你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Kubernetes 服务 (AKS) Windows 映像与 Center for Internet Security (CIS) 基准保持一致
Azure Kubernetes 服务 (AKS) 是符合 SOC、ISO、PCI DSS 和 HIPAA 标准的安全服务。 本文介绍适用于 AKS 使用的 Windows 映像的安全 OS 配置。 此安全配置基于 Azure X 安全基线,此基线与 CIS 基准保持一致。 有关 AKS 安全性的详细信息,请参阅 Azure Kubernetes 服务 (AKS) 中应用程序和群集的安全性概念。 有关 AKS 安全性的详细信息,请参阅 Azure Kubernetes 服务 (AKS) 中应用程序和群集的安全性概念。 有关 CIS 基准的更多信息,请参阅 Internet 安全中心 (CIS) 基准。 有关 Windows 的 Azure 安全基线的详细信息,请参阅 Windows 安全基线。
AKS 群集部署在主机虚拟机上,该虚拟机运行具有内置安全配置的操作系统。 此操作系统用于 AKS 上运行的容器。 此主机操作系统基于应用安全配置的 Windows Server 2022 映像。
作为安全优化操作系统的一部分:
- AKS 默认提供经过安全优化的主机 OS,但不提供选择备用操作系统的选项。
- 经过安全优化的主机 OS 是专门为 AKS 构建和维护的,因此,仅在 AKS 平台受支持。
- 为了减少受攻击面,我们在 OS 中禁用了一些不必要的内核模块驱动程序。
备注
与 CIS 基准无关,Azure 会将每日修补程序(包括安全修补程序)应用到 AKS 虚拟主机。
内置安全配置的主机 OS 旨在减少受攻击面,并以安全的方式优化容器部署。
以下是 CIS Azure 计算 Microsoft Windows Server 2022 基准 v1.0.0 - 01-26-2023 建议的结果。
建议可能有以下原因之一:
- 潜在的操作影响 - 未应用建议,因为该建议会对服务产生负面影响。
- 在其他地方覆盖 - 建议由 Azure 云计算中的另一个控件覆盖。
以下是实现的 CIS 规则:
CIS 段落编号 | 建议说明 | 状态 | 原因 |
---|---|---|---|
1.1.1 | 确保“强制实施密码历史记录”设置为“24 个密码或更多” | 故障 | |
1.1.2 | 确保“最长密码期限”设置为“365 天或更少,但不为 0” | 通过 | |
1.1.3 | 确保“最短密码期限”设置为“1 天或更多” | 故障 | |
1.1.4 | 确保“最短密码长度”设置为“14 个字符或更多” | 故障 | |
1.1.5 | 确保“密码必须符合复杂性要求”设置为“启用” | 通过 | |
1.1.6 | 确保“使用可逆加密存储密码”设置为“禁用” | 通过 | |
2.2.1 | 确保“以受信任的调用方身份访问凭据管理器”设置为“无人” | 通过 | |
2.2.2 | 确保“从网络访问此计算机”设置为“管理员、经过身份验证的用户、企业域控制器”(仅限 DC) | 故障 | |
2.2.4 | 确保“以操作系统方式操作”设置为“无人” | 通过 | |
2.2.5 | 确保“将工作站添加到域”设置为“管理员”(仅限 DC) | 不可用 | |
2.2.6 | 确保“调整进程的内存配额”设置为“管理员、本地服务、网络服务” | 通过 | |
2.2.7 | 确保“允许本地登录”设置为“管理员” | 故障 | |
2.2.8 | 确保“允许通过远程桌面服务登录”设置为“管理员”(仅限 DC) | 通过 | |
2.2.10 | 确保“备份文件和目录”设置为“管理员、备份操作员” | 通过 | |
2.2.11 | 确保“更改系统时间”设置为“管理员、本地服务” | 通过 | |
2.2.12 | 确保“更改时区”设置为“管理员、本地服务” | 通过 | |
2.2.13 | 确保“创建页面文件”设置为“管理员” | 通过 | |
2.2.14 | 确保“创建令牌对象”设置为“无人” | 通过 | |
2.2.15 | 确保“创建全局对象”设置为“管理员、本地服务、网络服务、服务” | 通过 | |
2.2.16 | 确保“创建永久共享对象”设置为“无人” | 通过 | |
2.2.17 | 确保“创建符号链接”设置为“管理员”(仅限 DC) | 通过 | |
2.2.19 | 确保“调试程序”设置为“管理员” | 通过 | |
2.2.20 | 确保“拒绝通过网络访问该计算机”以包含“来宾” | 故障 | |
2.2.21 | 确保“作为批处理作业登录”以包含“来宾” | 故障 | |
2.2.22 | 确保“作为服务登录”以包含“来宾” | 故障 | |
2.2.23 | 确保“拒绝本地登录”以包含“来宾” | 故障 | |
2.2.24 | 确保“拒绝通过远程桌面服务登录”以包含“来宾” | 故障 | |
2.2.25 | 确保“启用计算机和受信任的委派用户帐户”设置为“管理员”(仅限 DC) | 通过 | |
2.2.27 | 确保“从远程系统强制关机”设置为“管理员” | 通过 | |
2.2.28 | 确保“生成安全审核”设置为“本地服务、网络服务” | 不可用 | |
2.2.29 | 确保“身份验证后模拟客户端”设置为“管理员、本地服务、网络服务、服务”(仅限 DC) | 通过 | |
2.2.31 | 确保“提高计划优先级”设置为“管理员” | 故障 | |
2.2.32 | 确保“加载和卸载设备驱动程序”设置为“管理员” | 通过 | |
2.2.33 | 确保“锁定内存页”设置为“无人” | 通过 | |
2.2.34 | 确保“管理审核和安全日志”设置为“管理员”和(当 Exchange 在环境中运行时)“Exchange 服务器”(仅限 DC) | 通过 | |
2.2.36 | 确保“修改对象标签”设置为“无人” | 通过 | |
2.2.37 | 确保“修改固件环境值”设置为“管理员” | 通过 | |
2.2.38 | 确保“执行卷维护任务”设置为“管理员” | 通过 | |
2.2.39 | 确保“配置文件单一进程”设置为“管理员” | 通过 | |
2.2.40 | 确保“配置文件系统性能”设置为“管理员、NT 服务\WdiServiceHost” | 通过 | |
2.2.41 | 确保“替换进程级令牌”设置为“本地服务、网络服务” | 通过 | |
2.2.42 | 确保“还原文件和目录”设置为“管理员、备份操作员” | 通过 | |
2.2.43 | 确保“关闭系统”设置为“管理员、备份操作员” | 通过 | |
2.2.44 | 确保“同步目录服务数据”设置为“无人”(仅限 DC) | 不可用 | |
2.2.45 | 确保“获取文件或其他对象的所有权”设置为“管理员” | 通过 | |
2.3.1.1 | 确保“帐户: 阻止 Microsoft 帐户”设置为“用户无法添加或登录 Microsoft 帐户” | 通过 | |
2.3.1.3 | 确保“帐户: 仅限使用空密码的本地帐户登录控制台”设置为“启用” | 通过 | |
2.3.1.4 | 配置“帐户: 重命名管理员帐户” | 通过 | |
2.3.1.5 | 配置“帐户: 重命名来宾帐户” | 通过 | |
2.3.2.1 | 确保“审核: 强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置”设置为“启用” | 通过 | |
2.3.2.2 | 确保“审核: 如果无法记录安全审核则立即关闭系统”设置为“禁用” | 通过 | |
2.3.4.1 | 确保“设备: 允许格式化和弹出可移动媒体”设置为“管理员” | 通过 | |
2.3.4.2 | 确保“设备: 阻止用户安装打印机驱动程序”设置为“启用” | 通过 | |
2.3.5.1 | 确保“域控制器: 允许服务器操作员计划任务”设置为“禁用”(仅限 DC) | 不可用 | |
2.3.5.2 | 确保“域控制器: 允许易受攻击的 Netlogon 安全通道连接”设置为“未配置”(仅限 DC) | 不可用 | |
2.3.5.3 | 确保“域控制器: LDAP 服务器通道绑定令牌要求”设置为“始终”(仅限 DC) | 不可用 | |
2.3.5.4 | 确保“域控制器: LDAP 服务器签名要求”设置为“需要签名”(仅限 DC) | 不可用 | |
2.3.5.5 | 确保将“域控制器: 拒绝计算机帐户密码更改”设置为“禁用”(仅限 DC) | 不可用 | |
2.3.6.1 | 确保将“域成员: 对安全通道数据进行数字加密或签名(始终)”设置为“Enabled” | 通过 | |
2.3.6.2 | 确保将“域成员: 对安全通道数据进行数字加密(如果可能)”设置为“Enabled” | 通过 | |
2.3.6.3 | 确保将“域成员: 对安全通道数据进行数字签名(如果可能)”设置为“Enabled” | 通过 | |
2.3.6.4 | 确保将“域成员: 禁用计算机帐户密码更改”设置为“Disabled” | 通过 | |
2.3.6.5 | 确保将“域成员: 计算机帐户密码最长使用期限”设置为“最多 30 天,但不得为 0 天” | 通过 | |
2.3.7.1 | 确保“交互式登录: 计算机非活动限制”设置为“900 秒或更少,但不为 0” | 通过 | |
2.3.7.2 | 配置“交互式登录: 为尝试登录的用户提供的消息文本” | 故障 | |
2.3.7.3 | 配置“交互式登录: 为尝试登录的用户提供的消息标题” | 故障 | |
2.3.7.4 | 确保“交互式登录: 提示用户在过期前更改密码”设置为“5 到 14 天” | 通过 | |
2.3.8.1 | 确保“Microsoft 网络客户端: 对通信进行数字签名(始终)”设置为“启用” | 故障 | |
2.3.8.2 | 确保“Microsoft 网络客户端: 对通信进行数字签名(如果服务器同意)”设置为“启用” | 通过 | |
2.3.8.3 | 确保“Microsoft 网络客户端: 将未加密的密码发送到第三方 SMB 服务器”设置为“禁用” | 通过 | |
2.3.9.1 | 确保“Microsoft 网络服务器: 暂停会话前所需的空闲时间”设置为“15 分钟或更少” | 通过 | |
2.3.9.2 | 确保“Microsoft 网络服务器: 对通信进行数字签名(始终)”设置为“启用” | 故障 | |
2.3.9.3 | 确保“Microsoft 网络服务器: 对通信进行数字签名(如果客户端同意)”设置为“启用” | 故障 | |
2.3.9.4 | 确保“Microsoft 网络服务器: 登录小时数过期后断开与客户端的连接”设置为“启用” | 通过 | |
2.3.10.1 | 确保“网络访问: 允许匿名 SID/名称转换”设置为“禁用” | 通过 | |
2.3.10.4 | 确保“网络访问: 将 Everyone 权限应用于匿名用户”设置为“禁用” | 通过 | |
2.3.10.5 | 配置“网络访问: 可被匿名访问的命名管道”(仅限 DC) | 通过 | |
2.3.10.7 | 配置“网络访问: 可远程访问的注册表路径” | 通过 | |
2.3.10.8 | 配置“网络访问: 可远程访问的注册表路径和子路径” | 通过 | |
2.3.10.9 | 确保“网络访问: 限制对命名管道和共享的匿名访问”设置为“启用” | 通过 | |
2.3.10.11 | 确保“网络访问: 可被匿名访问的共享”设置为“无” | 不可用 | |
2.3.10.12 | 确保“网络访问: 本地帐户的共享和安全模型”设置为“经典 - 本地用户自行进行身份验证” | 通过 | |
2.3.11.1 | 确保“网络安全: 允许本地系统使用 NTLM 的计算机标识”设置为“启用” | 故障 | |
2.3.11.2 | 确保“网络安全: 允许 LocalSystem NULL 会话回退”设置为“禁用” | 通过 | |
2.3.11.3 | 确保“网络安全: 允许请求对此计算机进行 PKU2U 身份验证以使用联机标识”设置为“禁用” | 通过 | |
2.3.11.4 | 确保“网络安全: 配置允许 Kerberos 使用的加密类型”设置为“AES128_HMAC_SHA1、AES256_HMAC_SHA1、未来加密类型” | 通过 | |
2.3.11.5 | 确保“网络安全: 在下次密码更改时不存储 LAN Manager 哈希值”设置为“启用” | 通过 | |
2.3.11.6 | 确保“网络安全: LAN Manager 身份验证级别”设置为“仅发送 NTLMv2 响应。 拒绝 LM 和 NTLM | 故障 | |
2.3.11.7 | 确保“网络安全: LDAP 客户端签名要求”设置为“协商签名”或更高级别 | 通过 | |
2.3.11.8 | 确保“网络安全: 基于 NTLM SSP 的(包括安全 RPC)客户端的最低会话安全性”设置为“需要 NTLMv2 会话安全性,需要 128 位加密” | 故障 | |
2.3.11.9 | 确保“网络安全: 基于 NTLM SSP 的(包括安全 RPC)服务器的最低会话安全性”设置为“需要 NTLMv2 会话安全性,需要 128 位加密” | 故障 | |
2.3.13.1 | 确保“关机: 允许系统在未登录的情况下关机”设置为“禁用” | 通过 | |
2.3.15.1 | 确保“系统对象: 要求非 Windows 子系统不区分大小写”设置为“启用” | 通过 | |
2.3.15.2 | 确保“系统对象: 加强内部系统对象(例如符号链接)的默认权限”设置为“启用” | 通过 | |
2.3.17.1 | 确保“用户帐户控制: 内置管理员帐户的管理员批准模式”设置为“启用” | 故障 | |
2.3.17.2 | 确保“用户帐户控制: 管理员在管理员批准模式下的提升权限提示行为”设置为“在安全桌面上提示同意” | 故障 | |
2.3.17.3 | 确保“用户帐户控制: 标准用户的提升权限提示行为”设置为“自动拒绝提升请求” | 故障 | |
2.3.17.4 | 确保“用户帐户控制: 检测应用程序安装并提示权限提升”设置为“启用” | 通过 | |
2.3.17.5 | 确保“用户帐户控制: 仅提升安装在安全位置的 UIAccess 应用程序”设置为“启用” | 通过 | |
2.3.17.6 | 确保“用户帐户控制: 在管理员批准模式下运行所有管理员”设置为“启用” | 通过 | |
2.3.17.7 | 确保“用户帐户控制: 提示提升时切换到安全桌面”设置为“启用” | 通过 | |
2.3.17.8 | 确保“用户帐户控制: 将文件和注册表写入失败虚拟化到每个用户位置”设置为“启用” | 通过 | |
5.1 | 确保“打印后台处理程序(后台处理程序)”设置为“禁用”(仅限 DC) | 不可用 | |
9.1.1 | 确保“Windows 防火墙: 域: 防火墙状态”设置为“启用(推荐)” | 故障 | |
9.1.2 | 确保“Windows 防火墙: 域: 入站连接”设置为“阻止(默认)” | 通过 | |
9.1.3 | 确保“Windows 防火墙: 域: 出站连接”设置为“允许(默认)” | 通过 | |
9.1.4 | 确保“Windows 防火墙: 域: 日志记录: 名称”设置为“%SystemRoot%\System32\logfiles\firewall\domainfw.log” | 通过 | |
9.1.5 | 确保“Windows 防火墙: 域: 日志记录: 大小限制(KB)”设置为“16,384 KB 或更高” | 通过 | |
9.1.6 | 确保“Windows 防火墙: 域: 日志记录: 记录丢弃的数据包”设置为“是” | 通过 | |
9.1.7 | 确保“Windows 防火墙: 域: 日志记录: 记录成功的连接”设置为“是” | 故障 | |
9.2.1 | 确保“Windows 防火墙: 专用: 防火墙状态”设置为“启用(推荐)” | 故障 | |
9.2.2 | 确保“Windows 防火墙: 专用: 入站连接”设置为“阻止(默认)” | 通过 | |
9.2.3 | 确保“Windows 防火墙: 专用: 出站连接”设置为“允许(默认)” | 故障 | |
9.2.4 | 确保“Windows 防火墙: 专用: 日志记录: 名称”设置为“%SystemRoot%\System32\logfiles\firewall\privatefw.log” | 通过 | |
9.2.5 | 确保“Windows 防火墙: 专用: 日志记录: 大小限制(KB)”设置为“16,384 KB 或更高” | 通过 | |
9.2.6 | 确保“Windows 防火墙: 专用: 日志记录: 记录丢弃的数据包”设置为“是” | 通过 | |
9.2.7 | 确保“Windows 防火墙: 专用: 日志记录: 记录成功的连接”设置为“是” | 通过 | |
9.3.1 | 确保“Windows 防火墙: 公用: 防火墙状态”设置为“启用(推荐)” | 故障 | |
9.3.2 | 确保“Windows 防火墙: 公用: 入站连接”设置为“阻止(默认)” | 通过 | |
9.3.3 | 确保“Windows 防火墙: 公用: 出站连接”设置为“允许(默认)” | 故障 | |
9.3.4 | 确保“Windows 防火墙: 公用: 日志记录: 名称”设置为“%SystemRoot%\System32\logfiles\firewall\publicfw.log” | 通过 | |
9.3.5 | 确保“Windows 防火墙: 公用: 日志记录: 大小限制(KB)”设置为“16,384 KB 或更高” | 故障 | |
9.3.6 | 确保“Windows 防火墙: 公用: 日志记录: 记录丢弃的数据包”设置为“是” | 通过 | |
9.3.7 | 确保“Windows 防火墙: 公用: 日志记录: 记录成功的连接”设置为“是” | 通过 | |
17.1.1 | 确保“审核凭据验证”设置为“成功和失败” | 通过 | |
17.1.2 | 确保“审核 Kerberos 身份验证服务”设置为“成功和失败”(仅限 DC) | 通过 | |
17.2.1 | 确保“审核计算机帐户管理”设置为包含“成功和失败”(仅限 DC) | 通过 | |
17.2.2 | 确保“审核通讯组管理”设置为包含“成功和失败”(仅限 DC) | 通过 | |
17.2.3 | 确保“审核其他帐户管理事件”设置为包含“成功”(仅限 DC) | 通过 | |
17.2.4 | 确保“审核安全组管理”设置为包含“成功” | 通过 | |
17.2.5 | 确保“审核用户帐户管理”设置为“成功和失败” | 通过 | |
17.3.1 | 确保“审核 PNP 活动”设置为包含“成功” | 通过 | |
17.3.2 | 确保“审核进程创建”设置为包含“成功” | 通过 | |
17.5.1 | 确保“审核帐户锁定”设置为包含“成功和失败” | 通过 | |
17.5.2 | 确保“审核组成员身份”设置为包含“成功” | 通过 | |
17.5.3 | 确保“审核注销”设置为包含“成功” | 通过 | |
17.5.4 | 确保“审核登录”设置为“成功和失败” | 通过 | |
17.5.5 | 确保“审核其他登录/注销事件”设置为“成功和失败” | 通过 | |
17.5.6 | 确保“审核特殊登录”设置为包含“成功” | 通过 | |
17.6.1 | 确保“审核其他帐户管理事件”设置为“成功和失败” | 故障 | |
17.6.2 | 确保“审核可移动存储”设置为“成功和失败” | 故障 | |
17.7.1 | 确保“审核审核策略更改”设置为包含“成功” | 通过 | |
17.7.2 | 确保“审核身份验证策略更改”设置为包含“成功” | 通过 | |
17.7.3 | 确保“审核 MPSSVC 规则级别策略更改”设置为“成功和失败” | 故障 | |
17.8.1 | 确保“审核敏感特权的使用”设置为“成功和失败” | 通过 | |
17.9.1 | 确保“审核安全状态更改”设置为包含“成功” | 故障 | |
17.9.2 | 确保“审核安全系统扩展”设置为包含“成功” | 通过 | |
17.9.3 | 确保“审核系统完整性”设置为“成功和失败” | 通过 | |
18.1.2.2 | 确保“允许用户启用联机语音识别服务”设置为“禁用” | 故障 | |
18.3.1 | 确保“配置 SMB v1 客户端驱动程序”设置为“启用: 禁用驱动程序(推荐)” | 通过 | |
18.3.2 | 确保“配置 SMB v1 服务器”设置为“禁用” | 通过 | |
18.3.3 | 确保“启用结构化异常处理覆盖保护(SEHOP)”设置为“启用” | 通过 | |
18.3.4 | 确保“NetBT NodeType 配置”设置为“启用: P 节点(推荐)” | 通过 | |
18.3.5 | 确保“WDigest 身份验证”设置为“禁用” | 通过 | |
18.4.1 | 确保“MSS: (DisableIPSourceRouting IPv6) IP 源路由保护级别(防止数据包欺骗)”设置为“启用: 最高保护,源路由已完全禁用” | 通过 | |
18.4.2 | 确保“MSS: (DisableIPSourceRouting) IP 源路由保护级别(防止数据包欺骗)”设置为“启用: 最高保护,源路由已完全禁用” | 通过 | |
18.4.3 | 确保“MSS: (EnableICMPRedirect)允许 ICMP 重定向替代 OSPF 生成的路由”设置为“禁用” | 故障 | |
18.4.4 | 确保“MSS: (NoNameReleaseOnDemand)允许计算机忽略 NetBIOS 名称释放请求(来自 WINS 服务器的请求除外)”设置为“启用” | 通过 | |
18.5.4.1 | 确保“关闭多播名称解析”设置为“启用” | 故障 | |
18.5.8.1 | 确保“启用不安全的来宾登录”设置为“禁用” | 故障 | |
18.5.11.2 | 确保“禁止在 DNS 域网络上安装和配置网桥”设置为“启用” | 故障 | |
18.5.11.3 | 确保“禁止在 DNS 域网络上使用 Internet 连接共享”设置为“启用” | 故障 | |
18.5.14.1 | 确保“强化的 UNC 路径”设置为“启用”,并为所有 NETLOGON 和 SYSVOL 共享设置“需要相互身份验证”和“需要完整性” | 通过 | |
18.5.21.1 | 确保“最大程度地减少同时连接到 Internet 或 Windows 域的连接数”设置为“启用: 1 = 最大程度地减少同时连接” | 通过 | |
18.8.3.1 | 确保“在过程创建事件中加入命令行”设置为“启用” | 故障 | |
18.8.4.1 | 确保“加密 Oracle 修正”设置为“启用: 强制更新客户端” | 通过 | |
18.8.4.2 | 确保“远程主机允许委托不可导出的凭据”设置为“启用” | 通过 | |
18.8.14.1 | 确保“引导启动驱动程序初始化策略”设置为“启用: 良好、未知和错误,但关键” | 通过 | |
18.8.21.2 | 确保将“配置注册表策略处理: 不要在定期后台处理期间应用”设置为“Enabled: FALSE” | 通过 | |
18.8.21.3 | 确保将“配置注册表策略处理: 即使组策略对象未更改,也进行处理”设置为“Enabled: TRUE” | 通过 | |
18.8.21.4 | 确保将“在此设备上继续体验”设置为“禁用” | 通过 | |
18.8.21.5 | 确保“关闭组策略的后台刷新”设置为“禁用” | 通过 | |
18.8.22.1.1 | 确保“关闭通过 HTTP 下载打印驱动程序”设置为“禁用” | 故障 | |
18.8.28.1 | 确保“阻止用户在登录时显示帐户详细信息”设置为“启用” | 故障 | |
18.8.28.2 | 确保“不显示网络选择 UI”设置为“启用” | 故障 | |
18.8.36.1 | 确保“配置产品/服务远程协助”设置为“禁用” | 通过 | |
18.8.36.2 | 确保“配置请求的远程协助”设置为“禁用” | 故障 | |
18.8.40.1 | 确保“在身份验证期间配置 ROCA 易受攻击的 WHfB 密钥的验证”设置为“启用: 审核”或更高级别(仅限 DC) | 不可用 | |
18.9.6.1 | 确保“允许 Microsoft 帐户为可选”设置为“启用” | 故障 | |
18.9.14.1 | 确保“关闭云使用者帐户状态内容”设置为“启用” | 通过 | |
18.9.14.2 | 确保“关闭 Microsoft 使用者体验”设置为“启用” | 通过 | |
18.9.16.1 | 确保“不显示‘密码显示’按钮”设置为“启用” | 故障 | |
18.9.16.2 | 确保“提升时枚举管理员帐户”设置为“禁用” | 通过 | |
18.9.17.1 | 确保“允许诊断数据”设置为“启用: 发送必需的诊断数据” | 故障 | |
18.9.27.1.1 | 确保“应用程序: 控制事件日志在日志文件达到最大大小时的行为”设置为“禁用” | 通过 | |
18.9.27.1.2 | 确保“应用程序: 指定最大日志文件大小(KB)”设置为“启用: 32,768 或更高” | 故障 | |
18.9.27.2.1 | 确保“安全性: 控制事件日志在日志文件达到最大大小时的行为”设置为“禁用” | 通过 | |
18.9.27.2.2 | 确保“安全性: 指定最大日志文件大小(KB)”设置为“启用: 196,608 或更高” | 故障 | |
18.9.27.3.1 | 确保“设置: 控制事件日志在日志文件达到最大大小时的行为”设置为“禁用” | 通过 | |
18.9.27.3.2 | 确保“设置: 指定最大日志文件大小(KB)”设置为“启用: 32,768 或更高” | 故障 | |
18.9.27.4.1 | 确保“系统: 控制事件日志在日志文件达到最大大小时的行为”设置为“禁用” | 通过 | |
18.9.27.4.2 | 确保“系统: 指定最大日志文件大小(KB)”设置为“启用: 32,768 或更高” | 故障 | |
18.9.31.2 | 确保“关闭资源管理器的数据执行保护”设置为“禁用” | 通过 | |
18.9.31.3 | 确保“关闭损坏时堆终止”设置为“禁用” | 通过 | |
18.9.31.4 | 确保“关闭外壳协议保护模式”设置为“禁用” | 通过 | |
18.9.46.1 | 确保“阻止所有使用者 Microsoft 帐户的用户身份验证”设置为“启用” | 通过 | |
18.9.47.15 | 确保“为可能不需要的应用程序配置检测”设置为“启用: 阻止” | 通过 | |
18.9.47.16 | 确保“关闭 Microsoft Defender 防病毒”设置为“禁用” | 通过 | |
18.9.47.4.1 | 确保“配置本地设置替代向 Microsoft MAPS 报告”设置为“禁用” | 通过 | |
18.9.47.5.1.1 | 确保“配置攻击面减少规则”设置为“启用” | 通过 | |
18.9.47.5.1.2 | 确保配置“配置攻击面减少规则: 设置每个 ASR 规则的状态” | 通过 | |
18.9.47.5.3.1 | 确保“阻止用户和应用访问危险网站”设置为“启用: 阻止” | 通过 | |
18.9.47.9.1 | 确保“扫描所有下载的文件和附件”设置为“启用” | 通过 | |
18.9.47.9.2 | 确保“关闭实时保护”设置为“禁用” | 通过 | |
18.9.47.9.3 | 确保“启用行为监视”设置为“启用” | 通过 | |
18.9.47.9.4 | 确保“启用脚本扫描”设置为“启用” | 通过 | |
18.9.47.12.1 | 确保“启用电子邮件扫描”设置为“启用” | 故障 | |
18.9.65.2.2 | 确保“不允许保存密码”设置为“启用” | 故障 | |
18.9.65.3.3.1 | 确保“不允许驱动器重定向”设置为“启用” | 通过 | |
18.9.65.3.9.1 | 确保“始终在连接时提示输入密码”设置为“启用” | 故障 | |
18.9.65.3.9.2 | 确保“要求安全的 RPC 通信”设置为“启用” | 故障 | |
18.9.65.3.9.3 | 确保“设置客户端连接加密级别”设置为“启用: 高级” | 通过 | |
18.9.65.3.11.1 | 确保“在退出时不删除临时文件夹”设置为“禁用” | 通过 | |
18.9.65.3.11.2 | 确保“不对每个会话使用临时文件夹”设置为“禁用” | 通过 | |
18.9.66.1 | 确保“阻止下载附件”设置为“启用” | 故障 | |
18.9.67.2 | 确保“允许加密文件的索引”设置为“禁用” | 通过 | |
18.9.85.1.1 | 确保“配置 Windows Defender SmartScreen”设置为“启用: 警告并阻止绕过” | 故障 | |
18.9.90.1 | 确保“允许用户对安装进行控制”设置为“禁用” | 通过 | |
18.9.90.2 | 确保“始终以提升的权限进行安装”设置为“禁用” | 通过 | |
18.9.91.1 | 确保“在重新启动之后自动登录并锁定上次交互用户”设置为“禁用” | 通过 | |
18.9.100.1 | 确保“打开 PowerShell 脚本块日志记录”设置为“启用” | 故障 | |
18.9.100.2 | 确保“打开 PowerShell 听录”设置为“禁用” | 通过 | |
18.9.102.1.1 | 确保“允许基本身份验证”设置为“禁用” | 通过 | |
18.9.102.1.2 | 确保“允许未加密的流量”设置为“禁用” | 通过 | |
18.9.102.1.3 | 确保“不允许使用摘要式身份验证”设置为“启用” | 故障 | |
18.9.102.2.1 | 确保“允许基本身份验证”设置为“禁用” | 通过 | |
18.9.102.2.2 | 确保“允许未加密的流量”设置为“禁用” | 通过 | |
18.9.102.2.3 | 确保“不允许 WinRM 存储 RunAs 凭据”设置为“启用” | 故障 | |
18.9.105.2.1 | 确保“阻止用户修改设置”设置为“启用” | 通过 |
有关 AKS 安全性的详细信息,请参阅以下文章: