你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
机器配置安全基准提供了一种统一方法,通过支持 Azure 原生虚拟机和已启用 Azure Arc 的非 Azure 服务器(Windows 和 Linux),在不同环境(包括 Azure、混合云、多云和边缘场景)中实施安全和合规性要求。
通过内置安全基线,您可以自定义安全控制,以确保它们在部署到环境之前满足您组织的特定要求。
新的 Azure Policy 设置选取器体验简化了此过程。 它允许你选择要评估和调整配置参数以进行精细控制的设置。 该体验支持适用于 Linux 和 Windows 的高级输入格式,并将自定义基线导出为可重用 JSON 项目。 这种灵活性可确保无论工作负荷在何处运行,策略强制实施都是一致的、精确且适应复杂的企业需求。
注释
确保机器配置先决条件计划已分配到你的订阅。
打开“机器配置”界面
在 Azure 门户中,导航到 策略 > 计算机配置。
选择“ 定义 ”选项卡。
选择一个内置基线:
适用于 Linux 工作负载的官方 CIS 基准
适用于 Windows 的 Azure 安全基线
适用于 Linux 的 Azure 安全基线
单击“ 修改设置”。
选择基线和版本
Linux 和 Windows 基线之间的配置体验略有不同:
适用于 Linux 的 CIS 基准: 可以启用一个或多个受支持的分发(例如 Red Hat Enterprise Linux、Alma Linux、Rocky Linux 或 Ubuntu)。 未选择的分布区从评估中排除。 对于每个已启用的发行版,请选择要应用的 CIS 基准版本。
对于 Azure 基线(Windows 或 Linux): 这些基线在操作系统之间一致应用,无需选择发行版。 在 “基本信息 ”下确认基线版本并继续。
修改设置
在“ 修改设置 ”选项卡上,查看和调整所选基线的配置规则。
使用每个规则旁边的复选框来将其包括或排除在评估中。
对于可配置的规则,请编辑 “参数值 ”字段以定义组织所需的状态。
- 通过单击突出显示的规则来查看每个规则元数据。 此作将打开上下文窗格,其中显示了规则 ID、说明、严重性和符合性标准等详细信息。
这些功能适用于计算机配置中的所有基准和基线。
适用于 Linux 的 CIS 基准的自定义输入
为了支持高级自定义, 适用于 Linux 的 CIS 基准 可能会对某些参数值使用 结构化输入格式 。 此格式允许在单行中定义多个属性,例如,同时指定预期的服务状态和包名称。
示例格式:
key1=value1 key2=value2 key3=value3
示例输入:
serviceName=named.service expectedUnitFileState=enabled expectedActiveState=active packageName=bind
该格式支持精细控制,使你可以为与现有 Linux 环境一致的复杂配置建模。
Azure安全基线(Windows)的自定义输入
为了在基线设置的适用性方面实现类似精细度,适用于 Windows 的 Azure 安全基线支持格式化字符串输入,用于跨操作系统版本和服务器角色的复杂规则定向。
每个值都使用以下格式:
WindowsServer\<Year>\<ServerRole>:<Value>
使用分号“;”分隔多个目标。
通配符 * 还可用于在所有版本或角色(例如 WindowsServer\2022\:1)中应用规则。
示例输入:
WindowsServer\2025\DomainController:1;WindowsServer\2025\MemberServer:1;WindowsServer\2022\\:1
范围为规则的应用提供精确控制。例如,仅将设置应用于域控制器上的Windows Server 2025,或应用于Windows Server 2022上的所有角色。
查看和下载
完成更改后:
选择“ 审阅 + 下载 ”选项卡。
查看任何已编辑或排除的设置。
- 单击“下载所有基线”,将自定义配置导出为 JSON 文件。
还可以选择“ 分配审核策略 ”,直接从门户中的自定义基线创建策略分配。
此 JSON 工件定义基线的所有当前设置,以便轻松实现版本管理、分享或重用,适用于跨环境和部署管道。