| Rejestrowanie i wykrywanie zagrożeń | LT-5 | Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza | [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z usługą Azure Arc z systemem Linux | 1.0.1—wersja zapoznawcza |
| Rejestrowanie i wykrywanie zagrożeń | LT-5 | Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza | [Wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z systemem Windows Azure Arc | 1.0.1—wersja zapoznawcza |
| Rejestrowanie i wykrywanie zagrożeń | LT-5 | Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza | Maszyny z systemem Linux powinny mieć zainstalowanego agenta usługi Log Analytics w usłudze Azure Arc | 1.1.0 |
| Rejestrowanie i wykrywanie zagrożeń | LT-5 | Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza | Maszyny z systemem Windows powinny mieć zainstalowanego agenta usługi Log Analytics w usłudze Azure Arc | 2.0.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-4 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych | Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.2.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-4 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych | Maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.0.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-6 | Szybkie i automatyczne korygowanie luk w zabezpieczeniach | [Wersja zapoznawcza]: Aktualizacje systemu powinny być instalowane na maszynach (obsługiwane przez Centrum aktualizacji) | 1.0.0-preview |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-6 | Szybkie i automatyczne korygowanie luk w zabezpieczeniach | Maszyny należy skonfigurować do okresowego sprawdzania brakujących aktualizacji systemu | 3.7.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-6 | Szybkie i automatyczne korygowanie luk w zabezpieczeniach | Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | 1.0.0 |
| Zabezpieczenia punktu końcowego | ES-2 | Korzystanie z nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem | Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach | 1.0.0 |
| Zabezpieczenia punktu końcowego | ES-2 | Korzystanie z nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem | Program Endpoint Protection powinien być zainstalowany na maszynach | 1.0.0 |
| Zabezpieczenia punktu końcowego | ES-2 | Korzystanie z nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| Zabezpieczenia punktu końcowego | ES-3 | Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane | Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach | 1.0.0 |
NIST SP 800-171 R2
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — NIST SP 800-171 R2. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-171 R2.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Kontrola dostępu | 3.1.1 | Ogranicz dostęp systemowy do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów). | Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | 3.1.0 |
| Kontrola dostępu | 3.1.1 | Ogranicz dostęp systemowy do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów). | Inspekcja maszyn z systemem Linux z kontami bez haseł | 3.1.0 |
| Kontrola dostępu | 3.1.1 | Ogranicz dostęp systemowy do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów). | Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | 3.2.0 |
| Kontrola dostępu | 3.1.12 | Monitorowanie i kontrolowanie sesji dostępu zdalnego. | Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | 3.1.0 |
| Kontrola dostępu | 3.1.4 | Rozdziel obowiązki osób, aby zmniejszyć ryzyko złośliwych działań bez zmowy. | Przeprowadź inspekcję maszyn z systemem Windows bez określonych elementów członkowskich w grupie Administracja istratorów | 2.0.0 |
| Kontrola dostępu | 3.1.4 | Rozdziel obowiązki osób, aby zmniejszyć ryzyko złośliwych działań bez zmowy. | Przeprowadź inspekcję maszyn z systemem Windows, które mają określone elementy członkowskie w grupie Administracja istratorów | 2.0.0 |
| Ocena ryzyka | 3.11.2 | Okresowo skanuj pod kątem luk w zabezpieczeniach w systemach organizacyjnych i aplikacjach oraz gdy zostaną zidentyfikowane nowe luki w zabezpieczeniach wpływające na te systemy i aplikacje. | Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | 1.0.0 |
| Ocena ryzyka | 3.11.3 | Korygowanie luk w zabezpieczeniach zgodnie z ocenami ryzyka. | Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | 1.0.0 |
| Ochrona systemu i komunikacji | 3.13.8 | Zaimplementuj mechanizmy kryptograficzne, aby zapobiec nieautoryzowanemu ujawnieniu cuI podczas transmisji, chyba że są chronione w inny sposób przez alternatywne zabezpieczenia fizyczne. | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Integralność systemu i informacji | 3.14.1 | Identyfikowanie, zgłaszanie i poprawianie błędów systemu w odpowiednim czasie. | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| Integralność systemu i informacji | 3.14.2 | Zapewnij ochronę przed złośliwym kodem w wyznaczonych lokalizacjach w systemach organizacyjnych. | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| Integralność systemu i informacji | 3.14.4 | Zaktualizuj mechanizmy ochrony złośliwego kodu, gdy są dostępne nowe wersje. | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| Integralność systemu i informacji | 3.14.5 | Przeprowadzaj okresowe skanowania systemów organizacyjnych i skanowania plików ze źródeł zewnętrznych w czasie rzeczywistym, gdy pliki są pobierane, otwierane lub wykonywane. | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| Integralność systemu i informacji | 3.14.6 | Monitorowanie systemów organizacyjnych, w tym ruchu komunikacji przychodzącej i wychodzącej, w celu wykrywania ataków i wskaźników potencjalnych ataków. | [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z usługą Azure Arc z systemem Linux | 1.0.1—wersja zapoznawcza |
| Integralność systemu i informacji | 3.14.6 | Monitorowanie systemów organizacyjnych, w tym ruchu komunikacji przychodzącej i wychodzącej, w celu wykrywania ataków i wskaźników potencjalnych ataków. | [Wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z systemem Windows Azure Arc | 1.0.1—wersja zapoznawcza |
| Integralność systemu i informacji | 3.14.7 | Identyfikowanie nieautoryzowanego użycia systemów organizacyjnych. | [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z usługą Azure Arc z systemem Linux | 1.0.1—wersja zapoznawcza |
| Integralność systemu i informacji | 3.14.7 | Identyfikowanie nieautoryzowanego użycia systemów organizacyjnych. | [Wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z systemem Windows Azure Arc | 1.0.1—wersja zapoznawcza |
| Inspekcja i odpowiedzialność | 3.3.1 | Tworzenie i przechowywanie dzienników i rekordów inspekcji systemu w zakresie wymaganym do włączenia monitorowania, analizy, badania i raportowania bezprawnej lub nieautoryzowanej aktywności systemu | [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z usługą Azure Arc z systemem Linux | 1.0.1—wersja zapoznawcza |
| Inspekcja i odpowiedzialność | 3.3.1 | Tworzenie i przechowywanie dzienników i rekordów inspekcji systemu w zakresie wymaganym do włączenia monitorowania, analizy, badania i raportowania bezprawnej lub nieautoryzowanej aktywności systemu | [Wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z systemem Windows Azure Arc | 1.0.1—wersja zapoznawcza |
| Inspekcja i odpowiedzialność | 3.3.2 | Upewnij się, że działania poszczególnych użytkowników systemu mogą być jednoznacznie śledzone dla tych użytkowników, dzięki czemu mogą być pociągnięci do odpowiedzialności za swoje działania. | [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z usługą Azure Arc z systemem Linux | 1.0.1—wersja zapoznawcza |
| Inspekcja i odpowiedzialność | 3.3.2 | Upewnij się, że działania poszczególnych użytkowników systemu mogą być jednoznacznie śledzone dla tych użytkowników, dzięki czemu mogą być pociągnięci do odpowiedzialności za swoje działania. | [Wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z systemem Windows Azure Arc | 1.0.1—wersja zapoznawcza |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.2.0 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.0.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.2.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.0.0 |
| Identyfikacja i uwierzytelnianie | 3.5.10 | Przechowywanie i przesyłanie tylko haseł chronionych kryptograficznie. | Przeprowadź inspekcję maszyn z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | 3.1.0 |
| Identyfikacja i uwierzytelnianie | 3.5.10 | Przechowywanie i przesyłanie tylko haseł chronionych kryptograficznie. | Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | 2.0.0 |
| Identyfikacja i uwierzytelnianie | 3.5.10 | Przechowywanie i przesyłanie tylko haseł chronionych kryptograficznie. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Identyfikacja i uwierzytelnianie | 3.5.2 | Uwierzytelnianie (lub weryfikowanie) tożsamości użytkowników, procesów lub urządzeń jako wymagania wstępne umożliwiającego dostęp do systemów organizacyjnych. | Przeprowadź inspekcję maszyn z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | 3.1.0 |
| Identyfikacja i uwierzytelnianie | 3.5.2 | Uwierzytelnianie (lub weryfikowanie) tożsamości użytkowników, procesów lub urządzeń jako wymagania wstępne umożliwiającego dostęp do systemów organizacyjnych. | Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | 2.0.0 |
| Identyfikacja i uwierzytelnianie | 3.5.2 | Uwierzytelnianie (lub weryfikowanie) tożsamości użytkowników, procesów lub urządzeń jako wymagania wstępne umożliwiającego dostęp do systemów organizacyjnych. | Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | 3.2.0 |
| Identyfikacja i uwierzytelnianie | 3.5.4 | Stosowanie mechanizmów uwierzytelniania odpornych na odtwarzanie w celu uzyskania dostępu sieciowego do kont uprzywilejowanych i nieuprzywilejowanych. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Identyfikacja i uwierzytelnianie | 3.5.7 | Wymuszanie minimalnej złożoności hasła i zmiany znaków podczas tworzenia nowych haseł. | Przeprowadź inspekcję maszyn z systemem Windows, które nie mają włączonego ustawienia złożoności hasła | 2.0.0 |
| Identyfikacja i uwierzytelnianie | 3.5.7 | Wymuszanie minimalnej złożoności hasła i zmiany znaków podczas tworzenia nowych haseł. | Przeprowadź inspekcję maszyn z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków | 2.1.0 |
| Identyfikacja i uwierzytelnianie | 3.5.8 | Zakazać ponownego użycia hasła dla określonej liczby generacji. | Przeprowadź inspekcję maszyn z systemem Windows, które umożliwiają ponowne użycie haseł po określonej liczbie unikatowych haseł | 2.1.0 |
NIST SP 800-53 Rev. 4
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — NIST SP 800-53 Rev. 4. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — NIST SP 800-53 Rev. 5. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-53 Rev. 5.
Motyw chmury NL BIO
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla tematu NL BIO Cloud Theme. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Baseline Information Security Government Cybersecurity - Digital Government (digitaleoverheid.nl).
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Zarządzanie lukami w zabezpieczeniach techniczne C.04.3 — osie czasu | C.04.3 | Jeśli prawdopodobieństwo nadużyć i oczekiwane szkody są wysokie, poprawki są instalowane nie później niż w ciągu tygodnia. | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| Zarządzanie lukami w zabezpieczeniach techniczne C.04.6 — osie czasu | C.04.6 | Wady techniczne można rozwiązać, wykonując zarządzanie poprawkami w odpowiednim czasie. | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| Ochrona danych u.05.1 — środki kryptograficzne | U.05.1 | Transport danych jest zabezpieczony za pomocą kryptografii, w której zarządzanie kluczami odbywa się przez samą csc, jeśli jest to możliwe. | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Ochrona przed złośliwym oprogramowaniem u.09.3 — wykrywanie, zapobieganie i odzyskiwanie | U.09.3 | Ochrona przed złośliwym oprogramowaniem jest uruchamiana w różnych środowiskach. | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| U.10.2 Dostęp do usług i danych IT — użytkownicy | U.10.2 | W ramach odpowiedzialności dostawcy CSP dostęp jest udzielany administratorom. | Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | 3.1.0 |
| U.10.2 Dostęp do usług i danych IT — użytkownicy | U.10.2 | W ramach odpowiedzialności dostawcy CSP dostęp jest udzielany administratorom. | Inspekcja maszyn z systemem Linux z kontami bez haseł | 3.1.0 |
| U.10.3 Dostęp do usług i danych IT — użytkownicy | U.10.3 | Tylko użytkownicy z uwierzytelnionymi sprzętami mogą uzyskiwać dostęp do usług i danych IT. | Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | 3.1.0 |
| U.10.3 Dostęp do usług i danych IT — użytkownicy | U.10.3 | Tylko użytkownicy z uwierzytelnionymi sprzętami mogą uzyskiwać dostęp do usług i danych IT. | Inspekcja maszyn z systemem Linux z kontami bez haseł | 3.1.0 |
| U.10.5 Dostęp do usług i danych IT — właściwy | U.10.5 | Dostęp do usług i danych IT jest ograniczony przez środki techniczne i został wdrożony. | Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | 3.1.0 |
| U.10.5 Dostęp do usług i danych IT — właściwy | U.10.5 | Dostęp do usług i danych IT jest ograniczony przez środki techniczne i został wdrożony. | Inspekcja maszyn z systemem Linux z kontami bez haseł | 3.1.0 |
| Kryptografia U.11.1 — zasady | U.11.1 | W polityce kryptograficznej co najmniej podmioty zgodne z BIO zostały opracowane. | Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | 2.0.0 |
| Kryptografia U.11.1 — zasady | U.11.1 | W polityce kryptograficznej co najmniej podmioty zgodne z BIO zostały opracowane. | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| U.11.2 Cryptoservices — miary kryptograficzne | U.11.2 | W przypadku certyfikatów PKIoverheid należy użyć wymagań PKIoverheid do zarządzania kluczami. W innych sytuacjach należy użyć ISO11770. | Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | 2.0.0 |
| U.11.2 Cryptoservices — miary kryptograficzne | U.11.2 | W przypadku certyfikatów PKIoverheid należy użyć wymagań PKIoverheid do zarządzania kluczami. W innych sytuacjach należy użyć ISO11770. | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Rejestrowanie i monitorowanie u.15.1 — zarejestrowane zdarzenia | U.15.1 | Naruszenie reguł zasad jest rejestrowane przez dostawcę CSP i CSC. | [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z usługą Azure Arc z systemem Linux | 1.0.1—wersja zapoznawcza |
| Rejestrowanie i monitorowanie u.15.1 — zarejestrowane zdarzenia | U.15.1 | Naruszenie reguł zasad jest rejestrowane przez dostawcę CSP i CSC. | [Wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z systemem Windows Azure Arc | 1.0.1—wersja zapoznawcza |
PCI DSS 3.2.1
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz PCI DSS 3.2.1. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz PCI DSS 3.2.1.
PCI DSS w wersji 4.0
Aby dowiedzieć się, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla standardu PCI DSS w wersji 4.0. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz PCI DSS v4.0.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Wymaganie 08: identyfikowanie użytkowników i uwierzytelnianie dostępu do składników systemowych | 8.3.6 | Silne uwierzytelnianie dla użytkowników i administratorów jest ustanawiane i zarządzane | Przeprowadź inspekcję maszyn z systemem Windows, które umożliwiają ponowne użycie haseł po określonej liczbie unikatowych haseł | 2.1.0 |
| Wymaganie 08: identyfikowanie użytkowników i uwierzytelnianie dostępu do składników systemowych | 8.3.6 | Silne uwierzytelnianie dla użytkowników i administratorów jest ustanawiane i zarządzane | Przeprowadź inspekcję maszyn z systemem Windows, które nie mają ustawionego maksymalnego wieku hasła na określoną liczbę dni | 2.1.0 |
| Wymaganie 08: identyfikowanie użytkowników i uwierzytelnianie dostępu do składników systemowych | 8.3.6 | Silne uwierzytelnianie dla użytkowników i administratorów jest ustanawiane i zarządzane | Przeprowadź inspekcję maszyn z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków | 2.1.0 |
Bank rezerw Indii — struktura IT dla NBFC
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — Reserve Bank of India — IT Framework for NBFC. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Reserve Bank of India - IT Framework for NBFC (Bank of India — struktura IT Framework dla NBFC).
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Nadzór IT | 1 | Ład IT-1 | Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | 1.0.0 |
| Informacje i zabezpieczenia cybernetyczne | 3.3 | Zarządzanie lukami w zabezpieczeniach —3.3 | Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | 1.0.0 |
Reserve Bank of India IT Framework for Banks v2016
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — RBI ITF Banks v2016. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz RBI ITF Banks v2016 (PDF).
SWIFT CSP-CSCF v2021
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla swift CSP-CSCF v2021. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz SWIFT CSP CSCF v2021.
SWIFT CSP-CSCF v2022
Aby dowiedzieć się, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla swift CSP-CSCF v2022. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz SWIFT CSP CSCF v2022.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.1 | Zapewnij poufność, integralność i autentyczność przepływów danych aplikacji między lokalnymi składnikami związanymi z usługą SWIFT. | Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | 3.2.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.1 | Zapewnij poufność, integralność i autentyczność przepływów danych aplikacji między lokalnymi składnikami związanymi z usługą SWIFT. | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2,2 | Zminimalizuj występowanie znanych luk technicznych na komputerach operatorów i lokalnej infrastruktury SWIFT, zapewniając obsługę dostawcy, stosowanie obowiązkowych aktualizacji oprogramowania i stosowanie aktualizacji zabezpieczeń w odpowiednim czasie dopasowanych do ocenianego ryzyka. | Przeprowadzanie inspekcji maszyn wirtualnych z systemem Windows z oczekującym ponownym uruchomieniem | 2.0.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.3 | Zmniejsz obszar cyberataków składników związanych z swift, wykonując wzmacnianie zabezpieczeń systemu. | Przeprowadź inspekcję maszyn z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | 3.1.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.3 | Zmniejsz obszar cyberataków składników związanych z swift, wykonując wzmacnianie zabezpieczeń systemu. | Przeprowadź inspekcję maszyn z systemem Windows, które zawierają certyfikaty wygasające w ciągu określonej liczby dni | 2.0.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.3 | Zmniejsz obszar cyberataków składników związanych z swift, wykonując wzmacnianie zabezpieczeń systemu. | Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | 2.0.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.4A | Zabezpieczenia Przepływ danych zaplecza | Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | 3.2.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.4A | Zabezpieczenia Przepływ danych zaplecza | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.6 | Ochrona poufności i integralności sesji operatorów interakcyjnych łączących się z lokalną lub zdalną (obsługiwaną przez dostawcę usług) infrastrukturą SWIFT lub aplikacjami dostawcy usług SWIFT | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.6 | Ochrona poufności i integralności sesji operatorów interakcyjnych łączących się z lokalną lub zdalną (obsługiwaną przez dostawcę usług) infrastrukturą SWIFT lub aplikacjami dostawcy usług SWIFT | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — logowanie interakcyjne | 3.0.0 |
| 4. Zapobieganie naruszeniu poświadczeń | 4.1 | Upewnij się, że hasła są wystarczająco odporne na typowe ataki na hasła, implementując i wymuszając obowiązujące zasady haseł. | Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | 3.1.0 |
| 4. Zapobieganie naruszeniu poświadczeń | 4.1 | Upewnij się, że hasła są wystarczająco odporne na typowe ataki na hasła, implementując i wymuszając obowiązujące zasady haseł. | Inspekcja maszyn z systemem Linux z kontami bez haseł | 3.1.0 |
| 4. Zapobieganie naruszeniu poświadczeń | 4.1 | Upewnij się, że hasła są wystarczająco odporne na typowe ataki na hasła, implementując i wymuszając obowiązujące zasady haseł. | Przeprowadź inspekcję maszyn z systemem Windows, które umożliwiają ponowne użycie haseł po określonej liczbie unikatowych haseł | 2.1.0 |
| 4. Zapobieganie naruszeniu poświadczeń | 4.1 | Upewnij się, że hasła są wystarczająco odporne na typowe ataki na hasła, implementując i wymuszając obowiązujące zasady haseł. | Przeprowadź inspekcję maszyn z systemem Windows, które nie mają ustawionego maksymalnego wieku hasła na określoną liczbę dni | 2.1.0 |
| 4. Zapobieganie naruszeniu poświadczeń | 4.1 | Upewnij się, że hasła są wystarczająco odporne na typowe ataki na hasła, implementując i wymuszając obowiązujące zasady haseł. | Przeprowadź inspekcję maszyn z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni | 2.1.0 |
| 4. Zapobieganie naruszeniu poświadczeń | 4.1 | Upewnij się, że hasła są wystarczająco odporne na typowe ataki na hasła, implementując i wymuszając obowiązujące zasady haseł. | Przeprowadź inspekcję maszyn z systemem Windows, które nie mają włączonego ustawienia złożoności hasła | 2.0.0 |
| 4. Zapobieganie naruszeniu poświadczeń | 4.1 | Upewnij się, że hasła są wystarczająco odporne na typowe ataki na hasła, implementując i wymuszając obowiązujące zasady haseł. | Przeprowadź inspekcję maszyn z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków | 2.1.0 |
| 5. Zarządzanie tożsamościami i segregowanie uprawnień | 5,1 | Wymuszanie zasad zabezpieczeń związanych z dostępem do wiedzy, najniższymi uprawnieniami i rozdzieleniem obowiązków dla kont operatorów. | Przeprowadź inspekcję maszyn z systemem Windows, które zawierają certyfikaty wygasające w ciągu określonej liczby dni | 2.0.0 |
| 5. Zarządzanie tożsamościami i segregowanie uprawnień | 5,4 | Ochrona fizycznie i logicznie repozytorium zarejestrowanych haseł. | Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | 2.0.0 |
Kontrolki systemu i organizacji (SOC) 2
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla kontroli systemu i organizacji (SOC) 2. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz System and Organization Controls (SOC) 2.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Kontrola dostępu logicznego i fizycznego | CC6.1 | Oprogramowanie zabezpieczeń dostępu logicznego, infrastruktura i architektury | Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | 3.2.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.1 | Oprogramowanie zabezpieczeń dostępu logicznego, infrastruktura i architektury | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Kontrola dostępu logicznego i fizycznego | CC6.6 | Środki bezpieczeństwa przed zagrożeniami poza granicami systemu | Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | 3.2.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.6 | Środki bezpieczeństwa przed zagrożeniami poza granicami systemu | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Kontrola dostępu logicznego i fizycznego | CC6.7 | Ograniczanie przenoszenia informacji do autoryzowanych użytkowników | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach | 1.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Program Endpoint Protection powinien być zainstalowany na maszynach | 1.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.2.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.0.0 |
| Operacje systemowe | CC7.2 | Monitorowanie składników systemowych pod kątem nietypowego zachowania | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.2.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.0.0 |
UK OFFICIAL i UK NHS
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — UK OFFICIAL i UK NHS. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz UK OFFICIAL.
Następne kroki
- Dowiedz się więcej o zgodności z przepisami usługi Azure Policy.
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.