使用英语阅读

通过


你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Kubernetes 服务 (AKS) Windows 映像与 Center for Internet Security (CIS) 基准保持一致

Azure Kubernetes 服务 (AKS) 是符合 SOC、ISO、PCI DSS 和 HIPAA 标准的安全服务。 本文介绍适用于 AKS 使用的 Windows 映像的安全 OS 配置。 此安全配置基于 Azure X 安全基线,此基线与 CIS 基准保持一致。 有关 AKS 安全性的详细信息,请参阅 Azure Kubernetes 服务 (AKS) 中应用程序和群集的安全性概念。 有关 AKS 安全性的详细信息,请参阅 Azure Kubernetes 服务 (AKS) 中应用程序和群集的安全性概念。 有关 CIS 基准的更多信息,请参阅 Internet 安全中心 (CIS) 基准。 有关 Windows 的 Azure 安全基线的详细信息,请参阅 Windows 安全基线

Windows Server 2022

AKS 群集部署在主机虚拟机上,该虚拟机运行具有内置安全配置的操作系统。 此操作系统用于 AKS 上运行的容器。 此主机操作系统基于应用安全配置的 Windows Server 2022 映像

作为安全优化操作系统的一部分:

  • AKS 默认提供经过安全优化的主机 OS,但不提供选择备用操作系统的选项。
  • 经过安全优化的主机 OS 是专门为 AKS 构建和维护的,因此,仅在 AKS 平台受支持。
  • 为了减少受攻击面,我们在 OS 中禁用了一些不必要的内核模块驱动程序。

备注

与 CIS 基准无关,Azure 会将每日修补程序(包括安全修补程序)应用到 AKS 虚拟主机。

内置安全配置的主机 OS 旨在减少受攻击面,并以安全的方式优化容器部署。

以下是 CIS Azure 计算 Microsoft Windows Server 2022 基准 v1.0.0 - 01-26-2023 建议的结果。

建议可能有以下原因之一:

  • 潜在的操作影响 - 未应用建议,因为该建议会对服务产生负面影响。
  • 在其他地方覆盖 - 建议由 Azure 云计算中的另一个控件覆盖。

以下是实现的 CIS 规则:

CIS 段落编号 建议说明 状态 原因
1.1.1 确保“强制实施密码历史记录”设置为“24 个密码或更多” 故障
1.1.2 确保“最长密码期限”设置为“365 天或更少,但不为 0” 通过
1.1.3 确保“最短密码期限”设置为“1 天或更多” 故障
1.1.4 确保“最短密码长度”设置为“14 个字符或更多” 故障
1.1.5 确保“密码必须符合复杂性要求”设置为“启用” 通过
1.1.6 确保“使用可逆加密存储密码”设置为“禁用” 通过
2.2.1 确保“以受信任的调用方身份访问凭据管理器”设置为“无人” 通过
2.2.2 确保“从网络访问此计算机”设置为“管理员、经过身份验证的用户、企业域控制器”(仅限 DC) 故障
2.2.4 确保“以操作系统方式操作”设置为“无人” 通过
2.2.5 确保“将工作站添加到域”设置为“管理员”(仅限 DC) 不可用
2.2.6 确保“调整进程的内存配额”设置为“管理员、本地服务、网络服务” 通过
2.2.7 确保“允许本地登录”设置为“管理员” 故障
2.2.8 确保“允许通过远程桌面服务登录”设置为“管理员”(仅限 DC) 通过
2.2.10 确保“备份文件和目录”设置为“管理员、备份操作员” 通过
2.2.11 确保“更改系统时间”设置为“管理员、本地服务” 通过
2.2.12 确保“更改时区”设置为“管理员、本地服务” 通过
2.2.13 确保“创建页面文件”设置为“管理员” 通过
2.2.14 确保“创建令牌对象”设置为“无人” 通过
2.2.15 确保“创建全局对象”设置为“管理员、本地服务、网络服务、服务” 通过
2.2.16 确保“创建永久共享对象”设置为“无人” 通过
2.2.17 确保“创建符号链接”设置为“管理员”(仅限 DC) 通过
2.2.19 确保“调试程序”设置为“管理员” 通过
2.2.20 确保“拒绝通过网络访问该计算机”以包含“来宾” 故障
2.2.21 确保“作为批处理作业登录”以包含“来宾” 故障
2.2.22 确保“作为服务登录”以包含“来宾” 故障
2.2.23 确保“拒绝本地登录”以包含“来宾” 故障
2.2.24 确保“拒绝通过远程桌面服务登录”以包含“来宾” 故障
2.2.25 确保“启用计算机和受信任的委派用户帐户”设置为“管理员”(仅限 DC) 通过
2.2.27 确保“从远程系统强制关机”设置为“管理员” 通过
2.2.28 确保“生成安全审核”设置为“本地服务、网络服务” 不可用
2.2.29 确保“身份验证后模拟客户端”设置为“管理员、本地服务、网络服务、服务”(仅限 DC) 通过
2.2.31 确保“提高计划优先级”设置为“管理员” 故障
2.2.32 确保“加载和卸载设备驱动程序”设置为“管理员” 通过
2.2.33 确保“锁定内存页”设置为“无人” 通过
2.2.34 确保“管理审核和安全日志”设置为“管理员”和(当 Exchange 在环境中运行时)“Exchange 服务器”(仅限 DC) 通过
2.2.36 确保“修改对象标签”设置为“无人” 通过
2.2.37 确保“修改固件环境值”设置为“管理员” 通过
2.2.38 确保“执行卷维护任务”设置为“管理员” 通过
2.2.39 确保“配置文件单一进程”设置为“管理员” 通过
2.2.40 确保“配置文件系统性能”设置为“管理员、NT 服务\WdiServiceHost” 通过
2.2.41 确保“替换进程级令牌”设置为“本地服务、网络服务” 通过
2.2.42 确保“还原文件和目录”设置为“管理员、备份操作员” 通过
2.2.43 确保“关闭系统”设置为“管理员、备份操作员” 通过
2.2.44 确保“同步目录服务数据”设置为“无人”(仅限 DC) 不可用
2.2.45 确保“获取文件或其他对象的所有权”设置为“管理员” 通过
2.3.1.1 确保“帐户: 阻止 Microsoft 帐户”设置为“用户无法添加或登录 Microsoft 帐户” 通过
2.3.1.3 确保“帐户: 仅限使用空密码的本地帐户登录控制台”设置为“启用” 通过
2.3.1.4 配置“帐户: 重命名管理员帐户” 通过
2.3.1.5 配置“帐户: 重命名来宾帐户” 通过
2.3.2.1 确保“审核: 强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置”设置为“启用” 通过
2.3.2.2 确保“审核: 如果无法记录安全审核则立即关闭系统”设置为“禁用” 通过
2.3.4.1 确保“设备: 允许格式化和弹出可移动媒体”设置为“管理员” 通过
2.3.4.2 确保“设备: 阻止用户安装打印机驱动程序”设置为“启用” 通过
2.3.5.1 确保“域控制器: 允许服务器操作员计划任务”设置为“禁用”(仅限 DC) 不可用
2.3.5.2 确保“域控制器: 允许易受攻击的 Netlogon 安全通道连接”设置为“未配置”(仅限 DC) 不可用
2.3.5.3 确保“域控制器: LDAP 服务器通道绑定令牌要求”设置为“始终”(仅限 DC) 不可用
2.3.5.4 确保“域控制器: LDAP 服务器签名要求”设置为“需要签名”(仅限 DC) 不可用
2.3.5.5 确保将“域控制器: 拒绝计算机帐户密码更改”设置为“禁用”(仅限 DC) 不可用
2.3.6.1 确保将“域成员: 对安全通道数据进行数字加密或签名(始终)”设置为“Enabled” 通过
2.3.6.2 确保将“域成员: 对安全通道数据进行数字加密(如果可能)”设置为“Enabled” 通过
2.3.6.3 确保将“域成员: 对安全通道数据进行数字签名(如果可能)”设置为“Enabled” 通过
2.3.6.4 确保将“域成员: 禁用计算机帐户密码更改”设置为“Disabled” 通过
2.3.6.5 确保将“域成员: 计算机帐户密码最长使用期限”设置为“最多 30 天,但不得为 0 天” 通过
2.3.7.1 确保“交互式登录: 计算机非活动限制”设置为“900 秒或更少,但不为 0” 通过
2.3.7.2 配置“交互式登录: 为尝试登录的用户提供的消息文本” 故障
2.3.7.3 配置“交互式登录: 为尝试登录的用户提供的消息标题” 故障
2.3.7.4 确保“交互式登录: 提示用户在过期前更改密码”设置为“5 到 14 天” 通过
2.3.8.1 确保“Microsoft 网络客户端: 对通信进行数字签名(始终)”设置为“启用” 故障
2.3.8.2 确保“Microsoft 网络客户端: 对通信进行数字签名(如果服务器同意)”设置为“启用” 通过
2.3.8.3 确保“Microsoft 网络客户端: 将未加密的密码发送到第三方 SMB 服务器”设置为“禁用” 通过
2.3.9.1 确保“Microsoft 网络服务器: 暂停会话前所需的空闲时间”设置为“15 分钟或更少” 通过
2.3.9.2 确保“Microsoft 网络服务器: 对通信进行数字签名(始终)”设置为“启用” 故障
2.3.9.3 确保“Microsoft 网络服务器: 对通信进行数字签名(如果客户端同意)”设置为“启用” 故障
2.3.9.4 确保“Microsoft 网络服务器: 登录小时数过期后断开与客户端的连接”设置为“启用” 通过
2.3.10.1 确保“网络访问: 允许匿名 SID/名称转换”设置为“禁用” 通过
2.3.10.4 确保“网络访问: 将 Everyone 权限应用于匿名用户”设置为“禁用” 通过
2.3.10.5 配置“网络访问: 可被匿名访问的命名管道”(仅限 DC) 通过
2.3.10.7 配置“网络访问: 可远程访问的注册表路径” 通过
2.3.10.8 配置“网络访问: 可远程访问的注册表路径和子路径” 通过
2.3.10.9 确保“网络访问: 限制对命名管道和共享的匿名访问”设置为“启用” 通过
2.3.10.11 确保“网络访问: 可被匿名访问的共享”设置为“无” 不可用
2.3.10.12 确保“网络访问: 本地帐户的共享和安全模型”设置为“经典 - 本地用户自行进行身份验证” 通过
2.3.11.1 确保“网络安全: 允许本地系统使用 NTLM 的计算机标识”设置为“启用” 故障
2.3.11.2 确保“网络安全: 允许 LocalSystem NULL 会话回退”设置为“禁用” 通过
2.3.11.3 确保“网络安全: 允许请求对此计算机进行 PKU2U 身份验证以使用联机标识”设置为“禁用” 通过
2.3.11.4 确保“网络安全: 配置允许 Kerberos 使用的加密类型”设置为“AES128_HMAC_SHA1、AES256_HMAC_SHA1、未来加密类型” 通过
2.3.11.5 确保“网络安全: 在下次密码更改时不存储 LAN Manager 哈希值”设置为“启用” 通过
2.3.11.6 确保“网络安全: LAN Manager 身份验证级别”设置为“仅发送 NTLMv2 响应。 拒绝 LM 和 NTLM 故障
2.3.11.7 确保“网络安全: LDAP 客户端签名要求”设置为“协商签名”或更高级别 通过
2.3.11.8 确保“网络安全: 基于 NTLM SSP 的(包括安全 RPC)客户端的最低会话安全性”设置为“需要 NTLMv2 会话安全性,需要 128 位加密” 故障
2.3.11.9 确保“网络安全: 基于 NTLM SSP 的(包括安全 RPC)服务器的最低会话安全性”设置为“需要 NTLMv2 会话安全性,需要 128 位加密” 故障
2.3.13.1 确保“关机: 允许系统在未登录的情况下关机”设置为“禁用” 通过
2.3.15.1 确保“系统对象: 要求非 Windows 子系统不区分大小写”设置为“启用” 通过
2.3.15.2 确保“系统对象: 加强内部系统对象(例如符号链接)的默认权限”设置为“启用” 通过
2.3.17.1 确保“用户帐户控制: 内置管理员帐户的管理员批准模式”设置为“启用” 故障
2.3.17.2 确保“用户帐户控制: 管理员在管理员批准模式下的提升权限提示行为”设置为“在安全桌面上提示同意” 故障
2.3.17.3 确保“用户帐户控制: 标准用户的提升权限提示行为”设置为“自动拒绝提升请求” 故障
2.3.17.4 确保“用户帐户控制: 检测应用程序安装并提示权限提升”设置为“启用” 通过
2.3.17.5 确保“用户帐户控制: 仅提升安装在安全位置的 UIAccess 应用程序”设置为“启用” 通过
2.3.17.6 确保“用户帐户控制: 在管理员批准模式下运行所有管理员”设置为“启用” 通过
2.3.17.7 确保“用户帐户控制: 提示提升时切换到安全桌面”设置为“启用” 通过
2.3.17.8 确保“用户帐户控制: 将文件和注册表写入失败虚拟化到每个用户位置”设置为“启用” 通过
5.1 确保“打印后台处理程序(后台处理程序)”设置为“禁用”(仅限 DC) 不可用
9.1.1 确保“Windows 防火墙: 域: 防火墙状态”设置为“启用(推荐)” 故障
9.1.2 确保“Windows 防火墙: 域: 入站连接”设置为“阻止(默认)” 通过
9.1.3 确保“Windows 防火墙: 域: 出站连接”设置为“允许(默认)” 通过
9.1.4 确保“Windows 防火墙: 域: 日志记录: 名称”设置为“%SystemRoot%\System32\logfiles\firewall\domainfw.log” 通过
9.1.5 确保“Windows 防火墙: 域: 日志记录: 大小限制(KB)”设置为“16,384 KB 或更高” 通过
9.1.6 确保“Windows 防火墙: 域: 日志记录: 记录丢弃的数据包”设置为“是” 通过
9.1.7 确保“Windows 防火墙: 域: 日志记录: 记录成功的连接”设置为“是” 故障
9.2.1 确保“Windows 防火墙: 专用: 防火墙状态”设置为“启用(推荐)” 故障
9.2.2 确保“Windows 防火墙: 专用: 入站连接”设置为“阻止(默认)” 通过
9.2.3 确保“Windows 防火墙: 专用: 出站连接”设置为“允许(默认)” 故障
9.2.4 确保“Windows 防火墙: 专用: 日志记录: 名称”设置为“%SystemRoot%\System32\logfiles\firewall\privatefw.log” 通过
9.2.5 确保“Windows 防火墙: 专用: 日志记录: 大小限制(KB)”设置为“16,384 KB 或更高” 通过
9.2.6 确保“Windows 防火墙: 专用: 日志记录: 记录丢弃的数据包”设置为“是” 通过
9.2.7 确保“Windows 防火墙: 专用: 日志记录: 记录成功的连接”设置为“是” 通过
9.3.1 确保“Windows 防火墙: 公用: 防火墙状态”设置为“启用(推荐)” 故障
9.3.2 确保“Windows 防火墙: 公用: 入站连接”设置为“阻止(默认)” 通过
9.3.3 确保“Windows 防火墙: 公用: 出站连接”设置为“允许(默认)” 故障
9.3.4 确保“Windows 防火墙: 公用: 日志记录: 名称”设置为“%SystemRoot%\System32\logfiles\firewall\publicfw.log” 通过
9.3.5 确保“Windows 防火墙: 公用: 日志记录: 大小限制(KB)”设置为“16,384 KB 或更高” 故障
9.3.6 确保“Windows 防火墙: 公用: 日志记录: 记录丢弃的数据包”设置为“是” 通过
9.3.7 确保“Windows 防火墙: 公用: 日志记录: 记录成功的连接”设置为“是” 通过
17.1.1 确保“审核凭据验证”设置为“成功和失败” 通过
17.1.2 确保“审核 Kerberos 身份验证服务”设置为“成功和失败”(仅限 DC) 通过
17.2.1 确保“审核计算机帐户管理”设置为包含“成功和失败”(仅限 DC) 通过
17.2.2 确保“审核通讯组管理”设置为包含“成功和失败”(仅限 DC) 通过
17.2.3 确保“审核其他帐户管理事件”设置为包含“成功”(仅限 DC) 通过
17.2.4 确保“审核安全组管理”设置为包含“成功” 通过
17.2.5 确保“审核用户帐户管理”设置为“成功和失败” 通过
17.3.1 确保“审核 PNP 活动”设置为包含“成功” 通过
17.3.2 确保“审核进程创建”设置为包含“成功” 通过
17.5.1 确保“审核帐户锁定”设置为包含“成功和失败” 通过
17.5.2 确保“审核组成员身份”设置为包含“成功” 通过
17.5.3 确保“审核注销”设置为包含“成功” 通过
17.5.4 确保“审核登录”设置为“成功和失败” 通过
17.5.5 确保“审核其他登录/注销事件”设置为“成功和失败” 通过
17.5.6 确保“审核特殊登录”设置为包含“成功” 通过
17.6.1 确保“审核其他帐户管理事件”设置为“成功和失败” 故障
17.6.2 确保“审核可移动存储”设置为“成功和失败” 故障
17.7.1 确保“审核审核策略更改”设置为包含“成功” 通过
17.7.2 确保“审核身份验证策略更改”设置为包含“成功” 通过
17.7.3 确保“审核 MPSSVC 规则级别策略更改”设置为“成功和失败” 故障
17.8.1 确保“审核敏感特权的使用”设置为“成功和失败” 通过
17.9.1 确保“审核安全状态更改”设置为包含“成功” 故障
17.9.2 确保“审核安全系统扩展”设置为包含“成功” 通过
17.9.3 确保“审核系统完整性”设置为“成功和失败” 通过
18.1.2.2 确保“允许用户启用联机语音识别服务”设置为“禁用” 故障
18.3.1 确保“配置 SMB v1 客户端驱动程序”设置为“启用: 禁用驱动程序(推荐)” 通过
18.3.2 确保“配置 SMB v1 服务器”设置为“禁用” 通过
18.3.3 确保“启用结构化异常处理覆盖保护(SEHOP)”设置为“启用” 通过
18.3.4 确保“NetBT NodeType 配置”设置为“启用: P 节点(推荐)” 通过
18.3.5 确保“WDigest 身份验证”设置为“禁用” 通过
18.4.1 确保“MSS: (DisableIPSourceRouting IPv6) IP 源路由保护级别(防止数据包欺骗)”设置为“启用: 最高保护,源路由已完全禁用” 通过
18.4.2 确保“MSS: (DisableIPSourceRouting) IP 源路由保护级别(防止数据包欺骗)”设置为“启用: 最高保护,源路由已完全禁用” 通过
18.4.3 确保“MSS: (EnableICMPRedirect)允许 ICMP 重定向替代 OSPF 生成的路由”设置为“禁用” 故障
18.4.4 确保“MSS: (NoNameReleaseOnDemand)允许计算机忽略 NetBIOS 名称释放请求(来自 WINS 服务器的请求除外)”设置为“启用” 通过
18.5.4.1 确保“关闭多播名称解析”设置为“启用” 故障
18.5.8.1 确保“启用不安全的来宾登录”设置为“禁用” 故障
18.5.11.2 确保“禁止在 DNS 域网络上安装和配置网桥”设置为“启用” 故障
18.5.11.3 确保“禁止在 DNS 域网络上使用 Internet 连接共享”设置为“启用” 故障
18.5.14.1 确保“强化的 UNC 路径”设置为“启用”,并为所有 NETLOGON 和 SYSVOL 共享设置“需要相互身份验证”和“需要完整性” 通过
18.5.21.1 确保“最大程度地减少同时连接到 Internet 或 Windows 域的连接数”设置为“启用: 1 = 最大程度地减少同时连接” 通过
18.8.3.1 确保“在过程创建事件中加入命令行”设置为“启用” 故障
18.8.4.1 确保“加密 Oracle 修正”设置为“启用: 强制更新客户端” 通过
18.8.4.2 确保“远程主机允许委托不可导出的凭据”设置为“启用” 通过
18.8.14.1 确保“引导启动驱动程序初始化策略”设置为“启用: 良好、未知和错误,但关键” 通过
18.8.21.2 确保将“配置注册表策略处理: 不要在定期后台处理期间应用”设置为“Enabled: FALSE” 通过
18.8.21.3 确保将“配置注册表策略处理: 即使组策略对象未更改,也进行处理”设置为“Enabled: TRUE” 通过
18.8.21.4 确保将“在此设备上继续体验”设置为“禁用” 通过
18.8.21.5 确保“关闭组策略的后台刷新”设置为“禁用” 通过
18.8.22.1.1 确保“关闭通过 HTTP 下载打印驱动程序”设置为“禁用” 故障
18.8.28.1 确保“阻止用户在登录时显示帐户详细信息”设置为“启用” 故障
18.8.28.2 确保“不显示网络选择 UI”设置为“启用” 故障
18.8.36.1 确保“配置产品/服务远程协助”设置为“禁用” 通过
18.8.36.2 确保“配置请求的远程协助”设置为“禁用” 故障
18.8.40.1 确保“在身份验证期间配置 ROCA 易受攻击的 WHfB 密钥的验证”设置为“启用: 审核”或更高级别(仅限 DC) 不可用
18.9.6.1 确保“允许 Microsoft 帐户为可选”设置为“启用” 故障
18.9.14.1 确保“关闭云使用者帐户状态内容”设置为“启用” 通过
18.9.14.2 确保“关闭 Microsoft 使用者体验”设置为“启用” 通过
18.9.16.1 确保“不显示‘密码显示’按钮”设置为“启用” 故障
18.9.16.2 确保“提升时枚举管理员帐户”设置为“禁用” 通过
18.9.17.1 确保“允许诊断数据”设置为“启用: 发送必需的诊断数据” 故障
18.9.27.1.1 确保“应用程序: 控制事件日志在日志文件达到最大大小时的行为”设置为“禁用” 通过
18.9.27.1.2 确保“应用程序: 指定最大日志文件大小(KB)”设置为“启用: 32,768 或更高” 故障
18.9.27.2.1 确保“安全性: 控制事件日志在日志文件达到最大大小时的行为”设置为“禁用” 通过
18.9.27.2.2 确保“安全性: 指定最大日志文件大小(KB)”设置为“启用: 196,608 或更高” 故障
18.9.27.3.1 确保“设置: 控制事件日志在日志文件达到最大大小时的行为”设置为“禁用” 通过
18.9.27.3.2 确保“设置: 指定最大日志文件大小(KB)”设置为“启用: 32,768 或更高” 故障
18.9.27.4.1 确保“系统: 控制事件日志在日志文件达到最大大小时的行为”设置为“禁用” 通过
18.9.27.4.2 确保“系统: 指定最大日志文件大小(KB)”设置为“启用: 32,768 或更高” 故障
18.9.31.2 确保“关闭资源管理器的数据执行保护”设置为“禁用” 通过
18.9.31.3 确保“关闭损坏时堆终止”设置为“禁用” 通过
18.9.31.4 确保“关闭外壳协议保护模式”设置为“禁用” 通过
18.9.46.1 确保“阻止所有使用者 Microsoft 帐户的用户身份验证”设置为“启用” 通过
18.9.47.15 确保“为可能不需要的应用程序配置检测”设置为“启用: 阻止” 通过
18.9.47.16 确保“关闭 Microsoft Defender 防病毒”设置为“禁用” 通过
18.9.47.4.1 确保“配置本地设置替代向 Microsoft MAPS 报告”设置为“禁用” 通过
18.9.47.5.1.1 确保“配置攻击面减少规则”设置为“启用” 通过
18.9.47.5.1.2 确保配置“配置攻击面减少规则: 设置每个 ASR 规则的状态” 通过
18.9.47.5.3.1 确保“阻止用户和应用访问危险网站”设置为“启用: 阻止” 通过
18.9.47.9.1 确保“扫描所有下载的文件和附件”设置为“启用” 通过
18.9.47.9.2 确保“关闭实时保护”设置为“禁用” 通过
18.9.47.9.3 确保“启用行为监视”设置为“启用” 通过
18.9.47.9.4 确保“启用脚本扫描”设置为“启用” 通过
18.9.47.12.1 确保“启用电子邮件扫描”设置为“启用” 故障
18.9.65.2.2 确保“不允许保存密码”设置为“启用” 故障
18.9.65.3.3.1 确保“不允许驱动器重定向”设置为“启用” 通过
18.9.65.3.9.1 确保“始终在连接时提示输入密码”设置为“启用” 故障
18.9.65.3.9.2 确保“要求安全的 RPC 通信”设置为“启用” 故障
18.9.65.3.9.3 确保“设置客户端连接加密级别”设置为“启用: 高级” 通过
18.9.65.3.11.1 确保“在退出时不删除临时文件夹”设置为“禁用” 通过
18.9.65.3.11.2 确保“不对每个会话使用临时文件夹”设置为“禁用” 通过
18.9.66.1 确保“阻止下载附件”设置为“启用” 故障
18.9.67.2 确保“允许加密文件的索引”设置为“禁用” 通过
18.9.85.1.1 确保“配置 Windows Defender SmartScreen”设置为“启用: 警告并阻止绕过” 故障
18.9.90.1 确保“允许用户对安装进行控制”设置为“禁用” 通过
18.9.90.2 确保“始终以提升的权限进行安装”设置为“禁用” 通过
18.9.91.1 确保“在重新启动之后自动登录并锁定上次交互用户”设置为“禁用” 通过
18.9.100.1 确保“打开 PowerShell 脚本块日志记录”设置为“启用” 故障
18.9.100.2 确保“打开 PowerShell 听录”设置为“禁用” 通过
18.9.102.1.1 确保“允许基本身份验证”设置为“禁用” 通过
18.9.102.1.2 确保“允许未加密的流量”设置为“禁用” 通过
18.9.102.1.3 确保“不允许使用摘要式身份验证”设置为“启用” 故障
18.9.102.2.1 确保“允许基本身份验证”设置为“禁用” 通过
18.9.102.2.2 确保“允许未加密的流量”设置为“禁用” 通过
18.9.102.2.3 确保“不允许 WinRM 存储 RunAs 凭据”设置为“启用” 故障
18.9.105.2.1 确保“阻止用户修改设置”设置为“启用” 通过

后续步骤

有关 AKS 安全性的详细信息,请参阅以下文章: