你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Policy 内置策略定义

此页是 Azure Policy 内置策略定义的索引。

每个内置链接(指向 Azure 门户中的策略定义)的名称。 使用“源”列中的链接查看 Azure Policy GitHub 存储库上的源。 这些内置项按元数据中的 category 属性进行分组。 若要跳转到特定的类别,请使用页面右侧的菜单。 否则,请按 Ctrl-F 来使用浏览器的搜索功能。

API for FHIR

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure API for FHIR 应使用客户管理的密钥对数据进行静态加密 根据相关的法规或合规性要求,请使用客户管理的密钥来控制对 Azure API for FHIR 中存储的数据的静态加密。 客户托管密钥还提供双重加密,方法是在使用服务托管密钥完成的默认加密层上添加另一层加密。 审核、审核、禁用、禁用 1.1.0
Azure API for FHIR 应使用专用链接 Azure API for FHIR 应至少具有一个获得批准的专用终结点连接。 虚拟网络中的客户端可以安全地访问通过专用链接获得专用终结点连接的资源。 有关详细信息,请访问:https://aka.ms/fhir-privatelink Audit、Disabled 1.0.0
CORS 不应允许每个域都能访问 API for FHIR 跨源资源共享 (CORS) 不应允许所有域都能访问你的 API for FHIR。 为了保护 API for FHIR,请删除所有域的访问权限,并显式定义允许连接的域。 审核、审核、禁用、禁用 1.1.0

API 管理

名称
(Azure 门户)
说明 效果 版本
(GitHub)
API 管理 API 应仅使用加密协议 API 应使用加密协议。 API 不应使用未加密的协议,如 HTTP 或 WS。 审核、已禁用、拒绝 2.0.1
API 管理对 API 后端的调用应进行身份验证 从 API 管理对后端的调用应使用某种形式的身份验证,无论是通过证书还是凭据。 不适用于 Service Fabric 后端。 审核、已禁用、拒绝 1.0.1
API 管理对 API 后端的调用不应绕过证书指纹或名称验证 从 API 管理对 API 后端的调用应验证证书指纹和证书名称。 审核、已禁用、拒绝 1.0.1
API 管理不应启用直接 API 管理终结点 Azure API 管理提供直接管理 REST API,它可以绕过基于 Azure 资源管理器 API 的某些限制,且默认情况下不应启用。 审核、已禁用、拒绝 1.0.1
API 管理最低 API 版本应设置为 2019-12-01 或更高版本 若要阻止服务机密与只读用户共享,应将最低 API 版本设置为 2019-12-01 或更高版本。 Audit、Deny、Disabled 1.0.1
API 管理命名值机密应存储在 Azure KeyVault 中 命名值中引用的机密应将值存储在 Azure KeyVault 中,而不是存储在命名值存储中。 审核、已禁用、拒绝 1.0.1
API 管理服务应使用支持虚拟网络的 SKU 有了 API 管理支持的 SKU,将服务部署到虚拟网络中就可以解锁高级 API 管理网络和安全功能,从而更全面地控制网络安全配置。 有关详细信息,请访问:https://aka.ms/apimvnet Audit、Deny、Disabled 1.0.0
API 管理服务应禁用公用网络访问 若要提高 API 管理服务的安全性,请确保终结点不会公开到公共 Internet。 一些公共终结点由 API 管理服务公开,以支持用户方案,例如对管理 API 的直接访问、使用 Git 管理配置、自承载网关配置。 如果不使用这些功能中的任何一个,则应禁用相应的终结点。 AuditIfNotExists、Disabled 1.0.0
API 管理服务应使用虚拟网络 Azure 虚拟网络部署提供了增强的安全性和隔离,并允许你将 API 管理服务放置在不可经 Internet 路由的网络(你控制对其的访问权限)中。 然后,可以使用各种 VPN 技术将这些网络连接到本地网络,这样就能够访问网络中的和/或本地的后端服务。 可以将开发人员门户和 API 网关配置为可以从 Internet 访问或只能在虚拟网络内访问。 Audit、Disabled 1.0.1
API 管理订阅不应限于“所有 API”范围。 API 管理订阅应限于产品或单个 API,而非所有 API,否则可能会公开 API 管理实例中的所有 API。 审核、已禁用、拒绝 1.0.0
配置 API 管理服务以禁用公用网络访问 若要提高 API 管理服务的安全性,请禁用公共终结点。 一些公共终结点由 API 管理服务公开,以支持用户方案,例如对管理 API 的直接访问、使用 Git 管理配置、自承载网关配置。 如果不使用这些功能中的任何一个,则应禁用相应的终结点。 DeployIfNotExists、Disabled 1.0.0

应用程序配置

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应用配置应禁用公用网络访问 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint Audit、Deny、Disabled 1.0.0
应用程序配置应使用客户管理的密钥 客户管理的密钥可便于管理加密密钥,从而提供增强的数据保护。 这通常是满足合规性要求所必需的。 Audit、Deny、Disabled 1.1.0
应用配置应使用支持专用链接的 SKU 使用受支持的 SKU 时,Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint Audit、Deny、Disabled 1.0.0
应用程序配置应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint AuditIfNotExists、Disabled 1.0.2
应用程序配置存储应禁用本地身份验证方法 禁用本地身份验证方法可确保应用程序配置存储需要专用于身份验证的 Azure Active Directory 标识,从而提高安全性。 有关详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2161954 Audit、Deny、Disabled 1.0.0
配置应用程序配置存储以禁用本地身份验证方法 禁用本地身份验证方法,使应用程序配置存储需要专门针对身份验证的 Azure Active Directory 标识。 有关详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2161954 修改,已禁用 1.0.0
将应用配置配置为禁用公用网络访问 禁用对应用配置的公用网络访问,确保无法通过公共 Internet 对其进行访问。 此配置有助于这些帐户防范数据泄露风险。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint 修改,已禁用 1.0.0
为连接到应用配置的专用终结点配置专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 可将专用 DNS 区域链接到你的虚拟网络,以解析应用配置实例。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint DeployIfNotExists、Disabled 1.0.0
为应用配置配置专用终结点 专用终结点可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到应用配置实例,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint DeployIfNotExists、Disabled 1.0.0

应用平台

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:[预览]:审核未启用分布式跟踪的 Azure Spring Cloud 实例 可以通过 Azure Spring Cloud 中的分布式跟踪工具调试和监视应用程序中微服务之间的复杂互连。 分布式跟踪工具应已启用并处于正常状态。 Audit、Disabled 1.0.0-preview
Azure Spring Cloud 应使用网络注入 Azure Spring Cloud 实例应使用虚拟网络注入实现以下目的:1. 将 Azure Spring Cloud 与 Internet 隔离。 2. 使 Azure Spring Cloud 能够与本地数据中心内的系统和/或其他虚拟网络中的 Azure 服务内的系统进行交互。 3. 授权客户控制 Azure Spring Cloud 的入站和出站网络通信。 审核、已禁用、拒绝 1.1.0

应用服务

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应用服务应用槽应为 FTP 部署禁用本地身份验证方法 禁用本地身份验证方法可确保应用服务槽仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth AuditIfNotExists、Disabled 1.0.1
应用服务应用槽应为 SCM 网站部署禁用本地身份验证方法 禁用本地身份验证方法可确保应用服务槽仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth AuditIfNotExists、Disabled 1.0.2
只应通过 HTTPS 访问应用服务应用槽 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 审核、已禁用、拒绝 1.0.0
应用服务应用应注入到虚拟网络中 将应用服务应用注入虚拟网络可以解锁高级应用服务网络和安全功能,并更好地控制网络安全配置。 有关详细信息,请访问:https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet Audit、Deny、Disabled 2.0.0
应用服务应用应启用到 Azure 虚拟网络的出站非 RFC 1918 流量 默认情况下,如果有人使用区域性 Azure 虚拟网络 (VNET) 集成,那么应用仅将 RFC1918 流量路由到相应的这个虚拟网络中。 通过使用 API 将“vnetRouteAllEnabled”设置为 true,可使所有出站流量流入 Azure 虚拟网络。 通过此设置,可对来自应用服务应用的所有出站流量使用网络安全组和用户定义的路由等功能。 AuditIfNotExists、Disabled 1.0.0
应用服务应用应启用“客户端证书(传入客户端证书)” 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 Audit、Disabled 2.0.0
应用服务应用应启用身份验证 Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问 Web 应用,或在令牌访问 Web 应用之前对其进行身份验证。 AuditIfNotExists、Disabled 2.0.1
应用服务应用应为 FTP 部署禁用本地身份验证方法 禁用本地身份验证方法可确保应用服务仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth AuditIfNotExists、Disabled 1.0.1
应用服务应用应为 SCM 网站部署禁用本地身份验证方法 禁用本地身份验证方法可确保应用服务仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth AuditIfNotExists、Disabled 1.0.1
应用服务应用应禁用远程调试 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 AuditIfNotExists、Disabled 2.0.0
应用服务应用应已启用资源日志 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 AuditIfNotExists、Disabled 2.0.1
应用服务应用不应将 CORS 配置为允许每个资源访问应用 跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许所需的域与应用交互。 AuditIfNotExists、Disabled 2.0.0
只应通过 HTTPS 访问应用服务应用 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 审核、已禁用、拒绝 3.0.0
应用服务应用应仅需要 FTPS 启用“FTPS 强制实施”以增强安全性。 AuditIfNotExists、Disabled 3.0.0
应用服务应用应使用支持专用链接的 SKU 使用受支持的 SKU 时,Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/private-link Audit、Deny、Disabled 3.0.0
应用服务应用应将 Azure 文件共享用于其内容目录 应用的内容目录应位于 Azure 文件共享中。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用 Azure 文件存储来托管应用服务内容,请参阅 https://go.microsoft.com/fwlink/?linkid=2151594 Audit、Disabled 2.0.0
应用服务应用应使用最新“HTTP 版本” 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 AuditIfNotExists、Disabled 3.0.0
应用服务应用应使用托管标识 使用托管标识以实现增强的身份验证安全性 AuditIfNotExists、Disabled 3.0.0
应用服务应用应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/private-link AuditIfNotExists、Disabled 1.0.1
应用服务应用应使用最新的 TLS 版本 升级到最新 TLS 版本。 AuditIfNotExists、Disabled 2.0.0
使用 Java 的应用服务应用应使用最新“Java 版本” 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 Web 应用的最新 Java 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux 应用。 AuditIfNotExists、Disabled 3.0.0
使用 PHP 的应用服务应用应使用最新“PHP 版本” 我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 PHP 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 目前,此策略仅适用于 Linux 应用。 AuditIfNotExists、Disabled 3.0.0
使用 Python 的应用服务应用应使用最新“Python 版本” 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 Python 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 AuditIfNotExists、Disabled 4.0.0
不应通过公共 Internet 访问应用服务环境应用 为了确保无法通过公共 Internet 访问应用服务环境中部署的应用程序,应在虚拟网络中部署具有 IP 地址的应用服务环境。 若要将 IP 地址设置为虚拟网络 IP,必须使用内部负载均衡器部署应用服务环境。 Audit、Deny、Disabled 2.0.0
应使用最强的 TLS 密码套件配置应用服务环境 应用服务环境正常运行所需的两个最小和最强密码套件是:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 和 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。 Audit、Disabled 1.0.0
应使用最新版本预配应用服务环境 仅允许预配应用服务环境版本 2 或版本 3。 早期版本的应用服务环境需要手动管理 Azure 资源且缩放限制更严格。 Audit、Deny、Disabled 1.0.0
应用服务环境应启用内部加密 如果将 InternalEncryption 设置为 true,会对应用服务环境中前端和辅助角色之间的页面文件、辅助角色磁盘和内部网络流量进行加密。 若要了解详细信息,请查看 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption Audit、Disabled 1.0.1
应用服务环境应禁用 TLS 1.0 和 1.1 TLS 1.0 和 1.1 协议已过时,不支持现代加密算法。 禁用入站 TLS 1.0 和 1.1 流量可帮助保护应用服务环境中的应用。 Audit、Deny、Disabled 2.0.1
应用服务应禁用公用网络访问 禁用公用网络访问可确保应用服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制应用服务的公开。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint AuditIfNotExists、Disabled 1.0.0
配置应用服务应用槽以禁用 FTP 部署的本地身份验证 对 FTP 部署禁用本地身份验证方法,使应用服务槽仅将 Azure Active Directory 标识作为身份验证方法。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth DeployIfNotExists、Disabled 1.0.1
配置应用服务应用槽以禁用 SCM 网站的本地身份验证 对 SCM 站点禁用本地身份验证方法,使应用服务槽仅将 Azure Active Directory 标识作为身份验证方法。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth DeployIfNotExists、Disabled 1.0.1
将应用服务应用槽配置为只能通过 HTTPS 访问 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 修改,已禁用 1.0.0
配置应用服务应用以禁用 FTP 部署的本地身份验证 对 FTP 部署禁用本地身份验证方法,使应用服务仅将 Azure Active Directory 标识作为身份验证方法。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth DeployIfNotExists、Disabled 1.0.1
配置应用服务应用以禁用 SCM 网站的本地身份验证 对 SCM 站点禁用本地身份验证方法,使应用服务仅将 Azure Active Directory 标识作为身份验证方法。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth DeployIfNotExists、Disabled 1.0.1
将应用服务应用配置为只能通过 HTTPS 访问 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 修改,已禁用 1.0.0
将应用服务应用配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域将虚拟网络链接到应用服务。 有关详细信息,请访问:https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns DeployIfNotExists、Disabled 1.0.1
配置应用程序服务以禁用公用网络访问 禁用对应用服务的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint DeployIfNotExists、Disabled 1.0.0
确保函数应用已启用“客户端证书(传入客户端证书)” 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 Audit、Disabled 2.0.0
函数应用应启用身份验证 Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问函数应用,或在令牌访问函数应用之前对其进行身份验证。 AuditIfNotExists、Disabled 3.0.0
函数应用应已禁用远程调试 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 AuditIfNotExists、Disabled 2.0.0
函数应用不应将 CORS 配置为允许每个资源访问应用 跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。 AuditIfNotExists、Disabled 2.0.0
只应通过 HTTPS 访问函数应用 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 Audit、Disabled 3.0.0
函数应用应仅需要 FTPS 启用“FTPS 强制实施”以增强安全性。 AuditIfNotExists、Disabled 3.0.0
函数应用应使用 Azure 文件共享作为其内容目录 函数应用的内容目录应位于 Azure 文件共享中。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用 Azure 文件存储来托管应用服务内容,请参阅 https://go.microsoft.com/fwlink/?linkid=2151594 Audit、Disabled 2.0.0
函数应用应使用最新“HTTP 版本” 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux 应用。 AuditIfNotExists、Disabled 3.0.0
函数应用应使用托管标识 使用托管标识以实现增强的身份验证安全性 AuditIfNotExists、Disabled 3.0.0
函数应用应使用最新 TLS 版本 升级到最新 TLS 版本。 AuditIfNotExists、Disabled 2.0.0
使用 Java 的函数应用应使用最新“Java 版本” 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Java 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux 应用。 AuditIfNotExists、Disabled 3.0.0
使用 Python 的函数应用应使用最新“Python 版本” 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 此策略仅适用于 Linux 应用,因为 Windows 应用不支持 Python。 AuditIfNotExists、Disabled 4.0.0

证明

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure 证明提供程序应禁用公用网络访问 若要提高 Azure 证明服务资源的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如 aka.ms/azureattestation 中所述禁用公用网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 Audit、Deny、Disabled 1.0.0
Azure 证明提供程序应使用专用终结点 专用终结点提供了一种将 Azure 证明提供程序连接到 Azure 资源,而无需通过公共 Internet 发送流量的方法。 通过阻止公共访问,专用终结点有助于防范意外的匿名访问。 AuditIfNotExists、Disabled 1.0.0

自动管理

名称
(Azure 门户)
说明 效果 版本
(GitHub)
将虚拟机配置为加入 Azure Automanage Azure Automanage 按照 Azure Microsoft 云采用框架中定义的最佳做法来注册、配置和监视虚拟机。 使用此策略将自动管理应用到所选范围。 AuditIfNotExists、DeployIfNotExists、Disabled 2.2.0
使用自定义配置文件将虚拟机配置为加入 Azure Automanage Azure Automanage 按照 Azure Microsoft 云采用框架中定义的最佳做法来注册、配置和监视虚拟机。 使用此策略可将 Automanage 与你自己的自定义配置文件一起应用到所选范围。 AuditIfNotExists、DeployIfNotExists、Disabled 1.2.0
应为 Windows Server Azure Edition VM 启用热补丁 使用热补丁最大限度地减少重新启动并快速安装更新。 有关详细信息,请访问 https://docs.microsoft.com/azure/automanage/automanage-hotpatch Audit、Deny、Disabled 1.0.0

自动化

名称
(Azure 门户)
说明 效果 版本
(GitHub)
自动化帐户变量应加密 存储敏感数据时,请务必启用自动化帐户变量资产加密 Audit、Deny、Disabled 1.1.0
自动化帐户应禁用公用网络访问 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 可以改为通过创建专用终结点来限制自动化帐户资源的公开。 有关详细信息,请访问:https://docs.microsoft.com/azure/automation/how-to/private-link-security Audit、Deny、Disabled 1.0.0
Azure 自动化帐户应禁用本地身份验证方法 禁用本地身份验证方法可确保 Azure 自动化帐户仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 Audit、Deny、Disabled 1.0.0
Azure 自动化帐户应使用客户管理的密钥来加密静态数据 使用客户管理的密钥来管理 Azure 自动化帐户的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 有关详细信息,请访问 [https://aka.ms/automation-cmk](../../../../articles/automation/automation-secure-asset-encryption.md#:~:text=使用 Microsoft 管理的密钥保护 Azure 自动化中的资产,包括凭据、证书、连接)。 Audit、Deny、Disabled 1.0.0
配置 Azure 自动化帐户以禁用本地身份验证 禁用本地身份验证方法,使 Azure 自动化帐户仅将 Azure Active Directory 标识作为身份验证方法。 修改,已禁用 1.0.0
将 Azure 自动化帐户配置为禁用公用网络访问 禁用对 Azure 自动化帐户的公用网络访问,确保无法通过公共 Internet 访问该帐户。 此配置有助于这些帐户防范数据泄露风险。 可以改为通过创建专用终结点来限制自动化帐户资源的公开。 有关详细信息,请访问:https://aka.ms/privateendpoints 修改,已禁用 1.0.0
为 Azure 自动化帐户配置专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 需要正确配置专用 DNS 区域,以便通过 Azure 专用链接来连接到 Azure 自动化帐户。 有关详细信息,请访问:https://aka.ms/privatednszone DeployIfNotExists、Disabled 1.0.0
在 Azure 自动化帐户上配置专用终结点连接 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Azure 自动化帐户建立专用连接,从而实现安全通信。 若要详细了解 Azure 自动化中的专用终结点,请访问 https://docs.microsoft.com/azure/automation/how-to/private-link-security DeployIfNotExists、Disabled 1.0.0
应启用自动化帐户上的专用终结点连接 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与自动化帐户建立专用连接,从而实现安全通信。 若要详细了解 Azure 自动化中的专用终结点,请访问 https://docs.microsoft.com/azure/automation/how-to/private-link-security AuditIfNotExists、Disabled 1.0.0

Azure Active Directory

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Active Directory 域服务托管域应使用仅限 TLS 1.2 模式 为托管域使用仅限 TLS 1.2 模式。 默认情况下,Azure AD 域服务允许使用 NTLM v1 和 TLS v1 等密码。 某些旧版应用程序可能需要这些密码,但这些密码视为弱密码,如果不需要,可以将其禁用。 如果启用仅限 TLS 1.2 模式,那么任何发出请求但未使用 TLS 1.2 的客户端都将失败。 更多信息请访问 https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain Audit、Deny、Disabled 1.1.0
Azure Active Directory 应使用专用链接访问 Azure 服务 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure AD,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateLinkforAzureADDocs。 它应仅用于从单独的 VNET 到 Azure 服务,不能访问 Internet 或其他服务 (M365)。 AuditIfNotExists、Disabled 1.0.0
为 Azure AD 配置专用链接以使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到你的虚拟网络,以解析到 Azure AD。 有关详细信息,请访问:https://aka.ms/privateLinkforAzureADDocs DeployIfNotExists、Disabled 1.0.0
使用专用终结点为 Azure AD 配置专用链接 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure AD,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateLinkforAzureADDocs。 它应仅用于从单独的 VNET 到 Azure 服务,不能访问 Internet 或其他服务 (M365)。 DeployIfNotExists、Disabled 1.0.0

Azure Arc

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应使用专用终结点配置 Azure Arc 专用链接范围 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Arc 专用链接范围,降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/arc/privatelink Audit、Disabled 1.0.0
Azure Arc 专用链接范围应禁用公共网络访问权限 禁用公共网络访问权限通过确保 Azure Arc 资源无法通过公共 Internet 连接来提高安全性。 创建专用终结点可以限制 Azure Arc 资源的公开。 有关详细信息,请访问:https://aka.ms/arc/privatelink Audit、Deny、Disabled 1.0.0
应为已启用 Azure Arc 的服务器配置 Azure Arc 专用链接范围 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将已启用 Azure Arc 的服务器映射到配置了专用终结点的 Azure Arc 专用链接范围,降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/arc/privatelink Audit、Deny、Disabled 1.0.0
配置 Azure Arc 专用链接范围以禁用公共网络访问权限 禁用 Azure Arc 专用链接范围的公共网络访问权限,以便关联的 Azure Arc 资源无法通过公共 Internet 连接到 Azure Arc 服务。 这可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/arc/privatelink 修改,已禁用 1.0.0
将 Azure Arc 专用链接范围配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Arc 专用链接范围。 有关详细信息,请访问:https://aka.ms/arc/privatelink DeployIfNotExists、Disabled 1.0.0
使用专用终结点配置 Azure Arc 专用链接范围 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Arc 专用链接范围,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/arc/privatelink DeployIfNotExists、Disabled 1.0.0
将已启用 Azure Arc 的服务器配置为使用 Azure Arc 专用链接范围 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将已启用 Azure Arc 的服务器映射到配置了专用终结点的 Azure Arc 专用链接范围,降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/arc/privatelink 修改,已禁用 1.0.0

Azure 数据资源管理器

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure 数据资源管理器静态加密应使用客户管理的密钥 对 Azure 数据资源管理器群集使用客户管理的密钥启用静态加密,可提供针对静态加密所使用密钥的额外控制。 此功能通常适用于具有特殊合规性要求并且需要使用 Key Vault 管理密钥的客户。 Audit、Deny、Disabled 1.0.0
应为 Azure 数据资源管理器启用磁盘加密 启用磁盘加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 Audit、Deny、Disabled 2.0.0
应为 Azure 数据资源管理器启用双重加密 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 Audit、Deny、Disabled 2.0.0
应为 Azure 数据资源管理器启用虚拟网络注入 通过虚拟网络注入保护网络边界,借助该虚拟网络注入,可以强制实施网络安全组规则,在本地连接并使用服务终结点保护数据连接源。 Audit、Deny、Disabled 1.0.0

Azure Databricks

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Databricks 工作区应禁用公用网络访问 Azure Databricks 工作区应禁用公用网络访问。 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 了解详细信息:https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject Audit、Deny、Disabled 1.0.0

Azure Edge Hardware Center

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Edge Hardware Center 设备应启用双重加密支持 确保从 Azure Edge Hardware Center 订购的设备启用了双重加密支持,以保护设备上的静态数据。 此选项将添加第二层数据加密。 Audit、Deny、Disabled 2.0.0

Azure 负载测试

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure 负载测试资源应使用客户管理的密钥来加密静态数据 使用客户管理的密钥 (CMK) 来管理 Azure 负载测试资源的静态加密。 默认情况下,加密使用服务托管密钥完成,客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal Audit、Deny、Disabled 1.0.0

Azure Purview

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Purview 帐户应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Purview 帐户(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/purview-private-link Audit、Disabled 1.0.0

Azure Stack Edge

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Stack Edge 设备应使用双重加密 若要在设备上保护静态数据,请确保静态数据已双重加密,已控制对数据的访问,并在设备停用后从数据磁盘安全地清除数据。 双重加密使用两层加密:数据卷上的 BitLocker XTS-AES 256 位加密和硬盘驱动器上的内置加密。 有关详细信息,请参阅特定 Stack Edge 设备的安全概述文档。 audit、Audit、deny、Deny、disabled、Disabled 1.1.0

备份

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:[预览]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 使用客户管理的密钥来管理备份数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/AB-CmkEncryption Audit、Deny、Disabled 1.0.0-preview
[预览]:[预览]:Azure 恢复服务保管库应使用专用链接进行备份 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 恢复服务保管库,可以减少数据泄漏风险。 有关专用链接的详细信息,请访问:https://aka.ms/AB-PrivateEndpoints Audit、Disabled 2.0.0-preview
[预览]:[预览]:将具有给定标记的 Blob 存储帐户配置为备份到同一区域中的现有备份保管库 将包含给定标记的所有存储帐户上的 Blob 强制备份到中心备份保管库。 这有助于大规模管理包含在多个存储帐户中的 Blob 的备份。 如需更多详细信息,请参阅 https://aka.ms/AB-BlobBackupAzPolicies DeployIfNotExists、AuditIfNotExists、Disabled 2.0.0-preview
[预览]:[预览]:为不包含给定标记的所有存储帐户配置 Blob 备份到同一区域中的备份保管库 对不包含给定标记的所有存储帐户上的 Blob 强制备份到中心备份保管库。 这有助于大规模管理包含在多个存储帐户中的 Blob 的备份。 如需更多详细信息,请参阅 https://aka.ms/AB-BlobBackupAzPolicies DeployIfNotExists、AuditIfNotExists、Disabled 2.0.0-preview
[预览]:[预览]:配置恢复服务保管库以使用专用 DNS 区域进行备份 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到恢复服务保管库。 有关详细信息,请访问:https://aka.ms/AB-PrivateEndpoints DeployIfNotExists、Disabled 1.0.1-preview
[预览]:[预览]:配置恢复服务保管库以使用专用终结点进行备份 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到恢复服务保管库,可以降低数据泄露风险。 请注意,保管库需要满足某些先决条件,才有资格进行专用终结点配置。 了解详细信息:https://go.microsoft.com/fwlink/?linkid=2187162 DeployIfNotExists、Disabled 1.0.0-preview
应为虚拟机启用 Azure 备份 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 AuditIfNotExists、Disabled 3.0.0
配置带给定标记的虚拟机上的备份并备份到包含默认策略的新恢复服务保管库 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMAppCentricBackupIncludeTag auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 9.0.0
配置带给定标记的虚拟机上的备份并备份到同一位置中的现有恢复服务保管库 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMCentralBackupIncludeTag auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 9.0.0
配置不带给定标记的虚拟机上的备份并备份到包含默认策略的新恢复服务保管库 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMAppCentricBackupExcludeTag auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 9.0.0
配置将不带给定标记的虚拟机备份到同一位置中的现有恢复服务保管库 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMCentralBackupExcludeTag auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 9.0.0
将恢复服务保管库的诊断设置部署到资源专有类别的 Log Analytics 工作区。 部署恢复服务保管库的诊断设置,以便将数据流式传输到资源专有类别的 Log Analytics 工作区。 如果未启用任何资源专有类别,则会新建诊断设置。 deployIfNotExists 1.0.2

Batch

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Batch 帐户应使用客户管理的密钥来加密数据 使用客户管理的密钥来管理 Batch 帐户数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/Batch-CMK Audit、Deny、Disabled 1.0.1
Azure Batch 池应启用磁盘加密 启用 Azure Batch 磁盘加密可确保始终在 Azure Batch 计算节点上对数据进行静态加密。 有关 Batch 中的磁盘加密的详细信息,请访问 https://docs.microsoft.com/azure/batch/disk-encryption 审核、已禁用、拒绝 1.0.0
Batch 帐户应禁用本地身份验证方法 禁用本地身份验证方法可确保 Batch 帐户需要专用于身份验证的 Azure Active Directory 标识,从而提高安全性。 有关详细信息,请访问:https://aka.ms/batch/auth Audit、Deny、Disabled 1.0.0
配置 Batch 帐户以禁用本地身份验证 禁用本地身份验证方法,使 Batch 帐户需要专门针对身份验证的 Azure Active Directory 标识。 有关详细信息,请访问:https://aka.ms/batch/auth 修改,已禁用 1.0.0
将批处理帐户配置为禁用公用网络访问 禁用批处理帐户上的公用网络访问可确保只能从专用终结点访问批处理帐户,从而提高安全性。 如需深入了解有关公用网络访问的信息,请访问 https://docs.microsoft.com/azure/batch/private-connectivity 修改,已禁用 1.0.0
为 Batch 帐户配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Batch 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/batch/private-connectivity DeployIfNotExists、Disabled 1.0.0
部署 - 为连接到 Batch 帐户的专用终结点配置专用 DNS 区域 可以通过专用 DNS 记录建立到专用终结点的专用连接。 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Batch 帐户建立专用连接,从而实现安全通信。 有关 Batch 中专用终结点和 DNS 区域的详细信息,请参阅 https://docs.microsoft.com/azure/batch/private-connectivity DeployIfNotExists、Disabled 1.0.0
应针对 Batch 帐户配置指标警报规则 审核是否已针对 Batch 帐户配置指标警报规则,以启用所需指标 AuditIfNotExists、Disabled 1.0.0
应启用 Batch 帐户上的专用终结点连接 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Batch 帐户建立专用连接,从而实现安全通信。 若要详细了解 Batch 中的专用终结点,请访问 https://docs.microsoft.com/azure/batch/private-connectivity AuditIfNotExists、Disabled 1.0.0
应对批处理帐户禁用公用网络访问 禁用批处理帐户上的公用网络访问可确保只能从专用终结点访问批处理帐户,从而提高安全性。 如需深入了解有关公用网络访问的信息,请访问 https://docs.microsoft.com/azure/batch/private-connectivity Audit、Deny、Disabled 1.0.0
应启用 Batch 帐户中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0

机器人服务

名称
(Azure 门户)
说明 效果 版本
(GitHub)
机器人服务终结点应是有效的 HTTPS URI 传输过程中数据可能会被篡改。 存在一些协议提供加密,可解决滥用和篡改问题。 若要确保机器人仅通过加密通道进行通信,请将终结点设置为有效的 HTTPS URI。 这样可确保使用 HTTPS 协议对传输中的数据进行加密,并且这通常也是符合法规或行业标准的要求。 请访问:https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines 审核、审核、拒绝、拒绝、禁用、禁用 1.1.0
机器人服务应使用客户管理的密钥进行加密 Azure 机器人服务自动加密你的资源,以保护数据并实现组织安全性和合规性承诺。 默认使用 Microsoft 管理的加密密钥。 为了能够更灵活地管理密钥或控制对订阅的访问,请选择“客户管理的密钥”(亦称为“创建自己的密钥 (BYOK)”)。 详细了解 Azure 机器人服务加密:https://docs.microsoft.com/azure/bot-service/bot-service-encryption audit、Audit、deny、Deny、disabled、Disabled 1.1.0
机器人服务应启用隔离模式 机器人应设置为“仅隔离”模式。 此设置会配置需要禁用公共 Internet 流量的机器人服务通道。 审核、审核、拒绝、拒绝、禁用、禁用 2.1.0
机器人服务应已禁用本地身份验证方法 禁用本地身份验证方法可确保机器人仅将 AAD 专用于身份验证,从而提高安全性。 Audit、Deny、Disabled 1.0.0
机器人服务应禁用公用网络访问 机器人应设置为“仅隔离”模式。 此设置会配置需要禁用公共 Internet 流量的机器人服务通道。 Audit、Deny、Disabled 1.0.0
BotService 资源应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 BotService 资源,可以降低数据泄露风险。 Audit、Disabled 1.0.0
将 BotService 资源配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 BotService 相关资源。 有关详细信息,请访问:https://aka.ms/privatednszone DeployIfNotExists、Disabled 1.0.0
使用专用终结点配置 BotService 资源 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到 BotService 资源,可以降低数据泄露风险。 DeployIfNotExists、Disabled 1.0.0

缓存

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Cache for Redis 应禁用公用网络访问 禁用公用网络访问可确保 Azure Cache for Redis 不会在公共 Internet 上公开,从而提高安全性。 可以改为通过创建专用终结点来限制 Azure Cache for Redis 的公开。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link Audit、Deny、Disabled 1.0.0
Azure Cache for Redis 应使用专用链接 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 实例,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link AuditIfNotExists、Disabled 1.0.0
将 Azure Cache for Redis 配置为禁用公用网络访问 禁用对 Azure Cache for Redis 资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这有助于降低缓存的数据泄露风险。 修改,已禁用 1.0.0
将 Azure Cache for Redis 配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 可将专用 DNS 区域链接到你的虚拟网络,以解析到 Azure Cache for Redis。 有关详细信息,请访问:https://aka.ms/privatednszone DeployIfNotExists、Disabled 1.0.0
为 Azure Cache for Redis 配置专用终结点 专用终结点可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 资源,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/redis/privateendpoint DeployIfNotExists、Disabled 1.0.0
只能与 Azure Cache for Redis 建立安全连接 审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 Audit、Deny、Disabled 1.0.0

CDN

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Front Door 配置文件应使用支持托管的 WAF 规则和专用链接的高级层 Azure Front Door 高级版支持 Azure 托管 WAF 规则和受支持的 Azure 源的专用链接。 Audit、Deny、Disabled 1.0.0
Azure Front Door 标准版和高级版应运行最低 TLS 版本 1.2 将最低 TLS 版本设置为 1.2 可以确保从使用 TLS 1.2 或更高版本的客户端访问自定义域,从而提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们很弱,不支持新式加密算法。 Audit、Deny、Disabled 1.0.0
保护 Azure Front Door 高级版与 Azure 存储 Blob 或 Azure 应用服务之间的专用连接 专用链接可确保 AFD 高级版与 Azure 存储 Blob 或 Azure 应用服务之间跨 Azure 主干网络的专用连接,而不会向 Internet 公开 Azure 存储 Blob 或 Azure 应用服务。 Audit、Disabled 1.0.0

认知服务

名称
(Azure 门户)
说明 效果 版本
(GitHub)
认知服务帐户应禁用公用网络访问 禁用公用网络访问可确保认知服务帐户不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制认知服务帐户的公开。 有关详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800 Audit、Deny、Disabled 3.0.0
认知服务帐户应启用使用客户管理的密钥进行数据加密的功能 为了满足法规符合性标准,通常需要使用客户管理的密钥。 利用客户管理的密钥,可以使用由你创建并拥有的 Azure Key Vault 密钥对存储在认知服务中的数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 通过 https://go.microsoft.com/fwlink/?linkid=2121321 详细了解客户管理的密钥。 Audit、Deny、Disabled 2.0.0
认知服务帐户应禁用本地身份验证方法 禁用本地身份验证方法可确保认知服务帐户需要专用于身份验证的 Azure Active Directory 标识,从而提高安全性。 有关详细信息,请访问:https://aka.ms/cs/auth Audit、Deny、Disabled 1.0.0
认知服务帐户应限制网络访问 应限制对认知服务帐户的网络访问。 配置网络规则,使只有来自允许的网络的应用程序才能访问认知服务帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络或到公共 Internet IP 地址范围的流量授予访问权限。 Audit、Deny、Disabled 3.0.0
认知服务帐户应使用托管标识 向认知服务帐户分配托管标识有助于确保身份验证安全。 此认知服务帐户使用该标识以安全方式与其他 Azure 服务(如 Azure Key Vault)进行通信,你无需管理任何凭据。 Audit、Deny、Disabled 1.0.0
认知服务帐户应使用客户自有存储 使用客户拥有的存储来控制认知服务中静态存储的数据。 若要了解有关客户拥有的存储详细信息,请访问 https://aka.ms/cogsvc-cmk Audit、Deny、Disabled 2.0.0
认知服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800 Audit、Disabled 3.0.0
配置认知服务帐户以禁用本地身份验证方法 禁用本地身份验证方法,使认知服务帐户需要专门针对身份验证的 Azure Active Directory 标识。 有关详细信息,请访问:https://aka.ms/cs/auth 修改,已禁用 1.0.0
将认知服务帐户配置为禁用公用网络访问 禁用对认知服务资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800 禁用、修改 3.0.0
将认知服务帐户配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到认知服务帐户。 有关详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2110097 DeployIfNotExists、Disabled 1.0.0
为认知服务帐户配置专用终结点 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800 DeployIfNotExists、Disabled 3.0.0

计算

名称
(Azure 门户)
说明 效果 版本
(GitHub)
允许的虚拟机大小 SKU 此策略可便于指定组织可部署的一组虚拟机大小 SKU。 拒绝 1.0.1
审核未配置灾难恢复的虚拟机 审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc auditIfNotExists 1.0.0
审核未使用托管磁盘的 VM 此策略审核未使用托管磁盘的 VM 审核 1.0.0
通过 Azure Site Recovery 启用复制,以在虚拟机上配置灾难恢复 未配置灾难恢复的虚拟机容易受到中断和其他干扰的影响。 如果虚拟机尚未配置灾难恢复,则请使用预设配置启用复制来启动这一功能,以帮助实现业务连续性。 可以选择包含/排除包含指定标记的虚拟机以控制分配范围。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc DeployIfNotExists、Disabled 2.0.0
将磁盘访问资源配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到托管磁盘。 有关详细信息,请访问:https://aka.ms/disksprivatelinksdoc DeployIfNotExists、Disabled 1.0.0
使用专用终结点配置磁盘访问资源 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到磁盘访问资源,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/disksprivatelinksdoc DeployIfNotExists、Disabled 1.0.0
将托管磁盘配置为禁用公用网络访问 禁用对托管磁盘资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/disksprivatelinksdoc 修改,已禁用 2.0.0
为 Windows Server 部署默认 Microsoft IaaSAntimalware 扩展 如果 VM 未配置反恶意软件扩展,则此策略部署使用默认配置的 Microsoft IaaSAntimalware 扩展。 deployIfNotExists 1.1.0
磁盘访问资源应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 diskAccesses,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/disksprivatelinksdoc AuditIfNotExists、Disabled 1.0.0
应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘 对安全性高度敏感的客户如果担心出现与任何特定加密算法、实现或密钥泄露相关的风险,可以选择在使用平台管理的加密密钥的基础结构层上使用其他加密算法/模式的额外加密层。 需要提供磁盘加密集才能使用双重加密。 更多信息请访问 https://aka.ms/disks-doubleEncryption Audit、Deny、Disabled 1.0.0
托管磁盘应禁用公用网络访问 禁用公用网络访问可确保托管磁盘不会在公共 Internet 上公开,从而提高了安全性。 创建专用终结点可以限制托管磁盘的公开。 有关详细信息,请访问:https://aka.ms/disksprivatelinksdoc Audit、Disabled 2.0.0
托管磁盘应使用一组特定的磁盘加密集来进行客户管理的密钥加密 要求对托管磁盘使用一组特定的磁盘加密集可以控制用于静态加密的密钥。 可以选择允许的加密集,所有其他加密集在附加到磁盘时将被拒绝。 更多信息请访问 https://aka.ms/disks-cmk Audit、Deny、Disabled 2.0.0
Microsoft Antimalware for Azure 应配置为自动更新保护签名 此策略会审核所有未配置自动更新 Microsoft Antimalware 保护签名的 Windows 虚拟机。 AuditIfNotExists、Disabled 1.0.0
应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 此策略会审核所有未部署 Microsoft IaaSAntimalware 扩展的 Windows Server VM。 AuditIfNotExists、Disabled 1.1.0
应当仅安装已批准的 VM 扩展 此策略约束未获批准的虚拟机扩展。 Audit、Deny、Disabled 1.0.0
应使用客户管理的密钥来加密 OS 和数据磁盘 使用客户管理的密钥来管理托管磁盘内容的静态加密。 默认情况下,使用平台管理的密钥对数据进行静态加密,但为了满足合规性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/disks-cmk Audit、Deny、Disabled 3.0.0
要求自动在虚拟机规模集上执行 OS 映像修补 该策略可强制启用虚拟机规模集上的自动 OS 映像修补程序,以便通过应用每月的最新安全修补程序始终确保虚拟机安全。 deny 1.0.0
应启用虚拟机规模集中的资源日志 建议启用日志,以便在出现某个事件或遭到入侵后需要进行调查时可以重新创建活动线索。 AuditIfNotExists、Disabled 2.1.0
虚拟机和虚拟机规模集应启用主机中加密 使用主机中加密可对虚拟机和虚拟机规模集数据进行端到端加密。 主机中加密可对临时磁盘和 OS/数据磁盘缓存实现静态加密。 启用主机中加密后,将使用平台管理的密钥对临时 OS 磁盘进行加密。 OS/数据磁盘缓存使用客户管理的密钥或平台管理的密钥进行静态加密,具体取决于在磁盘中选择的加密类型。 更多信息请访问 https://aka.ms/vm-hbe Audit、Deny、Disabled 1.0.0
应将虚拟机迁移到新的 Azure 资源管理器资源 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 Audit、Deny、Disabled 1.0.0

容器应用

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在容器应用上启用身份验证 容器应用身份验证是一项功能,可以阻止匿名 HTTP 请求访问容器应用,或在令牌访问容器应用之前对其进行身份验证 AuditIfNotExists、Disabled 1.0.1
容器应用环境应使用网络注入 容器应用环境应使用虚拟网络注入来实现以下目的:1. 将容器应用与公共 Internet 隔离 2. 启用与本地资源或其他 Azure 虚拟网络中的资源的网络集成 3. 对流入和流出环境的网络流量进行更精细的控制。 审核、已禁用、拒绝 1.0.2
容器应用应配置卷装载 强制使用容器应用的卷装载,以确保持久性存储容量的可用性。 Audit、Deny、Disabled 1.0.1
容器应用环境应禁用公用网络访问 通过内部负载均衡器公开容器应用环境,禁用公用网络访问以提高安全性。 这样就不需要公共 IP 地址,并可以防止对环境中的所有容器应用进行 Internet 访问。 Audit、Deny、Disabled 1.0.1
容器应用应禁用外部网络访问 通过强制实施仅限内部的入口来禁用对容器应用进行外部网络访问。 这可以确保将容器应用的入站通信限制为容器应用环境内部的调用方。 Audit、Deny、Disabled 1.0.1
容器应用只能通过 HTTPS 访问 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 禁用“allowInsecure”会导致容器应用的请求从 HTTP 自动重定向到 HTTPS 连接。 Audit、Deny、Disabled 1.0.1
应为容器应用启用托管标识 强制实施托管标识可确保容器应用可以安全地对支持 Azure AD 身份验证的任何资源进行身份验证 Audit、Deny、Disabled 1.0.1

容器实例

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure 容器实例容器组应部署到虚拟网络 容器与 Azure 虚拟网络之间进行安全通信。 指定虚拟网络时,虚拟网络中的资源可以彼此安全且私密地进行通信。 审核、已禁用、拒绝 2.0.0
Azure 容器实例容器组应使用客户管理的密钥进行加密 使用客户管理的密钥更灵活地保护容器。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 审核、已禁用、拒绝 1.0.0

容器注册表

名称
(Azure 门户)
说明 效果 版本
(GitHub)
配置容器注册表以禁用匿名身份验证。 禁用注册表的匿名拉取,使未经身份验证的用户无法访问数据。 禁用本地身份验证方法(如管理员用户、存储库范围的访问令牌和匿名拉取)可确保容器注册表仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/acr/authentication 修改,已禁用 1.0.0
配置容器注册表以禁用 ARM 受众令牌身份验证。 禁用 Azure Active Directory ARM 受众令牌以向注册表进行身份验证。 将仅使用 Azure 容器注册表 (ACR) 受众令牌进行身份验证。 这可确保只有用于注册表的令牌才可用于身份验证。 禁用 ARM 受众令牌不会影响管理员用户身份验证,也不影响设有范围的访问令牌的身份验证。 有关详细信息,请访问:https://aka.ms/acr/authentication 修改,已禁用 1.0.0
配置容器注册表以禁用本地管理员帐户。 禁用注册表的管理员帐户,以便本地管理员无法访问。禁用本地身份验证方法(例如管理员用户、存储库范围内的访问令牌和匿名拉取)可确保容器注册表仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/acr/authentication 修改,已禁用 1.0.1
将容器注册表配置为禁用公用网络访问 禁用对容器注册表的公用网络访问,确保不可通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 请访问 https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/private-link 了解详细信息。 修改,已禁用 1.0.0
配置容器注册表以禁用存储库范围的访问令牌。 禁用注册表的存储库范围的访问令牌,以便无法通过令牌访问存储库。 禁用本地身份验证方法(如管理员用户、存储库范围的访问令牌和匿名拉取)可确保容器注册表仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/acr/authentication 修改,已禁用 1.0.0
将容器注册表配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到容器注册表。 请访问 https://aka.ms/privatednszonehttps://aka.ms/acr/private-link 了解详细信息。 DeployIfNotExists、Disabled 1.0.0
为容器注册表配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到高级容器注册表资源可以降低数据泄露的风险。 请访问 https://aka.ms/privateendpointshttps://aka.ms/acr/private-link 了解详细信息。 DeployIfNotExists、Disabled 1.0.0
应使用客户管理的密钥对容器注册表进行加密 使用客户管理的密钥来管理注册表内容的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/acr/CMK Audit、Deny、Disabled 1.1.2
容器注册表应禁用匿名身份验证。 禁用注册表的匿名拉取,使未经身份验证的用户无法访问数据。 禁用本地身份验证方法(如管理员用户、存储库范围的访问令牌和匿名拉取)可确保容器注册表仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/acr/authentication Audit、Deny、Disabled 1.0.0
容器注册表应禁用 ARM 受众令牌身份验证。 禁用 Azure Active Directory ARM 受众令牌以向注册表进行身份验证。 将仅使用 Azure 容器注册表 (ACR) 受众令牌进行身份验证。 这可确保只有用于注册表的令牌才可用于身份验证。 禁用 ARM 受众令牌不会影响管理员用户身份验证,也不影响设有范围的访问令牌的身份验证。 有关详细信息,请访问:https://aka.ms/acr/authentication Audit、Deny、Disabled 1.0.0
容器注册表应禁用导出功能 禁用导出功能可确保注册表中的数据仅通过数据平面 (docker pull) 访问,从而提高安全性。 无法通过“acr import”或“acr transfer”将数据移出注册表。 若要禁用导出功能,必须禁用公用网络访问。 有关详细信息,请访问:https://aka.ms/acr/export-policy Audit、Deny、Disabled 1.0.0
容器注册表应禁用本地管理员帐户。 禁用注册表的管理员帐户,以便本地管理员无法访问。禁用本地身份验证方法(例如管理员用户、存储库范围内的访问令牌和匿名拉取)可确保容器注册表仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/acr/authentication Audit、Deny、Disabled 1.0.1
容器注册表应禁用存储库范围的访问令牌。 禁用注册表的存储库范围的访问令牌,以便无法通过令牌访问存储库。 禁用本地身份验证方法(如管理员用户、存储库范围的访问令牌和匿名拉取)可确保容器注册表仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/acr/authentication Audit、Deny、Disabled 1.0.0
容器注册表应包含支持专用链接的 SKU 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到容器注册表(而不是整个服务)可以降低数据泄露的风险。 有关详细信息,请访问:https://aka.ms/acr/private-link Audit、Deny、Disabled 1.0.0
容器注册表不得允许无限制的网络访问 默认情况下,Azure 容器注册表接受来自任何网络上的主机的 Internet 连接。 为了防止注册表受到潜在的威胁,只允许来自特定的专用终结点、公共 IP 地址或地址范围的访问。 如果注册表没有配置网络规则,它将出现在不正常资源中。 有关容器注册表网络规则的详细信息,请访问:https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet Audit、Deny、Disabled 2.0.0
容器注册表应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。通过将专用终结点映射到容器注册表,而不是整个服务,还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/acr/private-link Audit、Disabled 1.0.1
应禁用通过公用网络访问容器注册表 禁用公用网络访问可确保容器注册表不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以避免容器注册表资源暴露。 请访问 https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/private-link 了解详细信息。 Audit、Deny、Disabled 1.0.0

Cosmos DB

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Cosmos DB 帐户应有防火墙规则 应在 Azure Cosmos DB 帐户上定义防火墙规则,以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。 Audit、Deny、Disabled 2.0.0
Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据 使用客户管理的密钥来管理 Azure Cosmos DB 的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/cosmosdb-cmk audit、Audit、deny、Deny、disabled、Disabled 1.1.0
Azure Cosmos DB 允许的位置 使用此策略可限制组织在部署 Azure Cosmos DB 资源时可指定的位置。 用于强制执行异地符合性要求。 [parameters('policyEffect')] 1.1.0
应禁用基于 Azure Cosmos DB 密钥的元数据写权限 借助此策略,可以确保所有 Azure Cosmos DB 帐户都禁用基于密钥的元数据写权限。 append 1.0.0
Azure Cosmos DB 应禁用公用网络访问 禁用公用网络访问可确保 CosmosDB 帐户不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制 CosmosDB 帐户的公开。 有关详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation Audit、Deny、Disabled 1.0.0
应限制 Azure Cosmos DB 吞吐量 借助此策略,可以限制组织在通过资源提供程序创建 Azure Cosmos DB 数据库和容器时可以指定的最大吞吐量。 它会阻止创建自动缩放资源。 audit、Audit、deny、Deny、disabled、Disabled 1.1.0
配置 Cosmos DB 数据库帐户以禁用本地身份验证 禁用本地身份验证方法,使 Cosmos DB 数据库帐户专门需要用于身份验证的 Azure Active Directory 标识。 有关详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth 修改,已禁用 1.0.0
将 CosmosDB 帐户配置为禁用公用网络访问 禁用对 CosmosDB 资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation 修改,已禁用 1.0.0
将 CosmosDB 帐户配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 CosmosDB 帐户。 有关详细信息,请访问:https://aka.ms/privatednszone DeployIfNotExists、Disabled 2.0.0
为 CosmosDB 帐户配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints DeployIfNotExists、Disabled 1.0.0
Cosmos DB 数据库帐户应禁用本地身份验证方法 禁用本地身份验证方法可确保 Cosmos DB 数据库帐户仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth Audit、Deny、Disabled 1.0.0
CosmosDB 帐户应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints Audit、Disabled 1.0.0
为 Cosmos DB 帐户部署高级威胁防护 此策略会在 Cosmos DB 帐户上启用高级威胁防护。 DeployIfNotExists、Disabled 1.0.0

自定义提供程序

名称
(Azure 门户)
说明 效果 版本
(GitHub)
为自定义提供程序部署关联 部署将所选资源类型与指定自定义提供程序关联的关联资源。 此策略部署不支持嵌套资源类型。 deployIfNotExists 1.0.0

Data Box

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Data Box 作业应为设备上静态数据启用双重加密 为设备上的静态数据启用第二层基于软件的加密。 设备已通过用于静态数据的高级加密标准 256 位加密受到保护。 此选项将添加第二层数据加密。 Audit、Deny、Disabled 1.0.0
Azure Data Box 作业应使用客户管理的密钥加密设备解锁密码 使用客户管理的密钥控制 Azure Data Box 的设备解锁密码的加密。 客户管理的密钥还有助于通过 Data Box 服务管理对设备解锁密码的访问,以便以自动方式准备设备和复制数据。 设备本身的数据已使用高级加密标准 256 位加密进行静态加密,并且设备解锁密码默认使用 Microsoft 托管密钥进行加密。 Audit、Deny、Disabled 1.0.0

数据工厂

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:[预览]:Azure 数据工厂集成运行时应对核心数有限制 若要管理资源和成本,请限制集成运行时的核心数。 Audit、Deny、Disabled 1.0.0-preview
[预览]:[预览]:Azure 数据工厂链接服务资源类型应在允许列表中 定义 Azure 数据工厂链接服务类型的允许列表。 限制允许的资源类型可以控制数据移动的边界。 例如,将范围限制为只允许使用 Data Lake Storage Gen1 和 Gen2 进行分析的 blob 存储,或只允许 SQL 和 Kusto 访问实时查询。 Audit、Deny、Disabled 1.0.0-preview
[预览]:[预览]:Azure 数据工厂链接服务应使用 Key Vault 来存储机密 为了确保机密(如连接字符串)得到安全管理,需要用户使用 Azure Key Vault 提供机密,而不是在链接服务中内联指定它们。 Audit、Deny、Disabled 1.0.0-preview
[预览]:[预览]:Azure 数据工厂链接服务应使用系统分配的托管标识身份验证(如果受支持) 在通过链接服务与数据存储进行通信时,使用系统分配的托管标识可以避免使用密码或连接字符串等安全性较低的凭据。 Audit、Deny、Disabled 2.0.0-preview
[预览]:[预览]:Azure 数据工厂应使用 Git 存储库进行源代码管理 对数据工厂启用源代码管理,以获取更改跟踪、协作、持续集成和部署等功能。 Audit、Deny、Disabled 1.0.0-preview
应使用客户管理的密钥对 Azure 数据工厂进行加密 使用客户管理的密钥来管理 Azure 数据工厂的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规合规性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/adf-cmk Audit、Deny、Disabled 1.0.1
Azure 数据工厂应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link AuditIfNotExists、Disabled 1.0.0
将数据工厂配置为禁用公用网络访问 禁用对数据工厂的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link 修改,已禁用 1.0.0
为连接到 Azure 数据工厂的专用终结点配置专用 DNS 区域 可以通过专用 DNS 记录建立到专用终结点的专用连接。 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Azure 数据工厂建立专用连接,从而实现安全通信。 有关 Azure 数据工厂中专用终结点和 DNS 区域的详细信息,请参阅 https://docs.microsoft.com/azure/data-factory/data-factory-private-link DeployIfNotExists、Disabled 1.0.0
为数据工厂配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到 Azure 数据工厂可降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link DeployIfNotExists、Disabled 1.0.0
应禁用对 Azure 数据工厂的公用网络访问 禁用公用网络访问属性可确保只能从专用终结点访问 Azure 数据工厂,从而提高安全性。 Audit、Deny、Disabled 1.0.0
应将 Azure 数据工厂上的 SQL Server Integration Services 集成运行时加入到虚拟网络 Azure 虚拟网络部署为 Azure 数据工厂上的 SQL Server Integration Services 集成运行时提供增强的安全性和隔离性,并提供子网、访问控制策略和其他进一步限制访问的功能。 Audit、Deny、Disabled 2.0.0

Data Lake

名称
(Azure 门户)
说明 效果 版本
(GitHub)
要求对 Data Lake Store 帐户进行加密 此策略可确保对所有 Data Lake Store 帐户启用了加密 deny 1.0.0
应启用 Azure Data Lake Store 中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Data Lake Analytics 中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0

事件网格

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure 事件网格域应禁用公用网络访问 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://aka.ms/privateendpoints Audit、Deny、Disabled 1.0.0
Azure 事件网格域应禁用本地身份验证方法 禁用本地身份验证方法可确保 Azure 事件网格域仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/aeg-disablelocalauth Audit、Deny、Disabled 1.0.0
Azure 事件网格域应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints Audit、Disabled 1.0.2
Azure 事件网格合作伙伴命名空间应禁用本地身份验证方法 禁用本地身份验证方法可确保 Azure 事件网格合作伙伴命名空间仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/aeg-disablelocalauth Audit、Deny、Disabled 1.0.0
Azure 事件网格主题应禁用公用网络访问 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://aka.ms/privateendpoints Audit、Deny、Disabled 1.0.0
Azure 事件网格主题应禁用本地身份验证方法 禁用本地身份验证方法可确保 Azure 事件网格主题仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/aeg-disablelocalauth Audit、Deny、Disabled 1.0.0
Azure 事件网格主题应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格主题(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints Audit、Disabled 1.0.2
配置 Azure 事件网格域以禁用本地身份验证 禁用本地身份验证方法,使 Azure 事件网格域仅将 Azure Active Directory 标识作为身份验证方法。 有关详细信息,请访问:https://aka.ms/aeg-disablelocalauth 修改,已禁用 1.0.0
配置 Azure 事件网格合作伙伴命名空间以禁用本地身份验证 禁用本地身份验证方法,使 Azure 事件网格合作伙伴命名空间仅将 Azure Active Directory 标识作为身份验证方法。 有关详细信息,请访问:https://aka.ms/aeg-disablelocalauth 修改,已禁用 1.0.0
配置 Azure 事件网格主题以禁用本地身份验证 禁用本地身份验证方法,使 Azure 事件网格主题仅将 Azure Active Directory 标识作为身份验证方法。 有关详细信息,请访问:https://aka.ms/aeg-disablelocalauth 修改,已禁用 1.0.0
部署 - 配置 Azure 事件网格域以使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 有关详细信息,请访问:https://aka.ms/privatednszone deployIfNotExists、DeployIfNotExists、Disabled 1.1.0
部署 - 使用专用终结点配置 Azure 事件网格域 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到资源,可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints DeployIfNotExists、Disabled 1.0.0
部署 - 配置 Azure 事件网格主题以使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 有关详细信息,请访问:https://aka.ms/privatednszone deployIfNotExists、DeployIfNotExists、Disabled 1.1.0
部署 - 使用专用终结点配置 Azure 事件网格主题 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到资源,可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints DeployIfNotExists、Disabled 1.0.0
修改 - 配置 Azure 事件网格域以禁用公用网络访问 禁用对 Azure 事件网格资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这将有助于防范数据泄露风险。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://aka.ms/privateendpoints 修改,已禁用 1.0.0
修改 - 配置 Azure 事件网格主题以禁用公用网络访问 禁用对 Azure 事件网格资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这将有助于防范数据泄露风险。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://aka.ms/privateendpoints 修改,已禁用 1.0.0

事件中心

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应从事件中心命名空间中删除 RootManageSharedAccessKey 以外的所有授权规则 服务中心客户端不应使用提供对命名空间中所有队列和主题的访问的命名空间级访问策略。 为了与最低权限安全模型保持一致,应在实体级别为队列和主题创建访问策略,以便仅提供对特定实体的访问权限 Audit、Deny、Disabled 1.0.1
应针对事件中心实例定义授权规则 审核是否存在针对事件中心实体的授权规则,以便授予最低权限访问权限 AuditIfNotExists、Disabled 1.0.0
Azure 事件中心命名空间应禁用本地身份验证方法 禁用本地身份验证方法可确保 Azure 事件中心命名空间仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/disablelocalauth-eh Audit、Deny、Disabled 1.0.0
配置 Azure 事件中心命名空间以禁用本地身份验证 禁用本地身份验证方法,使 Azure 事件中心命名空间仅将 Azure Active Directory 标识作为身份验证方法。 有关详细信息,请访问:https://aka.ms/disablelocalauth-eh 修改,已禁用 1.0.0
将事件中心命名空间配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到事件中心命名空间。 有关详细信息,请访问:https://docs.microsoft.com/azure/event-hubs/private-link-service DeployIfNotExists、Disabled 1.0.0
为事件中心命名空间配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/event-hubs/private-link-service DeployIfNotExists、Disabled 1.0.0
事件中心命名空间应启用双重加密 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 Audit、Deny、Disabled 1.0.0
事件中心命名空间应使用客户管理的密钥进行加密 Azure 事件中心支持通过 Microsoft 管理的密钥(默认)或客户管理的密钥来加密静态数据。 如果选择使用客户管理的密钥加密数据,则可分配、轮换、禁用和撤销对密钥的访问权限,事件中心将使用密钥加密命名空间中的数据。 请注意,事件中心仅支持使用客户管理的密钥对专用群集中的命名空间进行加密。 Audit、Disabled 1.0.0
事件中心命名空间应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/event-hubs/private-link-service AuditIfNotExists、Disabled 1.0.0
应启用事件中心内的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0

Fluid Relay

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Fluid Relay 应使用客户管理的密钥进行静态数据加密 使用客户管理的密钥来管理 Fluid Relay 服务器的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足监管合规标准,通常需要使用 CMK。 客户管理的密钥允许使用由你创建和拥有的 Azure Key Vault 密钥对数据进行加密,而你具有完全的控制权和责任,包括轮换和管理。 更多信息请访问 https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys Audit、Disabled 1.0.0

常规

名称
(Azure 门户)
说明 效果 版本
(GitHub)
允许的位置 通过此策略,可限制组织在部署资源时可指定的位置。 用于强制执行异地符合性要求。 排除资源组、Microsoft.AzureActiveDirectory/b2cDirectories 以及使用“全局”区域的资源。 deny 1.0.0
允许的资源组位置 通过此策略,可限制组织可以创建资源组的位置。 用于强制执行异地符合性要求。 deny 1.0.0
允许的资源类型 此策略可用于指定组织可以部署的资源类型。 只有支持“tags”和“location”的资源类型才会受此策略影响。 若要限制所有资源,请复制此策略并将“mode”更改为“All”。 deny 1.0.0
审核资源位置是否匹配资源组位置 审核资源位置是否与其资源组位置匹配。 审核 2.0.0
审核自定义 RBAC 规则的使用情况 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 Audit、Disabled 1.0.0
不允许的资源类型 限制可以在环境中部署的资源类型。 限制资源类型可以降低环境的复杂性和攻击面,同时也有助于管理成本。 仅显示不符合要求的资源的符合性结果。 Audit、Deny、Disabled 2.0.0

来宾配置

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:[预览]:添加用户分配的托管标识,以在虚拟机上启用来宾配置分配 此策略将用户分配的托管标识添加到 Azure 中托管的虚拟机,这些虚拟机受来宾配置支持。 用户分配的托管标识是所有来宾配置分配的先决条件,并且必须在使用任何来宾配置策略定义之前添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、DeployIfNotExists、Disabled 2.0.0-preview
[预览版]:[预览版]:Linux 计算机应满足 Docker 主机的 Azure 安全基线要求 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 计算机未根据 Docker 主机的 Azure 安全基线中的某条建议进行正确配置。 AuditIfNotExists、Disabled 1.0.0-preview
[预览版]:[预览版]:安装了 OMI 的 Linux 计算机应具有版本 1.6.8-1 或更高版本 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 由于 Linux OMI 包版本 1.6.8-1 中包含的安全修补程序,所有计算机都应更新到最新版本。 升级使用 OMI 解决问题的应用/包。 有关详细信息,请参阅 https://aka.ms/omiguidance AuditIfNotExists、Disabled 1.0.0-preview
[预览版]:[预览版]:Windows 计算机应满足 Azure 计算的 STIG 合规性要求 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未根据 Azure 计算的 STIG 合规性要求中的某条建议进行正确配置,则计算机不合规。 根据美国国防部 (DoD) 之要求,国防信息系统局 (DISA) 提供安全技术实施指南 (STIG) 以保护计算操作系统。 有关详细信息,请参阅 https://public.cyber.mil/stigs/ AuditIfNotExists、Disabled 1.0.0-preview
添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 4.0.0
添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 4.0.0
审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机允许通过没有密码的帐户进行远程连接,则计算机不合规 AuditIfNotExists、Disabled 3.0.0
审核未将密码文件权限设为 0644 的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机未将密码文件权限设为 0644,则计算机不合规 AuditIfNotExists、Disabled 3.0.0
审核未安装指定应用程序的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Chef InSpec 资源指示未安装参数提供的一个或多个包,则计算机不合规。 AuditIfNotExists、Disabled 4.0.0
审核具有不使用密码的帐户的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机具有不使用密码的帐户,则计算机不合规 AuditIfNotExists、Disabled 3.0.0
审核安装了指定应用程序的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Chef InSpec 资源指示安装了参数提供的一个或多个包,则计算机不合规。 AuditIfNotExists、Disabled 4.0.0
审核缺少管理员组中任何指定成员的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组不包含策略参数中列出的一个或多个成员,则计算机不合规。 auditIfNotExists 2.0.0
审核 Windows 计算机网络连接 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 IP 和 TCP 端口的网络连接状态与策略参数不匹配,则计算机不合规。 auditIfNotExists 2.0.0
审核 DSC 配置不合规的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-DSCConfigurationStatus 返回计算机的 DSC 配置不合规,则计算机不合规。 auditIfNotExists 3.0.0
审核其 Log Analytics 代理未按预期连接的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果未安装代理,或者安装了代理,但 COM 对象 AgentConfigManager.MgmtSvcCfg 返回它已注册到策略参数中指定的 ID 以外的工作区,则计算机不合规。 auditIfNotExists 2.0.0
审核未安装指定的服务且“正在运行”的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-Service 的结果不包括具有策略参数指定的匹配状态的服务名称,则计算机不合规。 auditIfNotExists 3.0.0
审核未启用 Windows 串行控制台的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未安装串行控制台软件,或没有为 EMS 端口号或波特率配置与策略参数相同的值,则计算机不合规。 auditIfNotExists 3.0.0
审核允许重用之前的 24 个密码的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机允许重用之前的 24 个密码,则计算机不合规 AuditIfNotExists、Disabled 2.0.0
审核未加入指定域的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 WMI 类 win32_computersystem 中 Domain 属性的值与策略参数中的值不匹配,则计算机不合规。 auditIfNotExists 2.0.0
审核未设置为指定时区的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 WMI 类 Win32_TimeZone 中 StandardName 属性的值与策略参数的选定时区不匹配,则计算机不合规。 auditIfNotExists 3.0.0
审核包含将在指定天数内过期的证书的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果指定存储中的证书的到期日期超出了参数给定的天数范围,则计算机不合规。 该策略还提供仅检查特定证书或排除特定证书的选项,以及是否报告过期证书的选项。 auditIfNotExists 2.0.0
审核在受信任的根中不包含指定证书的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机受信任的根证书存储 (Cert:\LocalMachine\Root) 不包含策略参数列出的一个或多个证书,则计算机不合规。 auditIfNotExists 3.0.0
审核未将最长密码期限设为 70 天的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最长密码期限设为 70 天,则计算机不合规 AuditIfNotExists、Disabled 2.0.0
审核未将最短密码期限设为 1 天的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最短密码期限设为 1 天,则计算机不合规 AuditIfNotExists、Disabled 2.0.0
审核未启用密码复杂性设置的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未启用密码复杂性设置,则计算机不合规 AuditIfNotExists、Disabled 2.0.0
审核没有指定的 Windows PowerShell 执行策略的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-ExecutionPolicy 返回的值不是策略参数中所选的值,则计算机不符合要求。 AuditIfNotExists、Disabled 3.0.0
审核没有安装指定 Windows PowerShell 模块的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果模块在环境变量 PSModulePath 指定的位置中不可用,则计算机不符合要求。 AuditIfNotExists、Disabled 3.0.0
审核未将最短密码长度限制为 14 个字符的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最短密码长度限制为 14 个字符,则计算机不合规 AuditIfNotExists、Disabled 2.0.0
审核未存储使用可逆加密的密码的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未存储使用可逆加密的密码,则计算机不合规 AuditIfNotExists、Disabled 2.0.0
审核未安装指定应用程序的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果在以下任何注册表路径中都找不到相关应用程序名称,则计算机不合规:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 auditIfNotExists 2.0.0
审核管理员组中具有额外帐户的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组包含策略参数中未列出的成员,则计算机不合规。 auditIfNotExists 2.0.0
审核未在指定天数内重启的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果类 Win32_Operatingsystem 中的 WMI 属性 LastBootUpTime 不在策略参数提供的天数范围内,则计算机不合规。 auditIfNotExists 2.0.0
审核安装了指定应用程序的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果在以下任何注册表路径中找到了相关应用程序名称,则计算机不合规:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 auditIfNotExists 2.0.0
审核具有管理员组中指定成员的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组包含策略参数中列出的一个或多个成员,则计算机不合规。 auditIfNotExists 2.0.0
审核正在等待重新启动的 Windows VM 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机由于以下任一原因正在等待重启,则计算机不合规:基于组件的服务、Windows 更新、挂起的文件重命名、挂起的计算机重命名、配置管理器等待重启。 每次检测都有唯一的注册表路径。 auditIfNotExists 2.0.0
对 Linux 虚拟机进行身份验证需要 SSH 密钥 虽然 SSH 本身提供加密连接,但是将密码用于 SSH 仍会使 VM 易受到暴力攻击。 通过 SSH 对 Azure Linux 虚拟机进行身份验证时,最安全的方法是使用公钥-私钥对,也称为 SSH 密钥。 了解详细信息:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed AuditIfNotExists、Disabled 3.0.0
在 Windows 服务器上配置安全通信协议(TLS 1.1 或 TLS 1.2) 创建来宾配置分配,以在 Windows Server 上配置指定的安全协议版本(TLS 1.1 或 TLS 1.2) DeployIfNotExists、Disabled 1.0.0
在 Windows 计算机上配置时区。 此策略创建一个 Guest Configuration 分配用于在 Windows 虚拟机上设置指定的时区。 deployIfNotExists 2.0.0
部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 3.0.0
部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 1.2.0
Linux 计算机应在 Azure Arc 上安装 Log Analytics 代理 如果已启用 Azure Arc 的 Linux 服务器上未安装 Log Analytics 代理,则计算机不符合要求。 AuditIfNotExists、Disabled 1.1.0
Linux 计算机应符合 Azure 计算安全基线的要求 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未根据 Azure 计算安全基线中的某条建议进行正确配置,则计算机不合规。 AuditIfNotExists、Disabled 2.0.0
Linux 计算机应仅具有允许的本地帐户 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 使用 Azure Active Directory 管理用户帐户是标识管理的最佳做法。 减少本地计算机帐户有助于防止在中央系统外部管理的标识激增。 如果存在已启用但未在策略参数中列出的本地用户帐户,则计算机不合规。 AuditIfNotExists、Disabled 2.0.0
应启用来宾配置分配的专用终结点 专用终结点连接通过启用虚拟机来宾配置的专用连接来加强安全通信。 虚拟机将不符合条件,除非它们具有标记“EnablePrivateNetworkGC”。 此标记将通过虚拟机来宾配置的专用连接强制执行安全通信。 专用连接限制访问仅来自已知网络的流量,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 Audit、Deny、Disabled 1.0.0
应在计算机上启用 Windows Defender 攻击防护 Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 AuditIfNotExists、Disabled 2.0.0
Windows 计算机应配置 Windows Defender 以在一天内更新保护签名 为了提供足够的保护来防御新发布的恶意软件,需要定期更新 Windows Defender 保护签名来应对新发布的恶意软件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.0
Windows 计算机应启用 Windows Defender 实时保护 Windows 计算机应启用 Windows Defender 中的实时保护,以提供足够的保护来防御新发布的恶意软件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.0
Windows 计算机应在 Azure Arc 上安装 Log Analytics 代理 如果已启用 Azure Arc 的 Windows 服务器上未安装 Log Analytics 代理,则计算机不符合要求。 AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“管理模板 - 控制面板”的要求 对于输入个性化和阻止启用锁屏界面,Windows 计算机应在“管理模板 - 控制面板”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“管理模板 - MSS (旧版)”的要求 对于自动登录、屏幕保护程序、网络行为、安全 DLL 和事件日志,Windows 计算机应在“管理模板 - MSS (旧版)”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“管理模板 - 网络”的要求 Windows 计算机应在“管理模板 - 网络”类别中使用指定的组策略设置,用于来宾登录、并发连接、网桥、ICS 和多播名称解析。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“管理模板 - 系统”的要求 对于控制管理体验和远程协助的设置,Windows 计算机应在“管理模板 - 系统”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 帐户”的要求 Windows 计算机应在“安全选项 - 帐户”类别中具有指定的组策略设置,以限制本地帐户使用空白密码和来宾帐户状态。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 审核”的要求 Windows 计算机应在“安全选项 - 审核”类别中具有指定的组策略设置,以便在无法记录安全审核的情况下,强制实施审核策略子类别并进行关闭。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 设备”的要求 Windows 计算机应在“安全选项 - 设备”类别中具有指定的组策略设置,以便在不登录的情况下进行移除、安装打印驱动程序以及设置格式/弹出媒体。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 交互式登录”的要求 Windows 计算机应在“安全选项 - 交互式登录”类别中具有指定的组策略设置,以便显示上一个用户名并要求按 Ctrl-Alt-Del。此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - Microsoft 网络客户端”的要求 对于 Microsoft 网络客户端/服务器和 SMB v1,Windows 计算机应在“安全选项 - Microsoft 网络客户端”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - Microsoft 网络服务器”的要求 Windows 计算机应在“安全选项 - Microsoft 网络服务器”类别中具有指定的组策略设置,以禁用 SMB v1 服务器。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 网络访问”的要求 Windows 计算机应在“安全选项 - 网络访问”类别中具有指定的组策略设置,以包含匿名用户、本地帐户的访问权限和对注册表的远程访问权限。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 网络安全”的要求 Windows 计算机应在“安全选项 - 网络安全”类别中使用指定的组策略设置,以包含本地系统行为、PKU2U、LAN Manager、LDAP 客户端和 NTLM SSP。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 恢复控制台”的要求 Windows 计算机应在“安全选项 - 恢复控制台”类别中具有指定的组策略设置,以便允许对所有驱动器和文件夹进行软盘复制和访问。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 关闭”的要求 Windows 计算机应在“安全选项 - 关闭”类别中具有指定的组策略设置,以便允许在未登录的情况下关闭并清除虚拟内存页面文件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 系统对象”的要求 对于非 Windows 子系统不区分大小写和内部系统对象的权限,Windows 计算机应在“安全选项 - 系统对象”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 系统设置”的要求 对于 SRP 和可选子系统的可执行文件的证书规则,Windows 计算机应在“安全选项 - 系统设置”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 对于管理员模式、提升提示行为以及虚拟化文件和注册表写入失败,Windows 计算机应在“安全选项 - 用户帐户控制”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全设置 - 帐户策略”的要求 对于密码历史记录、使用期限、长度、复杂性以及使用可还原加密存储密码,Windows 计算机应在“安全设置 - 帐户策略”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“系统审核策略 - 帐户登录”的要求 Windows 计算机应在“系统审核策略 - 帐户登录”类别中具有指定的组策略设置,以便审核凭据验证和其他帐户登录事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“系统审核策略 - 帐户管理”的要求 Windows 计算机应在“系统审核策略 - 帐户管理”类别中具有指定的组策略设置,以便审核应用程序、安全性和用户组管理以及其他管理事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 Windows 计算机应在“系统审核策略 - 详细跟踪”类别中具有指定的组策略设置,以便审核 DPAPI、进程创建/终止、RPC 事件和 PNP 活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“系统审核策略 - 登录与注销”的要求 Windows 计算机应在“系统审核策略 - 登录与注销”类别中具有指定的组策略设置,以便审核 IPSec、网络策略、声明、帐户锁定、组成员身份和登录/注销事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“系统审核策略 - 对象访问”的要求 Windows 计算机应在“系统审核策略 - 对象访问”类别中具有指定的组策略设置,以便审核文件、注册表、SAM、存储、筛选、内核和其他系统类型。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“系统审核策略 - 策略更改”的要求 Windows 计算机应在“系统审核策略 - 策略更改”类别中具有指定的组策略设置,以便审核对系统审核策略所做的更改。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“系统审核策略 - 特权使用”的要求 Windows 计算机应在“系统审核策略 - 特权使用”类别中具有指定的组策略设置,以便审核非敏感特权和其他权限使用。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“系统审核策略 - 系统”的要求 Windows 计算机应在“系统审核策略 - 系统”类别中具有指定的组策略设置,以便审核 IPsec 驱动程序、系统完整性、系统扩展、状态更改和其他系统事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“用户权限分配”的要求 Windows 计算机应在“用户权限分配”类别中具有指定的组策略设置,以允许本地登录、RDP、从网络进行访问以及其他很多用户活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“Windows 组件”的要求 对于基本身份验证、未加密的流量、Microsoft 帐户、遥测、Cortana 和其他 Windows 行为,Windows 计算机应在“Windows 组件”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“Windows 防火墙属性”的要求 对于防火墙状态、连接、规则管理和通知,Windows 计算机应在“Windows 防火墙属性”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合 Azure 计算安全基线的要求 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未根据 Azure 计算安全基线中的某条建议进行正确配置,则计算机不合规。 AuditIfNotExists、Disabled 2.0.0
Windows 计算机应仅具有允许的本地帐户 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 Windows Server 2012 或 2012 R2 不支持此定义。 使用 Azure Active Directory 管理用户帐户是标识管理的最佳做法。 减少本地计算机帐户有助于防止在中央系统外部管理的标识激增。 如果存在已启用但未在策略参数中列出的本地用户帐户,则计算机不合规。 AuditIfNotExists、Disabled 2.0.0
Windows 计算机应安排 Windows Defender 每天执行计划的扫描 Windows 计算机应安排 Windows Defender 每天执行计划的扫描,以确保快速识别恶意软件,将可能对环境造成的影响降至最低。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.0
Windows 计算机应使用默认的 NTP 服务器 将“time.windows.com”设置为所有 Windows 计算机的默认 NTP 服务器,确保所有系统的日志都具有完全同步的系统时钟。此策略要求来宾配置先决条件已部署到策略分配范围。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.0
应将 Windows Web 服务器配置为使用安全通信协议 为了保护通过 Internet 进行通信的信息的隐私,Web 服务器应使用最新版本的行业标准加密协议,即传输层安全性 (TLS)。 TLS 使用安全证书对计算机之间的连接进行加密来保护网络上的通信。 AuditIfNotExists、Disabled 4.0.0

HDInsight

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应将 Azure HDInsight 群集注入到虚拟网络中 在虚拟网络中注入 Azure HDInsight 群集可以解除对高级 HDInsight 网络和安全功能的锁定,并为你提供对网络安全配置的控制。 审核、已禁用、拒绝 1.0.0
Azure HDInsight 群集应使用客户管理的密钥来加密静态数据 使用客户管理的密钥来管理 Azure HDInsight 群集的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/hdi.cmk Audit、Deny、Disabled 1.0.1
Azure HDInsight 群集应使用主机加密来加密静态数据 启用主机加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用主机加密时,存储在 VM 主机上的数据将静态加密,且已加密的数据将流向存储服务。 Audit、Deny、Disabled 1.0.0
Azure HDInsight 群集应使用传输中加密来加密 Azure HDInsight 群集节点之间的通信 在 Azure HDInsight 群集节点之间的传输过程中,数据可能会被篡改。 启用传输中加密可解决传输过程中的滥用和篡改问题。 Audit、Deny、Disabled 1.0.0
Azure HDInsight 应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure HDInsight 群集,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/hdi.pl AuditIfNotExists、Disabled 1.0.0
将 Azure HDInsight 群集配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure HDInsight 群集。 有关详细信息,请访问:https://aka.ms/hdi.pl DeployIfNotExists、Disabled 1.0.0
为 Azure HDInsight 群集配置专用终结点 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure HDInsight 群集,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/hdi.pl DeployIfNotExists、Disabled 1.0.0

运行状况机器人

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Health Bot 应使用客户管理的密钥加密静态数据 使用客户管理的密钥 (CMK) 来管理 healthbot 数据的静态加密。 默认情况下会使用服务管理的密钥对数据进行静态加密,但为了满足合规标准,通常需要使用 CMK。 CMK 允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 有关详细信息,请访问 https://docs.microsoft.com/azure/health-bot/cmk Audit、Disabled 1.0.0

医疗保健 API

名称
(Azure 门户)
说明 效果 版本
(GitHub)
CORS 不应允许每个域都可以访问 FHIR 服务 跨源资源共享 (CORS) 不应允许所有域都能访问你的 FHIR 服务。 为了保护 FHIR 服务,请删除所有域的访问权限,并显式定义允许连接的域。 审核、审核、禁用、禁用 1.1.0

物联网

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:[预览]:Azure IoT 中心应使用客户管理的密钥进行静态数据加密 使用客户管理的密钥对 IoT 中心内的数据进行静态加密可以在默认的服务管理的密钥基础上增加另一层加密,使客户能够控制密钥、自定义轮换策略,并能够通过密钥访问控制来管理对数据的访问。 在创建 IoT 中心期间必须配置客户管理的密钥。 有关如何配置客户管理的密钥的详细信息,请参阅 https://aka.ms/iotcmk Audit、Deny、Disabled 1.0.0-preview
[预览]:应使用客户管理的密钥 (CMK) 来加密 IoT 中心设备预配服务数据 使用客户管理的密钥来管理 IoT 中心设备预配服务的静态加密。 将使用服务管理的密钥自动对数据进行静态加密,但为了满足监管合规标准,通常需要使用客户管理的密钥 (CMK)。 CMK 允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 访问 https://aka.ms/dps/CMK,了解有关 CMK 加密的详细信息。 Audit、Deny、Disabled 1.0.0-preview
Azure Device Update for IoT Hub 帐户应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Device Update for IoT Hub 帐户,可以减少数据泄漏风险。 AuditIfNotExists、Disabled 1.0.0
Azure IoT 中心应为服务 API 禁用本地身份验证方法 禁用本地身份验证方法可确保 Azure IoT 中心仅将 Azure Active Directory 标识作为服务 API 身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/iothubdisablelocalauth Audit、Deny、Disabled 1.0.0
配置 Azure Device Update for IoT Hub 账户以禁用公用网络访问权限 禁用公用网络访问属性可以确保只能从专用终结点访问 Device Update for IoT Hub,从而可以提高安全性。 此策略将禁用对 Device Update for IoT Hub 资源的公用网络访问。 修改,已禁用 1.0.0
配置 Azure Device Update for IoT Hub 以使用专用 DNS 区域 Azure 专用 DNS 提供可靠、安全的 DNS 服务来管理和解析虚拟网络中的域名,无需添加自定义 DNS 解决方案。 可将你自己的自定义域名用于专用终结点,使用专用 DNS 区域来替代 DNS 解析。 此策略将为 Device Update for IoT Hub 专用终结点部署专用 DNS 区域。 DeployIfNotExists、Disabled 1.0.0
通过专用终结点配置 Azure Device Update for IoT Hub 帐户 专用终结点是在客户拥有的虚拟网络内部分配的专用 IP 地址,可通过该地址访问 Azure 资源。 此策略将为 Device Update for IoT Hub 部署专用终结点,以允许虚拟网络中的服务访问此资源,而无需将流量发送到 Device Update for IoT Hub 的公共终结点。 DeployIfNotExists、Disabled 1.1.0
配置 Azure IoT 中心以禁用本地身份验证 禁用本地身份验证方法,使 Azure IoT 中心仅需要 Azure Active Directory 标识进行身份验证。 有关详细信息,请访问:https://aka.ms/iothubdisablelocalauth 修改,已禁用 1.0.0
将 IoT 中心设备预配实例配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以便对 IoT 中心设备预配服务实例进行解析。 有关详细信息,请访问:https://aka.ms/iotdpsvnet DeployIfNotExists、Disabled 1.0.0
将 IoT 中心设备预配服务实例配置为禁用公用网络访问 对 IoT 中心设备预配实例禁用公用网络访问,以防止通过公共 Internet 对其进行访问。 这可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/iotdpsvnet 修改,已禁用 1.0.0
为 IoT 中心设备预配服务实例配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/iotdpsvnet DeployIfNotExists、Disabled 1.0.0
部署 - 将 Azure IoT 中心配置为使用专用 DNS 区域 Azure 专用 DNS 提供可靠、安全的 DNS 服务来管理和解析虚拟网络中的域名,无需添加自定义 DNS 解决方案。 可将你自己的自定义域名用于专用终结点,使用专用 DNS 区域来替代 DNS 解析。 此策略将为 IoT 中心专用终结点部署专用 DNS 区域。 deployIfNotExists、DeployIfNotExists、disabled、Disabled 1.1.0
部署 - 为 Azure IoT 中心配置专用终结点 专用终结点是在客户拥有的虚拟网络内部分配的专用 IP 地址,可通过该地址访问 Azure 资源。 此策略将为 IoT 中心部署专用终结点,以允许虚拟网络中的服务访问 IoT 中心,而无需将流量发送到 IoT 中心的公共终结点。 DeployIfNotExists、Disabled 1.0.0
部署 - 将 IoT Central 配置为使用专用 DNS 区域 Azure 专用 DNS 提供可靠、安全的 DNS 服务来管理和解析虚拟网络中的域名,无需添加自定义 DNS 解决方案。 可将你自己的自定义域名用于专用终结点,使用专用 DNS 区域来替代 DNS 解析。 该策略将为 IoT Central 专用终结点部署专用 DNS 区域。 DeployIfNotExists、Disabled 1.0.0
部署 - 为 IoT Central 配置专用终结点 专用终结点是在客户拥有的虚拟网络内部分配的专用 IP 地址,可通过该地址访问 Azure 资源。 此策略将为 IoT Central 部署专用终结点,以允许虚拟网络中的服务访问 IoT Central,而无需将流量发送到 IoT Central 的公共终结点。 DeployIfNotExists、Disabled 1.0.0
IoT Central 应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 IoT Central 应用程序而不是整个服务,可降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/iotcentral-network-security-using-pe Audit、Deny、Disabled 1.0.0
IoT 中心设备预配服务实例应禁用公用网络访问 禁用公用网络访问可确保 IoT 中心设备预配服务实例不会在公共 Internet 中公开,从而可提高安全性。 创建专用终结点可以限制 IoT 中心设备预配实例的公开。 有关详细信息,请访问:https://aka.ms/iotdpsvnet Audit、Deny、Disabled 1.0.0
IoT 中心设备预配服务实例应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/iotdpsvnet Audit、Disabled 1.0.0
修改 - 将 Azure IoT 中心配置为禁用公用网络访问 禁用公用网络访问属性可确保只能从专用终结点访问 Azure IoT 中心,从而提高安全性。 此策略将禁用对 IoT 中心资源的公用网络访问。 修改,已禁用 1.0.0
修改 - 将 IoT Central 配置为禁用公用网络访问 禁用公用网络访问属性可确保只能从专用终结点访问 IoT Central,从而提高安全性。 此策略将禁用对 IoT 中心资源的公用网络访问。 修改,已禁用 1.0.0
应为 IoT 中心启用专用终结点 专用终结点连接通过启用到 IoT 中心的专用连接来强制实施安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 Audit、Disabled 1.0.0
应禁用 Azure Device Update for IoT Hub 的公用网络访问权限 通过确保只能从专用终结点访问 Azure Device Update for IoT Hub 账户,禁用公用网络访问属性改进了安全性。 Audit、Deny、Disabled 1.0.0
应禁用对 Azure IoT 中心进行公用网络访问 禁用公用网络访问属性可确保只能从专用终结点访问 Azure IoT 中心,从而提高安全性。 Audit、Deny、Disabled 1.0.0
应为 IoT Central 禁用公用网络访问 若要提高 IoT Central 的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/iotcentral-restrict-public-access 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 Audit、Deny、Disabled 1.0.0
应启用 IoT 中心内的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 3.0.1

密钥保管库

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览版]:[预览版]:Azure 密钥保管库托管 HSM 密钥应具有过期日期 应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 Audit、Deny、Disabled 1.0.0-preview
[预览版]:[预览版]:Azure 密钥保管库托管 HSM 密钥的过期天数应超过指定的天数 如果密钥临近到期,组织延迟轮换密钥可能会导致服务中断。 应在密钥到期前指定的天数轮换密钥,以提供足够的时间来应对故障。 Audit、Deny、Disabled 1.0.0-preview
[预览版]:[预览版]:使用椭圆曲线加密的 Azure 密钥保管库托管 HSM 密钥应具有指定的曲线名称 椭圆曲线加密支持的密钥可以具有不同的曲线名称。 某些应用程序仅与特定椭圆曲线密钥兼容。 强制使用可在你的环境中创建的椭圆曲线密钥类型。 Audit、Deny、Disabled 1.0.0-preview
[预览版]:[预览版]:使用 RSA 加密的 Azure 密钥保管库托管 HSM 密钥应指定最小密钥大小 设置用于密钥保管库的最小允许密钥大小。 使用密钥大小较小的 RSA 密钥并非安全的做法,不符合许多行业认证要求。 Audit、Deny、Disabled 1.0.0-preview
[预览]:[预览]:Azure Key Vault 托管 HSM 应禁用公用网络访问 禁用对 Azure Key Vault 托管 HSM 的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm Audit、Deny、Disabled 1.0.0-preview
[预览]:[预览]:Azure Key Vault 托管 HSM 应使用专用链接 专用链接提供了一种将 Azure Key Vault 托管 HSM 连接到 Azure 资源,而无需通过公共 Internet 发送流量的方法。 专用链接提供深度防御,可防范数据外泄。 了解详细信息:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link Audit、Disabled 1.0.0-preview
[预览]:[预览]:Azure Key Vault 应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到密钥保管库,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/akvprivatelink Audit、Deny、Disabled 1.0.0-preview
[预览]:[预览]:证书应具有指定的最长有效期 通过指定证书在密钥保管库中的最长有效时间,管理组织的符合性要求。 audit、Audit、deny、Deny、disabled、Disabled 2.2.0-preview
[预览]:[预览]:证书在指定的天数内不应过期 管理将在指定天数内到期的证书,以确保组织有足够的时间在到期前对证书进行轮换。 audit、Audit、deny、Deny、disabled、Disabled 2.1.0-preview
[预览]:[预览]:配置 Azure Key Vault 托管 HSM 以禁用公用网络访问 禁用对 Azure Key Vault 托管 HSM 的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm 修改,已禁用 2.0.0-preview
[预览]:[预览]:为 Azure Key Vault 托管 HSM 配置专用终结点 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Key Vault 托管 HSM,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link DeployIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:将 Azure Key Vault 配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到密钥保管库。 有关详细信息,请访问:https://aka.ms/akvprivatelink DeployIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:为 Azure Key Vault 配置专用终结点 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到密钥保管库,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/akvprivatelink DeployIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:应为 Key Vault 配置专用终结点 专用链接提供了一种将 Key Vault 连接到 Azure 资源,而无需通过公共 Internet 发送流量的方法。 专用链接提供深度防御,可防范数据外泄。 Audit、Deny、Disabled 1.1.0-preview
Azure Key Vault 托管的 HSM 应启用清除保护 恶意删除 Azure Key Vault 托管的 HSM 可能导致永久数据丢失。 你组织中的恶意内部人员可能会删除和清除 Azure Key Vault 托管的 HSM。 清除保护通过强制实施软删除 Azure Key Vault 托管的 HSM 的强制保留期来保护你免受内部人员的攻击。 你的组织内的任何人都无法在软删除保留期内清除 Azure Key Vault 托管的 HSM。 Audit、Deny、Disabled 1.0.0
Azure 密钥保管库应禁用公用网络访问 禁用对密钥保管库的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/akvprivatelink Audit、Deny、Disabled 1.0.0
Azure 密钥保管库应启用防火墙 启用密钥保管库防火墙,以便默认情况下,任何公共 IP 都无法访问密钥保管库。 然后,可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息:https://docs.microsoft.com/azure/key-vault/general/network-security Audit、Deny、Disabled 3.0.0
证书应由指定的集成证书颁发机构颁发 通过指定可以在密钥保管库(如 Digicert 或 GlobalSign)中颁发证书的 Azure 集成证书颁发机构,管理组织的符合性要求。 audit、Audit、deny、Deny、disabled、Disabled 2.1.0
证书应由指定的非集成证书颁发机构颁发 通过指定可以在密钥保管库中颁发证书的自定义或内部证书颁发机构,管理组织的符合性要求。 audit、Audit、deny、Deny、disabled、Disabled 2.1.0
证书应具有指定的生存期操作触发器 通过指定证书生存期操作是在生存期的特定百分比处触发,还是在到期前提前特定天数触发,管理组织的符合性要求。 audit、Audit、deny、Deny、disabled、Disabled 2.1.0
证书应使用允许的密钥类型 通过限制允许用于证书的密钥类型,管理组织的符合性要求。 audit、Audit、deny、Deny、disabled、Disabled 2.1.0
使用椭圆曲线加密的证书应使用允许的曲线名称 管理密钥保管库中存储的 ECC 证书可用的椭圆曲线名称。 可在 https://aka.ms/akvpolicy 找到更多信息。 audit、Audit、deny、Deny、disabled、Disabled 2.1.0
使用 RSA 加密的证书应具有指定的最小密钥大小 通过指定存储在密钥保管库中的 RSA 证书的最小密钥大小,管理组织的符合性要求。 audit、Audit、deny、Deny、disabled、Disabled 2.1.0
配置密钥保管库以启用防火墙 启用密钥保管库防火墙,以便默认情况下,任何公共 IP 都无法访问密钥保管库。 然后,可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息:https://docs.microsoft.com/azure/key-vault/general/network-security 修改,已禁用 1.1.1
部署 - 为 Azure Key Vault 配置诊断设置,以便将资源日志流式传输到 Log Analytics 工作区 为 Azure Key Vault 部署诊断设置,以便在创建或更新缺少此诊断设置的任何密钥保管库时,将资源日志流式传输到 Log Analytics 工作区。 DeployIfNotExists、Disabled 2.0.1
部署 - 配置要在 Azure Key Vault 管理的 HSM 上启用的事件中心的诊断设置 部署 Azure Key Vault 管理的 HSM 的诊断设置,以便在创建或更新任何缺少此诊断设置的 Azure Key Vault 管理的 HSM 时,将诊断设置流式传输到区域事件中心。 DeployIfNotExists、Disabled 1.0.0
将 Key Vault 的诊断设置部署到事件中心 创建或更新缺少此诊断设置的任何 Key Vault 时,部署 Key Vault 的诊断设置,以便流式传输到区域事件中心。 deployIfNotExists 3.0.0
Key Vault 密钥应具有到期日期 应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 Audit、Deny、Disabled 1.0.2
Key Vault 机密应具有到期日期 应为机密定义非永久性到期日期。 机密永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为机密设置到期日期。 Audit、Deny、Disabled 1.0.2
密钥保管库应启用清除保护 恶意删除密钥保管库可能会导致永久丢失数据。 你组织中的恶意内部人员可能会删除和清除密钥保管库。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 你的组织内的任何人都无法在软删除保留期内清除你的密钥保管库。 Audit、Deny、Disabled 2.0.0
密钥保管库应启用软删除 在未启用软删除的情况下删除密钥保管库,将永久删除密钥保管库中存储的所有机密、密钥和证书。 意外删除密钥保管库可能会导致永久丢失数据。 软删除允许在可配置的保持期内恢复意外删除的密钥保管库。 Audit、Deny、Disabled 3.0.0
密钥应由硬件安全模块 (HSM) 提供支持 HSM 是存储密钥的硬件安全模块。 HSM 为加密密钥提供物理保护层。 加密密钥不能离开物理 HSM,物理 HSM 提供比软件密钥更高的安全级别。 Audit、Deny、Disabled 1.0.1
密钥应为指定的加密类型 RSA 或 EC 某些应用程序需要使用特定加密类型支持的密钥。 在你的环境中强制使用特定加密密钥类型:RSA 或 EC。 Audit、Deny、Disabled 1.0.1
密钥的剩余有效期应超过指定的天数 如果密钥临近到期,组织延迟轮换密钥可能会导致服务中断。 应在密钥到期前指定的天数轮换密钥,以提供足够的时间来应对故障。 Audit、Deny、Disabled 1.0.1
密钥应具有指定的最长有效期 通过指定密钥在密钥保管库中的最长有效期(以天为单位),管理组织的合规性要求。 Audit、Deny、Disabled 1.0.1
密钥的已生效时间不应超过指定的天数 指定密钥应有效的天数。 长时间使用的密钥会增加攻击者破解密钥的可能性。 良好的安全做法是确保密钥有效期不超过两年。 Audit、Deny、Disabled 1.0.1
使用椭圆曲线加密的密钥应使用指定的曲线名称 椭圆曲线加密支持的密钥可以具有不同的曲线名称。 某些应用程序仅与特定椭圆曲线密钥兼容。 强制使用可在你的环境中创建的椭圆曲线密钥类型。 Audit、Deny、Disabled 1.0.1
使用 RSA 加密的密钥应具有指定的最小密钥大小 设置用于密钥保管库的最小允许密钥大小。 使用密钥大小较小的 RSA 密钥并非安全的做法,不符合许多行业认证要求。 Audit、Deny、Disabled 1.0.1
应启用 Azure Key Vault 托管 HSM 中的资源日志 若要在发生安全事件或网络遭到破坏时重新创建活动跟踪以供调查之用,你可能需要通过启用托管的 HSM 上的资源日志进行审核。 请按照此处的说明进行操作:https://docs.microsoft.com/azure/key-vault/managed-hsm/logging AuditIfNotExists、Disabled 1.0.0
应启用 Key Vault 中的资源日志 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 AuditIfNotExists、Disabled 5.0.0
应为机密设置内容类型 内容类型标记可帮助标识机密是否是密码、连接字符串等。不同机密具有不同的轮换要求。 应为机密设置内容类型标记。 Audit、Deny、Disabled 1.0.1
机密的剩余有效期应超过指定的天数 如果机密临近到期,组织延迟轮换机密可能会导致服务中断。 应在密钥到期前指定的天数轮换机密,以提供足够的时间来应对故障。 Audit、Deny、Disabled 1.0.1
机密应具有指定的最长有效期 通过指定机密在密钥保管库中的最长有效期(以天为单位),管理组织的合规性要求。 Audit、Deny、Disabled 1.0.1
机密的已生效时间不应超过指定的天数 如果创建了机密并在之后设置了有效日期,必须确保机密的已生效时间不超过指定的时间。 Audit、Deny、Disabled 1.0.1

Kubernetes

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览版]:[预览版]:已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为已启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc AuditIfNotExists、Disabled 6.0.0-preview
[预览]:[预览]:已启用 Azure Arc 的 Kubernetes 群集应安装 Azure Policy 扩展 Azure Arc 的 Azure Policy 扩展以集中、一致的方式在已启用 Arc 的 Kubernetes 群集上提供大规模强制措施和安全措施。 更多信息请访问 https://aka.ms/akspolicydoc AuditIfNotExists、Disabled 1.0.0-preview
[预览版]:[预览版]:配置已启用 Azure Arc 的 Kubernetes 群集以安装 Microsoft Defender for Cloud 扩展 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为已启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc DeployIfNotExists、Disabled 7.1.0-preview
[预览]:[预览]:配置已启用 Azure Arc 的 Kubernetes 群集以安装 Azure Policy 扩展 为 Azure Arc 部署 Azure Policy 扩展以集中、一致的方式在已启用 Arc 的 Kubernetes 群集上提供大规模强制措施和安全措施。 更多信息请访问 https://aka.ms/akspolicydoc DeployIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:Kubernetes 群集应阻止易受攻击映像的部署 通过限制包含有漏洞软件组件的容器映像的部署,保护 Kubernetes 群集和容器工作负载免受潜在威胁。 使用 Azure Defender CI/CD 扫描 (https://aka.ms/AzureDefenderCICDscanning) 和适用于容器注册表的 Azure Defender (https://aka.ms/AzureDefenderForContainerRegistries),在部署之前识别和修补漏洞。 评估先决条件:策略加载项和 Azure Defender 配置文件。 仅适用于个人预览版客户。 Audit、Deny、Disabled 2.0.0-preview
[预览版]:[预览版]:Kubernetes 群集应限制创建给定资源类型 给定的 Kubernetes 资源类型不应部署在特定命名空间中。 Audit、Deny、Disabled 1.1.0-preview
已启用 Azure Arc 的 Kubernetes 群集应安装 Open Service Mesh 扩展 Open Service Mesh 扩展为应用程序服务的安全性、流量管理、可观察性提供所有标准服务网格功能。 在此处了解详细信息:https://aka.ms/arc-osm-doc DeployIfNotExists、AuditIfNotExists、Disabled 1.0.0
Azure Kubernetes 群集应使用 Azure CNI Azure CNI 是一些 Azure Kubernetes 服务功能的先决条件,包括 Azure 网络策略、Windows 节点池和虚拟节点加载项。 了解详细信息:https://aka.ms/aks-azure-cni Audit、Disabled 1.0.0
Azure Kubernetes 服务群集应禁用命令调用 禁用命令调用可避免绕过受限网络访问或 Kubernetes 基于角色的访问控制,从而增强安全性 Audit、Disabled 1.0.0
Azure Kubernetes 服务群集应启用 Azure Active Directory 集成 AKS 托管的 Azure Active Directory 集成可以通过基于用户标识或目录组成员身份配置 Kubernetes 基于角色的访问控制 (Kubernetes RBAC) 来管理对群集的访问。 有关详细信息,请访问:https://aka.ms/aks-managed-aad Audit、Disabled 1.0.0
Azure Kubernetes 服务群集应启用 Defender 配置文件 Microsoft Defender for Containers 提供云原生 Kubernetes 安全功能,包括环境强化、工作负载保护和运行时保护。 在 Azure Kubernetes 服务群集上启用 SecurityProfile.AzureDefender 时,会将代理部署到群集以收集安全事件数据。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks 中详细了解 Microsoft Defender for Containers Audit、Disabled 2.0.0
Azure Kubernetes 服务群集应禁用本地身份验证方法 禁用本地身份验证方法可确保 Azure Kubernetes 服务群集仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/aks-disable-local-accounts Audit、Deny、Disabled 1.0.0
Azure Kubernetes 服务群集应使用托管标识 使用托管标识包装服务主体、简化群集管理,并避免托管服务主体所需的复杂性。 了解详细信息:https://aka.ms/aks-update-managed-identities Audit、Disabled 1.0.0
应启用 Azure Kubernetes 服务专用群集 为 Azure Kubernetes 服务群集启用专用群集功能,确保 API 服务器与节点池之间的网络流量仅存在于专用网络上。 这是许多法规和行业合规性标准中的常见要求。 Audit、Deny、Disabled 1.0.0
应在群集上安装并启用用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项 用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项扩展了 Gatekeeper v3(用于开放策略代理 (OPA) 的许可控制器 Webhook),以集中、一致的方式在群集上应用大规模强制措施和安全措施。 Audit、Disabled 1.0.2
Azure Kubernetes 服务群集中的操作系统和数据磁盘都应使用客户托管的密钥进行加密 使用客户管理的密钥加密 OS 和数据磁盘可以更好地控制密钥管理并提高密钥管理的灵活性。 这是许多法规和行业合规性标准中的常见要求。 Audit、Deny、Disabled 1.0.0
使用所需的管理员组访问权限配置 AAD 集成的 Azure Kubernetes 服务群集 通过集中治理对 Azure Active Directory 集成 AKS 群集的管理员访问权限,确保提高群集安全性。 DeployIfNotExists、Disabled 2.0.0
配置 Azure Kubernetes 服务群集以启用 Defender 配置文件 Microsoft Defender for Containers 提供云原生 Kubernetes 安全功能,包括环境强化、工作负载保护和运行时保护。 在 Azure Kubernetes 服务群集上启用 SecurityProfile.AzureDefender 时,会将代理部署到群集以收集安全事件数据。 详细了解 Microsoft Defender for Containers:https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks DeployIfNotExists、Disabled 4.0.0
在 Kubernetes 群集上配置 Flux 扩展安装 在 Kubernetes 群集上安装 Flux 扩展,以便在群集中启用“fluxconfigurations”部署 DeployIfNotExists、Disabled 1.0.0
在 KeyVault 中使用 Bucket 源和机密通过 Flux v2 配置来配置 Kubernetes 群集 将“fluxConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 Bucket 中获取其工作负载和配置的事实来源。 此定义需要存储在 Key Vault 中的 Bucket SecretKey。 有关说明,请访问 https://aka.ms/GitOpsFlux2Policy DeployIfNotExists、Disabled 1.0.0
使用 Git 存储库和 HTTPS CA 证书通过 Flux v2 配置来配置 Kubernetes 群集 将“fluxConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 Git 存储库中获取其工作负载和配置的事实来源。 此定义需要 HTTPS CA 证书。 有关说明,请访问 https://aka.ms/GitOpsFlux2Policy DeployIfNotExists、Disabled 1.0.1
使用 Git 存储库和 HTTPS 机密通过 Flux v2 配置来配置 Kubernetes 群集 将“fluxConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 Git 存储库中获取其工作负载和配置的事实来源。 此定义需要存储在 Key Vault 中的 HTTPS 密钥机密。 有关说明,请访问 https://aka.ms/GitOpsFlux2Policy DeployIfNotExists、Disabled 1.0.0
使用 Git 存储库和本地机密通过 Flux v2 配置来配置 Kubernetes 群集 将“fluxConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 Git 存储库中获取其工作负载和配置的事实来源。 此定义需要存储在 Kubernetes 群集中的本地身份验证机密。 有关说明,请访问 https://aka.ms/GitOpsFlux2Policy DeployIfNotExists、Disabled 1.0.0
使用 Git 存储库和 SSH 机密通过 Flux v2 配置来配置 Kubernetes 群集 将“fluxConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 Git 存储库中获取其工作负载和配置的事实来源。 此定义需要存储在 Key Vault 中的 SSH 私钥机密。 有关说明,请访问 https://aka.ms/GitOpsFlux2Policy DeployIfNotExists、Disabled 1.0.0
使用公共 Git 存储库通过 Flux v2 配置来配置 Kubernetes 群集 将“fluxConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 Git 存储库中获取其工作负载和配置的事实来源。 此定义不需要机密。 有关说明,请访问 https://aka.ms/GitOpsFlux2Policy DeployIfNotExists、Disabled 1.0.0
使用本地机密通过指定 Flux v2 Bucket 源来配置 Kubernetes 群集 将“fluxConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 Bucket 中获取其工作负载和配置的事实来源。 此定义需要存储在 Kubernetes 群集中的本地身份验证机密。 有关说明,请访问 https://aka.ms/GitOpsFlux2Policy DeployIfNotExists、Disabled 1.0.0
使用 HTTPS 机密通过指定的 GitOps 配置来配置 Kubernetes 群集 将“sourceControlConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 git 存储库中获取其工作负载和配置的事实来源。 此定义需要密钥保管库中存储的 HTTPS 用户和密钥机密。 有关说明,请访问 https://aka.ms/K8sGitOpsPolicy auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 1.1.0
不使用机密通过指定的 GitOps 配置来配置 Kubernetes 群集 将“sourceControlConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 git 存储库中获取其工作负载和配置的事实来源。 此定义不需要机密。 有关说明,请访问 https://aka.ms/K8sGitOpsPolicy auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 1.1.0
使用 SSH 机密通过指定的 GitOps 配置来配置 Kubernetes 群集 将“sourceControlConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 git 存储库中获取其工作负载和配置的事实来源。 此定义需要密钥保管库中的 SSH 私钥机密。 有关说明,请访问 https://aka.ms/K8sGitOpsPolicy auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 1.1.0
部署 - 为 Azure Kubernetes 服务配置诊断设置,以便将资源日志流式传输到 Log Analytics 工作区 为 Azure Kubernetes 服务部署诊断设置,以将资源日志流式传输到 Log Analytics 工作区。 DeployIfNotExists、Disabled 3.0.0
将 Azure Policy 加载项部署到 Azure Kubernetes 服务群集 使用 Azure Policy 加载项管理和报告 Azure Kubernetes 服务 (AKS) 群集的符合性状态。 有关详细信息,请参阅 https://aka.ms/akspolicydoc DeployIfNotExists、Disabled 4.0.0
在 Azure Kubernetes 服务群集上禁用命令调用 禁用命令调用可以通过拒绝对群集的 invoke-command 访问来增强安全性 DeployIfNotExists、Disabled 1.0.0
确保群集容器已配置就绪情况或运行情况探测 此策略强制所有 Pod 配置就绪情况和/或运行情况探测。 探测类型可以是 tcpSocket、httpGet 和 exec 的任何一种。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关使用此策略的说明,请访问 https://aka.ms/kubepolicydoc Audit、Deny、Disabled 2.0.0
Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制 强制实施容器 CPU 和内存资源限制,以防止 Kubernetes 群集中发生资源耗尽攻击。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 8.0.0
Kubernetes 群集容器不得共享主机进程 ID 命名空间或主机 IPC 命名空间 阻止 Pod 容器在 Kubernetes 群集中共享主机进程 ID 命名空间和主机 IPC 命名空间。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.2 和 CIS 5.2.3 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 4.0.1
Kubernetes 群集容器不应使用禁止的 sysctl 接口 容器不应使用 Kubernetes 群集中禁止的 sysctl 接口。 此建议是旨在提高 Kubernetes 环境安全性的 Pod 安全策略的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 6.0.2
Kubernetes 群集容器只应使用允许的 AppArmor 配置文件 容器只应使用 Kubernetes 群集中允许的 AppArmor 配置文件。 此建议是旨在提高 Kubernetes 环境安全性的 Pod 安全策略的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 5.0.0
Kubernetes 群集容器只应使用允许的功能 限制功能以减小 Kubernetes 群集中容器的受攻击面。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.8 和 CIS 5.2.9 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 5.0.1
Kubernetes 群集容器应只使用允许的映像 使用受信任注册表中的映像,以降低 Kubernetes 群集暴露于未知漏洞、安全问题和恶意映像的风险。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 8.0.0
Kubernetes 群集容器只应使用允许的 ProcMountType Pod 容器只能使用 Kubernetes 群集中允许的 ProcMountType。 此建议是旨在提高 Kubernetes 环境安全性的 Pod 安全策略的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 7.0.1
Kubernetes 群集容器应仅使用允许的拉取策略 限制容器的拉取策略,以强制容器仅在部署上使用允许的映像 Audit、Deny、Disabled 2.0.0
Kubernetes 群集容器只应使用允许的 seccomp 配置文件 Pod 容器只能使用 Kubernetes 群集中允许的 seccomp 配置文件。 此建议是旨在提高 Kubernetes 环境安全性的 Pod 安全策略的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 5.0.1
Kubernetes 群集容器应使用只读根文件系统运行 运行使用只读根文件系统的容器,以防止在运行时发生更改而导致恶意二进制文件添加到 Kubernetes 群集中的 PATH。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 5.0.0
Kubernetes 群集 Pod FlexVolume 卷只应使用允许的驱动程序 Pod FlexVolume 卷只应使用 Kubernetes 群集中允许的驱动程序。 此建议是旨在提高 Kubernetes 环境安全性的 Pod 安全策略的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 4.0.0
Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径 仅限将 Pod HostPath 卷装载到 Kubernetes 群集中允许的主机路径。 此建议是旨在提高 Kubernetes 环境安全性的 Pod 安全策略的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 5.0.1
Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 控制 Pod 和容器可以使用哪些用户、主要组、补充组和文件系统组 ID 在 Kubernetes 群集中运行。 此建议是旨在提高 Kubernetes 环境安全性的 Pod 安全策略的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 5.0.2
Kubernetes 群集 Pod 和容器只应使用允许的 SELinux 选项 Pod 和容器只应使用 Kubernetes 群集中允许的 SELinux 选项。 此建议是旨在提高 Kubernetes 环境安全性的 Pod 安全策略的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 6.0.2
Kubernetes 群集 Pod 只应使用允许的卷类型 Pod 只能使用 Kubernetes 群集中允许的卷类型。 此建议是旨在提高 Kubernetes 环境安全性的 Pod 安全策略的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 4.0.1
Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 限制 Pod 在 Kubernetes 群集中对主机网络和允许的主机端口范围的访问。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.4 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 5.0.0
Kubernetes 群集 Pod 应使用指定的标签 使用指定的标签来标识 Kubernetes 群集中的 Pod。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 6.2.1
Kubernetes 群集服务应只侦听允许的端口 将服务限制为只侦听允许的端口,以确保对 Kubernetes 群集进行的访问安全。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 7.0.0
Kubernetes 群集服务只应使用允许的外部 IP 使用允许的外部 IP 避免 Kubernetes 群集中的潜在攻击 (CVE-2020-8554)。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 4.0.1
Kubernetes 群集不应允许特权容器 不允许在 Kubernetes 群集中创建特权容器。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.1 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 8.0.0
Kubernetes 群集不应使用裸 Pod 阻止使用裸 Pod。 如果节点发生故障,将不会重新计划裸 Pod。 Pod 应由 Deployment、Replicset、Daemonset 或 Jobs 进行管理 Audit、Deny、Disabled 1.0.0
Kubernetes 群集 Windows 容器不应过度使用 CPU 和内存 Windows 容器资源请求应小于或等于资源限制,或者不指定以避免过度提交。 如果过度预配了 Windows 内存,则会在磁盘中处理页面(这会降低性能),而不会因内存不足而终止容器 Audit、Deny、Disabled 1.0.2
Kubernetes 群集 Windows 容器应仅使用已批准的用户和域用户组运行 控制 Windows Pod 和容器可用于在 Kubernetes 群集中运行的用户。 此建议是 Windows 节点上 Pod 安全策略的一部分,旨在提高 Kubernetes 环境的安全性。 Audit、Deny、Disabled 1.0.0
Kubernetes 群集应只可通过 HTTPS 进行访问 使用 HTTPS 可确保执行身份验证,并保护传输中的数据不受网络层窃听攻击威胁。 此功能目前已面向 Kubernetes 服务 (AKS) 正式发布,并面向 AKS 引擎和启用了 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请访问 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 7.0.0
Kubernetes 群集应禁用自动装载 API 凭据 禁用自动装载 API 凭据,以防止可能泄露的 Pod 资源对 Kubernetes 群集运行 API 命令。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 3.0.1
Kubernetes 群集不得允许容器特权提升 不允许容器使用特权提升运行,从而进入 Kubernetes 群集的根。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.5 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 6.0.1
Kubernetes 群集不应允许终结点编辑 ClusterRole/system:aggregate-to-edit 的权限 由于“CVE-2021-25740:终结点和 EndpointSlice 权限允许跨命名空间转发 https://github.com/kubernetes/kubernetes/issues/103675”问题,ClusterRole/system:aggregate-to-edit 不应允许终结点编辑权限。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc Audit、Disabled 2.0.0
Kubernetes 群集不应授予 CAP_SYS_ADMIN 安全功能 为了减小容器的受攻击面,请限制 CAP_SYS_ADMIN Linux 功能。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 4.0.0
Kubernetes 群集不应使用特定的安全功能 阻止 Kubernetes 群集中特定的安全功能,以防止 Pod 资源上未授予的权限。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 4.0.1
Kubernetes 群集不应使用默认命名空间 防止在 Kubernetes 群集中使用默认命名空间,以防止对 ConfigMap、Pod、Secret、Service 和 ServiceAccount 资源类型进行的未经授权的访问。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 3.0.1
Kubernetes 群集应使用容器存储接口 (CSI) 驱动程序 StorageClass 容器存储接口 (CSI) 是有关在 Kubernetes 上的容器化工作负载中公开任意块和文件存储系统的一套标准。 自 AKS 版本 1.21 起,应弃用树内预配器 StorageClass。 若要了解详细信息,请访问以下链接:https://aka.ms/aks-csi-driver Audit、Deny、Disabled 1.1.0
Kubernetes 群集应使用内部负载均衡器 使用内部负载均衡可以做到只有 Kubernetes 群集所在的同一虚拟网络中运行的应用程序能够访问 Kubernetes 服务。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 7.0.0
Kubernetes 资源应具有所需的注释 确保对给定的 Kubernetes 资源类型附加所需的注释,以改进 Kubernetes 资源的资源管理。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc Audit、Deny、Disabled 2.0.0
应启用 Azure Kubernetes 服务中的资源日志 在调查安全事件时,Azure Kubernetes 服务的资源日志可帮助重新创建活动线索。 启用日志可确保它们在需要时存在 AuditIfNotExists、Disabled 1.0.0
应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存 为了增强数据安全性,应对存储在 Azure Kubernetes 服务节点 VM 的虚拟机 (VM) 主机上的数据进行静态加密。 这是许多法规和行业合规性标准中的常见要求。 Audit、Deny、Disabled 1.0.0

实验室服务

名称
(Azure 门户)
说明 效果 版本
(GitHub)
实验室服务应启用自动关闭的所有选项 此策略强制为实验室启用所有自动关闭选项,从而提供成本管理帮助。 Audit、Deny、Disabled 1.1.0
实验室服务不应允许实验室的模板虚拟机 此策略阻止为通过实验室服务管理的实验室创建和自定义模板虚拟机。 Audit、Deny、Disabled 1.1.0
实验室服务应要求实验室的非管理员用户 此策略要求为通过实验室服务管理的实验室创建非管理员用户帐户。 Audit、Deny、Disabled 1.1.0
实验室服务应限制允许的虚拟机 SKU 大小 通过此策略,可以限制通过实验室服务管理的实验室的某些计算 VM SKU。 这会限制某些虚拟机大小。 Audit、Deny、Disabled 1.1.0

Lighthouse

名称
(Azure 门户)
说明 效果 版本
(GitHub)
允许管理租户 ID 通过 Azure Lighthouse 加入 通过限制可管理 Azure 资源的用户,将 Azure Lighthouse 委派限制为特定管理租户,可提高安全性。 deny 1.0.1
审核是否将作用域委派给管理租户 审核是否通过 Azure Lighthouse 将作用域委派给管理租户。 Audit、Disabled 1.0.0

逻辑应用

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应使用客户管理的密钥对逻辑应用集成服务环境进行加密 使用客户管理的密钥部署到集成服务环境,以管理逻辑应用数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 Audit、Deny、Disabled 1.0.0
应将逻辑应用部署到集成服务环境 在虚拟网络中将逻辑应用部署到集成服务环境可以解锁高级逻辑应用网络和安全功能,并使你能够更好地控制网络配置。 有关详细信息,请访问:https://aka.ms/integration-service-environment。 部署到集成服务环境还允许使用客户管理的密钥进行加密,从而通过允许管理加密密钥来提供增强的数据保护。 这通常是满足合规性要求所必需的。 Audit、Deny、Disabled 1.0.0
应启用逻辑应用中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0

机器学习

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核 Azure 机器学习计算群集和实例在虚拟网络后面 Azure 虚拟网络部署为 Azure 机器学习计算群集和实例以及子网、访问控制策略和其他功能提供增强的安全性和隔离性,以进一步限制访问。 为 Azure 机器学习计算实例配置虚拟网络后,该实例不可公开寻址,而只能从虚拟网络中的虚拟机和应用程序进行访问。 Audit、Disabled 1.0.0
Azure 机器学习计算实例应处于空闲关闭状态。 使用空闲关闭计划可降低成本,方法是关闭在预先确定活动期后处于空闲状态的计算。 Audit、Deny、Disabled 1.0.0
应使用客户管理的密钥对 Azure 机器学习工作区进行加密 使用客户管理的密钥管理 Azure 机器学习工作区数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/azureml-workspaces-cmk Audit、Deny、Disabled 1.0.3
Azure 机器学习工作区应禁用公用网络访问 禁用公用网络访问可确保机器学习工作区不会在公共 Internet 上公开,从而提高安全性。 你可以通过创建专用终结点来限制工作区的公开。 有关详细信息,请访问:https://aka.ms/privateendpoints Audit、Deny、Disabled 2.0.0
Azure 机器学习工作区应启用 V1LegacyMode 以支持网络隔离后向兼容性 Azure ML 正在 Azure 资源管理器上过渡到新的 V2 API 平台,并且可以使用 V1LegacyMode 参数控制 API 平台版本。 启用 V1LegacyMode 参数,你可以将工作区与 V1 保持在相同的网络隔离中,尽管你不会使用新的 V2 功能。 我们建议,仅在希望将 AzureML 控制平面数据保留在专用网络中时才打开 V1 旧模式。 有关详细信息,请访问:https://aka.ms/V1LegacyMode Audit、Deny、Disabled 1.0.0
Azure 机器学习工作区应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link Audit、Deny、Disabled 1.1.0
Azure 机器学习工作区应使用用户分配的托管标识 使用用户分配的托管标识管理对 Azure ML 工作区和相关资源、Azure 容器注册表、KeyVault、存储和应用见解的访问。 默认情况下,Azure ML 工作区使用系统分配的托管标识来访问关联的资源。 用户分配的托管标识允许你将标识创建为 Azure 资源并维护该标识的生命周期。 更多信息请访问 https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python Audit、Deny、Disabled 1.0.0
将 Azure 机器学习工作区配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure 机器学习工作区。 有关详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview DeployIfNotExists、Disabled 1.0.0
将 Azure 机器学习工作区配置为禁用公用网络访问 禁用对 Azure 机器学习工作区的公用网络访问,确保无法通过公共 Internet 访问工作区。 这将有助于防范工作区有数据泄露风险。 你可以通过创建专用终结点来限制机器学习工作区的公开。 有关详细信息,请访问:https://aka.ms/privateendpoints 修改,已禁用 1.0.0
为 Azure 机器学习工作区配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link DeployIfNotExists、Disabled 1.0.0
配置机器学习计算以禁用本地身份验证方法 禁用本地身份验证方法,使机器学习计算需要专用于身份验证的 Azure Active Directory 标识。 有关详细信息,请访问:https://aka.ms/azure-ml-aad-policy 修改,已禁用 1.0.0
机器学习计算应禁用本地身份验证方法 禁用本地身份验证方法可确保机器学习计算需要专用于身份验证的 Azure Active Directory 标识,从而提高安全性。 有关详细信息,请访问:https://aka.ms/azure-ml-aad-policy Audit、Deny、Disabled 1.0.0

托管应用程序

名称
(Azure 门户)
说明 效果 版本
(GitHub)
托管应用程序的应用程序定义应使用客户提供的存储帐户 如果这是法规或合规性要求,请使用自己的存储帐户来控制应用程序定义数据。 可以选择将托管应用程序定义存储在创建过程中提供的存储帐户中,以便你能够对其位置和访问权限进行完全管理,以符合法规或合规性要求。 audit、Audit、deny、Deny、disabled、Disabled 1.1.0
为托管应用程序部署关联 部署将所选资源类型与指定托管应用程序关联的关联资源。 此策略部署不支持嵌套资源类型。 deployIfNotExists 1.0.0

托管标识

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]: [预览]: 将内置用户分配的托管标识分配给虚拟机规模集 创建并分配内置用户分配的托管标识,或大规模向虚拟机规模集分配预创建的用户分配的托管标识。 有关更详细的文档,请访问 aka.ms/managedidentitypolicy。 AuditIfNotExists、DeployIfNotExists、Disabled 1.0.2-preview
[预览]:[预览]:将用户分配的内置托管标识分配给虚拟机 创建并分配内置用户分配的托管标识,或大规模向虚拟机分配预创建的用户分配的托管标识。 有关更详细的文档,请访问 aka.ms/managedidentitypolicy。 AuditIfNotExists、DeployIfNotExists、Disabled 1.0.2-preview

Maps

名称
(Azure 门户)
说明 效果 版本
(GitHub)
CORS 不应允许所有资源访问你的 map 帐户。 跨源资源共享 (CORS) 不应允许所有域都能访问你的映射帐户。 仅允许所需的域与你的映射帐户交互。 已禁用、审核、拒绝 1.0.0

媒体服务

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure 媒体服务帐户应禁用公用网络访问 禁用公用网络访问可确保媒体服务资源不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制媒体服务资源的公开。 有关详细信息,请访问:https://aka.ms/mediaservicesprivatelinkdocs Audit、Deny、Disabled 1.0.0
Azure 媒体服务帐户应使用支持专用链接的 API 媒体服务帐户应使用支持专用链接的 API 来创建。 Audit、Deny、Disabled 1.0.0
允许访问旧版 v2 API 的 Azure 媒体服务帐户应被阻止 媒体服务旧版 v2 API 允许无法使用 Azure Policy 进行管理的请求。 使用 2020-05-01 API 或更高版本创建的媒体服务资源会阻止访问旧版 v2 API。 Audit、Deny、Disabled 1.0.0
Azure 媒体服务内容密钥策略应使用令牌身份验证 内容密钥策略定义访问内容密钥必须满足的条件。 令牌限制确保内容密钥只能由具有来自身份验证服务(例如 Azure Active Directory)的有效令牌的用户访问。 Audit、Deny、Disabled 1.0.0
使用 HTTPS 输入的 Azure 媒体服务作业应该将输入 URI 限制在允许的 URI 模式内 将媒体服务作业使用的 HTTPS 输入限制为已知的终结点。 可以通过设置允许的作业输入模式的空列表,完全禁用 HTTPS 终结点的输入。 如果作业输入指定“baseUri”,则模式将与此值匹配;如果未设置“baseUri”,则模式与“files”属性匹配。 拒绝、已禁用 1.0.1
Azure 媒体服务应使用客户管理的密钥来加密静态数据 使用客户管理的密钥管理媒体服务帐户的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/mediaservicescmkdocs Audit、Deny、Disabled 1.0.0
Azure 媒体服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到媒体服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/mediaservicesprivatelinkdocs AuditIfNotExists、Disabled 1.0.0
配置 Azure 媒体服务以使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到媒体服务帐户。 有关详细信息,请访问:https://aka.ms/mediaservicesprivatelinkdocs DeployIfNotExists、Disabled 1.0.0
使用专用终结点配置 Azure 媒体服务 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到媒体服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/mediaservicesprivatelinkdocs DeployIfNotExists、Disabled 1.0.0

Migrate

名称
(Azure 门户)
说明 效果 版本
(GitHub)
将 Azure Migrate 资源配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Migrate 项目。 有关详细信息,请访问:https://aka.ms/privatednszone DeployIfNotExists、Disabled 1.0.0

监视

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:[预览]:使用连接到默认 Log Analytics 工作区的 Log Analytics 代理配置已启用 Azure Arc 的 Linux 计算机 通过安装将数据发送到 Microsoft Defender for Cloud 创建的默认 Log Analytics 工作区的 Log Analytics 代理,使用 Microsoft Defender for Cloud 功能保护已启用 Azure Arc 的 Linux 计算机。 DeployIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:使用连接到默认 Log Analytics 工作区的 Log Analytics 代理配置已启用 Azure Arc 的 Windows 计算机 通过安装将数据发送到 Microsoft Defender for Cloud 创建的默认 Log Analytics 工作区的 Log Analytics 代理,使用 Microsoft Defender for Cloud 功能保护已启用 Azure Arc 的 Windows 计算机。 DeployIfNotExists、Disabled 1.1.0-preview
[预览]:[预览]:使用 Azure Monitoring Agent 设置在启用了 Azure Arc 的 Linux 服务器上配置 Dependency Agent 通过使用 Azure Monitoring Agent 设置安装 Dependency Agent 虚拟机扩展,在通过启用了 Arc 的服务器连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用 Dependency Agent 来收集网络指标以及发现的有关在计算机上运行的进程和外部进程依赖项的数据。 查看更多 - https://aka.ms/vminsightsdocs DeployIfNotExists、Disabled 1.1.1-preview
[预览]:[预览]:使用 Azure Monitoring Agent 设置在启用了 Azure Arc 的 Windows 服务器上配置 Dependency Agent 通过使用 Azure Monitoring Agent 设置安装 Dependency Agent 虚拟机扩展,在通过启用了 Arc 的服务器连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用 Dependency Agent 来收集网络指标以及发现的有关在计算机上运行的进程和外部进程依赖项的数据。 查看更多 - https://aka.ms/vminsightsdocs DeployIfNotExists、Disabled 1.1.1-preview
[预览]:[预览]:配置系统分配的托管标识,以在 VM 上启用 Azure Monitor 分配 将系统分配的托管标识配置到托管在 Azure 中的虚拟机,这些虚拟机受 Azure Monitor 支持,但没有系统分配的托管标识。 系统分配的托管标识是所有 Azure Monitor 分配的先决条件,在使用任何 Azure Monitor 扩展之前必须被添加到计算机。 目标虚拟机必须位于受支持的位置。 修改,已禁用 5.0.0-preview
[预览]:[预览]:为资源组中所有 VM 部署 VMInsights 数据收集规则和数据收集规则关联 为 VMInsights 部署数据收集规则,并为资源组中的所有 VM 部署数据收集规则关联。 该策略询问是否需要启用“进程和依赖项”,并相应地创建 DCR。 DeployIfNotExists、Disabled 1.1.1-preview
[预览]:[预览]:为资源组中所有 VMSS 部署 VMInsights 数据收集规则和数据收集规则关联 为 VMInsights 部署数据收集规则,并为资源组中的所有 VMSS 部署数据收集规则关联。 该策略询问是否需要启用“进程和依赖项”,并相应地创建 DCR。 DeployIfNotExists、Disabled 1.1.1-preview
[预览]:[预览]:为资源组中所有 Arc 计算机部署 VMInsights 数据收集规则和数据收集规则关联 为 VMInsights 部署数据收集规则,并为资源组中的所有 Arc 计算机部署数据收集规则关联。 该策略询问是否需要启用“进程和依赖项”,并相应地创建 DCR。 DeployIfNotExists、Disabled 1.1.1-preview
[预览]:[预览]:使用 Azure Monitoring Agent 设置为 Linux 虚拟机规模集部署 Dependency Agent 如果 VM 映像 (OS) 在定义的列表中且未安装代理,请使用 Azure Monitoring Agent 设置为 Linux 虚拟机规模集部署 Dependency Agent。 注意:如果规模集 upgradePolicy 设置为“Manual”,你则需要通过对规模集调用升级将扩展应用到集中的所有虚拟机。 在 CLI 中,这将是 az vmss update-instances。 DeployIfNotExists、Disabled 1.1.1-preview
[预览]:[预览]:使用 Azure Monitoring Agent 设置为 Linux 虚拟机部署 Dependency Agent 如果 VM 映像 (OS) 在定义的列表中且未安装代理,请使用 Azure Monitoring Agent 设置为 Linux 虚拟机部署 Dependency Agent。 DeployIfNotExists、Disabled 1.1.1-preview
[预览]:[预览]:使用 Azure Monitoring Agent 设置部署要在 Windows 虚拟机规模集中启用的 Dependency Agent 如果虚拟机映像在定义的列表中且未安装代理,则使用 Azure Monitoring Agent 设置为 Windows 虚拟机规模集部署 Dependency Agent。 如果规模集 upgradePolicy 设置为 Manual,你需要通过更新该规模集中的所有虚拟机将扩展应用到这些虚拟机。 DeployIfNotExists、Disabled 1.1.1-preview
[预览]:[预览]:使用 Azure Monitoring Agent 设置部署要在 Windows 虚拟机中启用的 Dependency Agent 如果虚拟机映像在定义的列表中且未安装代理,则使用 Azure Monitoring Agent 设置为 Windows 虚拟机部署 Dependency Agent。 DeployIfNotExists、Disabled 1.1.1-preview
[预览]:[预览]:应为列出的虚拟机映像启用 Log Analytics 扩展 如果虚拟机映像不在定义的列表中,并且未安装扩展,则会将虚拟机报告为不合规。 AuditIfNotExists、Disabled 2.0.1-preview
[预览]:[预览]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机中 此策略审核是否有 Linux Azure Arc 计算机未安装 Log Analytics 扩展。 AuditIfNotExists、Disabled 1.0.1-preview
[预览]:[预览]:Log Analytics 扩展应安装在 Windows Azure Arc 计算机中 此策略审核是否有 Windows Azure Arc 计算机未安装 Log Analytics 扩展。 AuditIfNotExists、Disabled 1.0.1-preview
[预览]:[预览]:应在 Linux 虚拟机上安装网络流量数据收集代理 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 AuditIfNotExists、Disabled 1.0.2-preview
[预览]:[预览]:应在 Windows 虚拟机上安装网络流量数据收集代理 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 AuditIfNotExists、Disabled 1.0.2-preview
活动日志至少应保留一年 此策略审核活动日志的保留期是否未设置为365 天或永久(保留天数设置为 0)。 AuditIfNotExists、Disabled 1.0.0
特定管理操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定管理操作。 AuditIfNotExists、Disabled 1.0.0
特定策略操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定策略操作。 AuditIfNotExists、Disabled 3.0.0
特定安全操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定安全操作。 AuditIfNotExists、Disabled 1.0.0
Application Insights 组件应阻止来自公共网络的日志引入和查询 通过阻止来自公共网络的日志引入和查询来改善 Application Insights 的安全性。 只有已连接到专用链接的网络才能引入和查询此组件的日志。 更多信息请访问 https://aka.ms/AzMonPrivateLink#configure-application-insights audit、Audit、deny、Deny、disabled、Disabled 1.1.0
Application Insights 组件应阻止并非基于 Azure Active Directory 的引入。 通过强制日志引入要求 Azure Active Directory 身份验证,可以防止攻击者引入未经身份验证的日志,因为那样会导致系统中出现错误状态、虚假警报和错误日志。 拒绝、审核、禁用 1.0.0
启用专用链接的 Application Insights 组件应当使用适用于探查器和调试程序的“自带存储”帐户。 若要支持专用链接和客户管理的密钥策略,请创建你自己的适用于探查器和调试程序的存储帐户。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage 拒绝、审核、禁用 1.0.0
审核诊断设置 审核所选资源类型的诊断设置。 AuditIfNotExists 1.1.0
针对 Log Analytics 工作区的 Azure 日志搜索警报应使用客户管理的密钥 通过使用存储帐户来存储客户为所查询的 Log Analytics 工作区提供的查询文本,确保 Azure 日志搜索警报实现客户管理的密钥。 有关详细信息,请访问 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview 审核、已禁用、拒绝 1.0.0
Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 此策略可确保日志配置文件收集类别为 "write"、"delete" 和 "action" 的日志 AuditIfNotExists、Disabled 1.0.0
应创建启用了基础结构加密(双重加密)的 Azure Monitor 日志群集 若要确保使用两种不同的加密算法和两个不同的密钥在服务级别和基础结构级别启用安全数据加密,请使用 Azure Monitor 专用群集。 在区域受支持时,默认情况下会启用此选项,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview audit、Audit、deny、Deny、disabled、Disabled 1.1.0
应使用客户管理的密钥对 Azure Monitor 日志群集进行加密 创建 Azure Monitor 日志群集并使用客户管理的密钥进行加密。 默认情况下,使用服务管理的密钥对日志数据进行加密,但为了满足法规合规性,通常需要使用客户管理的密钥。 借助 Azure Monitor 中客户管理的密钥,可更好地控制对数据的访问,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys audit、Audit、deny、Deny、disabled、Disabled 1.1.0
应将 Application Insights 的 Azure Monitor 日志链接到 Log Analytics 工作区 将 Application Insights 组件链接到 Log Analytics 工作区以进行日志加密。 为了满足法规合规性并更好地控制对 Azure Monitor 的数据访问,通常需要使用客户管理的密钥。 将组件链接到使用客户管理的密钥启用的 Log Analytics 工作区,可确保 Application Insights 日志满足此合规性要求,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys audit、Audit、deny、Deny、disabled、Disabled 1.1.0
Azure Monitor 专用链接范围应阻止对非专用链接资源的访问 Azure 专用链接允许通过 Azure Monitor 专用链接范围 (AMPLS) 的专用终结点将虚拟网络连接到 Azure 资源。 AMPLS 上设置了专用链接访问模式,用于控制来自网络的引入和查询请求是否可以访问所有资源,或只能访问专用链接资源(以防数据外泄)。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open Audit、Deny、Disabled 1.0.0
Azure Monitor 专用链接范围应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Monitor 专用链接范围,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security AuditIfNotExists、Disabled 1.0.0
Azure Monitor 应从所有区域收集活动日志 此策略审核不从所有 Azure 支持区域(包括全局)导出活动的 Azure Monitor 日志配置文件。 AuditIfNotExists、Disabled 2.0.0
必须部署 Azure Monitor 解决方案“安全和审核” 此策略可确保“安全和审核”已部署。 AuditIfNotExists、Disabled 1.0.0
Azure 订阅应有用于活动日志的日志配置文件 此策略确保启用一个日志配置文件来导出活动日志。 它会审核是否未创建日志配置文件将日志导出到存储帐户或事件中心。 AuditIfNotExists、Disabled 1.0.0
配置 Azure 活动日志以流式传输到指定的 Log Analytics 工作区 部署 Azure 活动的诊断设置,以将订阅审核日志流式传输到 Log Analytics 工作区,从而监视订阅级别的事件 DeployIfNotExists、Disabled 1.0.0
配置 Azure Application Insights 组件,以禁用公用网络对日志引入和查询的访问权限 禁用组件对日志引入和查询的公用网络访问权限,以提高安全性。 只有已连接到专用链接的网络才能引入和查询有关此工作区的日志。 更多信息请访问 https://aka.ms/AzMonPrivateLink#configure-application-insights 修改,已禁用 1.1.0
配置 Azure Log Analytics 工作区,以禁用公用网络对日志引入和查询的访问权限 通过阻止来自公共网络的日志引入和查询来改善工作区的安全性。 只有已连接到专用链接的网络才能引入和查询有关此工作区的日志。 更多信息请访问 https://aka.ms/AzMonPrivateLink#configure-log-analytics 修改,已禁用 1.1.0
配置 Azure Monitor 专用链接范围,以阻止对非专用链接资源的访问 Azure 专用链接允许通过 Azure Monitor 专用链接范围 (AMPLS) 的专用终结点将虚拟网络连接到 Azure 资源。 AMPLS 上设置了专用链接访问模式,用于控制来自网络的引入和查询请求是否可以访问所有资源,或只能访问专用链接资源(以防数据外泄)。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open 修改,已禁用 1.0.0
配置 Azure Monitor 专用链接范围以使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Monitor 专用链接范围。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint DeployIfNotExists、Disabled 1.0.0
使用专用终结点配置 Azure Monitor 专用链接范围 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Monitor 专用链接范围,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security DeployIfNotExists、Disabled 1.0.0
在启用了 Azure Arc 的 Linux 服务器上配置依赖关系代理 安装 Dependency Agent 虚拟机扩展,通过启用了 Arc 的服务器在连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用 Dependency Agent 来收集网络指标以及发现的有关在计算机上运行的进程和外部进程依赖项的数据。 查看更多 - https://aka.ms/vminsightsdocs DeployIfNotExists、Disabled 2.0.0
在启用了 Azure Arc 的 Windows 服务器上配置 Dependency Agent 安装 Dependency Agent 虚拟机扩展,通过启用了 Arc 的服务器在连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用 Dependency Agent 来收集网络指标以及发现的有关在计算机上运行的进程和外部进程依赖项的数据。 查看更多 - https://aka.ms/vminsightsdocs DeployIfNotExists、Disabled 2.0.0
将 Linux Arc 计算机配置为与数据收集规则关联 部署关联以将 Linux Arc 计算机链接到指定的数据收集规则。 随着支持的增加,位置列表会随着时间而更新。 DeployIfNotExists、Disabled 1.0.1
将已启用 Linux Arc 的计算机配置为运行 Azure Monitor 代理 在已启用 Linux Arc 的计算机上自动部署 Azure Monitor 代理扩展,以从来宾操作系统收集遥测数据。 如果支持区域,则此策略将安装扩展。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 2.1.0
将 Linux 计算机配置为与数据收集规则关联 部署关联以将 Linux 虚拟机、虚拟机规模集和 Arc 计算机链接到指定的数据收集规则。 位置和 OS 映像列表会随着支持的扩大而不断更新。 DeployIfNotExists、Disabled 4.0.0
将 Linux 虚拟机规模集配置为与数据收集规则关联 部署关联以将 Linux 虚拟机规模集链接到指定的数据收集规则。 位置和 OS 映像列表会随着支持的扩大而不断更新。 DeployIfNotExists、Disabled 2.0.0
配置 Linux 虚拟机规模集,以使用系统分配的、基于托管标识的身份验证运行 Azure Monitor 代理 在 Linux 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 2.1.0
配置 Linux 虚拟机规模集,以使用用户分配的、基于托管标识的身份验证运行 Azure Monitor 代理 在 Linux 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 2.1.0
将 Linux 虚拟机配置为与数据收集规则关联 部署关联以将 Linux 虚拟机链接到指定的数据收集规则。 位置和 OS 映像列表会随着支持的扩大而不断更新。 DeployIfNotExists、Disabled 2.0.0
配置 Linux 虚拟机,以使用系统分配的、基于托管标识的身份验证运行 Azure Monitor 代理 在 Linux 虚拟机上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 2.1.0
配置 Linux 虚拟机,以使用用户分配的、基于托管标识的身份验证运行 Azure Monitor 代理 在 Linux 虚拟机上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 2.1.0
在已启用 Azure Arc 的 Linux 服务器上配置 Log Analytics 扩展。 请参阅下面的弃用通知 安装 Log Analytics 虚拟机扩展,从而通过启用了 Arc 的服务器在连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用 Log Analytics 代理收集来宾 OS 性能数据,并提供对其性能的见解。 查看更多 - https://aka.ms/vminsightsdocs。 弃用通知:Log Analytics 代理已弃用,并且在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理” DeployIfNotExists、Disabled 2.1.1
在已启用 Azure Arc 的 Windows 服务器上配置 Log Analytics 扩展 安装 Log Analytics 虚拟机扩展,从而通过启用了 Arc 的服务器在连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用 Log Analytics 代理收集来宾 OS 性能数据,并提供对其性能的见解。 查看更多 - https://aka.ms/vminsightsdocs。 弃用通知:Log Analytics 代理已弃用,并且在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理”。 DeployIfNotExists、Disabled 2.1.1
配置 Log Analytics 工作区和自动化帐户,以集中日志和监视 部署包含 Log Analytics 工作区和链接自动化帐户的资源组,以集中日志和监视。 自动化帐户是更新和更改跟踪等解决方案的先决条件。 DeployIfNotExists、AuditIfNotExists、Disabled 2.0.0
将 Windows Arc 计算机配置为与数据收集规则关联 部署关联以将 Windows Arc 计算机链接到指定的数据收集规则。 随着支持的增加,位置列表会随着时间而更新。 DeployIfNotExists、Disabled 1.0.1
配置已启用 Arc 的 Windows 计算机以运行 Azure Monitor 代理 在已启用 Arc 的 Windows 计算机上自动部署 Azure Monitor 代理扩展,以从来宾操作系统收集遥测数据。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 2.1.0
将 Windows 计算机配置为与数据收集规则关联 部署关联以将 Windows 虚拟机、虚拟机规模集和 Arc 计算机链接到指定的数据收集规则。 位置和 OS 映像列表会随着支持的扩大而不断更新。 DeployIfNotExists、Disabled 2.1.0
将 Windows 虚拟机规模集配置为与数据收集规则关联 部署关联以将 Windows 虚拟机规模集链接到指定的数据收集规则。 位置和 OS 映像列表会随着支持的扩大而不断更新。 DeployIfNotExists、Disabled 1.1.0
配置 Windows 虚拟机规模集,以使用系统分配的托管标识运行 Azure Monitor 代理 在 Windows 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 3.1.0
配置 Windows 虚拟机规模集,以使用用户分配的、基于托管标识的身份验证运行 Azure Monitor 代理 在 Windows 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 1.1.0
将 Windows 虚拟机配置为与数据收集规则关联 部署关联以将 Windows 虚拟机链接到指定的数据收集规则。 位置和 OS 映像列表会随着支持的扩大而不断更新。 DeployIfNotExists、Disabled 1.1.0
配置 Windows 虚拟机,以使用系统分配的托管标识运行 Azure Monitor 代理 在 Windows 虚拟机上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 4.1.0
配置 Windows 虚拟机,以使用用户分配的、基于托管标识的身份验证运行 Azure Monitor 代理 在 Windows 虚拟机上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 1.1.0
应为列出的虚拟机映像启用 Dependency Agent 如果虚拟机映像不在定义的列表中,并且未安装该代理,则会将虚拟机报告为不合规。 OS 映像列表会随着支持的更新而不断更新。 AuditIfNotExists、Disabled 2.0.0
应在虚拟机规模集中为列出的虚拟机映像启用 Dependency Agent 如果虚拟机映像不在定义的列表中,并且未安装该代理,则会将虚拟机规模集报告为不合规。 OS 映像列表会随着支持的更新而不断更新。 AuditIfNotExists、Disabled 2.0.0
部署 - 将 Dependency Agent 配置为在 Windows 虚拟机规模集上启用 如果虚拟机映像在定义的列表中,并且未安装 Dependency Agent,则为 Windows 虚拟机规模集部署该代理。 如果规模集 upgradePolicy 设置为 Manual,你需要通过更新该规模集中的所有虚拟机将扩展应用到这些虚拟机。 DeployIfNotExists、Disabled 3.1.0
部署 - 将 Dependency Agent 配置为在 Windows 虚拟机上启用 如果虚拟机映像在定义的列表中,并且未安装 Dependency Agent,则为 Windows 虚拟机部署该代理。 DeployIfNotExists、Disabled 3.1.0
部署 - 配置要在 Azure 密钥保管库托管的 HSM 上启用的 Log Analytics 工作区的诊断设置 当创建或更新缺少此诊断设置的任何 Azure Key Vault 托管的 HSM 时,部署 Azure Key Vault 托管的 HSM 的诊断设置以流式传输到区域 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
部署 - 配置 Log Analytics 扩展,以在 Windows 虚拟机规模集上启用 如果虚拟机映像位于定义的列表中且未安装扩展,则为 Windows 虚拟机规模集部署 Log Analytics 扩展。 如果规模集 upgradePolicy 设置为 Manual,你需要通过更新该规模集中的所有虚拟机将扩展应用到这些虚拟机。 弃用通知:Log Analytics 代理已弃用,并且在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理”。 DeployIfNotExists、Disabled 3.0.1
部署 - 将 Log Analytics 扩展配置为在 Windows 虚拟机上启用 如果虚拟机映像位于定义的列表中且未安装扩展,则为 Windows 虚拟机部署 Log Analytics 扩展。 弃用通知:Log Analytics 代理已弃用,并且在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理”。 DeployIfNotExists、Disabled 3.0.1
为 Linux 虚拟机规模集部署 Dependency Agent 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Linux 虚拟机规模集部署 Dependency Agent。 注意:如果规模集 upgradePolicy 设置为“Manual”,你则需要通过对规模集调用升级将扩展应用到集中的所有虚拟机。 在 CLI 中,这将是 az vmss update-instances。 deployIfNotExists 4.0.0
为 Linux 虚拟机部署 Dependency Agent 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,则为 Linux 虚拟机部署 Dependency Agent。 deployIfNotExists 4.0.0
将 Batch 帐户的诊断设置部署到事件中心 在创建或更新缺少 Batch 帐户的诊断设置的任何 Batch 帐户时,将此诊断设置流式部署到区域事件中心。 DeployIfNotExists、Disabled 2.0.0
将 Batch 帐户的诊断设置部署到 Log Analytics 工作区 在创建或更新缺少 Batch 帐户的诊断设置的任何 Batch 帐户时,将此诊断设置流式部署到区域 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
将 Data Lake Analytics 的诊断设置部署到事件中心 在创建或更新缺少 Data Lake Analytics 的诊断设置的任何 Data Lake Analytics 时,将此诊断设置流式部署到区域事件中心。 DeployIfNotExists、Disabled 2.0.0
将 Data Lake Analytics 的诊断设置部署到 Log Analytics 工作区 创建或更新缺少此诊断设置的任何 Data Lake Analytics 时,部署 Data Lake Analytics 的诊断设置以流式传输到区域 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
将 Data Lake Storage Gen1 的诊断设置部署到事件中心 在创建或更新缺少 Data Lake Storage Gen1 的诊断设置的任何 Data Lake Storage Gen1 时,将此诊断设置流式部署到区域事件中心。 DeployIfNotExists、Disabled 2.0.0
将 Data Lake Storage Gen1 的诊断设置部署到 Log Analytics 工作区 创建或更新缺少此诊断设置的任何 Data Lake Storage Gen1 时,部署 Data Lake Storage Gen1 的诊断设置以流式传输到区域 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
将事件中心的诊断设置部署到事件中心 在创建或更新缺少事件中心的诊断设置的任何事件中心时,将此诊断设置流式部署到区域事件中心。 DeployIfNotExists、Disabled 2.1.0
将事件中心的诊断设置部署到 Log Analytics 工作区 在创建或更新缺少事件中心的诊断设置的任何事件中心时,将此诊断设置流式部署到 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.1.0
将 Key Vault 的诊断设置部署到 Log Analytics 工作区 在创建或更新缺少 Key Vault 的诊断设置的 Key Vault 时,将此诊断设置流式部署到 Log Analytics 工作区。 DeployIfNotExists、Disabled 3.0.0
将逻辑应用的诊断设置部署到事件中心 在创建或更新缺少逻辑应用的诊断设置的任何逻辑应用时,将此诊断设置流式部署到区域事件中心。 DeployIfNotExists、Disabled 2.0.0
将逻辑应用的诊断设置部署到 Log Analytics 工作区 在创建或更新缺少逻辑应用的诊断设置的任何逻辑应用时,将此诊断设置流式部署到 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
为网络安全组部署诊断设置 此策略自动将诊断设置部署到网络安全组。 将自动创建名为“{storagePrefixParameter}{NSGLocation}”的存储帐户。 deployIfNotExists 2.0.0
将搜索服务的诊断设置部署到事件中心 在创建或更新缺少搜索服务的诊断设置的任何搜索服务时,将此诊断设置流式部署到区域事件中心。 DeployIfNotExists、Disabled 2.0.0
将搜索服务的诊断设置部署到 Log Analytics 工作区 在创建或更新缺少搜索服务的诊断设置的任何搜索服务时,将此诊断设置流式部署到区域 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
将服务总线的诊断设置部署到事件中心 在创建或更新缺少服务总线的诊断设置的任何服务总线时,将此诊断设置流式部署到区域事件中心。 DeployIfNotExists、Disabled 2.0.0
将服务总线的诊断设置部署到 Log Analytics 工作区 在创建或更新缺少服务总线的诊断设置的任何服务总线时,将此诊断设置流式部署到区域 Log Analytics 工作区。 DeployIfNotExists、Disabled 2.0.0
将流分析的诊断设置部署到事件中心 在创建或更新缺少流分析的诊断设置的任何流分析时,将此诊断设置流式部署到区域事件中心。 DeployIfNotExists、Disabled 2.0.0
将流分析的诊断设置部署到 Log Analytics 工作区 在创建或更新缺少流分析的诊断设置的任何流分析时,将此诊断设置流式部署到区域 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
为 Linux 虚拟机规模集部署 Log Analytics 扩展。 请参阅下面的弃用通知 如果 VM 映像 (OS) 位于定义的列表中且未安装扩展,则为 Linux 虚拟机规模集部署 Log Analytics 扩展。 注意:如果规模集 upgradePolicy 设置为“Manual”,则需要通过对规模集调用升级将扩展应用到集中的所有 VM。 在 CLI 中,这将是 az vmss update-instances。 弃用通知:Log Analytics 代理在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理” deployIfNotExists 3.0.0
为 Linux VM 部署 Log Analytics 扩展 请参阅下面的弃用通知 如果 VM 映像 (OS) 位于定义的列表中且未安装扩展,则为 Linux VM 部署 Log Analytics 扩展。 弃用通知:Log Analytics 代理已弃用,并且在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理” deployIfNotExists 3.0.0
已启用 Arc 的 Linux 计算机应已安装 Azure Monitor 代理 应通过部署的 Azure Monitor 代理对已启用 Arc 的 Linux 计算机进行监视和保护。 Azure Monitor 代理从来宾 OS 收集遥测数据。 此策略将审核支持区域中已启用 Arc 的计算机。 了解详细信息:https://aka.ms/AMAOverview AuditIfNotExists、Disabled 1.0.1
Linux 虚拟机规模集应安装 Azure Monitor 代理 应通过部署的 Azure Monitor 代理监视并保护 Linux 虚拟机规模集。 Azure Monitor 代理从来宾 OS 收集遥测数据。 此策略将审核在支持区域中具有支持 OS 映像的虚拟机规模集。 了解详细信息:https://aka.ms/AMAOverview AuditIfNotExists、Disabled 2.0.0
Linux 虚拟机应安装 Azure Monitor 代理 应通过部署的 Azure Monitor 代理监视并保护 Linux 虚拟机。 Azure Monitor 代理从来宾 OS 收集遥测数据。 此策略将审核在支持区域中具有支持操作系统映像的虚拟机。 了解详细信息:https://aka.ms/AMAOverview AuditIfNotExists、Disabled 2.0.0
应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 如果虚拟机映像不在定义的列表中且未安装扩展,则将虚拟机规模集报告为不合规。 AuditIfNotExists、Disabled 2.0.1
Log Analytics 工作区应阻止来自公共网络的日志引入和查询 通过阻止来自公共网络的日志引入和查询来改善工作区的安全性。 只有已连接到专用链接的网络才能引入和查询有关此工作区的日志。 更多信息请访问 https://aka.ms/AzMonPrivateLink#configure-log-analytics audit、Audit、deny、Deny、disabled、Disabled 1.1.0
Log Analytics 工作区应阻止基于非 Azure Active Directory 的引入。 通过强制日志引入要求 Azure Active Directory 身份验证,可以防止攻击者引入未经身份验证的日志,因为那样会导致系统中出现错误状态、虚假警报和错误日志。 拒绝、审核、禁用 1.0.0
公共 IP 地址应启用 Azure DDoS 防护标准的资源日志 在诊断设置中启用公共 IP 地址的资源日志以流式传输到 Log Analytics 工作区。 详细了解利用通知、报告和流日志降低 DDoS 攻击所采取的攻击流量和操作。 AuditIfNotExists、DeployIfNotExists、Disabled 1.0.0
应为受支持资源上的审核启用资源日志 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 所选资源类型上存在的类别组审核诊断设置可确保启用和捕获这些日志。 适用的资源类型是支持“审核”类别组的资源类型。 AuditIfNotExists、Disabled 1.0.0
应将 Azure Monitor 中已保存的查询保存在客户存储帐户中以进行日志加密 将存储帐户链接到 Log Analytics 工作区,以通过存储帐户加密保护保存的查询。 为了满足法规合规性并更好地控制对 Azure Monitor 中保存的查询的访问,通常需要使用客户管理的密钥。 有关上述内容的更多详细信息,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries audit、Audit、deny、Deny、disabled、Disabled 1.1.0
必须使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密 此策略审核是否已使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密。 仅当存储帐户在设计上依赖于与活动日志相同的订阅时,此策略才起作用。 有关 Azure 存储静态加密的详细信息,请参阅 https://aka.ms/azurestoragebyok AuditIfNotExists、Disabled 1.0.0
应在虚拟机规模集上安装 Log Analytics 扩展 此策略审核是否有任何 Windows/Linux 虚拟机规模集未安装 Log Analytics 扩展。 AuditIfNotExists、Disabled 1.0.1
虚拟机应连接到指定的工作区 如果虚拟机未记录到策略/计划分配中指定的 Log Analytics 工作区,则将虚拟机报告为不合规。 AuditIfNotExists、Disabled 1.1.0
虚拟机应安装 Log Analytics 扩展 此策略审核是否有任何 Windows/Linux 虚拟机未安装 Log Analytics 扩展。 AuditIfNotExists、Disabled 1.0.1
已启用 Arc 的 Windows 计算机应已安装 Azure Monitor 代理 应通过部署的 Azure Monitor 代理对已启用 Arc 的 Windows 计算机进行监视和保护。 Azure Monitor 代理从来宾 OS 收集遥测数据。 针对 Azure Monitor 代理部署监视支持区域中已启用 Arc 的 Windows 计算机。 了解详细信息:https://aka.ms/AMAOverview AuditIfNotExists、Disabled 1.0.1
Windows 虚拟机规模集应安装 Azure Monitor 代理 应通过部署的 Azure Monitor 代理监视并保护 Windows 虚拟机规模集。 Azure Monitor 代理从来宾 OS 收集遥测数据。 监视在支持区域中具有支持 OS 的虚拟机规模集以进行 Azure Monitor 代理部署。 了解详细信息:https://aka.ms/AMAOverview AuditIfNotExists、Disabled 3.0.0
Windows 虚拟机应安装 Azure Monitor 代理 应通过部署的 Azure Monitor 代理监视并保护 Windows 虚拟机。 Azure Monitor 代理从来宾 OS 收集遥测数据。 监视在支持区域中具有支持 OS 的 Windows 虚拟机以进行 Azure Monitor 代理部署。 了解详细信息:https://aka.ms/AMAOverview AuditIfNotExists、Disabled 3.0.0
工作簿应保存到你控制的存储帐户 使用自带存储 (BYOS),工作簿将上传到你控制的存储帐户。 这意味着,你可以控制静态加密策略、生存期管理策略和网络访问。 但需支付与该存储帐户相关的费用。 有关详细信息,请访问 https://aka.ms/workbooksByos 审核、审核、拒绝、拒绝、禁用、禁用 1.1.0

网络

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:[预览]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 Azure 安全中心已确认,你的某些子网未使用下一代防火墙进行保护。 通过使用 Azure 防火墙或受支持的下一代防火墙限制对子网的访问,保护子网免受潜在威胁的危害 AuditIfNotExists、Disabled 3.0.0-preview
[预览]:[预览]:容器注册表应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的容器注册表。 Audit、Disabled 1.0.0-preview
必须将自定义 IPsec/IKE 策略应用到所有 Azure 虚拟网络网关连接 此策略可确保所有 Azure 虚拟网络网关连接均使用自定义 Internet 协议安全 (Ipsec)/Internet 密钥交换 (IKE) 策略。 支持的算法和密钥强度 - https://aka.ms/AA62kb0 Audit、Disabled 1.0.0
应用服务应用应使用虚拟网络服务终结点 使用虚拟网络服务终结点限制从 Azure 虚拟网络中的所选子网访问应用。 若要详细了解应用服务的服务终结点,请访问 https://aks.ms/appservice-vnet-service-endpoint AuditIfNotExists、Disabled 2.0.0
Azure 防火墙策略应在应用程序规则中启用 TLS 检查 建议对所有应用程序规则启用 TLS 检查,以检测、发出警告和缓解 HTTPS 中的恶意活动。 若要详细了解 Azure 防火墙的 TLS 检查,请访问 https://aka.ms/fw-tlsinspect Audit、Deny、Disabled 1.0.0
Azure VPN 网关不应使用“基本”SKU 此策略可确保 VPN 网关不使用“基本”SKU。 Audit、Disabled 1.0.0
应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 Audit、Deny、Disabled 1.0.2
将 Azure 网络安全组的诊断设置配置到 Log Analytics 工作区 部署 Azure 网络安全组的诊断设置,以将资源日志流式传输到 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
配置网络安全组以启用流量分析 对于在特定区域中托管的所有网络安全组,可以使用策略创建期间提供的设置来启用流量分析。 如果已启用流量分析,则策略不会覆盖其设置。 对于没有流量日志的网络安全组,也会启用流量日志。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 DeployIfNotExists、Disabled 1.0.1
配置网络安全组以使用特定工作区进行流量分析 如果已启用流量分析,则策略将用创建策略期间提供的设置覆盖其现有设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 DeployIfNotExists、Disabled 1.0.1
Cosmos DB 应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的 Cosmos DB。 Audit、Disabled 1.0.0
使用目标网络安全组来部署流日志资源 配置特定网络安全组的流日志。 使用流日志,可以记录有关流经网络安全组的 IP 流量的信息。 流日志有助于识别未知或不需要的流量、验证网络隔离以及是否符合企业访问规则,并分析来自已被入侵的 IP 和网络接口的网络流量。 deployIfNotExists 1.0.1
创建虚拟网络时部署网络观察程序 此策略在具有虚拟网络的区域中创建网络观察程序资源。 需确保存在名为 networkWatcherRG 的资源组,该资源组用于部署网络观察程序实例。 DeployIfNotExists 1.0.0
事件中心应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的事件中心。 AuditIfNotExists、Disabled 1.0.0
应为每个网络安全组配置流日志 审核网络安全组以验证是否配置了流日志。 启用流日志可以记录有关流经网络安全组的 IP 流量的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 Audit、Disabled 1.1.0
应为每个网络安全组启用流日志 审核流日志资源以验证是否启用了流日志状态。 启用流日志可以记录有关流经网络安全组的 IP 流量的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 Audit、Disabled 1.0.0
不应在网关子网中配置网络安全组 如果在网关子网中配置了网络安全组,则此策略会拒绝此配置。 将网络安全组分配到网关子网会导致网关停止运行。 deny 1.0.0
Key Vault 应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的 Key Vault。 Audit、Disabled 1.0.0
网络接口应禁用 IP 转发 此策略拒绝启用了 IP 转发的网络接口。 IP 转发设置会禁止 Azure 在源和目标中检查网络接口。 网络安全团队应审查此设置。 deny 1.0.0
网络接口不应使用公共 IP 此策略拒绝配置了任何公共 IP 的网络接口。 公共 IP 地址允许 Internet 资源以入站方式与 Azure 资源通信,并允许 Azure 资源以出站方式与 Internet 通信。 网络安全团队应审查此设置。 deny 1.0.0
网络观察程序流日志应启用流量分析 流量分析可以分析网络观察程序网络安全组流日志,帮助洞察 Azure 云中的流量流。 它可用于直观显示 Azure 订阅中的网络活动,并确定热点、识别安全威胁、了解流量流模式、查明网络错误配置等。 Audit、Disabled 1.0.0
应启用网络观察程序 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 AuditIfNotExists、Disabled 3.0.0
SQL Server 应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的 SQL Server。 AuditIfNotExists、Disabled 1.0.0
存储帐户应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的存储帐户。 Audit、Disabled 1.0.0
虚拟机应连接到已批准的虚拟网络 此策略审核任何已连接到未批准的虚拟网络的虚拟机。 Audit、Deny、Disabled 1.0.0
虚拟网络应受 Azure DDoS 防护标准保护 使用 Azure DDoS 防护标准来保护虚拟网络免受容量耗尽攻击和协议攻击。 有关详细信息,请访问 https://aka.ms/ddosprotectiondocs Modify、Audit、Disabled 1.0.0
虚拟网络应使用指定的虚拟网络网关 如果默认路由未指向指定的虚拟网络网关,则此策略会审核任何虚拟网络。 AuditIfNotExists、Disabled 1.0.0
VPN 网关应仅对点到站点用户使用 Azure Active Directory (Azure AD) 身份验证 禁用本地身份验证方法可确保 VPN 网关仅使用 Azure Active Directory 标识进行身份验证,从而提高安全性。 在 https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant 详细了解 Azure AD 身份验证 Audit、Deny、Disabled 1.0.0
应为应用程序网关启用 Web 应用程序防火墙 (WAF) 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 Audit、Deny、Disabled 2.0.0
Web 应用程序防火墙(WAF)应为应用程序网关启用所有防火墙规则 启用所有 Web 应用程序防火墙 (WAF) 规则可增强应用程序安全性并为 Web 应用程序防范常见漏洞。 若要详细了解与应用程序网关配合使用的 Web 应用程序防火墙 (WAF),请访问 https://aka.ms/waf-ag 审核、已禁用、拒绝 1.0.0
Web 应用程序防火墙 (WAF) 应对应用程序网关使用指定模式 要求对应用程序网关的所有 Web 应用程序防火墙策略启用“检测”或“防护”模式。 Audit、Deny、Disabled 1.0.0
Web 应用程序防火墙 (WAF) 应对 Azure Front Door 服务使用指定模式 要求对 Azure Front Door 服务的所有 Web 应用程序防火墙策略启用“检测”或“防护”模式。 Audit、Deny、Disabled 1.0.0

门户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
共享仪表板不应包含具有内联内容的 Markdown 磁贴 禁止创建 Markdown 磁贴中包含内联内容的共享仪表板,并强制将内容存储为在线托管的 Markdown 文件。 如果在 Markdown 磁贴中使用内联内容,你无法管理该内容的加密。 通过配置自己的存储,可以实现加密、双重加密甚至创建自己的密钥。 如果启用此策略,会将用户限制为使用 2020-09-01-preview 或更高版本的共享仪表板 REST API。 Audit、Deny、Disabled 1.0.0
名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure 认知搜索服务应使用支持专用链接的 SKU 使用 Azure 认知搜索的受支持的 SKU,可以通过 Azure 专用链接在源位置或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints Audit、Deny、Disabled 1.0.0
Azure 认知搜索服务应禁用公用网络访问 禁用公用网络访问可确保 Azure 认知搜索服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制搜索服务的公开。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints Audit、Deny、Disabled 1.0.0
Azure 认知搜索服务应禁用本地身份验证方法 禁用本地身份验证方法可确保 Azure 认知搜索服务仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/rbac。 请注意,虽然禁用本地身份验证参数仍处于预览阶段,但此策略的拒绝效果可能会导致 Azure 认知搜索门户功能受限,因为门户的某些功能使用不支持此参数的 GA API。 Audit、Deny、Disabled 1.0.0
Azure 认知搜索服务应使用客户管理的密钥来加密静态数据 对 Azure 认知搜索使用客户管理的密钥启用静态加密,可对用于静态加密数据的密钥进行额外控制。 此功能通常适用于具有特殊合规性要求的客户,即要求使用密钥保管库来管理数据加密密钥。 Audit、Deny、Disabled 1.0.0
Azure 认知搜索服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure 认知搜索可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints Audit、Disabled 1.0.0
将 Azure 认知搜索服务配置为禁用本地身份验证 禁用本地身份验证方法,使 Azure 认知搜索服务仅将 Azure Active Directory 标识作为身份验证方法。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/rbac 修改,已禁用 1.0.0
将 Azure 认知搜索服务配置为禁用公用网络访问 禁用 Azure 认知搜索服务的公用网络访问,确保无法通过公共 Internet 访问该服务。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints 修改,已禁用 1.0.0
将 Azure 认知搜索服务配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure 认知搜索服务。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints DeployIfNotExists、Disabled 1.0.0
配置具有专用终结点的 Azure 认知搜索服务 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到 Azure 认知搜索服务可以降低数据泄露的风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints DeployIfNotExists、Disabled 1.0.0
应启用搜索服务中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0

安全中心

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:[预览]:应在 Linux Arc 计算机上安装 Azure 安全代理 请在 Linux Arc 计算机上安装 Azure 安全代理,以监视计算机的安全配置和漏洞。 可以在 Azure 安全中心查看和管理评估结果。 AuditIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:应在 Linux 虚拟机规模集上安装 Azure 安全代理 在 Linux 虚拟机规模集上安装 Azure 安全代理,以便监视计算机的安全配置和漏洞。 可以在 Azure 安全中心查看和管理评估结果。 AuditIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:应在 Linux 虚拟机上安装 Azure 安全代理 在 Linux 虚拟机上安装 Azure 安全代理,以便监视计算机的安全配置和漏洞。 可以在 Azure 安全中心查看和管理评估结果。 AuditIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:应在 Windows Arc 计算机上安装 Azure 安全代理 请在 Windows Arc 计算机上安装 Azure 安全代理,以监视计算机的安全配置和漏洞。 可以在 Azure 安全中心查看和管理评估结果。 AuditIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:应在 Windows 虚拟机规模集上安装 Azure 安全代理 在 Windows 虚拟机规模集上安装 Azure 安全代理,以便监视计算机的安全配置和漏洞。 可以在 Azure 安全中心查看和管理评估结果。 AuditIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:应在 Windows 虚拟机上安装 Azure 安全代理 在 Windows 虚拟机上安装 Azure 安全代理,以便监视计算机的安全配置和漏洞。 可以在 Azure 安全中心查看和管理评估结果。 AuditIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:应在 Linux Arc 计算机上安装 ChangeTracking 扩展 在 Linux Arc 计算机上安装 ChangeTracking 扩展以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure 监视代理支持的虚拟机和位置。 AuditIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:应在 Linux 虚拟机上安装 ChangeTracking 扩展 在 Linux 虚拟机上安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure 监视代理支持的虚拟机和位置。 AuditIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:应在 Linux 虚拟机规模集上安装 ChangeTracking 扩展 在 Linux 虚拟机规模集上安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure 监视代理支持的虚拟机和位置。 AuditIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:应在 Windows Arc 计算机上安装 ChangeTracking 扩展 在 Windows Arc 计算机上安装 ChangeTracking 扩展以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure 监视代理支持的虚拟机和位置。 AuditIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:应在 Windows 虚拟机上安装 ChangeTracking 扩展 在 Windows 虚拟机上安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure 监视代理支持的虚拟机和位置。 AuditIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:应在 Windows 虚拟机规模集上安装 ChangeTracking 扩展 在 Windows 虚拟机规模集上安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure 监视代理支持的虚拟机和位置。 AuditIfNotExists、Disabled 1.0.0-preview
[预览版]:[预览版]:将 Arc 计算机配置为使用 Azure Monitor 代理创建默认的 Microsoft Defender for Cloud 管道 将 Arc 计算机配置为使用 Azure Monitor 代理创建默认的 Microsoft Defender for Cloud 管道。 Microsoft Defender for Cloud 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建资源组、数据收集规则和 Log Analytics 工作区,以存储审核记录。 目标虚拟机必须位于受支持的位置。 DeployIfNotExists、Disabled 1.2.0-preview
[预览版]:[预览版]:将 Arc 计算机配置为使用 Azure Monitor 代理创建 Microsoft Defender for Cloud 用户定义管道 将 Arc 计算机配置为使用 Azure Monitor 代理创建 Microsoft Defender for Cloud 用户定义管道。 Microsoft Defender for Cloud 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 使用用户提供的 Log Analytics 工作区存储审核记录。 在用户提供的 Log Analytics 工作区所在的同一区域中创建一个资源组和一个数据收集规则。 目标 Arc 计算机必须位于支持的位置。 DeployIfNotExists、Disabled 1.2.0-preview
[预览版]:[预览版]:配置关联以将 Arc 计算机链接到默认的 Microsoft Defender for Cloud 数据收集规则 将 Arc 计算机配置为自动创建与 Microsoft Defender for Cloud 的默认数据收集规则的关联。 删除此关联将中断对此 Arc 计算机的安全漏洞检测。 目标 Arc 计算机必须位于支持的位置。 DeployIfNotExists、Disabled 1.1.1-preview
[预览版]:[预览版]:配置关联以将 Arc 计算机链接到用户定义的 Microsoft Defender for Cloud 数据收集规则 将 Arc 计算机配置为自动创建与 Microsoft Defender for Cloud 的用户定义数据收集规则的关联。 删除此关联将中断对此 Arc 计算机的安全漏洞检测。 目标 Arc 计算机必须位于支持的位置。 DeployIfNotExists、Disabled 1.1.1-preview
[预览版]:[预览版]:配置关联以将虚拟机链接到默认的 Microsoft Defender for Cloud 数据收集规则 将计算机配置为自动创建与 Microsoft Defender for Cloud 的默认数据收集规则的关联。 删除此关联将中断对该虚拟机安全漏洞的检测。 目标虚拟机必须位于受支持的位置。 DeployIfNotExists、Disabled 2.1.1-preview
[预览版]:[预览版]:配置关联以将虚拟机链接到用户定义的 Microsoft Defender for Cloud 数据收集规则 将计算机配置为自动创建与 Microsoft Defender for Cloud 的用户定义数据收集规则的关联。 删除此关联将中断对该虚拟机安全漏洞的检测。 目标虚拟机必须位于受支持的位置。 DeployIfNotExists、Disabled 1.1.1-preview
[预览]:[预览]:在虚拟机上配置 Azure Defender for SQL 代理 将 Windows 计算机配置为自动安装 Azure Defender for SQL 代理,其中已安装 Azure Monitor 代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建一个资源组和 Log Analytics 工作区。 目标虚拟机必须位于受支持的位置。 DeployIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:为 Linux Arc 计算机配置 ChangeTracking 扩展 将 Linux Arc 计算机配置为自动安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置。 DeployIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:为 Linux 虚拟机规模集配置 ChangeTracking 扩展 将 Linux 虚拟机规模集配置为自动安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置。 DeployIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:为 Linux 虚拟机配置 ChangeTracking 扩展 将 Linux 虚拟机配置为自动安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置。 DeployIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:为 Windows Arc 计算机配置 ChangeTracking 扩展 将 Windows Arc 计算机配置为自动安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置。 DeployIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:为 Windows 虚拟机规模集配置 ChangeTracking 扩展 将 Windows 虚拟机规模集配置为自动安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置。 DeployIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:为 Windows 虚拟机配置 ChangeTracking 扩展 将 Windows 虚拟机配置为自动安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置。 DeployIfNotExists、Disabled 1.0.0-preview
[预览版]:[预览版]:将计算机配置为使用 Azure Monitor 代理创建 Microsoft Defender for Cloud 用户定义管道 将计算机配置为使用 Azure Monitor 代理创建 Microsoft Defender for Cloud 用户定义管道。 Microsoft Defender for Cloud 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 使用用户提供的 Log Analytics 工作区存储审核记录。 在用户提供的 Log Analytics 工作区所在的同一区域中创建一个资源组和一个数据收集规则。 目标虚拟机必须位于受支持的位置。 DeployIfNotExists、Disabled 1.2.0-preview
[预览]:配置受支持的 Linux Arc 计算机以自动安装 Azure 安全代理 配置受支持的 Linux Arc 计算机以自动安装 Azure 安全代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 目标 Linux Arc 计算机必须位于受支持的位置。 DeployIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:配置受支持的 Linux 虚拟机规模集以自动安装 Azure 安全代理 配置受支持的 Linux 虚拟机规模集以自动安装 Azure 安全代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 目标虚拟机必须位于受支持的位置。 DeployIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:配置受支持的 Linux 虚拟机规模集以自动安装来宾证明扩展 配置受支持的 Linux 虚拟机规模集以自动安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 DeployIfNotExists、Disabled 5.0.0-preview
[预览]:[预览]:配置受支持的 Linux 虚拟机以自动启用安全启动 配置受支持的 Linux 虚拟机以自动启用安全启动,从而减少对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 DeployIfNotExists、Disabled 5.0.0-preview
[预览]:[预览]:配置受支持的 Linux 虚拟机以自动安装 Azure 安全代理 配置受支持的 Linux 虚拟机以自动安装 Azure 安全代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 目标虚拟机必须位于受支持的位置。 DeployIfNotExists、Disabled 6.0.0-preview
[预览]:[预览]:配置受支持的 Linux 虚拟机以自动安装来宾证明扩展 配置受支持的 Linux 虚拟机以自动安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 DeployIfNotExists、Disabled 6.0.0-preview
[预览]:[预览]:配置受支持的虚拟机以自动启用 vTPM 配置受支持的虚拟机以自动启用 vTPM,从而帮助实现受度量启动和其他需要 TPM 的 OS 安全功能。 启用后,vTPM 可用于证明引导完整性。 DeployIfNotExists、Disabled 2.0.0-preview
[预览]:[预览]:配置受支持的 Windows Arc 计算机以自动安装 Azure 安全代理 配置受支持的 Windows Arc 计算机以自动安装 Azure 安全代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 目标 Windows Arc 计算机必须位于受支持的位置。 DeployIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:配置受支持的 Windows 计算机以自动安装 Azure 安全代理 配置受支持的 Windows 计算机以自动安装 Azure 安全代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 目标虚拟机必须位于受支持的位置。 DeployIfNotExists、Disabled 4.0.0-preview
[预览]:[预览]:配置受支持的 Windows 虚拟机规模集以自动安装 Azure 安全代理 配置受支持的 Windows 虚拟机规模集以自动安装 Azure 安全代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 目标 Windows 虚拟机规模集必须位于受支持的位置。 DeployIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:配置受支持的 Windows 虚拟机规模集以自动安装来宾证明扩展 配置受支持的 Windows 虚拟机规模集以自动安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 DeployIfNotExists、Disabled 3.0.0-preview
[预览]:[预览]:配置受支持的 Windows 虚拟机以自动启用安全启动 配置受支持的 Windows 虚拟机以自动启用安全启动,从而减少对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 DeployIfNotExists、Disabled 3.0.0-preview
[预览]:[预览]:配置受支持的 Windows 虚拟机以自动安装来宾证明扩展 配置受支持的 Windows 虚拟机以自动安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 DeployIfNotExists、Disabled 4.0.0-preview
[预览版]:[预览版]:将虚拟机配置为使用 Azure Monitor 代理创建默认的 Microsoft Defender for Cloud 管道 将虚拟机配置为使用 Azure Monitor 代理创建默认的 Microsoft Defender for Cloud 管道。 Microsoft Defender for Cloud 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建资源组、数据收集规则和 Log Analytics 工作区,以存储审核记录。 目标虚拟机必须位于受支持的位置。 DeployIfNotExists、Disabled 5.2.0-preview
[预览]:[预览]:配置使用共享映像库映像创建的 VM 以安装来宾证明扩展 配置使用共享映像库映像创建的虚拟机以自动安装来宾证明扩展,从而允许 Azure 安全中心主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 DeployIfNotExists、Disabled 2.0.0-preview
[预览]:[预览]:配置使用共享映像库映像创建的 VMSS 以安装来宾证明扩展 配置使用共享映像库映像创建的 VMSS 以自动安装来宾证明扩展,从而允许 Azure 安全中心主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 DeployIfNotExists、Disabled 2.0.0-preview
[预览版]:[预览版]:在 Linux 混合计算机上部署 Microsoft Defender for Endpoint 代理 在 Linux 混合计算机上部署 Microsoft Defender for Endpoint 代理 DeployIfNotExists、AuditIfNotExists、Disabled 2.0.1-preview
[预览版]:[预览版]:在 Linux 虚拟机上部署 Microsoft Defender for Endpoint 代理 在适用的 Linux VM 映像上部署 Microsoft Defender for Endpoint 代理。 DeployIfNotExists、AuditIfNotExists、Disabled 2.0.1-preview
[预览版]:[预览版]:在 Windows Azure Arc 计算机上部署 Microsoft Defender for Endpoint 代理 在 Windows Azure Arc 计算机上部署 Microsoft Defender for Endpoint。 DeployIfNotExists、AuditIfNotExists、Disabled 2.0.1-preview
[预览版]:[预览版]:在 Windows 虚拟机上部署 Microsoft Defender for Endpoint 代理 在适用的 Windows VM 映像上部署 Microsoft Defender for Endpoint。 DeployIfNotExists、AuditIfNotExists、Disabled 2.0.1-preview
[预览]:[预览]:应在受支持的 Linux 虚拟机上安装来宾证明扩展 在受支持的 Linux 虚拟机上安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估仅适用于已启用受信任启动的 Linux 虚拟机。 AuditIfNotExists、Disabled 5.0.0-preview
[预览]:[预览]:应在受支持的 Linux 虚拟机规模集上安装来宾证明扩展 在受支持的 Linux 虚拟机规模集上安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估仅适用于已启用受信任启动的 Linux 虚拟机规模集。 AuditIfNotExists、Disabled 4.0.0-preview
[预览]:[预览]:应在受支持的 Windows 虚拟机上安装来宾证明扩展 在受支持的虚拟机上安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估仅适用于已启用受信任启动的虚拟机。 AuditIfNotExists、Disabled 3.0.0-preview
[预览]:[预览]:应在受支持的 Windows 虚拟机规模集上安装来宾证明扩展 在受支持的虚拟机规模集上安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估仅适用于已启用受信任启动的虚拟机规模集。 AuditIfNotExists、Disabled 2.0.0-preview
[预览]:[预览]:Linux 虚拟机应使用安全启动 若要防止安装基于恶意软件的 Rootkit 和引导工具包,请在受支持的 Linux 虚拟机上启用安全引导。 安全引导可确保仅允许运行已签名的操作系统和驱动程序。 这项评估仅适用于安装了 Azure Monitor 代理的 Linux 虚拟机。 AuditIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:计算机应关闭可能暴露攻击途径的端口 Azure 使用条款禁止以可能损坏、禁用、超载或损害任何 Microsoft 服务器或网络的方式使用 Azure 服务。 为了持续安全,需要关闭此建议确定的暴露端口。 对于每个确定的端口,该建议还提供了对潜在威胁的解释。 AuditIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:应在受支持的 Windows 虚拟机上启用安全启动 在受支持的 Windows 虚拟机上启用安全启动,以减少对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 此评估仅适用于已启用受信任启动的 Windows 虚拟机。 Audit、Disabled 3.0.0-preview
[预览]:[预览]:应在计算机上安装系统更新(由更新中心提供支持) 计算机缺少系统、安全和关键更新。 软件更新通常包括安全漏洞的关键补丁。 恶意软件攻击中经常会利用这些漏洞,因此保持软件更新至关重要。 若要安装所有重要补丁并保护你的计算机,请遵循修正步骤。 AuditIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:虚拟机来宾证明状态应为正常 通过向证明服务器发送受信任的日志 (TCGLog) 来执行来宾证明。 服务器使用这些日志来确定引导组件是否可信。 这项评估旨在检测引导链的泄漏,这可能是引导工具包或 Rootkit 感染所导致的。 这项评估仅适用于安装了来宾证明扩展且支持受信任启动的虚拟机。 AuditIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:应在受支持的虚拟机上启用 vTPM 在受支持的虚拟机上启用虚拟 TPM 设备,以帮助实现受度量启动和其他需要 TPM 的 OS 安全功能。 启用后,vTPM 可用于证明引导完整性。 此评估仅适用于已启用受信任启动的虚拟机。 Audit、Disabled 2.0.0-preview
只多只为订阅指定 3 个所有者 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 AuditIfNotExists、Disabled 3.0.0
应在虚拟机上启用漏洞评估解决方案 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 AuditIfNotExists、Disabled 3.0.0
对 Azure 资源拥有所有者权限的帐户应启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 1.0.0
对 Azure 资源拥有读取权限的帐户应启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 1.0.0
对 Azure 资源拥有写入权限的帐户应启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 1.0.0
应在计算机中启用自适应应用程序控制以定义安全应用程序 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 AuditIfNotExists、Disabled 3.0.0
应在面向 Internet 的虚拟机上应用自适应网络强化建议 Azure 安全中心会分析面向虚拟机的 Internet 的流量模式,并提供可减小潜在攻击面的网络安全组规则建议 AuditIfNotExists、Disabled 3.0.0
应限制在与虚拟机关联的网络安全组上使用所有网络端口 Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 AuditIfNotExists、Disabled 3.0.0
应更新自适应应用程序控制策略中的允许列表规则 监视配置为供 Azure 安全中心的自适应应用程序控制进行审核的计算机组是否有行为变化。 安全中心使用机器学习来分析计算机上的运行过程,并建议已知安全应用程序的列表。 这些应用程序作为推荐的应用显示,在自适应应用程序控制策略中允许使用。 AuditIfNotExists、Disabled 3.0.0
应在 Kubernetes 服务上定义经授权的 IP 范围 通过仅向特定范围内的 IP 地址授予 API 访问权限,来限制对 Kubernetes 服务管理 API 的访问。 建议将访问权限限制给已获授权的 IP 范围,以确保只有受允许网络中的应用程序可以访问群集。 Audit、Disabled 2.0.1
你的订阅应启用 Log Analytics 代理自动预配 为了监视安全漏洞和威胁,Azure 安全中心会从 Azure 虚拟机收集数据。 数据是使用 Log Analytics 代理收集的,该代理以前称为 Microsoft Monitoring Agent (MMA),它从计算机中读取各种安全相关的配置和事件日志,然后将数据复制到 Log Analytics 工作区以用于分析。 建议启用自动预配,将代理自动部署到所有受支持的 Azure VM 和任何新创建的 VM。 AuditIfNotExists、Disabled 1.0.1
应启用 Azure DDoS 防护标准 应为属于应用程序网关且具有公共 IP 子网的所有虚拟网络启用 DDoS 保护标准。 AuditIfNotExists、Disabled 3.0.0
应启用适用于应用服务的 Azure Defender 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 AuditIfNotExists、Disabled 1.0.3
应启用适用于 Azure SQL 数据库服务器的 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.2
应启用 Azure Defender for DNS Azure Defender for DNS 通过持续监视所有来自 Azure 资源的 DNS 查询为云资源额外提供保护层。 Azure Defender 会在 DNS 层向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for DNS 的功能,请参阅 https://aka.ms/defender-for-dns。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
应启用 Azure Defender for Key Vault 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 AuditIfNotExists、Disabled 1.0.3
应启用适用于开源关系数据库的 Azure Defender 适用于开源关系数据库的 Azure Defender 可以检测异常活动,这些活动指示有人企图以非寻常或可能有害的方式访问或恶意利用数据库。 若要详细了解有关适用于开源关系数据库的 Azure Defender 的功能,请参阅 https://aka.ms/AzDforOpenSourceDBsDocu。 重要提示:启用此计划将产生保护开源关系数据库的费用。 若要了解定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
应启用 Azure Defender for Resource Manager Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
应启用适用于服务器的 Azure Defender 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.3
应启用适用于计算机上的 SQL 服务器的 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.2
应启用适用于存储的 Azure Defender 适用于存储的 Azure Defender 可检测旨在访问或恶意利用存储帐户的异常和可能有害的企图。 AuditIfNotExists、Disabled 1.0.3
应删除对 Azure 资源拥有所有者权限的已封锁帐户 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 AuditIfNotExists、Disabled 1.0.0
应删除对 Azure 资源拥有读取和写入权限的已封锁帐户 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 AuditIfNotExists、Disabled 1.0.0
应安全配置云服务(外延支持)角色实例 确保云服务(外延支持)角色实例未暴露于任何 OS 漏洞下,以防止这些实例受到攻击。 AuditIfNotExists、Disabled 1.0.0
云服务(外延支持)角色实例应安装终结点保护解决方案 确保已在云服务(外延支持)角色实例上安装终结点保护解决方案,以防止这些实例受到威胁和漏洞侵害。 AuditIfNotExists、Disabled 1.0.0
云服务(外延支持)角色实例应安装系统更新 确保已在云服务(外延支持)角色实例上安装最新的安全更新和关键更新,从而对这些实例进行保护。 AuditIfNotExists、Disabled 1.0.0
将适用于应用服务的 Azure Defender 配置为启用 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 DeployIfNotExists、Disabled 1.0.1
将适用于 Azure SQL 数据库的 Azure Defender 配置为启用 Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 DeployIfNotExists、Disabled 1.0.0
将 Azure Defender for DNS 配置为启用 Azure Defender for DNS 通过持续监视所有来自 Azure 资源的 DNS 查询为云资源额外提供保护层。 Azure Defender 会在 DNS 层向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for DNS 的功能,请参阅 https://aka.ms/defender-for-dns。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center DeployIfNotExists、Disabled 1.0.1
将适用于 Key Vault 的 Azure Defender 配置为启用 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 DeployIfNotExists、Disabled 1.0.1
应启用配置适用于开源关系数据库的 Azure Defender 适用于开源关系数据库的 Azure Defender 可以检测异常活动,这些活动指示有人企图以非寻常或可能有害的方式访问或恶意利用数据库。 若要详细了解有关适用于开源关系数据库的 Azure Defender 的功能,请参阅 https://aka.ms/AzDforOpenSourceDBsDocu。 重要提示:启用此计划将产生保护开源关系数据库的费用。 若要了解定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center DeployIfNotExists、Disabled 1.0.0
将 Azure Defender for Resource Manager 配置为启用 Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center DeployIfNotExists、Disabled 1.0.1
将适用于服务器的 Azure Defender 配置为启用 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 DeployIfNotExists、Disabled 1.0.0
为要启用的计算机上的 SQL 服务器配置 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 DeployIfNotExists、Disabled 1.0.0
将 Azure Defender for Storage 配置为启用 适用于存储的 Azure Defender 可检测旨在访问或恶意利用存储帐户的异常和可能有害的企图。 DeployIfNotExists、Disabled 1.0.0
配置计算机以接收漏洞评估提供程序 Azure Defender 包含适用于计算机的漏洞扫描,不额外收费。 你无需具备 Qualys 许可证,甚至还不需要 Qualys 帐户 - 所有操作都在安全中心内无缝执行。 启用此策略后,Azure Defender 会自动将 Qualys 漏洞评估提供程序部署到尚未安装该代理的所有受支持的计算机。 DeployIfNotExists、Disabled 4.0.0
应启用配置 Microsoft Defender for API Microsoft Defender for API 引入了新的发现、保护、检测和响应覆盖范围,用于监视基于常见 API 的攻击和安全错误配置。 DeployIfNotExists、Disabled 1.0.0
将 Microsoft Defender for Azure Cosmos DB 配置为启用 Microsoft Defender for Azure Cosmos DB 是 Azure 本机安全层,可检测企图利用 Azure Cosmos DB 帐户中的数据库的行为。 Defender for Azure Cosmos DB 检测潜在的 SQL 注入、已知恶意参与者(基于 Microsoft 威胁智能)、可疑访问模式以及通过泄露的标识或由恶意预览体验成员对数据库的潜在利用。 DeployIfNotExists、Disabled 1.0.0
应启用配置 Microsoft Defender for Containers Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 DeployIfNotExists、Disabled 1.0.0
将 Microsoft Defender for SQL 配置为在 Synapse 工作区上启用 在 Azure Synapse 工作区上启用 Microsoft Defender for SQL 可检测异常活动,这些活动表明 SQL 数据库遭到了异常的访问或利用尝试并且可能会造成损害。 DeployIfNotExists、Disabled 1.0.0
容器注册表映像应已解决发现的漏洞 容器映像漏洞评估功能会扫描注册表中的安全漏洞,并公开每个映像的详细发现结果。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 AuditIfNotExists、Disabled 2.0.1
部署 - 为 Azure 安全中心警报配置抑制规则 抑制 Azure 安全中心警报,通过在管理组或订阅上部署抑制规则来减少警报疲劳。 deployIfNotExists 1.0.0
部署 Microsoft Defender for Cloud 数据的“导出到事件中心” 启用 Microsoft Defender for Cloud 数据的“导出到事件中心”。 此策略会在分配的作用域上使用所设定的条件和目标事件中心来部署“导出到事件中心”配置。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 deployIfNotExists 4.1.0
部署 Microsoft Defender for Cloud 数据的“导出到 Log Analytics 工作区” 启用 Microsoft Defender for Cloud 数据的“导出到 Log Analytics 工作区”。 此策略会在分配的作用域上使用所设定的条件和目标工作区来部署“导出到 Log Analytics 工作区”配置。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 deployIfNotExists 4.1.0
为 Microsoft Defender for Cloud 警报部署工作流自动化 启用 Microsoft Defender for Cloud 警报的自动化。 此策略会在分配的作用域上使用所设定的条件和触发器来部署工作流自动化。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 deployIfNotExists 5.0.0
为 Microsoft Defender for Cloud 建议部署工作流自动化 启用 Microsoft Defender for Cloud 建议的自动化。 此策略会在分配的作用域上使用所设定的条件和触发器来部署工作流自动化。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 deployIfNotExists 5.0.0
为 Microsoft Defender for Cloud 合规性部署工作流自动化 启用 Microsoft Defender for Cloud 法规合规性的自动化。 此策略会在分配的作用域上使用所设定的条件和触发器来部署工作流自动化。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 deployIfNotExists 5.0.0
应从订阅中删除弃用的帐户 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 AuditIfNotExists、Disabled 3.0.0
应从订阅中删除拥有所有者权限的已弃用帐户 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 AuditIfNotExists、Disabled 3.0.0
应启用高严重性警报的电子邮件通知 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请在安全中心为高严重性警报启用电子邮件通知。 AuditIfNotExists、Disabled 1.0.1
应启用向订阅所有者发送高严重性警报的电子邮件通知 当订阅中存在潜在的安全漏洞时,若要确保订阅所有者收到通知,请在安全中心设置向订阅所有者发送高严重性警报的电子邮件通知。 AuditIfNotExists、Disabled 2.0.0
在订阅上启用 Microsoft Defender for Cloud 标识不受 Microsoft Defender for Cloud 监视的现有订阅,并使用 Defender for Cloud 的免费功能保护它们。 已监视的订阅将被视为合规。 要注册新创建的订阅,请打开“合规性”选项卡,选择相关的不合规分配,然后创建修正任务。 deployIfNotExists 1.0.1
允许安全中心在你的订阅上自动预配包含自定义工作区的 Log Analytics 代理。 允许安全中心在你的订阅上自动预配 Log Analytics 代理,以使用自定义工作区来监视和收集安全数据。 DeployIfNotExists、Disabled 1.0.0
允许安全中心在你的订阅上自动预配包含默认工作区的 Log Analytics 代理。 允许安全中心在你的订阅上自动预配 Log Analytics 代理,以使用 ASC 默认工作区来监视和收集安全数据。 DeployIfNotExists、Disabled 1.0.0
应在计算机上解决 Endpoint Protection 运行状况问题 解决虚拟机上的 Endpoint Protection 运行状况问题,以保护其免受最新威胁和漏洞的侵害。 此文档 https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions介绍了 Azure 安全中心支持的终结点保护解决方案。 此文档 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection介绍了终结点保护评估。 AuditIfNotExists、Disabled 1.0.0
应在计算机上安装 Endpoint Protection 若要保护计算机免受威胁和漏洞的侵害,请安装受支持的 Endpoint Protection 解决方案。 AuditIfNotExists、Disabled 1.0.0
应在虚拟机规模集上安装终结点保护解决方案 审核终结点保护解决方案在虚拟机规模集上的存在性和运行状况 ,以保护其免受威胁和漏洞的侵害。 AuditIfNotExists、Disabled 3.0.0
应从订阅中删除拥有所有者权限的外部帐户 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 AuditIfNotExists、Disabled 3.0.0
应从订阅中删除拥有读取权限的外部帐户 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 AuditIfNotExists、Disabled 3.0.0
应从订阅中删除具有写入权限的外部帐户 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 AuditIfNotExists、Disabled 3.0.0
应删除对 Azure 资源拥有所有者权限的来宾帐户 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 AuditIfNotExists、Disabled 1.0.0
应删除对 Azure 资源拥有读取权限的来宾帐户 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 AuditIfNotExists、Disabled 1.0.0
应删除对 Azure 资源拥有写入权限的来宾帐户 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 AuditIfNotExists、Disabled 1.0.0
应在计算机上安装来宾配置扩展 若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾内策略将可用,如“应启用 Windows 攻击防护”。 更多信息请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.2
面向 Internet 的虚拟机应使用网络安全组进行保护 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc AuditIfNotExists、Disabled 3.0.0
应禁用虚拟机上的 IP 转发 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 AuditIfNotExists、Disabled 3.0.0
Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 将 Kubernetes 服务群集升级到更高 Kubernetes 版本,以抵御当前 Kubernetes 版本中的已知漏洞。 Kubernetes 版本 1.11.9+、1.12.7+、1.13.5+ 和 1.14.0+ 中已修补漏洞 CVE-2019-9946 Audit、Disabled 1.0.2
应在云服务(外延支持)角色实例上安装 Log Analytics 代理 安全中心会从云服务(外延支持)角色实例中收集数据,以监视是否存在安全漏洞和威胁。 AuditIfNotExists、Disabled 2.0.0
Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 此策略审核是否有任何 Windows/Linux 虚拟机 (VM) 没有安装安全中心用于监视安全漏洞和威胁的 Log Analytics 代理 AuditIfNotExists、Disabled 1.0.0
Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 安全中心从 Azure 虚拟机 (VM) 收集数据,以监视安全漏洞和威胁。 AuditIfNotExists、Disabled 1.0.0
应通过即时网络访问控制来保护虚拟机的管理端口 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 AuditIfNotExists、Disabled 3.0.0
应关闭虚拟机上的管理端口 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 AuditIfNotExists、Disabled 3.0.0
应对订阅中拥有写入权限的帐户启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 3.0.0
应在对订阅拥有所有者权限的帐户上启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 3.0.0
应在对订阅拥有读取权限的帐户上启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 3.0.0
应启用 Microsoft Defender for API Microsoft Defender for API 引入了新的发现、保护、检测和响应覆盖范围,用于监视基于常见 API 的攻击和安全错误配置。 AuditIfNotExists、Disabled 1.0.0
应启用 Microsoft Defender for Azure Cosmos DB Microsoft Defender for Azure Cosmos DB 是 Azure 本机安全层,可检测企图利用 Azure Cosmos DB 帐户中的数据库的行为。 Defender for Azure Cosmos DB 检测潜在的 SQL 注入、已知恶意参与者(基于 Microsoft 威胁智能)、可疑访问模式以及通过泄露的标识或由恶意预览体验成员对数据库的潜在利用。 AuditIfNotExists、Disabled 1.0.0
应启用 Microsoft Defender for Containers Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 AuditIfNotExists、Disabled 1.0.0
应为未受保护的 Synapse 工作区启用 Microsoft Defender for SQL 启用 Defender for SQL 以保护 Synapse 工作区。 Defender for SQL 监视 Synapse SQL 以检测异常活动,这些活动表明数据库遭到了异常的访问或利用尝试并且可能会造成损害。 AuditIfNotExists、Disabled 1.0.0
监视 Azure 安全中心 Endpoint Protection 的缺失情况 建议通过 Azure 安全中心监视未安装 Endpoint Protection 代理的服务器 AuditIfNotExists、Disabled 3.0.0
应使用网络安全组来保护非面向 Internet 的虚拟机 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc AuditIfNotExists、Disabled 3.0.0
应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 若要对用户可以执行的操作提供粒度筛选,请使用基于角色的访问控制 (RBAC) 来管理 Kubernetes 服务群集中的权限并配置相关授权策略。 Audit、Disabled 1.0.2
运行容器映像应已解决漏洞发现 容器映像漏洞评估会扫描 Kubernetes 群集上运行的容器映像,以查找安全漏洞,并公开每个映像的详细发现结果。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 AuditIfNotExists、Disabled 1.0.1
应选择安全中心标准定价层 标准定价层为网络和虚拟机启用威胁检测,在 Azure 安全中心提供威胁情报、异常检测和行为分析 Audit、Disabled 1.0.0
SQL 数据库应已解决漏洞发现 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 AuditIfNotExists、Disabled 4.0.0
计算机上的 SQL 服务器应已解决漏洞发现 SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,例如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 AuditIfNotExists、Disabled 1.0.0
子网应与网络安全组关联 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 AuditIfNotExists、Disabled 3.0.0
订阅应有一个联系人电子邮件地址,用于接收安全问题通知 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请设置一个安全联系人,以接收来自安全中心的电子邮件通知。 AuditIfNotExists、Disabled 1.0.1
应在虚拟机规模集上安装系统更新 审核是否缺少系统安全更新和关键更新,为了确保 Windows 和 Linux 虚拟机规模集的安全,应安装这些更新。 AuditIfNotExists、Disabled 3.0.0
应在计算机上安装系统更新 建议通过 Azure 安全中心监视服务器上缺失的安全系统更新 AuditIfNotExists、Disabled 4.0.0
应为订阅分配了多个所有者 建议指定多个订阅所有者,这样才会有管理员访问冗余。 AuditIfNotExists、Disabled 3.0.0
虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 默认情况下,虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密。 临时磁盘、数据缓存以及在计算和存储之间流动的数据未加密。 如果存在以下情况,请忽略此建议:1. 使用“主机加密”,或者 2. 托管磁盘上的服务器端加密满足安全要求。 若要了解详细信息,请参阅 Azure 磁盘存储的服务器端加密:https://aka.ms/disksse,不同的磁盘加密产品/服务:https://aka.ms/diskencryptioncomparison AuditIfNotExists、Disabled 2.0.3
应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.1
应修正容器安全配置中的漏洞 在安装了 Docker 的计算机上审核安全配置中的漏洞,并在 Azure 安全中心显示为建议。 AuditIfNotExists、Disabled 3.0.0
应修复计算机上安全配置中的漏洞 建议通过 Azure 安全中心监视不满足配置的基线的服务器 AuditIfNotExists、Disabled 3.0.0
应修复虚拟机规模集上安全配置中的漏洞 审核虚拟机规模集上的 OS 漏洞,以保护其免受攻击。 AuditIfNotExists、Disabled 3.0.0

服务总线

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应从服务总线命名空间中删除 RootManageSharedAccessKey 以外的所有授权规则 服务总线客户端不应使用提供对命名空间中所有队列和主题的访问的命名空间级访问策略。 为了与最低权限安全模型保持一致,应在实体级别为队列和主题创建访问策略,以便仅提供对特定实体的访问权限 Audit、Deny、Disabled 1.0.1
Azure 服务总线命名空间应禁用本地身份验证方法 禁用本地身份验证方法可确保 Azure 服务总线命名空间仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/disablelocalauth-sb Audit、Deny、Disabled 1.0.0
Azure 服务总线命名空间应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service AuditIfNotExists、Disabled 1.0.0
配置 Azure 服务总线命名空间以禁用本地身份验证 禁用本地身份验证方法,使 Azure 服务总线命名空间仅将 Azure Active Directory 标识作为身份验证方法。 有关详细信息,请访问:https://aka.ms/disablelocalauth-sb 修改,已禁用 1.0.0
将服务总线命名空间配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到服务总线命名空间。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service DeployIfNotExists、Disabled 1.0.0
为服务总线命名空间配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service DeployIfNotExists、Disabled 1.0.0
应启用服务总线中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
服务总线命名空间应禁用公用网络访问 Azure 服务总线应禁用公用网络访问。 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 了解详细信息:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service Audit、Deny、Disabled 1.0.0
服务总线命名空间应启用双重加密 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 Audit、Deny、Disabled 1.0.0
服务总线高级命名空间应使用客户管理的密钥进行加密 Azure 服务总线支持通过 Microsoft 管理的密钥(默认)或客户管理的密钥来加密静态数据。 如果选择使用客户管理的密钥加密数据,则可分配、轮换、禁用和撤销对服务总线将用于加密命名空间中的数据的密钥的访问权限。 请注意,服务总线仅支持使用客户管理的密钥对高级命名空间进行加密。 Audit、Disabled 1.0.0

Service Fabric

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别(None、Sign 和 EncryptAndSign)。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名 Audit、Deny、Disabled 1.1.0
Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 Audit、Deny、Disabled 1.1.0

SignalR

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure SignalR 服务应禁用公用网络访问 若要提高 Azure SignalR 服务资源的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/asrs/networkacls 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 Audit、Deny、Disabled 1.0.0
Azure SignalR 服务应启用诊断日志 审核是否已启用诊断日志。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 1.0.0
Azure SignalR 服务应已禁用本地身份验证方法 禁用本地身份验证方法可确保 Azure SignalR 服务仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 Audit、Deny、Disabled 1.0.0
Azure SignalR 服务应使用支持专用链接的 SKU Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务,从而使你的资源免遭公共数据泄露风险。 此策略将你限制为对 Azure SignalR 服务使用支持专用链接的 SKU。 请访问 https://aka.ms/asrs/privatelink,详细了解专用链接。 Audit、Deny、Disabled 1.0.0
Azure SignalR 服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure SignalR 服务资源而不是整个服务,可降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/asrs/privatelink Audit、Disabled 1.0.0
配置 Azure SignalR 服务以禁用本地身份验证 禁用本地身份验证方法,以便 Azure SignalR 服务仅需要 Azure Active Directory 标识进行身份验证。 修改,已禁用 1.0.0
将专用终结点配置到 Azure SignalR 服务 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Synapse 服务资源,可以降低数据泄露风险。 更多信息请访问 https://aka.ms/asrs/privatelink DeployIfNotExists、Disabled 1.0.0
部署 - 为连接到 Azure SignalR 服务的专用终结点配置专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到要解析为 Azure SignalR 服务资源的虚拟网络。 有关详细信息,请访问:https://aka.ms/asrs/privatelink DeployIfNotExists、Disabled 1.0.0
修改 Azure SignalR 服务资源以禁用公用网络访问 若要提高 Azure SignalR 服务资源的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/asrs/networkacls 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 修改,已禁用 1.0.0

Site Recovery

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:[预览]:配置 Azure 恢复服务保管库以使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到恢复服务保管库。 有关详细信息,请访问:https://aka.ms/privatednszone DeployIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:在 Azure 恢复服务保管库上配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到恢复服务保管库的站点恢复资源可以降低数据泄露风险。 若要使用专用链接,必须将托管服务标识分配给恢复服务保管库。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints DeployIfNotExists、Disabled 1.0.0-preview
[预览]:[预览]:恢复服务保管库应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 恢复服务保管库,可以减少数据泄漏风险。 在以下位置详细了解 Azure Site Recovery 的专用链接:https://aka.ms/HybridScenarios-PrivateLinkhttps://aka.ms/AzureToAzure-PrivateLink Audit、Disabled 1.0.0-preview

SQL

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应该为 SQL 服务器预配 Azure Active Directory 管理员 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 AuditIfNotExists、Disabled 1.0.0
应启用 SQL 服务器上的审核 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 AuditIfNotExists、Disabled 2.0.0
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 审核没有高级数据安全的 SQL 服务器 AuditIfNotExists、Disabled 2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 审核所有未启用高级数据安全的 SQL 托管实例。 AuditIfNotExists、Disabled 1.0.2
Azure SQL 数据库应运行 TLS 版本 1.2 或更高版本 将 TLS 版本设置为 1.2 或更高版本,可以确保只能从使用 TLS 1.2 或更高版本的客户端访问 Azure SQL 数据库,从而提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们存在有据可查的安全漏洞。 审核、已禁用、拒绝 2.0.0
Azure SQL 数据库应已启用仅 Azure Active Directory 身份验证 通过禁用本地身份验证方法并仅允许 Azure Active Directory 身份验证,可确保 Azure SQL 数据库只能由 Azure Active Directory 标识访问,从而提高安全性。 通过以下链接了解更多信息:aka.ms/adonlycreate。 Audit、Deny、Disabled 1.0.0
Azure SQL 托管实例应已启用仅 Azure Active Directory 身份验证 通过禁用本地身份验证方法并仅允许 Azure Active Directory 身份验证,可确保 Azure SQL 托管实例只能由 Azure Active Directory 标识访问,从而提高安全性。 通过以下链接了解更多信息:aka.ms/adonlycreate。 Audit、Deny、Disabled 1.0.0
Azure SQL 托管实例应禁用公用网络访问 禁用 Azure SQL 托管实例上的公用网络访问(公共终结点)可确保只能从其虚拟网络内部或专用终结点访问它们,从而提高安全性。 若要了解有关公共网络访问的详细信息,请访问 https://aka.ms/mi-public-endpoint Audit、Deny、Disabled 1.0.0
在 Azure Database for MariaDB 服务器上将高级威胁防护配置为“启用” 在非基本层 Azure Database for MariaDB 服务器上启用高级威胁防护,以检测异常活动,包括对数据库进行的不寻常的和可能有害的访问或攻击尝试。 DeployIfNotExists、Disabled 1.0.1
配置要在 Azure Database for MySQL 服务器上启用的高级威胁防护 在非基本层 Azure Database for MySQL 服务器上启用高级威胁防护,以检测异常活动,包括对数据库进行的不寻常的和可能有害的访问或攻击尝试。 DeployIfNotExists、Disabled 1.0.1
在 Azure Database for PostgreSQL 服务器上将高级威胁防护配置为“启用” 在非基本层 Azure Database for PostgreSQL 服务器上启用高级威胁防护,以检测异常活动,包括对数据库进行的不寻常的和可能有害的访问或攻击尝试。 DeployIfNotExists、Disabled 1.0.1
将运行 SQL Server 且已启用 Arc 的计算机配置为安装 SQL Server 扩展。 若要确保在启用 Azure Arc 的 Windows Server 上找到 SQL Server 实例时默认创建 SQL Server - Azure Arc 资源,服务器应已安装 SQL Server 扩展,并且应使用 Azure Connected SQL Server 加入角色来配置服务器的托管标识 DeployIfNotExists、Disabled 2.1.0
将 Azure Defender 配置为在 SQL 托管实例上启用 在 Azure SQL 托管实例上启用 Azure Defender 可检测异常活动,此类活动表明数据库遭到了异常的访问或利用尝试并且可能会造成损害。 DeployIfNotExists、Disabled 2.0.0
将 Azure Defender 配置为在 SQL 服务器上启用 在 Azure SQL 服务器上启用 Azure Defender 可检测异常活动,此类活动表明数据库遭到了异常的访问或利用尝试并且可能会造成损害。 DeployIfNotExists 2.1.0
对 Log Analytics 工作区配置 Azure SQL 数据库服务器诊断设置 为 Azure SQL 数据库服务器启用审核日志,并在创建或更新缺少此审核的任何 SQL 服务器时,将日志流式传输到 Log Analytics 工作区 DeployIfNotExists、Disabled 1.0.2
将 Azure SQL Server 配置为禁用公用网络访问 “禁用公用网络访问”属性会关闭公共连接,这样就只能从专用终结点访问 Azure SQL Server。 此配置会禁止通过公用网络访问 Azure SQL Server 下的所有数据库。 修改,已禁用 1.0.0
将 Azure SQL Server 配置为启用专用终结点连接 使用专用终结点连接,可以通过虚拟网络中的专用 IP 地址与 Azure SQL 数据库建立专用连接。 此配置可改善安全态势,并且支持 Azure 网络工具和方案。 DeployIfNotExists、Disabled 1.0.0
将 SQL 服务器配置为启用审核 为了确保捕获针对 SQL 资产执行的操作,SQL 服务器应该启用审核。 为了符合监管标准,有时需要这样做。 DeployIfNotExists、Disabled 3.0.0
将 SQL Server 配置为对 Log Analytics 工作区启用审核 为了确保捕获针对 SQL 资产执行的操作,SQL 服务器应该启用审核。 如果未启用审核,此策略会将审核事件配置为流向指定的 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
应为 PostgreSQL 数据库服务器启用连接限制 此策略帮助审核环境中任何未启用连接限制的 PostgreSQL 数据库。 无效密码登录失败次数过多时,可以使用此设置来按 IP 限制临时连接。 AuditIfNotExists、Disabled 1.0.0
部署 - 配置 SQL 数据库的诊断设置,以部署到 Log Analytics 工作区 为 SQL 数据库部署诊断设置,以便在创建或更新缺少此诊断设置的任何 SQL 数据库时,将资源日志流式传输到 Log Analytics 工作区。 DeployIfNotExists、Disabled 4.0.0
在 SQL 服务器上部署高级数据安全 此策略在 SQL 服务器上启用高级数据安全性。 这包括启用威胁检测和漏洞评估。 它自动在 SQL 服务器所在的同一区域和资源组中,创建一个带有“sqlva”前缀存储帐户用于存储扫描结果。 DeployIfNotExists 1.3.0
将 Azure SQL 数据库的诊断设置部署到事件中心 在创建或更新缺少 Azure SQL 数据库的诊断设置的 Azure SQL 数据库时,将此诊断设置流式部署到区域事件中心。 DeployIfNotExists 1.2.0
部署 SQL DB 透明数据加密 在 SQL 数据库上启用透明数据加密 DeployIfNotExists、Disabled 2.1.0
应为 PostgreSQL 数据库服务器记录断开连接 此策略帮助审核环境中任何未启用 log_disconnections 的 PostgreSQL 数据库。 AuditIfNotExists、Disabled 1.0.0
应为 MySQL 数据库服务器启用“强制 SSL 连接” Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 Audit、Disabled 1.0.1
应为 PostgreSQL 数据库服务器启用“强制 SSL 连接” Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 Audit、Disabled 1.0.1
应为 Azure Database for MariaDB 启用异地冗余备份 通过 Azure Database for MariaDB,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 Audit、Disabled 1.0.1
应为 Azure Database for MySQL 启用异地冗余备份 通过 Azure Database for MySQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 Audit、Disabled 1.0.1
应为 Azure Database for PostgreSQL 启用异地冗余备份 通过 Azure Database for PostgreSQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 Audit、Disabled 1.0.1
应为 Azure Database for MySQL 服务器启用基础结构加密 为 Azure Database for MySQL 服务器启用基础结构加密,以便增强数据安全。 启用基础结构加密后,将使用符合 FIPS 140-2 的 Microsoft 托管密钥对静态数据进行两次加密。 Audit、Deny、Disabled 1.0.0
应为 Azure Database for PostgreSQL 服务器启用基础结构加密 为 Azure Database for PostgreSQL 服务器启用基础结构加密,以便增强数据安全。 启用基础结构加密后,将使用符合 FIPS 140-2 的 Microsoft 托管密钥对静态数据进行两次加密 Audit、Deny、Disabled 1.0.0
应为 PostgreSQL 数据库服务器启用“记录检查点” 此策略帮助审核环境中任何未启用 log_checkpoints 设置的 PostgreSQL 数据库。 AuditIfNotExists、Disabled 1.0.0
应为 PostgreSQL 数据库服务器启用“记录连接” 此策略帮助审核环境中任何未启用 log_connections 设置的 PostgreSQL 数据库。 AuditIfNotExists、Disabled 1.0.0
应为 PostgreSQL 数据库服务器启用“记录持续时间” 此策略帮助审核环境中任何未启用 log_duration 设置的 PostgreSQL 数据库。 AuditIfNotExists、Disabled 1.0.0
应为 Azure SQL 数据库启用长期异地冗余备份 此策略将审核未启用长期异地冗余备份的任何 Azure SQL 数据库。 AuditIfNotExists、Disabled 2.0.0
MariaDB 服务器应使用虚拟网络服务终结点 基于虚拟网络的防火墙规则用于支持从特定子网到 Azure Database for MariaDB 的流量,同时确保流量停留在 Azure 边界内。 此策略提供了一种方法来审核 Azure Database for MariaDB 是否正在使用虚拟网络服务终结点。 AuditIfNotExists、Disabled 1.0.2
MySQL 服务器应使用虚拟网络服务终结点 基于虚拟网络的防火墙规则用于支持从特定子网到 Azure Database for MySQL 的流量,同时确保流量停留在 Azure 边界内。 此策略提供了一种方法来审核 Azure Database for MySQL 是否正在使用虚拟网络服务终结点。 AuditIfNotExists、Disabled 1.0.2
MySQL 服务器应使用客户管理的密钥进行静态数据加密 使用客户管理的密钥来管理 MySQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 AuditIfNotExists、Disabled 1.0.4
PostgreSQL 服务器应使用虚拟网络服务终结点 基于虚拟网络的防火墙规则用于支持从特定子网到 Azure Database for PostgreSQL 的流量,同时确保流量停留在 Azure 边界内。 此策略提供了一种方法来审核 Azure Database for PostgreSQL 是否正在使用虚拟网络服务终结点。 AuditIfNotExists、Disabled 1.0.2
PostgreSQL 服务器应使用客户管理的密钥进行静态数据加密 使用客户管理的密钥来管理 PostgreSQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 AuditIfNotExists、Disabled 1.0.4
应启用 Azure SQL 数据库上的专用终结点连接 专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。 Audit、Disabled 1.1.0
应为 MariaDB 服务器启用专用终结点 专用终结点连接通过启用到 Azure Database for MariaDB 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 AuditIfNotExists、Disabled 1.0.2
应为 MySQL 服务器启用专用终结点 专用终结点连接通过启用到 Azure Database for MySQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 AuditIfNotExists、Disabled 1.0.2
应为 PostgreSQL 服务器启用专用终结点 专用终结点连接通过启用到 Azure Database for PostgreSQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 AuditIfNotExists、Disabled 1.0.2
应禁用 Azure SQL 数据库上的公用网络访问 禁用公用网络访问属性可确保只能从专用终结点访问 Azure SQL 数据库,从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 Audit、Deny、Disabled 1.1.0
应为 MariaDB 服务器禁用公用网络访问 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MariaDB。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 Audit、Deny、Disabled 2.0.0
应为 MySQL 灵活服务器禁用公用网络访问 禁用公用网络访问属性可确保只能从专用终结点访问 Azure Database for MySQL 灵活服务器,从而提高安全性。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 Audit、Deny、Disabled 2.0.0
应为 MySQL 服务器禁用公用网络访问 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MySQL。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 Audit、Deny、Disabled 2.0.0
应为 PostgreSQL 灵活服务器禁用公用网络访问 禁用公用网络访问属性可确保只能从专用终结点访问 Azure Database for PostgreSQL 灵活服务器,从而提高安全性。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 Audit、Deny、Disabled 3.0.0
应为 PostgreSQL 服务器禁用公用网络访问 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for PostgreSQL。 此配置禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 Audit、Deny、Disabled 2.0.0
SQL 审核设置中应包含配置为捕获关键活动的操作组 AuditActionsAndGroups 属性应至少包含 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP、BATCH_COMPLETED_GROUP 以确保全面审核日志记录 AuditIfNotExists、Disabled 1.0.0
SQL 数据库应避免使用 GRS 备份冗余 如果数据驻留规则要求数据驻留在特定区域内,那么数据库应避免使用默认异地冗余存储进行备份。 注意:使用 T-SQL 创建数据库时,不会强制实施 Azure Policy。 如果未显式指定,则通过 T-SQL 创建具有异地冗余备份存储的数据库。 拒绝、已禁用 2.0.0
SQL 托管实例的最低 TLS 版本应为 1.2 将最低 TLS 版本设置为 1.2 可以确保只能从使用 TLS 1.2 的客户端访问 SQL 托管实例,从而提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们存在有据可查的安全漏洞。 Audit、Disabled 1.0.1
SQL 托管实例应避免使用 GRS 备份冗余 如果数据驻留规则要求数据驻留在特定区域内,那么托管实例应避免使用默认异地冗余存储进行备份。 注意:使用 T-SQL 创建数据库时,不会强制实施 Azure Policy。 如果未显式指定,则通过 T-SQL 创建具有异地冗余备份存储的数据库。 拒绝、已禁用 2.0.0
SQL 托管实例应使用客户管理的密钥进行静态数据加密 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 Audit、Deny、Disabled 2.0.0
SQL Server 应使用客户管理的密钥进行静态数据加密 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 Audit、Deny、Disabled 2.0.1
对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 为便于调查事件,建议将 SQL Server 审核数据在存储帐户目标中的数据保留期设置为至少 90 天。 确认你遵守所运营区域的必要保留规则。 为了符合监管标准,有时需要这样做。 AuditIfNotExists、Disabled 3.0.0
应在 SQL 数据库上启用透明数据加密 应启用透明数据加密以保护静态数据并满足符合性要求 AuditIfNotExists、Disabled 2.0.0
应启用 Azure SQL 数据库上的虚拟网络防火墙规则,以允许来自指定子网的流量 基于虚拟网络的防火墙规则用于支持从特定子网到 Azure SQL 数据库的流量,同时确保流量停留在 Azure 边界内。 AuditIfNotExists 1.0.0
SQL 服务器的漏洞评估设置应包含用来接收扫描报告的电子邮件地址 确保为漏洞评估设置中的“将扫描报告发送到”字段提供电子邮件地址。 在 SQL 服务器上运行定期扫描后,此电子邮件地址将收到扫描结果摘要。 AuditIfNotExists、Disabled 2.0.0
应在 SQL 托管实例上启用漏洞评估 审核未启用定期漏洞评估扫描的每个 SQL 托管实例。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 AuditIfNotExists、Disabled 1.0.1
应对 SQL 服务器启用漏洞评估 审核未启用定期漏洞评估扫描的 Azure SQL 服务器。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 AuditIfNotExists、Disabled 2.0.0

存储

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:[预览]:应禁止存储帐户公共访问 对 Azure 存储中的容器和 blob 进行匿名公共读取访问虽然是共享数据的一种简便方法,但可能会带来安全风险。 为了防止不希望的匿名访问导致数据泄露,Microsoft 建议禁止对存储帐户的公共访问,除非你的方案需要。 audit、Audit、deny、Deny、disabled、Disabled 3.1.0-preview
Azure 文件同步应使用专用链接 为指定的存储同步服务资源创建专用终结点,可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源,而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。 AuditIfNotExists、Disabled 1.0.0
Azure NetApp 文件 SMB 卷应使用 SMB3 加密 禁止在没有 SMB3 加密的情况下创建 SMB 卷,以确保数据完整性和数据隐私。 Audit、Deny、Disabled 1.0.0
NFSv4.1 类型的 Azure NetApp 文件卷应使用 Kerberos 数据加密 只允许使用 Kerberos 隐私 (5p) 安全模式,以确保数据被加密。 Audit、Deny、Disabled 1.0.0
NFSv4.1 类型的 Azure NetApp 文件卷应使用 Kerberos 数据完整性或数据加密 确保至少选择了 Kerberos 完整性(krb5i)或 Kerberos 隐私(krb5p),以确保数据完整性和数据隐私。 Audit、Deny、Disabled 1.0.0
Azure NetApp 文件卷不得使用 NFSv3 协议类型 不允许使用 NFSv3 协议类型来防止对卷进行不安全的访问。 应使用带有 Kerberos 协议的 NFSv4.1 来访问 NFS 卷,以确保数据完整性和加密。 Audit、Deny、Disabled 1.0.0
为 Blob groupID 配置专用 DNS 区域 ID 配置专用 DNS 区域组以替代 Blob groupID 专用终结点的 DNS 解析。 DeployIfNotExists、Disabled 1.0.0
为 blob_secondary groupID 配置专用 DNS 区域 ID 配置专用 DNS 区域组以替代 blob_secondary groupID 专用终结点的 DNS 解析。 DeployIfNotExists、Disabled 1.0.0
为 dfs groupID 配置专用 DNS 区域 ID 配置专用 DNS 区域组以替代 dfs groupID 专用终结点的 DNS 解析。 DeployIfNotExists、Disabled 1.0.0
为 dfs_secondary groupID 配置专用 DNS 区域 ID 配置专用 DNS 区域组以替代 dfs_secondary groupID 专用终结点的 DNS 解析。 DeployIfNotExists、Disabled 1.0.0
为文件 groupID 配置专用 DNS 区域 ID 配置专用 DNS 区域组以替代文件 groupID 专用终结点的 DNS 解析。 DeployIfNotExists、Disabled 1.0.0
为队列 groupID 配置专用 DNS 区域 ID 配置专用 DNS 区域组以替代队列 groupID 专用终结点的 DNS 解析。 DeployIfNotExists、Disabled 1.0.0
为 queue_secondary groupID 配置专用 DNS 区域 ID 配置专用 DNS 区域组以替代 queue_secondary groupID 专用终结点的 DNS 解析。 DeployIfNotExists、Disabled 1.0.0
为表 groupID 配置专用 DNS 区域 ID 配置专用 DNS 区域组以替代表 groupID 专用终结点的 DNS 解析。 DeployIfNotExists、Disabled 1.0.0
为 table_secondary groupID 配置专用 DNS 区域 ID 配置专用 DNS 区域组以替代 table_secondary groupID 专用终结点的 DNS 解析。 DeployIfNotExists、Disabled 1.0.0
为 Web groupID 配置专用 DNS 区域 ID 配置专用 DNS 区域组以替代 Web groupID 专用终结点的 DNS 解析。 DeployIfNotExists、Disabled 1.0.0
为 web_secondary groupID 配置专用 DNS 区域 ID 配置专用 DNS 区域组以替代 web_secondary groupID 专用终结点的 DNS 解析。 DeployIfNotExists、Disabled 1.0.0
将 Azure 文件同步配置为使用专用 DNS 区域 若要从已注册的服务器访问存储同步服务资源接口的专用终结点,需要将 DNS 配置为将正确的名称解析为专用终结点的专用 IP 地址。 此策略将为存储同步服务专用终结点的接口创建必要的 Azure 专用 DNS 区域和 A 记录。 DeployIfNotExists、Disabled 1.1.0
为 Azure 文件同步配置专用终结点 为指示的存储同步服务资源部署专用终结点。 这样就可以从组织网络的专用 IP 地址空间内部(而不是通过可从 Internet 访问的公共终结点)对存储同步服务资源进行寻址。 存在一个或多个单独的专用终结点不会禁用公共终结点。 DeployIfNotExists、Disabled 1.0.0
为 Blob 服务配置诊断设置,以便流式传输到 Log Analytics 工作区 为 Blob 服务部署诊断设置,以便在创建或更新缺少此诊断设置的任何 Blob 服务时,将资源日志流式传输到 Log Analytics 工作区。 DeployIfNotExists、AuditIfNotExists、Disabled 1.0.0
为文件服务配置诊断设置,以便流式传输到 Log Analytics 工作区 为文件服务部署诊断设置,以便在创建或更新缺少此诊断设置的任何文件服务时,将资源日志流式传输到 Log Analytics 工作区。 DeployIfNotExists、AuditIfNotExists、Disabled 1.0.0
为队列服务配置诊断设置,以便流式传输到 Log Analytics 工作区 为队列服务部署诊断设置,以便在创建或更新缺少此诊断设置的任何队列服务时,将资源日志流式传输到 Log Analytics 工作区。 DeployIfNotExists、AuditIfNotExists、Disabled 1.0.0
为存储帐户配置诊断设置,以便流式传输到 Log Analytics 工作区 为存储帐户部署诊断设置,以便在创建或更新缺少此诊断设置的任何存储帐户时,将资源日志流式传输到 Log Analytics 工作区。 DeployIfNotExists、AuditIfNotExists、Disabled 1.0.0
为表服务配置诊断设置,以便流式传输到 Log Analytics 工作区 为表服务部署诊断设置,以便在创建或更新缺少此诊断设置的表服务时,将资源日志流式传输到 Log Analytics 工作区。 DeployIfNotExists、AuditIfNotExists、Disabled 1.0.0
在存储帐户上配置数据的安全传输 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 修改,已禁用 1.0.0
将存储帐户配置为使用专用链接连接 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview DeployIfNotExists、Disabled 1.0.0
将存储帐户配置为禁用公用网络访问 若要提高存储帐户的安全性,请确保它不会暴露到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/storageaccountpublicnetworkaccess 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 修改,已禁用 1.0.1
将存储帐户公共访问配置为不允许 对 Azure 存储中的容器和 blob 进行匿名公共读取访问虽然是共享数据的一种简便方法,但可能会带来安全风险。 为了防止不希望的匿名访问导致数据泄露,Microsoft 建议禁止对存储帐户的公共访问,除非你的方案需要。 修改,已禁用 1.0.0
在存储帐户上部署高级威胁防护 此策略会在存储帐户上启用高级威胁防护。 DeployIfNotExists、Disabled 1.0.0
应为存储帐户启用异地冗余存储 使用异地冗余创建高可用性应用程序 Audit、Disabled 1.0.0
HPC 缓存帐户应使用客户管理的密钥进行加密 使用客户管理的密钥来管理 Azure HPC 缓存的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 审核、已禁用、拒绝 2.0.0
修改 - 将 Azure 文件同步配置为禁用公用网络访问 组织策略已禁用 Azure 文件同步的可通过 Internet 访问的公共终结点。 仍可以通过存储同步服务的专用终结点来访问该服务。 修改,已禁用 1.0.0
应禁用对 Azure 文件同步进行公用网络访问 禁用公共终结点可以仅限发往组织网络中已批准的专用终结点的请求能够访问存储同步服务资源。 允许向公共终结点发出请求不会固有地造成安全问题,但你可能出于满足法规、法律或组织政策要求的原因而希望禁用公共终结点。 可以通过将资源的 incomingTrafficPolicy 设置为 AllowVirtualNetworksOnly 来禁用存储同步服务的公共终结点。 Audit、Deny、Disabled 1.0.0
队列存储应使用客户管理的密钥进行加密 使用客户管理的密钥更灵活地保护队列存储。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 Audit、Deny、Disabled 1.0.0
应启用安全传输到存储帐户 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 Audit、Deny、Disabled 2.0.0
存储帐户加密范围应使用客户管理的密钥对静态数据进行加密 使用客户管理的密钥来管理存储帐户加密范围的静态加密。 客户管理的密钥允许使用由你创建并拥有的 Azure 密钥保管库密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 若要详细了解存储帐户加密范围,请访问 https://aka.ms/encryption-scopes-overview Audit、Deny、Disabled 1.0.0
存储帐户加密范围应对静态数据使用双重加密 为存储帐户加密范围的静态加密启用基础结构加密,以增加安全性。 基础结构加密可确保你的数据加密两次。 Audit、Deny、Disabled 1.0.0
存储帐户密钥不应过期 当设置密钥过期策略时,请确保用户存储帐户密钥未过期,以便在密钥过期时采取措施改进帐户密钥的安全性。 Audit、Deny、Disabled 3.0.0
存储帐户应允许从受信任的 Microsoft 服务进行访问 某些与存储帐户交互的 Microsoft 服务在网络上运行,但这些网络无法通过网络规则获得访问权限。 若要帮助此类服务按预期方式工作,请允许受信任的 Microsoft 服务集绕过网络规则。 这些服务随后会使用强身份验证访问存储帐户。 Audit、Deny、Disabled 1.0.0
存储帐户应受到允许的 SKU 的限制 限制组织可以部署的存储帐户 SKU 集。 Audit、Deny、Disabled 1.1.0
存储帐户应迁移到新的 Azure 资源管理器资源 使用新的 Azure 资源管理器为存储帐户提供安全增强功能,例如:更强大的访问控制 (RBAC)、更好的审核、基于 Azure 资源管理器的部署和监管、对托管标识的访问权限、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及对标记和资源组的支持,以简化安全管理 Audit、Deny、Disabled 1.0.0
存储帐户应禁用公用网络访问 若要提高存储帐户的安全性,请确保它不会暴露到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/storageaccountpublicnetworkaccess 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 Audit、Deny、Disabled 1.0.1
存储帐户应具有基础结构加密 启用基础结构加密,以便增强数据安全。 启用基础结构加密后,存储帐户中的数据将加密两次。 Audit、Deny、Disabled 1.0.0
应为存储帐户配置共享访问签名 (SAS) 策略 确保为存储帐户启用共享访问签名 (SAS) 过期策略。 用户使用 SAS 来委托对 Azure 存储帐户中的资源的访问权限。 当用户创建 SAS 令牌时,SAS 过期策略将建议过期时间上限。 Audit、Deny、Disabled 1.0.0
存储帐户应具有指定的最低 TLS 版本 为客户端应用程序和存储帐户之间的安全通信配置最低 TLS 版本。 为最大程度降低安全风险,建议的最低 TLS 版本为最新发布的版本,目前为 TLS 1.2。 Audit、Deny、Disabled 1.0.0
存储帐户应阻止跨租户对象复制 审核存储帐户的对象复制限制。 默认情况下,用户可以使用一个 Azure AD 租户中的源存储帐户和另一个租户中的目标帐户来配置对象复制。 这会造成安全隐患,因为客户的数据可以复制到该客户拥有的存储帐户中。 如果将 allowCrossTenantReplication 设置为 false,则仅当源帐户和目标帐户位于同一个 Azure AD 租户中时,才能配置对象复制。 Audit、Deny、Disabled 1.0.0
存储帐户应阻止共享密钥访问 审核 Azure Active Directory (Azure AD) 授予存储帐户请求权限的要求。 默认情况下,可以使用 Azure Active Directory 凭据对请求进行授权,或使用帐户访问密钥对其进行共享密钥授权。 在这两种类型的授权中,与共享密钥相比,Azure AD 提供更高级别的安全性和易用性,是 Microsoft 推荐的授权方法。 Audit、Deny、Disabled 1.0.0
应限制对存储帐户的网络访问 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 Audit、Deny、Disabled 1.1.1
存储帐户应使用虚拟网络规则来限制网络访问 使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 Audit、Deny、Disabled 1.0.1
存储帐户应使用客户管理的密钥进行加密 使用客户管理的密钥更灵活地保护 blob 和文件存储帐户。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 Audit、Disabled 1.0.3
存储帐户应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview AuditIfNotExists、Disabled 2.0.0
表存储应使用客户管理的密钥进行加密 使用客户管理的密钥更灵活地保护表存储。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 Audit、Deny、Disabled 1.0.0

流分析

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure 流分析作业应使用客户管理的密钥来加密数据 当你想要将流分析作业的任何元数据和专用数据资产安全地存储在存储帐户中时,请使用客户管理的密钥。 这样就可以完全控制流分析数据的加密方式。 audit、Audit、deny、Deny、disabled、Disabled 1.1.0
应启用 Azure 流分析中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
流分析作业应连接到受信任的输入和输出 确保流分析作业不具有未在允许列表中定义的任意输入或输出连接。 这将检查流分析作业是否会通过连接到组织外部的任意接收器来外泄数据。 拒绝、已禁用、审核 1.1.0
流分析作业应使用托管标识对终结点进行身份验证 确保流分析作业仅使用托管标识身份验证连接到终结点。 拒绝、已禁用、审核 1.0.0

Synapse

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用 Synapse 工作区上的审核 应启用 Synapse 工作区上的审核,以跟踪专用 SQL 池中所有数据库的数据库活动,并将它们保存在审核日志中。 AuditIfNotExists、Disabled 1.0.0
Azure Synapse 工作区 SQL Server 应运行 TLS 版本 1.2 或更高版本 将 TLS 版本设置为 1.2 或更高版本,可以确保只能从使用 TLS 1.2 或更高版本的客户端访问 Azure Synapse 工作区 SQL server,从而提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们存在有据可查的安全漏洞。 Audit、Deny、Disabled 1.0.0
Azure Synapse 工作区应该只允许传送到已批准目标的出站数据流量 通过只允许传送到已批准目标的出站数据流量来提升 Synapse 工作区的安全性。 此做法会在发送数据之前验证目标,有助于防止数据外泄。 审核、已禁用、拒绝 1.0.0
Azure Synapse 工作区应禁用公用网络访问 禁用公用网络访问可确保 Synapse 工作区不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制 Synapse 工作区公开。 有关详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings Audit、Deny、Disabled 1.0.0
Azure Synapse 工作区应使用客户管理的密钥来加密静态数据 使用客户管理的密钥来控制对 Azure Synapse 工作区中存储的数据的静态加密。 客户管理的密钥提供双重加密,方法是在使用服务托管密钥完成的默认加密层上添加另一层加密。 Audit、Deny、Disabled 1.0.0
Azure Synapse 工作区应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Synapse 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links Audit、Disabled 1.0.1
配置 Azure Synapse 工作区专用 SQL 最低 TLS 版本 对于新的 Synapse 工作区或现有的工作区,客户可以使用 API 提高或降低最低 TLS 版本。 因此,需要在工作区中使用较低客户端版本的用户可以连接,而具有安全要求的用户可以提高最低 TLS 版本。 有关详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings 修改,已禁用 1.0.0
将 Azure Synapse 工作区配置为禁用公用网络访问 禁用对 Synapse 工作区的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings 修改,已禁用 1.0.0
将 Azure Synapse 工作区配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Synapse 工作区。 有关详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint DeployIfNotExists、Disabled 1.0.0
为 Azure Synapse 工作区配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Synapse 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links DeployIfNotExists、Disabled 1.0.0
将 Synapse 工作区配置为启用审核 为了确保捕获针对 SQL 资产执行的操作,应让 Synapse 工作区启用审核。 为了符合监管标准,有时需要这样做。 DeployIfNotExists、Disabled 2.0.0
将 Synapse 工作区配置为对 Log Analytics 工作区启用审核 为了确保捕获针对 SQL 资产执行的操作,应让 Synapse 工作区启用审核。 如果未启用审核,此策略会将审核事件配置为流向指定的 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
应删除 Azure Synapse 工作区上的 IP 防火墙规则 删除所有 IP 防火墙规则可确保只能从专用终结点访问 Azure Synapse 工作区,从而提高安全性。 此配置会对创建允许公用网络访问工作区的防火墙规则进行审核。 Audit、Disabled 1.0.0
应启用 Azure Synapse 工作区上的托管工作区虚拟网络 启用托管工作区虚拟网络可确保你的工作区网络与其他工作区隔离。 在此虚拟网络中部署的数据集成和 Spark 资源还为 Spark 活动提供了用户级隔离。 Audit、Deny、Disabled 1.0.0
Synapse 托管专用终结点应仅连接到已批准的 Azure Active Directory 租户中的资源 仅允许连接到已批准的 Azure Active Directory (Azure AD) 租户中的资源,以保护 Synapse 工作区。 可以在策略分配过程中定义已批准的 Azure AD 租户。 审核、已禁用、拒绝 1.0.0
Synapse 工作区审核设置应配置操作组来捕获关键活动 为了确保审核日志尽可能全面,应让 AuditActionsAndGroups 属性包含所有相关的组。 建议至少添加 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP 和 BATCH_COMPLETED_GROUP。 为了符合监管标准,有时需要这样做。 AuditIfNotExists、Disabled 1.0.0
对存储帐户目标进行 SQL 审核的 Synapse 工作区应配置有 90 天或更高的保留期 为便于调查事件,我们建议将对存储帐户目标进行 SQL 审核的 Synapse 工作区保留期设置为至少 90 天。 确认你遵守所运营区域的必要保留规则。 为了符合监管标准,有时需要这样做。 AuditIfNotExists、Disabled 2.0.0
应对 Synapse 工作区启用漏洞评估 通过在 Synapse 工作区上配置定期 SQL 漏洞评估扫描来发现、跟踪和修复潜在的漏洞。 AuditIfNotExists、Disabled 1.0.0

标记

名称
(Azure 门户)
说明 效果 版本
(GitHub)
将标记添加到资源组 创建或更新任何缺少此标记的资源组时添加指定的标记和值。 可以通过触发修正任务来修正现有资源组。 如果存在具有不同值的标记,则不会更改该资源组。 modify 1.0.0
将标记添加到资源 创建或更新任何缺少此标记的资源时添加指定的标记和值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 而不会修改资源组上的标记。 modify 1.0.0
向订阅添加标记 通过修正任务将指定的标记和值添加到订阅。 如果存在具有不同值的标记,则不会更改该资源组。 有关策略修正的详细信息,请参阅 https://aka.ms/azurepolicyremediation modify 1.0.0
在资源组中添加或替换标记 创建或更新任何资源组时添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源组。 modify 1.0.0
在资源中添加或替换标记 创建或更新任何资源时添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源。 而不会修改资源组上的标记。 modify 1.0.0
在订阅上添加或替换标记 通过修正任务在订阅上添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源组。 有关策略修正的详细信息,请参阅 https://aka.ms/azurepolicyremediation modify 1.0.0
追加资源组的标记及其值 创建或更新任何缺少此标记的资源时,从资源组追加指定的标记及其值。 在更改这些资源之前,请不要修改应用此策略之前创建的资源的标记。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://aka.ms/modifydoc)。 append 1.0.0
将标记及其值追加到资源组 创建或更新任何缺少此标记的资源组时追加指定的标记和值。 在更改这些资源组之前,请不要修改应用此策略之前创建的资源组的标记。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://aka.ms/modifydoc)。 append 1.0.0
将标记及其值追加到资源 创建或更新任何缺少此标记的资源时追加指定的标记和值。 在更改这些资源之前,请不要修改应用此策略之前创建的资源的标记。 不要应用到资源组。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://aka.ms/modifydoc)。 append 1.0.1
从资源组继承标记 创建或更新任何资源时,添加或替换父资源组中指定的标记和值。 可以通过触发修正任务来修正现有资源。 modify 1.0.0
从资源组继承标记(如果缺少此标记) 创建或更新任何缺少此标记的资源时,从父资源组添加指定的标记及其值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 modify 1.0.0
从订阅继承标记 创建或更新任何资源时,添加或替换包含订阅中指定的标记和值。 可以通过触发修正任务来修正现有资源。 modify 1.0.0
从订阅继承标记(如果缺少) 创建或更新任何缺少此标记的资源时,从包含订阅添加指定的标记及其值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 modify 1.0.0
需要资源组上的标记及其值 强制要求资源组中存在所需的标记及其值。 deny 1.0.0
需要资源上的标记及其值 强制执行所需的标记及其值。 不要应用到资源组。 deny 1.0.1
需要资源组上的标记 强制要求资源组中存在某个标记。 deny 1.0.0
需要资源上的标记 强制要求存在某个标记。 不要应用到资源组。 deny 1.0.1

更新管理中心

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:配置定期检查,以确认已启用 Azure Arc 的虚拟机上缺少的系统更新 为已启用 Azure Arc 的服务器上的 OS 更新配置自动评估(每 24 小时)。 你可以根据计算机订阅、资源组、位置或标记来控制分配范围。 对于 Windows 计算机,请参阅 https://aka.ms/computevm-windowspatchassessmentmode了解详细信息;对于 Linux 计算机,请参阅 https://aka.ms/computevm-linuxpatchassessmentmode modify 1.1.0-preview
[预览]:[预览]:配置定期检查,以确认 Azure 虚拟机上缺少的系统更新 为原生 Azure 虚拟机上的操作系统更新配置自动评估(每 24 小时)。 你可以根据计算机订阅、资源组、位置或标记来控制分配范围。 对于 Windows 计算机,请参阅 https://aka.ms/computevm-windowspatchassessmentmode了解详细信息;对于 Linux 计算机,请参阅 https://aka.ms/computevm-linuxpatchassessmentmode modify 2.0.0-preview
[预览]:[预览]:计算机应配置为定期检查,以确认缺少的系统更新 为确保每 24 小时自动触发对缺失系统更新的定期评估,AssessmentMode 属性应设置为“AutomaticByPlatform”。 了解有关 AssessmentMode 属性的详细信息,对于 Windows 计算机,请参阅 https://aka.ms/computevm-windowspatchassessmentmode;对于 Linux 计算机,请参阅 https://aka.ms/computevm-linuxpatchassessmentmode Audit、Deny、Disabled 1.0.0-preview
[预览版]:[预览版]:使用更新管理中心计划定期更新 可以使用 Azure 中的更新管理中心(专用预览版)来保存定期部署计划,以在 Azure、本地环境以及使用已启用 Azure Arc 的服务器进行连接的其他云环境中安装适用于 Windows Server 和 Linux 计算机的操作系统更新。 此策略还会将 Azure 虚拟机的修补模式更改为“AutomaticByPlatform”。 查看更多:https://aka.ms/umc-scheduled-patching DeployIfNotExists、Disabled 1.0.0-preview

视频分析器

名称
(Azure 门户)
说明 效果 版本
(GitHub)
视频分析器帐户应使用客户管理的密钥来加密静态数据 使用客户管理的密钥来管理视频分析器帐户的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/videoanalyzerscmkdocs Audit、Deny、Disabled 1.0.0

VM 映像生成器

名称
(Azure 门户)
说明 效果 版本
(GitHub)
VM 映像生成器模板应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 VM 映像生成器生成资源可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet 审核、已禁用、拒绝 1.1.0

Web PubSub

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Web PubSub 服务应禁用公用网络访问 禁用公用网络访问可确保 Azure Web PubSub 服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制 Azure Web PubSub 服务的公开。 有关详细信息,请访问:https://aka.ms/awps/networkacls Audit、Deny、Disabled 1.0.0
Azure Web PubSub 服务应启用诊断日志 审核是否已启用诊断日志。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 1.0.0
Azure Web PubSub 服务应使用支持专用链接的 SKU 使用受支持的 SKU 时,Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Web PubSub 服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/awps/privatelink Audit、Deny、Disabled 1.0.0
Azure Web PubSub 服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure Web PubSub 服务可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://aka.ms/awps/privatelink Audit、Disabled 1.0.0
配置 Azure Web PubSub 服务以禁用公用网络访问 禁用对 Azure Web PubSub 资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/awps/networkacls 修改,已禁用 1.0.0
将 Azure Web PubSub 服务配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Web PubSub 服务。 有关详细信息,请访问:https://aka.ms/awps/privatelink DeployIfNotExists、Disabled 1.0.0
使用专用终结点配置 Azure Web PubSub 服务 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Web PubSub 服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/awps/privatelink DeployIfNotExists、Disabled 1.0.0

后续步骤