你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
西班牙 ENS 法规合规性内置计划的详细信息
下文详细说明了 Azure Policy 法规合规性内置计划定义如何映射到西班牙 ENS 中的合规性域和控制措施。 有关此合规性标准的详细信息,请参阅西班牙 ENS。 如需了解所有权,请查看策略类型和云端共担责任。
以下映射适用于西班牙 ENS 控制措施。 许多控制措施都是使用 Azure Policy 计划定义实现的。 若要查看完整计划定义,请在 Azure 门户中打开“策略”,并选择“定义”页 。 然后,找到西班牙 ENS 法规合规性内置计划定义并将其选中。
重要
下面的每个控件都与一个或多个 Azure Policy 定义关联。 这些策略有助于评估控制的合规性;但是,控制与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的符合性仅引用策略定义本身;这并不能确保你完全符合某个控制措施的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 此符合性标准的符合性域、控制措施和 Azure Policy 定义之间的关联可能会随着时间的推移而发生变化。 若要查看更改历史记录,请参阅 GitHub 提交历史记录。
保护措施
保护通信
ID:ENS v1 mp.com.1 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | Azure 安全中心已确认,你的某些子网未使用下一代防火墙进行保护。 通过使用 Azure 防火墙或受支持的下一代防火墙限制对子网的访问,保护子网免受潜在威胁的危害 | AuditIfNotExists、Disabled | 3.0.0-preview |
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| Azure 证明提供程序应禁用公用网络访问 | 若要提高 Azure 证明服务资源的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如 aka.ms/azureattestation 中所述禁用公用网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cosmos DB 帐户应有防火墙规则 | 应在 Azure Cosmos DB 帐户上定义防火墙规则,以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。 | Audit、Deny、Disabled | 2.1.0 |
| Azure 密钥保管库应启用防火墙 | 启用密钥保管库防火墙,以便默认情况下,任何公共 IP 都无法访问密钥保管库。 (可选)可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息:https://docs.microsoft.com/azure/key-vault/general/network-security | Audit、Deny、Disabled | 3.2.1 |
| Azure SignalR 服务应禁用公用网络访问 | 若要提高 Azure SignalR 服务资源的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/asrs/networkacls 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | Audit、Deny、Disabled | 1.1.0 |
| Azure 应用程序网关上的 Azure Web 应用程序防火墙应启用请求正文检查 | 确保与 Azure 应用程序网关关联的 Web 应用程序防火墙已启用请求正文检查。 这样,WAF 就能检查 HTTP 正文中可能无法在 HTTP 标头、Cookie 或 URI 中评估的属性。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Front Door 上的 Azure Web 应用程序防火墙应启用请求正文检查 | 确保与 Azure Front Door 关联的 Web 应用程序防火墙已启用请求正文检查。 这样,WAF 就能检查 HTTP 正文中可能无法在 HTTP 标头、Cookie 或 URI 中评估的属性。 | Audit、Deny、Disabled | 1.0.0 |
| 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 1.0.2 |
| 配置密钥保管库以启用防火墙 | 启用密钥保管库防火墙,以便默认情况下,任何公共 IP 都无法访问密钥保管库。 然后,可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息:https://docs.microsoft.com/azure/key-vault/general/network-security | 修改,已禁用 | 1.1.1 |
| 将存储帐户配置为禁用公用网络访问 | 若要提高存储帐户的安全性,请确保它不会暴露到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/storageaccountpublicnetworkaccess 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | 修改,已禁用 | 1.0.1 |
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 定义和记录政府监督 | CMA_C1587 - 定义和记录政府监督 | 手动、已禁用 | 1.1.0 |
| 启用速率限制规则来防范 Azure Front Door WAF 上的 DDoS 攻击 | Azure Front Door 的 Azure Web 应用程序防火墙 (WAF) 速率限制规则控制在速率限制期间允许从特定客户端 IP 地址发送到应用程序的请求数。 | Audit、Deny、Disabled | 1.0.0 |
| 制定电子签名和证书要求 | CMA_0271 - 制定电子签名和证书要求 | 手动、已禁用 | 1.1.0 |
| 建立防火墙和路由器配置标准 | CMA_0272 - 建立防火墙和路由器配置标准 | 手动、已禁用 | 1.1.0 |
| 为持卡人数据环境建立网络分段 | CMA_0273 - 为持卡人数据环境建立网络分段 | 手动、已禁用 | 1.1.0 |
| 标识和管理下游信息交换 | CMA_0298 - 标识和管理下游信息交换 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 应删除 Azure Synapse 工作区上的 IP 防火墙规则 | 删除所有 IP 防火墙规则可确保只能从专用终结点访问 Azure Synapse 工作区,从而提高安全性。 此配置会对创建允许公用网络访问工作区的防火墙规则进行审核。 | Audit、Disabled | 1.0.0 |
| 应禁用虚拟机上的 IP 转发 | 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应关闭虚拟机上的管理端口 | 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 | AuditIfNotExists、Disabled | 3.0.0 |
| MariaDB 服务器应使用虚拟网络服务终结点 | 基于虚拟网络的防火墙规则用于支持从特定子网到 Azure Database for MariaDB 的流量,同时确保流量停留在 Azure 边界内。 此策略提供了一种方法来审核 Azure Database for MariaDB 是否正在使用虚拟网络服务终结点。 | AuditIfNotExists、Disabled | 1.0.2 |
| 将 WAF 从 WAF 配置迁移到应用程序网关上的 WAF 策略 | 如果你有 WAF 配置而非 WAF 策略,则可能需要移动到新的 WAF 策略。 之后,防火墙策略将支持 WAF 策略设置、托管规则集、排除项和禁用的规则组。 | Audit、Deny、Disabled | 1.0.0 |
| 修改 Azure SignalR 服务资源以禁用公用网络访问 | 若要提高 Azure SignalR 服务资源的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/asrs/networkacls 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | 修改,已禁用 | 1.1.0 |
| MySQL 服务器应使用虚拟网络服务终结点 | 基于虚拟网络的防火墙规则用于支持从特定子网到 Azure Database for MySQL 的流量,同时确保流量停留在 Azure 边界内。 此策略提供了一种方法来审核 Azure Database for MySQL 是否正在使用虚拟网络服务终结点。 | AuditIfNotExists、Disabled | 1.0.2 |
| PostgreSQL 服务器应使用虚拟网络服务终结点 | 基于虚拟网络的防火墙规则用于支持从特定子网到 Azure Database for PostgreSQL 的流量,同时确保流量停留在 Azure 边界内。 此策略提供了一种方法来审核 Azure Database for PostgreSQL 是否正在使用虚拟网络服务终结点。 | AuditIfNotExists、Disabled | 1.0.2 |
| 阻止远程设备的拆分隧道 | CMA_C1632 - 阻止远程设备拆分隧道 | 手动、已禁用 | 1.1.0 |
| 应在 Azure 数据资源管理器上禁用公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure 数据资源管理器,从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 | Audit、Deny、Disabled | 1.0.0 |
| 应禁用 Azure SQL 数据库上的公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure SQL 数据库,从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 | Audit、Deny、Disabled | 1.1.0 |
| 应为 IoT Central 禁用公用网络访问 | 若要提高 IoT Central 的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/iotcentral-restrict-public-access 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | Audit、Deny、Disabled | 1.0.0 |
| 应为 MariaDB 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MariaDB。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 2.0.0 |
| 应为 MySQL 灵活服务器禁用公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure Database for MySQL 灵活服务器,从而提高安全性。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 2.1.0 |
| 应为 MySQL 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MySQL。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 2.0.0 |
| 应为 PostgreSQL 灵活服务器禁用公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure Database for PostgreSQL 灵活服务器,从而提高安全性。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与基于 IP 的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 3.1.0 |
| 应为 PostgreSQL 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for PostgreSQL。 此配置禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 2.0.1 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
| 需要互连安全协议 | CMA_C1151 - 需要互连安全协议 | 手动、已禁用 | 1.1.0 |
| 查看云服务提供商对策略和协议的符合性 | CMA_0469 - 查看云服务提供商对策略和协议的符合性 | 手动、已禁用 | 1.1.0 |
| 通过托管网络访问点路由流量 | CMA_0484 - 通过托管网络访问点路由流量 | 手动、已禁用 | 1.1.0 |
| 将接口固定到外部系统 | CMA_0491 - 保护到外部系统的接口 | 手动、已禁用 | 1.1.0 |
| 存储帐户应禁用公用网络访问 | 若要提高存储帐户的安全性,请确保它不会暴露到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/storageaccountpublicnetworkaccess 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | Audit、Deny、Disabled | 1.0.1 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
| 更新互连安全协议 | CMA_0519 - 更新互连安全协议 | 手动、已禁用 | 1.1.0 |
| 应启用 Azure SQL 数据库上的虚拟网络防火墙规则,以允许来自指定子网的流量 | 基于虚拟网络的防火墙规则用于支持从特定子网到 Azure SQL 数据库的流量,同时确保流量停留在 Azure 边界内。 | AuditIfNotExists | 1.0.0 |
| 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 2.0.0 |
| Web 应用程序防火墙 (WAF) 应对应用程序网关使用指定模式 | 要求对应用程序网关的所有 Web 应用程序防火墙策略启用“检测”或“防护”模式。 | Audit、Deny、Disabled | 1.0.0 |
| Web 应用程序防火墙 (WAF) 应对 Azure Front Door 服务使用指定模式 | 要求对 Azure Front Door 服务的所有 Web 应用程序防火墙策略启用“检测”或“防护”模式。 | Audit、Deny、Disabled | 1.0.0 |
| Windows 计算机应符合“Windows 防火墙属性”的要求 | 对于防火墙状态、连接、规则管理和通知,Windows 计算机应在“Windows 防火墙属性”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
保护通信
ID:ENS v1 mp.com.2 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 对加密模块进行身份验证 | CMA_0021 - 对加密模块进行身份验证 | 手动、已禁用 | 1.1.0 |
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 定义和记录政府监督 | CMA_C1587 - 定义和记录政府监督 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 使用边界保护隔离信息系统 | CMA_C1639 - 使用边界保护隔离信息系统 | 手动、已禁用 | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 强制执行用户唯一性 | CMA_0250 - 强制执行用户唯一性 | 手动、已禁用 | 1.1.0 |
| 制定电子签名和证书要求 | CMA_0271 - 制定电子签名和证书要求 | 手动、已禁用 | 1.1.0 |
| 建立防火墙和路由器配置标准 | CMA_0272 - 建立防火墙和路由器配置标准 | 手动、已禁用 | 1.1.0 |
| 为持卡人数据环境建立网络分段 | CMA_0273 - 为持卡人数据环境建立网络分段 | 手动、已禁用 | 1.1.0 |
| 制定访问资源的条款和条件 | CMA_C1076 - 制定访问资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 制定处理资源的条款和条件 | CMA_C1077 - 制定处理资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 识别非组织用户并对其进行身份验证 | CMA_C1346 - 识别非组织用户并对其进行身份验证 | 手动、已禁用 | 1.1.0 |
| 标识和管理下游信息交换 | CMA_0298 - 标识和管理下游信息交换 | 手动、已禁用 | 1.1.0 |
| 实现容错名称/地址服务 | CMA_0305 - 实现容错名称/地址服务 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 为每项外部服务实现托管接口 | CMA_C1626 - 为每项外部服务实现托管接口 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 使用安全策略筛选器的信息流控制 | CMA_C1029 - 使用安全策略筛选器的信息流控制 | 手动、已禁用 | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 通知用户系统登录或访问 | CMA_0382 - 在系统登录或访问时通知用户 | 手动、已禁用 | 1.1.0 |
| 阻止远程设备的拆分隧道 | CMA_C1632 - 阻止远程设备拆分隧道 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配非对称加密密钥 | CMA_C1646 - 生成、控制和分配非对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 提供安全的名称和地址解析服务 | CMA_0416 - 提供安全的名称和地址解析服务 | 手动、已禁用 | 1.1.0 |
| 重新验证或终止用户会话 | CMA_0421 - 重新验证或终止用户会话 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
| 需要互连安全协议 | CMA_C1151 - 需要互连安全协议 | 手动、已禁用 | 1.1.0 |
| 查看云服务提供商对策略和协议的符合性 | CMA_0469 - 查看云服务提供商对策略和协议的符合性 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
| 通过托管网络访问点路由流量 | CMA_0484 - 通过托管网络访问点路由流量 | 手动、已禁用 | 1.1.0 |
| 将接口固定到外部系统 | CMA_0491 - 保护到外部系统的接口 | 手动、已禁用 | 1.1.0 |
| 单独的用户和信息系统管理功能 | CMA_0493 - 单独的用户和信息系统管理功能 | 手动、已禁用 | 1.1.0 |
| 支持由法律机构颁发的个人验证凭据 | CMA_0507 - 支持由法律机构颁发的个人验证凭据 | 手动、已禁用 | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
| 更新互连安全协议 | CMA_0519 - 更新互连安全协议 | 手动、已禁用 | 1.1.0 |
| 使用专用计算机执行管理任务 | CMA_0527 - 使用专用计算机执行管理任务 | 手动、已禁用 | 1.1.0 |
| 验证外部信息系统的安全控制 | CMA_0541 - 验证外部信息系统的安全控制 | 手动、已禁用 | 1.1.0 |
保护通信
ID:ENS v1 mp.com.3 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [已弃用]:虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 此策略定义不再是实现其意图的建议方法。 建议不要继续使用此策略,而是使用策略 ID 3dc5edcd-002d-444c-b216-e123bbfa37c0 和 ca88aadc-6e2b-416c-9de2-5a0f01d1693f 分配此替带策略。 若要详细了解策略定义弃用,请访问 aka.ms/policydefdeprecation | AuditIfNotExists、Disabled | 2.1.0-deprecated |
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 审核未存储使用可逆加密的密码的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未存储使用可逆加密的密码,则计算机不合规 | AuditIfNotExists、Disabled | 2.0.0 |
| 对加密模块进行身份验证 | CMA_0021 - 对加密模块进行身份验证 | 手动、已禁用 | 1.1.0 |
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 自动化帐户变量应加密 | 存储敏感数据时,请务必启用自动化帐户变量资产加密 | Audit、Deny、Disabled | 1.1.0 |
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 定义和记录政府监督 | CMA_C1587 - 定义和记录政府监督 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 使用边界保护隔离信息系统 | CMA_C1639 - 使用边界保护隔离信息系统 | 手动、已禁用 | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 强制执行用户唯一性 | CMA_0250 - 强制执行用户唯一性 | 手动、已禁用 | 1.1.0 |
| 制定电子签名和证书要求 | CMA_0271 - 制定电子签名和证书要求 | 手动、已禁用 | 1.1.0 |
| 建立防火墙和路由器配置标准 | CMA_0272 - 建立防火墙和路由器配置标准 | 手动、已禁用 | 1.1.0 |
| 为持卡人数据环境建立网络分段 | CMA_0273 - 为持卡人数据环境建立网络分段 | 手动、已禁用 | 1.1.0 |
| 制定访问资源的条款和条件 | CMA_C1076 - 制定访问资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 制定处理资源的条款和条件 | CMA_C1077 - 制定处理资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 识别非组织用户并对其进行身份验证 | CMA_C1346 - 识别非组织用户并对其进行身份验证 | 手动、已禁用 | 1.1.0 |
| 标识和管理下游信息交换 | CMA_0298 - 标识和管理下游信息交换 | 手动、已禁用 | 1.1.0 |
| 实现容错名称/地址服务 | CMA_0305 - 实现容错名称/地址服务 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 为每项外部服务实现托管接口 | CMA_C1626 - 为每项外部服务实现托管接口 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 使用安全策略筛选器的信息流控制 | CMA_C1029 - 使用安全策略筛选器的信息流控制 | 手动、已禁用 | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 通知用户系统登录或访问 | CMA_0382 - 在系统登录或访问时通知用户 | 手动、已禁用 | 1.1.0 |
| 阻止远程设备的拆分隧道 | CMA_C1632 - 阻止远程设备拆分隧道 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配非对称加密密钥 | CMA_C1646 - 生成、控制和分配非对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 提供安全的名称和地址解析服务 | CMA_0416 - 提供安全的名称和地址解析服务 | 手动、已禁用 | 1.1.0 |
| 重新验证或终止用户会话 | CMA_0421 - 重新验证或终止用户会话 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
| 需要互连安全协议 | CMA_C1151 - 需要互连安全协议 | 手动、已禁用 | 1.1.0 |
| 查看云服务提供商对策略和协议的符合性 | CMA_0469 - 查看云服务提供商对策略和协议的符合性 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
| 通过托管网络访问点路由流量 | CMA_0484 - 通过托管网络访问点路由流量 | 手动、已禁用 | 1.1.0 |
| 将接口固定到外部系统 | CMA_0491 - 保护到外部系统的接口 | 手动、已禁用 | 1.1.0 |
| 应启用安全传输到存储帐户 | 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | Audit、Deny、Disabled | 2.0.0 |
| 单独的用户和信息系统管理功能 | CMA_0493 - 单独的用户和信息系统管理功能 | 手动、已禁用 | 1.1.0 |
| Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign | Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别(None、Sign 和 EncryptAndSign)。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名 | Audit、Deny、Disabled | 1.1.0 |
| SQL 数据库应已解决漏洞结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 支持由法律机构颁发的个人验证凭据 | CMA_0507 - 支持由法律机构颁发的个人验证凭据 | 手动、已禁用 | 1.1.0 |
| 应在 SQL 数据库上启用透明数据加密 | 应启用透明数据加密以保护静态数据并满足符合性要求 | AuditIfNotExists、Disabled | 2.0.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
| 更新互连安全协议 | CMA_0519 - 更新互连安全协议 | 手动、已禁用 | 1.1.0 |
| 使用专用计算机执行管理任务 | CMA_0527 - 使用专用计算机执行管理任务 | 手动、已禁用 | 1.1.0 |
| 验证外部信息系统的安全控制 | CMA_0541 - 验证外部信息系统的安全控制 | 手动、已禁用 | 1.1.0 |
通信保护
ID:ENS v1 mp.com.4 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 创建数据清单 | CMA_0096 - 创建数据清单 | 手动、已禁用 | 1.1.0 |
| 定义和记录政府监督 | CMA_C1587 - 定义和记录政府监督 | 手动、已禁用 | 1.1.0 |
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 使用边界保护隔离信息系统 | CMA_C1639 - 使用边界保护隔离信息系统 | 手动、已禁用 | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 制定电子签名和证书要求 | CMA_0271 - 制定电子签名和证书要求 | 手动、已禁用 | 1.1.0 |
| 建立防火墙和路由器配置标准 | CMA_0272 - 建立防火墙和路由器配置标准 | 手动、已禁用 | 1.1.0 |
| 为持卡人数据环境建立网络分段 | CMA_0273 - 为持卡人数据环境建立网络分段 | 手动、已禁用 | 1.1.0 |
| 制定访问资源的条款和条件 | CMA_C1076 - 制定访问资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 制定处理资源的条款和条件 | CMA_C1077 - 制定处理资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 标识和管理下游信息交换 | CMA_0298 - 标识和管理下游信息交换 | 手动、已禁用 | 1.1.0 |
| 实现容错名称/地址服务 | CMA_0305 - 实现容错名称/地址服务 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 为每项外部服务实现托管接口 | CMA_C1626 - 为每项外部服务实现托管接口 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 使用安全策略筛选器的信息流控制 | CMA_C1029 - 使用安全策略筛选器的信息流控制 | 手动、已禁用 | 1.1.0 |
| 维护个人数据的处理记录 | CMA_0353 - 维护个人数据的处理记录 | 手动、已禁用 | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 通知用户系统登录或访问 | CMA_0382 - 在系统登录或访问时通知用户 | 手动、已禁用 | 1.1.0 |
| 阻止远程设备的拆分隧道 | CMA_C1632 - 阻止远程设备拆分隧道 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配非对称加密密钥 | CMA_C1646 - 生成、控制和分配非对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 提供安全的名称和地址解析服务 | CMA_0416 - 提供安全的名称和地址解析服务 | 手动、已禁用 | 1.1.0 |
| 重新验证或终止用户会话 | CMA_0421 - 重新验证或终止用户会话 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
| 需要互连安全协议 | CMA_C1151 - 需要互连安全协议 | 手动、已禁用 | 1.1.0 |
| 查看云服务提供商对策略和协议的符合性 | CMA_0469 - 查看云服务提供商对策略和协议的符合性 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
| 通过托管网络访问点路由流量 | CMA_0484 - 通过托管网络访问点路由流量 | 手动、已禁用 | 1.1.0 |
| 将接口固定到外部系统 | CMA_0491 - 保护到外部系统的接口 | 手动、已禁用 | 1.1.0 |
| 单独的用户和信息系统管理功能 | CMA_0493 - 单独的用户和信息系统管理功能 | 手动、已禁用 | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
| 更新互连安全协议 | CMA_0519 - 更新互连安全协议 | 手动、已禁用 | 1.1.0 |
| 使用专用计算机执行管理任务 | CMA_0527 - 使用专用计算机执行管理任务 | 手动、已禁用 | 1.1.0 |
| 验证外部信息系统的安全控制 | CMA_0541 - 验证外部信息系统的安全控制 | 手动、已禁用 | 1.1.0 |
设备保护
ID:ENS v1 mp.eq.1 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义移动设备要求 | CMA_0122 - 定义移动设备要求 | 手动、已禁用 | 1.1.0 |
| 制定可接受的使用策略和过程 | CMA_0143 - 制定可接受的使用策略和过程 | 手动、已禁用 | 1.1.0 |
| 使用媒体清理机制 | CMA_0208 - 使用媒体清理机制 | 手动、已禁用 | 1.1.0 |
| 强制执行行为和访问协议规则 | CMA_0248 - 强制执行行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 确保在个人返回时不需要安全保护措施 | CMA_C1183 - 确保在个人返回时不需要安全保护措施 | 手动、已禁用 | 1.1.0 |
| 建立和维护资产清单 | CMA_0266 - 建立和维护资产清单 | 手动、已禁用 | 1.1.0 |
| 制定访问资源的条款和条件 | CMA_C1076 - 制定访问资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 制定处理资源的条款和条件 | CMA_C1077 - 制定处理资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
| 管理资产的运输 | CMA_0370 - 管理资产的运输 | 手动、已禁用 | 1.1.0 |
| 不允许信息系统随附于个人 | CMA_C1182 - 不允许信息系统随附于个人 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 验证外部信息系统的安全控制 | CMA_0541 - 验证外部信息系统的安全控制 | 手动、已禁用 | 1.1.0 |
设备保护
ID:ENS v1 mp.eq.2 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 解决编码漏洞 | CMA_0003 - 解决编码漏洞 | 手动、已禁用 | 1.1.0 |
| 对建议的更改自动执行审批请求 | CMA_C1192 - 对建议的更改自动执行审批请求 | 手动、已禁用 | 1.1.0 |
| 自动实现已批准的更改通知 | CMA_C1196 - 自动实现已批准的更改通知 | 手动、已禁用 | 1.1.0 |
| 将记录已实现的更改的流程自动化 | CMA_C1195 - 将记录已实现的更改的流程自动化 | 手动、已禁用 | 1.1.0 |
| 自动执行流程以突出未审阅的更改建议 | CMA_C1193 - 自动执行流程以突出未审阅的更改建议 | 手动、已禁用 | 1.1.0 |
| 自动执行进程以禁止实现未经批准的更改 | CMA_C1194 - 自动执行进程以禁止实现未经批准的更改 | 手动、已禁用 | 1.1.0 |
| 自动执行建议的已记录更改 | CMA_C1191 - 自动执行建议的已记录更改 | 手动、已禁用 | 1.1.0 |
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | 手动、已禁用 | 1.1.0 |
| 制定和记录应用程序安全要求 | CMA_0148 - 制定和记录应用程序安全要求 | 手动、已禁用 | 1.1.0 |
| 制定和维护漏洞管理标准 | CMA_0152 - 制定和维护漏洞管理标准 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 使用媒体清理机制 | CMA_0208 - 使用媒体清理机制 | 手动、已禁用 | 1.1.0 |
| 强制执行安全配置设置 | CMA_0249 - 强制执行安全配置设置 | 手动、已禁用 | 1.1.0 |
| 建立风险管理策略 | CMA_0258 - 建立风险管理策略 | 手动、已禁用 | 1.1.0 |
| 建立安全软件开发计划 | CMA_0259 - 制定安全软件开发计划 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 为开发人员建立配置管理要求 | CMA_0270 - 为开发人员设定配置管理要求 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
| 安装警报系统 | CMA_0338 - 安装警报系统 | 手动、已禁用 | 1.1.0 |
| 管理非本地维护和诊断活动 | CMA_0364 - 管理非本地维护和诊断活动 | 手动、已禁用 | 1.1.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | 手动、已禁用 | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置变更控制执行审核 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
| 要求开发人员记录已批准的更改和潜在影响 | CMA_C1597 - 要求开发人员记录已批准的更改和潜在影响 | 手动、已禁用 | 1.1.0 |
| 要求开发人员仅实现已批准的更改 | CMA_C1596 - 要求开发人员仅实现已批准的更改 | 手动、已禁用 | 1.1.0 |
| 要求开发人员管理更改完整性 | CMA_C1595 - 要求开发人员管理更改完整性 | 手动、已禁用 | 1.1.0 |
设备保护
ID:ENS v1 mp.eq.3 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 访问信息安全事件 | CMA_0013 - 访问信息安全事件 | 手动、已禁用 | 1.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 传达应变计划更改 | CMA_C1249 - 传达应变计划更改 | 手动、已禁用 | 1.1.0 |
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
| 关联审核记录 | CMA_0087 - 关联审核记录 | 手动、已禁用 | 1.1.0 |
| 创建单独的备用和主存储站点 | CMA_C1269 - 创建单独的备用和主存储站点 | 手动、已禁用 | 1.1.0 |
| 定义移动设备要求 | CMA_0122 - 定义移动设备要求 | 手动、已禁用 | 1.1.0 |
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | 手动、已禁用 | 1.1.0 |
| 制定并记录业务连续性和灾难恢复计划 | CMA_0146 - 制定并记录业务连续性和灾难恢复计划 | 手动、已禁用 | 1.1.0 |
| 制定应变计划 | CMA_C1244 - 制定应变计划 | 手动、已禁用 | 1.1.0 |
| 制定应变计划策略和过程 | CMA_0156 - 制定应变计划策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定安全防护措施 | CMA_0161 - 制定安全防护措施 | 手动、已禁用 | 1.1.0 |
| 分配策略和过程 | CMA_0185 - 分配策略和过程 | 手动、已禁用 | 1.1.0 |
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 记录安全和隐私培训活动 | CMA_0198 - 记录安全和隐私培训活动 | 手动、已禁用 | 1.1.0 |
| 采用自动化培训环境 | CMA_C1357 - 采用自动化培训环境 | 手动、已禁用 | 1.1.0 |
| 启用网络保护 | CMA_0238 - 启用网络保护 | 手动、已禁用 | 1.1.0 |
| 确保备用存储站点保护功能与主站点等效 | CMA_C1268 - 确保备用存储站点保护功能与主站点等效 | 手动、已禁用 | 1.1.0 |
| 确保信息系统发生故障时处于已知状态 | CMA_C1662 - 确保信息系统发生故障时处于已知状态 | 手动、已禁用 | 1.1.0 |
| 确保在个人返回时不需要安全保护措施 | CMA_C1183 - 确保在个人返回时不需要安全保护措施 | 手动、已禁用 | 1.1.0 |
| 根除被污染的信息 | CMA_0253 - 根除被污染的信息 | 手动、已禁用 | 1.1.0 |
| 建立备用存储站点以存储和检索备份信息 | CMA_C1267 - 建立备用存储站点以存储和检索备份信息 | 手动、已禁用 | 1.1.0 |
| 建立备用处理站点 | CMA_0262 - 建立备用处理站点 | 手动、已禁用 | 1.1.0 |
| 建立信息安全工作人员开发和改进计划 | CMA_C1752 - 建立信息安全工作人员开发和改进计划 | 手动、已禁用 | 1.1.0 |
| 建立审核评审与报告要求 | CMA_0277 - 建立审核评审与报告的要求 | 手动、已禁用 | 1.1.0 |
| 制定访问资源的条款和条件 | CMA_C1076 - 制定访问资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 制定处理资源的条款和条件 | CMA_C1077 - 制定处理资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 执行操作以响应信息溢写 | CMA_0281 - 执行操作以响应信息溢写 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 确定并缓解备用存储站点的潜在问题 | CMA_C1271 - 识别和缓解备用存储站点的潜在问题 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 实现事件处理 | CMA_0318 - 实现事件处理 | 手动、已禁用 | 1.1.0 |
| 集成审核评审、分析和报告 | CMA_0339 - 集成审核评审、分析和报告 | 手动、已禁用 | 1.1.0 |
| 将云应用安全与 SIEM 集成 | CMA_0340 - 将云应用安全与 SIEM 集成 | 手动、已禁用 | 1.1.0 |
| 维护事件响应计划 | CMA_0352 - 维护事件响应计划 | 手动、已禁用 | 1.1.0 |
| 管理资产的运输 | CMA_0370 - 管理资产的运输 | 手动、已禁用 | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 监视安全和隐私培训完成情况 | CMA_0379 - 监视安全和隐私培训完成情况 | 手动、已禁用 | 1.1.0 |
| 不允许信息系统随附于个人 | CMA_C1182 - 不允许信息系统随附于个人 | 手动、已禁用 | 1.1.0 |
| 通知用户系统登录或访问 | CMA_0382 - 在系统登录或访问时通知用户 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 规划基本业务功能的持续性 | CMA_C1255 - 规划基本业务功能的持续性 | 手动、已禁用 | 1.1.0 |
| 规划恢复基本业务功能 | CMA_C1253 - 规划恢复基本业务功能 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
| 提供应变培训 | CMA_0412 - 提供应变训练 | 手动、已禁用 | 1.1.0 |
| 提供信息溢写培训 | CMA_0413 - 提供信息溢写培训 | 手动、已禁用 | 1.1.0 |
| 定期提供基于角色的安全训练 | CMA_C1095 - 定期提供基于角色的安全训练 | 手动、已禁用 | 1.1.0 |
| 提供定期安全意识培训 | CMA_C1091 - 提供定期安全意识培训 | 手动、已禁用 | 1.1.0 |
| 提供基于角色的安全培训 | CMA_C1094 - 提供基于角色的安全培训 | 手动、已禁用 | 1.1.0 |
| 在提供访问权限之前提供安全培训 | CMA_0418 - 在提供访问权限之前提供安全培训 | 手动、已禁用 | 1.1.0 |
| 为新用户提供安全培训 | CMA_0419 - 为新用户提供安全培训 | 手动、已禁用 | 1.1.0 |
| 报告用户帐户的异常行为 | CMA_C1025 - 报告用户帐户的异常行为 | 手动、已禁用 | 1.1.0 |
| 恢复所有任务和业务功能 | CMA_C1254 - 恢复所有任务和业务功能 | 手动、已禁用 | 1.1.0 |
| 保留培训记录 | CMA_0456 - 保留培训记录 | 手动、已禁用 | 1.1.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 每周检查管理员分配任务 | CMA_0461 - 每周检查管理员分配 | 手动、已禁用 | 1.1.0 |
| 查看审核数据 | CMA_0466 - 查看审核数据 | 手动、已禁用 | 1.1.0 |
| 查看云标识报告概述 | CMA_0468 - 查看云标识报告概述 | 手动、已禁用 | 1.1.0 |
| 查看应变计划 | CMA_C1247 - 查看应变计划 | 手动、已禁用 | 1.1.0 |
| 查看受控文件夹访问事件 | CMA_0471 - 查看受控文件夹访问权限事件 | 手动、已禁用 | 1.1.0 |
| 查看文件和文件夹活动 | CMA_0473 - 查看文件和文件夹活动 | 手动、已禁用 | 1.1.0 |
| 每周评审角色组更改 | CMA_0476 - 每周评审角色组更改 | 手动、已禁用 | 1.1.0 |
| 对人员进行关于披露非公开信息的培训 | CMA_C1084 - 对人员进行关于披露非公开信息的培训 | 手动、已禁用 | 1.1.0 |
| 更新应变计划 | CMA_C1248 - 更新应变计划 | 手动、已禁用 | 1.1.0 |
| 验证外部信息系统的安全控制 | CMA_0541 - 验证外部信息系统的安全控制 | 手动、已禁用 | 1.1.0 |
| 查看并调查受限制的用户 | CMA_0545 - 查看并调查受限制的用户 | 手动、已禁用 | 1.1.0 |
设备保护
ID:ENS v1 mp.eq.4 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 对信息进行分类 | CMA_0052 - 对信息进行分类 | 手动、已禁用 | 1.1.0 |
| 传达应变计划更改 | CMA_C1249 - 传达应变计划更改 | 手动、已禁用 | 1.1.0 |
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
| 创建单独的备用和主存储站点 | CMA_C1269 - 创建单独的备用和主存储站点 | 手动、已禁用 | 1.1.0 |
| 定义移动设备要求 | CMA_0122 - 定义移动设备要求 | 手动、已禁用 | 1.1.0 |
| 制定并记录业务连续性和灾难恢复计划 | CMA_0146 - 制定并记录业务连续性和灾难恢复计划 | 手动、已禁用 | 1.1.0 |
| 制定业务分类方案 | CMA_0155 - 制定业务分类方案 | 手动、已禁用 | 1.1.0 |
| 制定应变计划 | CMA_C1244 - 制定应变计划 | 手动、已禁用 | 1.1.0 |
| 制定应变计划策略和过程 | CMA_0156 - 制定应变计划策略和过程 | 手动、已禁用 | 1.1.0 |
| 分配策略和过程 | CMA_0185 - 分配策略和过程 | 手动、已禁用 | 1.1.0 |
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 确保备用存储站点保护功能与主站点等效 | CMA_C1268 - 确保备用存储站点保护功能与主站点等效 | 手动、已禁用 | 1.1.0 |
| 确保信息系统发生故障时处于已知状态 | CMA_C1662 - 确保信息系统发生故障时处于已知状态 | 手动、已禁用 | 1.1.0 |
| 确保已批准安全分类 | CMA_C1540 - 确保已批准安全分类 | 手动、已禁用 | 1.1.0 |
| 建立备用存储站点以存储和检索备份信息 | CMA_C1267 - 建立备用存储站点以存储和检索备份信息 | 手动、已禁用 | 1.1.0 |
| 建立备用处理站点 | CMA_0262 - 建立备用处理站点 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 确定并缓解备用存储站点的潜在问题 | CMA_C1271 - 识别和缓解备用存储站点的潜在问题 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 通知用户系统登录或访问 | CMA_0382 - 在系统登录或访问时通知用户 | 手动、已禁用 | 1.1.0 |
| 规划基本业务功能的持续性 | CMA_C1255 - 规划基本业务功能的持续性 | 手动、已禁用 | 1.1.0 |
| 规划恢复基本业务功能 | CMA_C1253 - 规划恢复基本业务功能 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 恢复所有任务和业务功能 | CMA_C1254 - 恢复所有任务和业务功能 | 手动、已禁用 | 1.1.0 |
| 查看应变计划 | CMA_C1247 - 查看应变计划 | 手动、已禁用 | 1.1.0 |
| 查看标签活动和分析 | CMA_0474 - 查看标签活动和分析 | 手动、已禁用 | 1.1.0 |
| SQL 数据库应已解决漏洞结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 更新应变计划 | CMA_C1248 - 更新应变计划 | 手动、已禁用 | 1.1.0 |
设施和基础设施保护
ID:ENS v1 mp.if.1 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
| 创建单独的备用和主存储站点 | CMA_C1269 - 创建单独的备用和主存储站点 | 手动、已禁用 | 1.1.0 |
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义管理资产的要求 | CMA_0125 - 定义管理资产的要求 | 手动、已禁用 | 1.1.0 |
| 指定监督未经授权的维护活动的人员 | CMA_C1422 - 指定监督未经授权的维护活动的人员 | 手动、已禁用 | 1.1.0 |
| 确保备用存储站点保护功能与主站点等效 | CMA_C1268 - 确保备用存储站点保护功能与主站点等效 | 手动、已禁用 | 1.1.0 |
| 确保信息系统发生故障时处于已知状态 | CMA_C1662 - 确保信息系统发生故障时处于已知状态 | 手动、已禁用 | 1.1.0 |
| 建立备用存储站点以存储和检索备份信息 | CMA_C1267 - 建立备用存储站点以存储和检索备份信息 | 手动、已禁用 | 1.1.0 |
| 建立备用处理站点 | CMA_0262 - 建立备用处理站点 | 手动、已禁用 | 1.1.0 |
| 建立和维护资产清单 | CMA_0266 - 建立和维护资产清单 | 手动、已禁用 | 1.1.0 |
| 确定并缓解备用存储站点的潜在问题 | CMA_C1271 - 识别和缓解备用存储站点的潜在问题 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
| 安装警报系统 | CMA_0338 - 安装警报系统 | 手动、已禁用 | 1.1.0 |
| 保留授权远程维护人员的清单 | CMA_C1420 - 保留授权远程维护人员的清单 | 手动、已禁用 | 1.1.0 |
| 管理安全监控摄像头系统 | CMA_0354 - 管理安全监控摄像头系统 | 手动、已禁用 | 1.1.0 |
| 管理维护人员 | CMA_C1421 - 管理维护人员 | 手动、已禁用 | 1.1.0 |
| 管理数据的输入、输出、处理和存储 | CMA_0369 - 管理数据的输入、输出、处理和存储 | 手动、已禁用 | 1.1.0 |
| 管理资产的运输 | CMA_0370 - 管理资产的运输 | 手动、已禁用 | 1.1.0 |
| 规划基本业务功能的持续性 | CMA_C1255 - 规划基本业务功能的持续性 | 手动、已禁用 | 1.1.0 |
| 查看和更新应变规划策略和过程 | CMA_C1243 - 查看和更新应变规划策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新物理与环境策略和过程 | CMA_C1446 - 查看和更新物理与环境策略和过程 | 手动、已禁用 | 1.1.0 |
设施和基础设施保护
ID:ENS v1 mp.if.2 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 指定监督未经授权的维护活动的人员 | CMA_C1422 - 指定监督未经授权的维护活动的人员 | 手动、已禁用 | 1.1.0 |
| 建立和维护资产清单 | CMA_0266 - 建立和维护资产清单 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
| 安装警报系统 | CMA_0338 - 安装警报系统 | 手动、已禁用 | 1.1.0 |
| 保留授权远程维护人员的清单 | CMA_C1420 - 保留授权远程维护人员的清单 | 手动、已禁用 | 1.1.0 |
| 管理安全监控摄像头系统 | CMA_0354 - 管理安全监控摄像头系统 | 手动、已禁用 | 1.1.0 |
| 管理维护人员 | CMA_C1421 - 管理维护人员 | 手动、已禁用 | 1.1.0 |
| 管理数据的输入、输出、处理和存储 | CMA_0369 - 管理数据的输入、输出、处理和存储 | 手动、已禁用 | 1.1.0 |
| 查看和更新应变规划策略和过程 | CMA_C1243 - 查看和更新应变规划策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新物理与环境策略和过程 | CMA_C1446 - 查看和更新物理与环境策略和过程 | 手动、已禁用 | 1.1.0 |
设施和基础设施保护
ID:ENS v1 mp.if.3 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
| 创建单独的备用和主存储站点 | CMA_C1269 - 创建单独的备用和主存储站点 | 手动、已禁用 | 1.1.0 |
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 采用自动紧急照明 | CMA_0209 - 采用自动紧急照明 | 手动、已禁用 | 1.1.0 |
| 确保备用存储站点保护功能与主站点等效 | CMA_C1268 - 确保备用存储站点保护功能与主站点等效 | 手动、已禁用 | 1.1.0 |
| 确保信息系统发生故障时处于已知状态 | CMA_C1662 - 确保信息系统发生故障时处于已知状态 | 手动、已禁用 | 1.1.0 |
| 建立备用存储站点以存储和检索备份信息 | CMA_C1267 - 建立备用存储站点以存储和检索备份信息 | 手动、已禁用 | 1.1.0 |
| 建立备用处理站点 | CMA_0262 - 建立备用处理站点 | 手动、已禁用 | 1.1.0 |
| 建立和维护资产清单 | CMA_0266 - 建立和维护资产清单 | 手动、已禁用 | 1.1.0 |
| 确立对 Internet 服务提供商的要求 | CMA_0278 - 确立对 Internet 服务提供商的要求 | 手动、已禁用 | 1.1.0 |
| 确定并缓解备用存储站点的潜在问题 | CMA_C1271 - 识别和缓解备用存储站点的潜在问题 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
| 安装警报系统 | CMA_0338 - 安装警报系统 | 手动、已禁用 | 1.1.0 |
| 管理数据的输入、输出、处理和存储 | CMA_0369 - 管理数据的输入、输出、处理和存储 | 手动、已禁用 | 1.1.0 |
| 规划基本业务功能的持续性 | CMA_C1255 - 规划基本业务功能的持续性 | 手动、已禁用 | 1.1.0 |
| 查看和更新应变规划策略和过程 | CMA_C1243 - 查看和更新应变规划策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新物理与环境策略和过程 | CMA_C1446 - 查看和更新物理与环境策略和过程 | 手动、已禁用 | 1.1.0 |
设施和基础设施保护
ID:ENS v1 mp.if.4 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 采用自动紧急照明 | CMA_0209 - 采用自动紧急照明 | 手动、已禁用 | 1.1.0 |
| 确立对 Internet 服务提供商的要求 | CMA_0278 - 确立对 Internet 服务提供商的要求 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
| 启动应变计划测试纠正措施 | CMA_C1263 - 启动应变计划测试纠正措施 | 手动、已禁用 | 1.1.0 |
| 管理数据的输入、输出、处理和存储 | CMA_0369 - 管理数据的输入、输出、处理和存储 | 手动、已禁用 | 1.1.0 |
| 查看应变计划测试的结果 | CMA_C1262 - 查看应变计划测试的结果 | 手动、已禁用 | 1.1.0 |
| 测试业务连续性和灾难恢复计划 | CMA_0509 - 测试业务连续性和灾难恢复计划 | 手动、已禁用 | 1.1.0 |
设施和基础设施保护
ID:ENS v1 mp.if. 5所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
| 创建单独的备用和主存储站点 | CMA_C1269 - 创建单独的备用和主存储站点 | 手动、已禁用 | 1.1.0 |
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 确保备用存储站点保护功能与主站点等效 | CMA_C1268 - 确保备用存储站点保护功能与主站点等效 | 手动、已禁用 | 1.1.0 |
| 确保信息系统发生故障时处于已知状态 | CMA_C1662 - 确保信息系统发生故障时处于已知状态 | 手动、已禁用 | 1.1.0 |
| 建立备用存储站点以存储和检索备份信息 | CMA_C1267 - 建立备用存储站点以存储和检索备份信息 | 手动、已禁用 | 1.1.0 |
| 建立备用处理站点 | CMA_0262 - 建立备用处理站点 | 手动、已禁用 | 1.1.0 |
| 建立和维护资产清单 | CMA_0266 - 建立和维护资产清单 | 手动、已禁用 | 1.1.0 |
| 确定并缓解备用存储站点的潜在问题 | CMA_C1271 - 识别和缓解备用存储站点的潜在问题 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
| 安装警报系统 | CMA_0338 - 安装警报系统 | 手动、已禁用 | 1.1.0 |
| 规划基本业务功能的持续性 | CMA_C1255 - 规划基本业务功能的持续性 | 手动、已禁用 | 1.1.0 |
| 查看和更新应变规划策略和过程 | CMA_C1243 - 查看和更新应变规划策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新物理与环境策略和过程 | CMA_C1446 - 查看和更新物理与环境策略和过程 | 手动、已禁用 | 1.1.0 |
设施和基础设施保护
ID:ENS v1 mp.if.6 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
| 创建单独的备用和主存储站点 | CMA_C1269 - 创建单独的备用和主存储站点 | 手动、已禁用 | 1.1.0 |
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 确保备用存储站点保护功能与主站点等效 | CMA_C1268 - 确保备用存储站点保护功能与主站点等效 | 手动、已禁用 | 1.1.0 |
| 确保信息系统发生故障时处于已知状态 | CMA_C1662 - 确保信息系统发生故障时处于已知状态 | 手动、已禁用 | 1.1.0 |
| 建立备用存储站点以存储和检索备份信息 | CMA_C1267 - 建立备用存储站点以存储和检索备份信息 | 手动、已禁用 | 1.1.0 |
| 建立备用处理站点 | CMA_0262 - 建立备用处理站点 | 手动、已禁用 | 1.1.0 |
| 建立和维护资产清单 | CMA_0266 - 建立和维护资产清单 | 手动、已禁用 | 1.1.0 |
| 确定并缓解备用存储站点的潜在问题 | CMA_C1271 - 识别和缓解备用存储站点的潜在问题 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
| 安装警报系统 | CMA_0338 - 安装警报系统 | 手动、已禁用 | 1.1.0 |
| 规划基本业务功能的持续性 | CMA_C1255 - 规划基本业务功能的持续性 | 手动、已禁用 | 1.1.0 |
| 查看和更新应变规划策略和过程 | CMA_C1243 - 查看和更新应变规划策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新物理与环境策略和过程 | CMA_C1446 - 查看和更新物理与环境策略和过程 | 手动、已禁用 | 1.1.0 |
设施和基础设施保护
ID:ENS v1 mp.if.7 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 指定监督未经授权的维护活动的人员 | CMA_C1422 - 指定监督未经授权的维护活动的人员 | 手动、已禁用 | 1.1.0 |
| 建立和维护资产清单 | CMA_0266 - 建立和维护资产清单 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
| 保留授权远程维护人员的清单 | CMA_C1420 - 保留授权远程维护人员的清单 | 手动、已禁用 | 1.1.0 |
| 管理维护人员 | CMA_C1421 - 管理维护人员 | 手动、已禁用 | 1.1.0 |
| 管理数据的输入、输出、处理和存储 | CMA_0369 - 管理数据的输入、输出、处理和存储 | 手动、已禁用 | 1.1.0 |
| 查看和更新应变规划策略和过程 | CMA_C1243 - 查看和更新应变规划策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新物理与环境策略和过程 | CMA_C1446 - 查看和更新物理与环境策略和过程 | 手动、已禁用 | 1.1.0 |
信息保护
ID:ENS v1 mp.info.1 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 制定访问控制策略和过程 | CMA_0144 - 制定访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定并建立系统安全计划 | CMA_0151 - 制定并建立系统安全计划 | 手动、已禁用 | 1.1.0 |
| 制定审核和责任策略和过程 | CMA_0154- 制定审核和责任策略及过程 | 手动、已禁用 | 1.1.0 |
| 制定信息安全策略和过程 | CMA_0158 - 制定信息安全策略和过程 | 手动、已禁用 | 1.1.0 |
| 记录安全和隐私培训活动 | CMA_0198 - 记录安全和隐私培训活动 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 制定隐私计划 | CMA_0257 - 制定隐私计划 | 手动、已禁用 | 1.1.0 |
| 建立风险管理策略 | CMA_0258 - 建立风险管理策略 | 手动、已禁用 | 1.1.0 |
| 建立信息安全计划 | CMA_0263 - 制定信息安全计划 | 手动、已禁用 | 1.1.0 |
| 制定连接设备制造的安全要求 | CMA_0279 - 制定连接设备制造的安全要求 | 手动、已禁用 | 1.1.0 |
| 治理策略和过程 | CMA_0292 - 治理策略和过程 | 手动、已禁用 | 1.1.0 |
| 实现信息系统的安全工程原则 | CMA_0325 - 实现信息系统的安全工程原则 | 手动、已禁用 | 1.1.0 |
| 管理合规性活动 | CMA_0358 - 管理合规性活动 | 手动、已禁用 | 1.1.0 |
| 管理数据的输入、输出、处理和存储 | CMA_0369 - 管理数据的输入、输出、处理和存储 | 手动、已禁用 | 1.1.0 |
| 保护信息安全计划 | CMA_C1732 - 保护信息安全计划 | 手动、已禁用 | 1.1.0 |
| 查看访问控制策略和过程 | CMA_0457 - 查看访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新配置管理策略和过程 | CMA_C1175 - 查看和更新配置管理策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新应变规划策略和过程 | CMA_C1243 - 查看和更新应变规划策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看并更新事件响应策略和过程 | CMA_C1352 - 查看并更新事件响应策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新信息完整性策略及过程 | CMA_C1667 - 查看和更新信息完整性策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新媒体保护策略及过程 | CMA_C1427 - 查看和更新媒体保护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新人员安全策略及过程 | CMA_C1507 - 查看和更新人员安全策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新物理与环境策略和过程 | CMA_C1446 - 查看和更新物理与环境策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新规划策略及过程 | CMA_C1491 - 查看和更新规划策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新风险评估策略及过程 | CMA_C1537 - 查看和更新风险评估策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和通信保护策略及过程 | CMA_C1616 - 查看和更新系统和通信保护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和服务采购政策和过程 | CMA_C1560 - 查看和更新系统和服务采购政策和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统维护策略及过程 | CMA_C1395 - 查看和更新系统维护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看标签活动和分析 | CMA_0474 - 查看标签活动和分析 | 手动、已禁用 | 1.1.0 |
| 查看安全评估和授权策略及过程 | CMA_C1143 - 查看安全评估和授权策略及过程 | 手动、已禁用 | 1.1.0 |
| 更新信息安全策略 | CMA_0518 - 更新信息安全策略 | 手动、已禁用 | 1.1.0 |
| 更新隐私计划、策略和过程 | CMA_C1807 - 更新隐私计划、策略和过程 | 手动、已禁用 | 1.1.0 |
信息保护
ID:ENS v1 mp.info.2 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 对信息进行分类 | CMA_0052 - 对信息进行分类 | 手动、已禁用 | 1.1.0 |
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 创建数据清单 | CMA_0096 - 创建数据清单 | 手动、已禁用 | 1.1.0 |
| 定义移动设备要求 | CMA_0122 - 定义移动设备要求 | 手动、已禁用 | 1.1.0 |
| 制定可接受的使用策略和过程 | CMA_0143 - 制定可接受的使用策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定访问控制策略和过程 | CMA_0144 - 制定访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定业务分类方案 | CMA_0155 - 制定业务分类方案 | 手动、已禁用 | 1.1.0 |
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 强制执行行为和访问协议规则 | CMA_0248 - 强制执行行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 确保已批准安全分类 | CMA_C1540 - 确保已批准安全分类 | 手动、已禁用 | 1.1.0 |
| 建立防火墙和路由器配置标准 | CMA_0272 - 建立防火墙和路由器配置标准 | 手动、已禁用 | 1.1.0 |
| 为持卡人数据环境建立网络分段 | CMA_0273 - 为持卡人数据环境建立网络分段 | 手动、已禁用 | 1.1.0 |
| 制定访问资源的条款和条件 | CMA_C1076 - 制定访问资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 制定处理资源的条款和条件 | CMA_C1077 - 制定处理资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 显式通知协作型计算设备的使用 | CMA_C1649 - 显式通知协作型计算设备的使用 | 手动、已禁用 | 1.1.1 |
| 治理策略和过程 | CMA_0292 - 治理策略和过程 | 手动、已禁用 | 1.1.0 |
| 标识和管理下游信息交换 | CMA_0298 - 标识和管理下游信息交换 | 手动、已禁用 | 1.1.0 |
| 实现容错名称/地址服务 | CMA_0305 - 实现容错名称/地址服务 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 为每项外部服务实现托管接口 | CMA_C1626 - 为每项外部服务实现托管接口 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 使用安全策略筛选器的信息流控制 | CMA_C1029 - 使用安全策略筛选器的信息流控制 | 手动、已禁用 | 1.1.0 |
| 维护个人数据的处理记录 | CMA_0353 - 维护个人数据的处理记录 | 手动、已禁用 | 1.1.0 |
| 管理数据的输入、输出、处理和存储 | CMA_0369 - 管理数据的输入、输出、处理和存储 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配非对称加密密钥 | CMA_C1646 - 生成、控制和分配非对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 禁止远程激活协作型计算设备 | CMA_C1648 - 禁止远程激活协作型计算设备 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 提供安全的名称和地址解析服务 | CMA_0416 - 提供安全的名称和地址解析服务 | 手动、已禁用 | 1.1.0 |
| 需要互连安全协议 | CMA_C1151 - 需要互连安全协议 | 手动、已禁用 | 1.1.0 |
| 查看访问控制策略和过程 | CMA_0457 - 查看访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看标签活动和分析 | CMA_0474 - 查看标签活动和分析 | 手动、已禁用 | 1.1.0 |
| 将接口固定到外部系统 | CMA_0491 - 保护到外部系统的接口 | 手动、已禁用 | 1.1.0 |
| 更新互连安全协议 | CMA_0519 - 更新互连安全协议 | 手动、已禁用 | 1.1.0 |
| 验证外部信息系统的安全控制 | CMA_0541 - 验证外部信息系统的安全控制 | 手动、已禁用 | 1.1.0 |
信息保护
ID:ENS v1 mp.info.3 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 对加密模块进行身份验证 | CMA_0021 - 对加密模块进行身份验证 | 手动、已禁用 | 1.1.0 |
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 记录并分发隐私策略 | CMA_0188 - 记录并分发隐私策略 | 手动、已禁用 | 1.1.0 |
| 使用边界保护隔离信息系统 | CMA_C1639 - 使用边界保护隔离信息系统 | 手动、已禁用 | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 强制执行用户唯一性 | CMA_0250 - 强制执行用户唯一性 | 手动、已禁用 | 1.1.0 |
| 建立防火墙和路由器配置标准 | CMA_0272 - 建立防火墙和路由器配置标准 | 手动、已禁用 | 1.1.0 |
| 为持卡人数据环境建立网络分段 | CMA_0273 - 为持卡人数据环境建立网络分段 | 手动、已禁用 | 1.1.0 |
| 识别非组织用户并对其进行身份验证 | CMA_C1346 - 识别非组织用户并对其进行身份验证 | 手动、已禁用 | 1.1.0 |
| 标识和管理下游信息交换 | CMA_0298 - 标识和管理下游信息交换 | 手动、已禁用 | 1.1.0 |
| 实现容错名称/地址服务 | CMA_0305 - 实现容错名称/地址服务 | 手动、已禁用 | 1.1.0 |
| 实施隐私声明传递方法 | CMA_0324 - 实现隐私通知交付方法 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 使用安全策略筛选器的信息流控制 | CMA_C1029 - 使用安全策略筛选器的信息流控制 | 手动、已禁用 | 1.1.0 |
| 阻止远程设备的拆分隧道 | CMA_C1632 - 阻止远程设备拆分隧道 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配非对称加密密钥 | CMA_C1646 - 生成、控制和分配非对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
| 提供隐私通知 | CMA_0414 - 提供隐私通知 | 手动、已禁用 | 1.1.0 |
| 提供安全的名称和地址解析服务 | CMA_0416 - 提供安全的名称和地址解析服务 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 限制通信 | CMA_0449 - 限制通信 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和通信保护策略及过程 | CMA_C1616 - 查看和更新系统和通信保护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
| 将接口固定到外部系统 | CMA_0491 - 保护到外部系统的接口 | 手动、已禁用 | 1.1.0 |
| 应启用安全传输到存储帐户 | 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | Audit、Deny、Disabled | 2.0.0 |
| 单独的用户和信息系统管理功能 | CMA_0493 - 单独的用户和信息系统管理功能 | 手动、已禁用 | 1.1.0 |
| Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign | Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别(None、Sign 和 EncryptAndSign)。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名 | Audit、Deny、Disabled | 1.1.0 |
| 支持由法律机构颁发的个人验证凭据 | CMA_0507 - 支持由法律机构颁发的个人验证凭据 | 手动、已禁用 | 1.1.0 |
| 使用专用计算机执行管理任务 | CMA_0527 - 使用专用计算机执行管理任务 | 手动、已禁用 | 1.1.0 |
信息保护
ID:ENS v1 mp.info.4 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核所选资源类型的诊断设置。 | 审核所选资源类型的诊断设置。 请确保仅选择支持诊断设置的资源类型。 | AuditIfNotExists | 2.0.1 |
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 将审核记录编入系统范围的审核 | CMA_C1140 - 将审核记录编入系统范围的审核 | 手动、已禁用 | 1.1.0 |
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 应为列出的虚拟机映像启用 Dependency Agent | 如果虚拟机映像不在定义的列表中,并且未安装该代理,则会将虚拟机报告为不合规。 OS 映像列表会随着支持的更新而不断更新。 | AuditIfNotExists、Disabled | 2.0.0 |
| 使用边界保护隔离信息系统 | CMA_C1639 - 使用边界保护隔离信息系统 | 手动、已禁用 | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 强制执行用户唯一性 | CMA_0250 - 强制执行用户唯一性 | 手动、已禁用 | 1.1.0 |
| 建立防火墙和路由器配置标准 | CMA_0272 - 建立防火墙和路由器配置标准 | 手动、已禁用 | 1.1.0 |
| 为持卡人数据环境建立网络分段 | CMA_0273 - 为持卡人数据环境建立网络分段 | 手动、已禁用 | 1.1.0 |
| 识别非组织用户并对其进行身份验证 | CMA_C1346 - 识别非组织用户并对其进行身份验证 | 手动、已禁用 | 1.1.0 |
| 标识和管理下游信息交换 | CMA_0298 - 标识和管理下游信息交换 | 手动、已禁用 | 1.1.0 |
| 实现容错名称/地址服务 | CMA_0305 - 实现容错名称/地址服务 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 使用安全策略筛选器的信息流控制 | CMA_C1029 - 使用安全策略筛选器的信息流控制 | 手动、已禁用 | 1.1.0 |
| 阻止远程设备的拆分隧道 | CMA_C1632 - 阻止远程设备拆分隧道 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配非对称加密密钥 | CMA_C1646 - 生成、控制和分配非对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
| 提供安全的名称和地址解析服务 | CMA_0416 - 提供安全的名称和地址解析服务 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
| 将接口固定到外部系统 | CMA_0491 - 保护到外部系统的接口 | 手动、已禁用 | 1.1.0 |
| 单独的用户和信息系统管理功能 | CMA_0493 - 单独的用户和信息系统管理功能 | 手动、已禁用 | 1.1.0 |
| 支持由法律机构颁发的个人验证凭据 | CMA_0507 - 支持由法律机构颁发的个人验证凭据 | 手动、已禁用 | 1.1.0 |
| 使用专用计算机执行管理任务 | CMA_0527 - 使用专用计算机执行管理任务 | 手动、已禁用 | 1.1.0 |
| 对审核记录使用系统时钟 | CMA_0535 - 对审核记录使用系统时钟 | 手动、已禁用 | 1.1.0 |
信息保护
ID:ENS v1 mp.info.5 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 管理数据的输入、输出、处理和存储 | CMA_0369 - 管理数据的输入、输出、处理和存储 | 手动、已禁用 | 1.1.0 |
| 查看标签活动和分析 | CMA_0474 - 查看标签活动和分析 | 手动、已禁用 | 1.1.0 |
信息保护
ID:ENS v1 mp.info.6 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:将具有给定标记的 Blob 存储帐户配置为备份到同一区域中的现有备份保管库 | 将包含给定标记的所有存储帐户上的 Blob 强制备份到中心备份保管库。 这有助于大规模管理包含在多个存储帐户中的 Blob 的备份。 如需更多详细信息,请参阅 https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| [预览]:为不包含给定标记的所有存储帐户配置 Blob 备份到同一区域中的备份保管库 | 对不包含给定标记的所有存储帐户上的 Blob 强制备份到中心备份保管库。 这有助于大规模管理包含在多个存储帐户中的 Blob 的备份。 如需更多详细信息,请参阅 https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| 遵守定义的保持期 | CMA_0004 - 遵守定义的保持期 | 手动、已禁用 | 1.1.0 |
| 应为虚拟机启用 Azure 备份 | 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 | AuditIfNotExists、Disabled | 3.0.0 |
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 传达应变计划更改 | CMA_C1249 - 传达应变计划更改 | 手动、已禁用 | 1.1.0 |
| 执行信息系统文档的备份 | CMA_C1289 - 执行信息系统文档备份 | 手动、已禁用 | 1.1.0 |
| 配置带给定标记的虚拟机上的备份并备份到包含默认策略的新恢复服务保管库 | 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMAppCentricBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 配置将不带给定标记的虚拟机备份到同一位置中的现有恢复服务保管库 | 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMCentralBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 控制维护和修复活动 | CMA_0080 - 控制维护和修复活动 | 手动、已禁用 | 1.1.0 |
| 控制便携式存储设备的使用 | CMA_0083 - 控制便携式存储设备的使用 | 手动、已禁用 | 1.1.0 |
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
| 创建单独的备用和主存储站点 | CMA_C1269 - 创建单独的备用和主存储站点 | 手动、已禁用 | 1.1.0 |
| 定义管理资产的要求 | CMA_0125 - 定义管理资产的要求 | 手动、已禁用 | 1.1.0 |
| 制定访问控制策略和过程 | CMA_0144 - 制定访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定并记录业务连续性和灾难恢复计划 | CMA_0146 - 制定并记录业务连续性和灾难恢复计划 | 手动、已禁用 | 1.1.0 |
| 制定并建立系统安全计划 | CMA_0151 - 制定并建立系统安全计划 | 手动、已禁用 | 1.1.0 |
| 制定审核和责任策略和过程 | CMA_0154- 制定审核和责任策略及过程 | 手动、已禁用 | 1.1.0 |
| 制定应变计划 | CMA_C1244 - 制定应变计划 | 手动、已禁用 | 1.1.0 |
| 制定应变计划策略和过程 | CMA_0156 - 制定应变计划策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定信息安全策略和过程 | CMA_0158 - 制定信息安全策略和过程 | 手动、已禁用 | 1.1.0 |
| 分配策略和过程 | CMA_0185 - 分配策略和过程 | 手动、已禁用 | 1.1.0 |
| 记录安全和隐私培训活动 | CMA_0198 - 记录安全和隐私培训活动 | 手动、已禁用 | 1.1.0 |
| 使用媒体清理机制 | CMA_0208 - 使用媒体清理机制 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 确保信息系统发生故障时处于已知状态 | CMA_C1662 - 确保信息系统发生故障时处于已知状态 | 手动、已禁用 | 1.1.0 |
| 制定隐私计划 | CMA_0257 - 制定隐私计划 | 手动、已禁用 | 1.1.0 |
| 建立风险管理策略 | CMA_0258 - 建立风险管理策略 | 手动、已禁用 | 1.1.0 |
| 建立备用处理站点 | CMA_0262 - 建立备用处理站点 | 手动、已禁用 | 1.1.0 |
| 建立信息安全计划 | CMA_0263 - 制定信息安全计划 | 手动、已禁用 | 1.1.0 |
| 建立备份策略和过程 | CMA_0268 - 制定备份策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定连接设备制造的安全要求 | CMA_0279 - 制定连接设备制造的安全要求 | 手动、已禁用 | 1.1.0 |
| 治理策略和过程 | CMA_0292 - 治理策略和过程 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 实现信息系统的安全工程原则 | CMA_0325 - 实现信息系统的安全工程原则 | 手动、已禁用 | 1.1.0 |
| 实现基于事务的恢复 | CMA_C1296 - 实现基于事务的恢复 | 手动、已禁用 | 1.1.0 |
| 管理非本地维护和诊断活动 | CMA_0364 - 管理非本地维护和诊断活动 | 手动、已禁用 | 1.1.0 |
| 管理资产的运输 | CMA_0370 - 管理资产的运输 | 手动、已禁用 | 1.1.0 |
| 执行处置评审 | CMA_0391 - 执行处置评审 | 手动、已禁用 | 1.1.0 |
| 规划基本业务功能的持续性 | CMA_C1255 - 规划基本业务功能的持续性 | 手动、已禁用 | 1.1.0 |
| 规划恢复基本业务功能 | CMA_C1253 - 规划恢复基本业务功能 | 手动、已禁用 | 1.1.0 |
| 保护信息安全计划 | CMA_C1732 - 保护信息安全计划 | 手动、已禁用 | 1.1.0 |
| 限制媒体使用 | CMA_0450 - 限制媒体使用 | 手动、已禁用 | 1.1.0 |
| 恢复所有任务和业务功能 | CMA_C1254 - 恢复所有任务和业务功能 | 手动、已禁用 | 1.1.0 |
| 查看访问控制策略和过程 | CMA_0457 - 查看访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新配置管理策略和过程 | CMA_C1175 - 查看和更新配置管理策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新应变规划策略和过程 | CMA_C1243 - 查看和更新应变规划策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看并更新事件响应策略和过程 | CMA_C1352 - 查看并更新事件响应策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新信息完整性策略及过程 | CMA_C1667 - 查看和更新信息完整性策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新媒体保护策略及过程 | CMA_C1427 - 查看和更新媒体保护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新人员安全策略及过程 | CMA_C1507 - 查看和更新人员安全策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新物理与环境策略和过程 | CMA_C1446 - 查看和更新物理与环境策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新规划策略及过程 | CMA_C1491 - 查看和更新规划策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新风险评估策略及过程 | CMA_C1537 - 查看和更新风险评估策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和通信保护策略及过程 | CMA_C1616 - 查看和更新系统和通信保护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和服务采购政策和过程 | CMA_C1560 - 查看和更新系统和服务采购政策和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统维护策略及过程 | CMA_C1395 - 查看和更新系统维护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看应变计划 | CMA_C1247 - 查看应变计划 | 手动、已禁用 | 1.1.0 |
| 查看安全评估和授权策略及过程 | CMA_C1143 - 查看安全评估和授权策略及过程 | 手动、已禁用 | 1.1.0 |
| 单独存储备份信息 | CMA_C1293 - 单独存储备份信息 | 手动、已禁用 | 1.1.0 |
| 将备份信息传输到备用存储站点 | CMA_C1294 - 将备份信息传输到备用存储站点 | 手动、已禁用 | 1.1.0 |
| 更新应变计划 | CMA_C1248 - 更新应变计划 | 手动、已禁用 | 1.1.0 |
| 更新信息安全策略 | CMA_0518 - 更新信息安全策略 | 手动、已禁用 | 1.1.0 |
| 更新隐私计划、策略和过程 | CMA_C1807 - 更新隐私计划、策略和过程 | 手动、已禁用 | 1.1.0 |
| 在处理结束时验证个人数据是否已删除 | CMA_0540 - 在处理结束时验证个人数据是否已删除 | 手动、已禁用 | 1.1.0 |
员工管理
ID:ENS v1 mp.per.1 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 清除有权访问机密信息的人员 | CMA_0054 - 清除有权访问机密信息的人员 | 手动、已禁用 | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 制定可接受的使用策略和过程 | CMA_0143 - 制定可接受的使用策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定安全防护措施 | CMA_0161 - 制定安全防护措施 | 手动、已禁用 | 1.1.0 |
| 记录收购合同验收条件 | CMA_0187 - 记录收购合同验收条件 | 手动、已禁用 | 1.1.0 |
| 记录组织访问协议 | CMA_0192 - 记录组织访问协议 | 手动、已禁用 | 1.1.0 |
| 记录人员接受隐私要求 | CMA_0193 - 记录人员对隐私要求的接受情况 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的个人数据保护 | CMA_0194 - 记录收购合同中的个人数据保护 | 手动、已禁用 | 1.1.0 |
| 收购合同中安全信息的文档保护 | CMA_0195 - 记录收购合同中安全信息的保护 | 手动、已禁用 | 1.1.0 |
| 记录在合同中使用共享数据的要求 | CMA_0197 - 记录在合同中使用共享数据的要求 | 手动、已禁用 | 1.1.0 |
| 记录安全和隐私培训活动 | CMA_0198 - 记录安全和隐私培训活动 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全保证要求 | CMA_0199 - 记录收购合同中的安全保证要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全记录要求 | CMA_0200 - 收购合同中的文档安全记录要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全功能要求 | CMA_0201 - 记录收购合同中的安全功能要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 记录第三方合同中的持卡人数据保护 | CMA_0207 - 记录第三方合同中的持卡人数据保护 | 手动、已禁用 | 1.1.0 |
| 采用自动化培训环境 | CMA_C1357 - 采用自动化培训环境 | 手动、已禁用 | 1.1.0 |
| 强制执行行为和访问协议规则 | CMA_0248 - 强制执行行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 确保及时签署或重新签署访问协议 | CMA_C1528 - 确保及时签署或重新签署访问协议 | 手动、已禁用 | 1.1.0 |
| 确保隐私计划信息公开 | CMA_C1867 - 确保隐私计划信息公开 | 手动、已禁用 | 1.1.0 |
| 制定隐私计划 | CMA_0257 - 制定隐私计划 | 手动、已禁用 | 1.1.0 |
| 建立信息安全工作人员开发和改进计划 | CMA_C1752 - 建立信息安全工作人员开发和改进计划 | 手动、已禁用 | 1.1.0 |
| 实施人员筛查 | CMA_0322 - 实施人员筛查 | 手动、已禁用 | 1.1.0 |
| 实施隐私声明传递方法 | CMA_0324 - 实现隐私通知交付方法 | 手动、已禁用 | 1.1.0 |
| 监视安全和隐私培训完成情况 | CMA_0379 - 监视安全和隐私培训完成情况 | 手动、已禁用 | 1.1.0 |
| 在收集或处理个人数据之前获取同意 | CMA_0385 - 在收集或处理个人数据之前获取同意 | 手动、已禁用 | 1.1.0 |
| 提供应变培训 | CMA_0412 - 提供应变训练 | 手动、已禁用 | 1.1.0 |
| 提供信息溢写培训 | CMA_0413 - 提供信息溢写培训 | 手动、已禁用 | 1.1.0 |
| 定期提供基于角色的安全训练 | CMA_C1095 - 定期提供基于角色的安全训练 | 手动、已禁用 | 1.1.0 |
| 提供定期安全意识培训 | CMA_C1091 - 提供定期安全意识培训 | 手动、已禁用 | 1.1.0 |
| 提供隐私通知 | CMA_0414 - 提供隐私通知 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 提供基于角色的安全培训 | CMA_C1094 - 提供基于角色的安全培训 | 手动、已禁用 | 1.1.0 |
| 在提供访问权限之前提供安全培训 | CMA_0418 - 在提供访问权限之前提供安全培训 | 手动、已禁用 | 1.1.0 |
| 为新用户提供安全培训 | CMA_0419 - 为新用户提供安全培训 | 手动、已禁用 | 1.1.0 |
| 要求用户签署访问协议 | CMA_0440 - 要求用户签署访问协议 | 手动、已禁用 | 1.1.0 |
| 按定义的频率重新筛选个人 | CMA_C1512 - 按定义的频率重新筛选个人 | 手动、已禁用 | 1.1.0 |
| 保留培训记录 | CMA_0456 - 保留培训记录 | 手动、已禁用 | 1.1.0 |
| 对人员进行关于披露非公开信息的培训 | CMA_C1084 - 对人员进行关于披露非公开信息的培训 | 手动、已禁用 | 1.1.0 |
| 更新组织访问协议 | CMA_0520 - 更新组织访问协议 | 手动、已禁用 | 1.1.0 |
员工管理
ID:ENS v1 mp.per.2 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 离职时进行离职面谈 | CMA_0058 - 离职时进行离职面谈 | 手动、已禁用 | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 制定可接受的使用策略和过程 | CMA_0143 - 制定可接受的使用策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定组织行为准则策略 | CMA_0159 - 制定组织行为准则策略 | 手动、已禁用 | 1.1.0 |
| 制定安全防护措施 | CMA_0161 - 制定安全防护措施 | 手动、已禁用 | 1.1.0 |
| 终止时禁用验证器 | CMA_0169 - 终止时禁用验证器 | 手动、已禁用 | 1.1.0 |
| 记录收购合同验收条件 | CMA_0187 - 记录收购合同验收条件 | 手动、已禁用 | 1.1.0 |
| 记录组织访问协议 | CMA_0192 - 记录组织访问协议 | 手动、已禁用 | 1.1.0 |
| 记录人员接受隐私要求 | CMA_0193 - 记录人员对隐私要求的接受情况 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的个人数据保护 | CMA_0194 - 记录收购合同中的个人数据保护 | 手动、已禁用 | 1.1.0 |
| 收购合同中安全信息的文档保护 | CMA_0195 - 记录收购合同中安全信息的保护 | 手动、已禁用 | 1.1.0 |
| 记录在合同中使用共享数据的要求 | CMA_0197 - 记录在合同中使用共享数据的要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全保证要求 | CMA_0199 - 记录收购合同中的安全保证要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全记录要求 | CMA_0200 - 收购合同中的文档安全记录要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全功能要求 | CMA_0201 - 记录收购合同中的安全功能要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 记录第三方合同中的持卡人数据保护 | CMA_0207 - 记录第三方合同中的持卡人数据保护 | 手动、已禁用 | 1.1.0 |
| 强制执行行为和访问协议规则 | CMA_0248 - 强制执行行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 确保及时签署或重新签署访问协议 | CMA_C1528 - 确保及时签署或重新签署访问协议 | 手动、已禁用 | 1.1.0 |
| 确保隐私计划信息公开 | CMA_C1867 - 确保隐私计划信息公开 | 手动、已禁用 | 1.1.0 |
| 制定隐私计划 | CMA_0257 - 制定隐私计划 | 手动、已禁用 | 1.1.0 |
| 实施正式解除程序 | CMA_0317 - 实施正式处罚流程 | 手动、已禁用 | 1.1.0 |
| 实施隐私声明传递方法 | CMA_0324 - 实现隐私通知交付方法 | 手动、已禁用 | 1.1.0 |
| 启动传输或重新分配操作 | CMA_0333 - 启动调动或重新分配操作 | 手动、已禁用 | 1.1.0 |
| 在人员调动时修改访问授权 | CMA_0374 - 在人员调动时修改访问授权 | 手动、已禁用 | 1.1.0 |
| 接受处罚时通知人员 | CMA_0380 - 在人员受到处罚时通知他们 | 手动、已禁用 | 1.1.0 |
| 终止或传输时通知 | CMA_0381 - 离职或调动时通知 | 手动、已禁用 | 1.1.0 |
| 在收集或处理个人数据之前获取同意 | CMA_0385 - 在收集或处理个人数据之前获取同意 | 手动、已禁用 | 1.1.0 |
| 禁止不公平做法 | CMA_0396 - 禁止不公平做法 | 手动、已禁用 | 1.1.0 |
| 防范并阻止离职员工窃取数据 | CMA_0398 - 防范并阻止离职员工窃取数据 | 手动、已禁用 | 1.1.0 |
| 提供隐私通知 | CMA_0414 - 提供隐私通知 | 手动、已禁用 | 1.1.0 |
| 在个人传输时重新评估访问权限 | CMA_0424 - 在个人调动时重新评估访问权限 | 手动、已禁用 | 1.1.0 |
| 要求用户签署访问协议 | CMA_0440 - 要求用户签署访问协议 | 手动、已禁用 | 1.1.0 |
| 保留终止的用户数据 | CMA_0455 - 保留终止的用户数据 | 手动、已禁用 | 1.1.0 |
| 审阅和签署修订的行为规则 | CMA_0465 - 审阅和签署修订的行为规则 | 手动、已禁用 | 1.1.0 |
| 更新信息安全策略 | CMA_0518 - 更新信息安全策略 | 手动、已禁用 | 1.1.0 |
| 更新组织访问协议 | CMA_0520 - 更新组织访问协议 | 手动、已禁用 | 1.1.0 |
| 更新行为和访问协议规则 | CMA_0521 - 更新行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 每 3 年更新一次行为和访问协议规则 | CMA_0522 - 每 3 年更新一次行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
员工管理
ID:ENS v1 mp.per.3 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定可接受的使用策略和过程 | CMA_0143 - 制定可接受的使用策略和过程 | 手动、已禁用 | 1.1.0 |
| 记录安全和隐私培训活动 | CMA_0198 - 记录安全和隐私培训活动 | 手动、已禁用 | 1.1.0 |
| 采用自动化培训环境 | CMA_C1357 - 采用自动化培训环境 | 手动、已禁用 | 1.1.0 |
| 强制执行行为和访问协议规则 | CMA_0248 - 强制执行行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 建立信息安全工作人员开发和改进计划 | CMA_C1752 - 建立信息安全工作人员开发和改进计划 | 手动、已禁用 | 1.1.0 |
| 监视安全和隐私培训完成情况 | CMA_0379 - 监视安全和隐私培训完成情况 | 手动、已禁用 | 1.1.0 |
| 提供应变培训 | CMA_0412 - 提供应变训练 | 手动、已禁用 | 1.1.0 |
| 提供信息溢写培训 | CMA_0413 - 提供信息溢写培训 | 手动、已禁用 | 1.1.0 |
| 定期提供基于角色的安全训练 | CMA_C1095 - 定期提供基于角色的安全训练 | 手动、已禁用 | 1.1.0 |
| 提供定期安全意识培训 | CMA_C1091 - 提供定期安全意识培训 | 手动、已禁用 | 1.1.0 |
| 提供基于角色的安全培训 | CMA_C1094 - 提供基于角色的安全培训 | 手动、已禁用 | 1.1.0 |
| 在提供访问权限之前提供安全培训 | CMA_0418 - 在提供访问权限之前提供安全培训 | 手动、已禁用 | 1.1.0 |
| 为新用户提供安全培训 | CMA_0419 - 为新用户提供安全培训 | 手动、已禁用 | 1.1.0 |
| 保留培训记录 | CMA_0456 - 保留培训记录 | 手动、已禁用 | 1.1.0 |
| 对人员进行关于披露非公开信息的培训 | CMA_C1084 - 对人员进行关于披露非公开信息的培训 | 手动、已禁用 | 1.1.0 |
员工管理
ID:ENS v1 mp.per.4 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录人员接受隐私要求 | CMA_0193 - 记录人员对隐私要求的接受情况 | 手动、已禁用 | 1.1.0 |
| 记录安全和隐私培训活动 | CMA_0198 - 记录安全和隐私培训活动 | 手动、已禁用 | 1.1.0 |
| 采用自动化培训环境 | CMA_C1357 - 采用自动化培训环境 | 手动、已禁用 | 1.1.0 |
| 建立信息安全工作人员开发和改进计划 | CMA_C1752 - 建立信息安全工作人员开发和改进计划 | 手动、已禁用 | 1.1.0 |
| 监视安全和隐私培训完成情况 | CMA_0379 - 监视安全和隐私培训完成情况 | 手动、已禁用 | 1.1.0 |
| 提供应变培训 | CMA_0412 - 提供应变训练 | 手动、已禁用 | 1.1.0 |
| 提供信息溢写培训 | CMA_0413 - 提供信息溢写培训 | 手动、已禁用 | 1.1.0 |
| 定期提供基于角色的安全训练 | CMA_C1095 - 定期提供基于角色的安全训练 | 手动、已禁用 | 1.1.0 |
| 提供定期安全意识培训 | CMA_C1091 - 提供定期安全意识培训 | 手动、已禁用 | 1.1.0 |
| 提供基于角色的安全培训 | CMA_C1094 - 提供基于角色的安全培训 | 手动、已禁用 | 1.1.0 |
| 在提供访问权限之前提供安全培训 | CMA_0418 - 在提供访问权限之前提供安全培训 | 手动、已禁用 | 1.1.0 |
| 为新用户提供安全培训 | CMA_0419 - 为新用户提供安全培训 | 手动、已禁用 | 1.1.0 |
| 保留培训记录 | CMA_0456 - 保留培训记录 | 手动、已禁用 | 1.1.0 |
| 对人员进行关于披露非公开信息的培训 | CMA_C1084 - 对人员进行关于披露非公开信息的培训 | 手动、已禁用 | 1.1.0 |
服务保护
ID:ENS v1 mp.s.1 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 制定可接受的使用策略和过程 | CMA_0143 - 制定可接受的使用策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定安全防护措施 | CMA_0161 - 制定安全防护措施 | 手动、已禁用 | 1.1.0 |
| 记录收购合同验收条件 | CMA_0187 - 记录收购合同验收条件 | 手动、已禁用 | 1.1.0 |
| 记录组织访问协议 | CMA_0192 - 记录组织访问协议 | 手动、已禁用 | 1.1.0 |
| 记录人员接受隐私要求 | CMA_0193 - 记录人员对隐私要求的接受情况 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的个人数据保护 | CMA_0194 - 记录收购合同中的个人数据保护 | 手动、已禁用 | 1.1.0 |
| 收购合同中安全信息的文档保护 | CMA_0195 - 记录收购合同中安全信息的保护 | 手动、已禁用 | 1.1.0 |
| 记录在合同中使用共享数据的要求 | CMA_0197 - 记录在合同中使用共享数据的要求 | 手动、已禁用 | 1.1.0 |
| 记录安全和隐私培训活动 | CMA_0198 - 记录安全和隐私培训活动 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全保证要求 | CMA_0199 - 记录收购合同中的安全保证要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全记录要求 | CMA_0200 - 收购合同中的文档安全记录要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全功能要求 | CMA_0201 - 记录收购合同中的安全功能要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 记录第三方合同中的持卡人数据保护 | CMA_0207 - 记录第三方合同中的持卡人数据保护 | 手动、已禁用 | 1.1.0 |
| 采用自动化培训环境 | CMA_C1357 - 采用自动化培训环境 | 手动、已禁用 | 1.1.0 |
| 强制执行行为和访问协议规则 | CMA_0248 - 强制执行行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 确保及时签署或重新签署访问协议 | CMA_C1528 - 确保及时签署或重新签署访问协议 | 手动、已禁用 | 1.1.0 |
| 确保隐私计划信息公开 | CMA_C1867 - 确保隐私计划信息公开 | 手动、已禁用 | 1.1.0 |
| 制定隐私计划 | CMA_0257 - 制定隐私计划 | 手动、已禁用 | 1.1.0 |
| 建立防火墙和路由器配置标准 | CMA_0272 - 建立防火墙和路由器配置标准 | 手动、已禁用 | 1.1.0 |
| 建立信息安全工作人员开发和改进计划 | CMA_C1752 - 建立信息安全工作人员开发和改进计划 | 手动、已禁用 | 1.1.0 |
| 为持卡人数据环境建立网络分段 | CMA_0273 - 为持卡人数据环境建立网络分段 | 手动、已禁用 | 1.1.0 |
| 标识和管理下游信息交换 | CMA_0298 - 标识和管理下游信息交换 | 手动、已禁用 | 1.1.0 |
| 实现容错名称/地址服务 | CMA_0305 - 实现容错名称/地址服务 | 手动、已禁用 | 1.1.0 |
| 实施隐私声明传递方法 | CMA_0324 - 实现隐私通知交付方法 | 手动、已禁用 | 1.1.0 |
| 监视安全和隐私培训完成情况 | CMA_0379 - 监视安全和隐私培训完成情况 | 手动、已禁用 | 1.1.0 |
| 在收集或处理个人数据之前获取同意 | CMA_0385 - 在收集或处理个人数据之前获取同意 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配非对称加密密钥 | CMA_C1646 - 生成、控制和分配非对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
| 提供应变培训 | CMA_0412 - 提供应变训练 | 手动、已禁用 | 1.1.0 |
| 提供信息溢写培训 | CMA_0413 - 提供信息溢写培训 | 手动、已禁用 | 1.1.0 |
| 定期提供基于角色的安全训练 | CMA_C1095 - 定期提供基于角色的安全训练 | 手动、已禁用 | 1.1.0 |
| 提供定期安全意识培训 | CMA_C1091 - 提供定期安全意识培训 | 手动、已禁用 | 1.1.0 |
| 提供隐私通知 | CMA_0414 - 提供隐私通知 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 提供基于角色的安全培训 | CMA_C1094 - 提供基于角色的安全培训 | 手动、已禁用 | 1.1.0 |
| 提供安全的名称和地址解析服务 | CMA_0416 - 提供安全的名称和地址解析服务 | 手动、已禁用 | 1.1.0 |
| 在提供访问权限之前提供安全培训 | CMA_0418 - 在提供访问权限之前提供安全培训 | 手动、已禁用 | 1.1.0 |
| 为新用户提供安全培训 | CMA_0419 - 为新用户提供安全培训 | 手动、已禁用 | 1.1.0 |
| 要求用户签署访问协议 | CMA_0440 - 要求用户签署访问协议 | 手动、已禁用 | 1.1.0 |
| 保留培训记录 | CMA_0456 - 保留培训记录 | 手动、已禁用 | 1.1.0 |
| 对人员进行关于披露非公开信息的培训 | CMA_C1084 - 对人员进行关于披露非公开信息的培训 | 手动、已禁用 | 1.1.0 |
| 更新组织访问协议 | CMA_0520 - 更新组织访问协议 | 手动、已禁用 | 1.1.0 |
服务保护
ID:ENS v1 mp.s.2 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 分配客户经理 | CMA_0015 - 分配客户经理 | 手动、已禁用 | 1.1.0 |
| 审核特权函数 | CMA_0019 - 审核特权函数 | 手动、已禁用 | 1.1.0 |
| 审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | Audit、Disabled | 1.0.1 |
| 审核用户帐户状态 | CMA_0020 - 审核用户帐户状态 | 手动、已禁用 | 1.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 自动执行帐户管理 | CMA_0026 - 自动执行帐户管理 | 手动、已禁用 | 1.1.0 |
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义信息系统帐户类型 | CMA_0121 - 定义信息系统帐户类型 | 手动、已禁用 | 1.1.0 |
| 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 设计访问控制模型 | CMA_0129 - 设计访问控制模型 | 手动、已禁用 | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 制定访问控制策略和过程 | CMA_0144 - 制定访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定并建立系统安全计划 | CMA_0151 - 制定并建立系统安全计划 | 手动、已禁用 | 1.1.0 |
| 制定审核和责任策略和过程 | CMA_0154- 制定审核和责任策略及过程 | 手动、已禁用 | 1.1.0 |
| 制定信息安全策略和过程 | CMA_0158 - 制定信息安全策略和过程 | 手动、已禁用 | 1.1.0 |
| 终止时禁用验证器 | CMA_0169 - 终止时禁用验证器 | 手动、已禁用 | 1.1.0 |
| 记录访问特权 | CMA_0186 - 记录访问特权 | 手动、已禁用 | 1.1.0 |
| 记录收购合同验收条件 | CMA_0187 - 记录收购合同验收条件 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的个人数据保护 | CMA_0194 - 记录收购合同中的个人数据保护 | 手动、已禁用 | 1.1.0 |
| 收购合同中安全信息的文档保护 | CMA_0195 - 记录收购合同中安全信息的保护 | 手动、已禁用 | 1.1.0 |
| 记录在合同中使用共享数据的要求 | CMA_0197 - 记录在合同中使用共享数据的要求 | 手动、已禁用 | 1.1.0 |
| 记录安全和隐私培训活动 | CMA_0198 - 记录安全和隐私培训活动 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全保证要求 | CMA_0199 - 记录收购合同中的安全保证要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全记录要求 | CMA_0200 - 收购合同中的文档安全记录要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全功能要求 | CMA_0201 - 记录收购合同中的安全功能要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 记录第三方合同中的持卡人数据保护 | CMA_0207 - 记录第三方合同中的持卡人数据保护 | 手动、已禁用 | 1.1.0 |
| 使用边界保护隔离信息系统 | CMA_C1639 - 使用边界保护隔离信息系统 | 手动、已禁用 | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | 手动、已禁用 | 1.1.0 |
| 采用最小特权访问 | CMA_0212 - 采用最小特权访问 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制执行用户唯一性 | CMA_0250 - 强制执行用户唯一性 | 手动、已禁用 | 1.1.0 |
| 制定密码策略 | CMA_0256 - 制定密码策略 | 手动、已禁用 | 1.1.0 |
| 制定隐私计划 | CMA_0257 - 制定隐私计划 | 手动、已禁用 | 1.1.0 |
| 建立信息安全计划 | CMA_0263 - 制定信息安全计划 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 建立验证器类型和进程 | CMA_0267 - 建立验证器类型和流程 | 手动、已禁用 | 1.1.0 |
| 为角色成员资格设定条件 | CMA_0269 - 为角色成员资格设定条件 | 手动、已禁用 | 1.1.0 |
| 建立防火墙和路由器配置标准 | CMA_0272 - 建立防火墙和路由器配置标准 | 手动、已禁用 | 1.1.0 |
| 为持卡人数据环境建立网络分段 | CMA_0273 - 为持卡人数据环境建立网络分段 | 手动、已禁用 | 1.1.0 |
| 为承包商和服务提供商建立隐私要求 | CMA_C1810 - 为承包商和服务提供商建立隐私要求 | 手动、已禁用 | 1.1.0 |
| 建立初始验证器分配过程 | CMA_0276 - 建立初始验证器分配过程 | 手动、已禁用 | 1.1.0 |
| 制定连接设备制造的安全要求 | CMA_0279 - 制定连接设备制造的安全要求 | 手动、已禁用 | 1.1.0 |
| 治理策略和过程 | CMA_0292 - 治理策略和过程 | 手动、已禁用 | 1.1.0 |
| 识别非组织用户并对其进行身份验证 | CMA_C1346 - 识别非组织用户并对其进行身份验证 | 手动、已禁用 | 1.1.0 |
| 标识和管理下游信息交换 | CMA_0298 - 标识和管理下游信息交换 | 手动、已禁用 | 1.1.0 |
| 实现容错名称/地址服务 | CMA_0305 - 实现容错名称/地址服务 | 手动、已禁用 | 1.1.0 |
| 实现记住的机密验证过程的参数 | CMA_0321 - 实现记住的机密验证工具的参数 | 手动、已禁用 | 1.1.0 |
| 实现信息系统的安全工程原则 | CMA_0325 - 实现信息系统的安全工程原则 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 进行验证器保护培训 | CMA_0329 - 进行验证器保护的培训 | 手动、已禁用 | 1.1.0 |
| 使用安全策略筛选器的信息流控制 | CMA_C1029 - 使用安全策略筛选器的信息流控制 | 手动、已禁用 | 1.1.0 |
| 限制在生产环境中进行更改的特权 | CMA_C1206 - 限制在生产环境中进行更改的特权 | 手动、已禁用 | 1.1.0 |
| 管理验证器生存期并重新使用 | CMA_0355 - 管理验证器生存期并重新使用 | 手动、已禁用 | 1.1.0 |
| 管理验证器 | CMA_C1321 - 管理验证器 | 手动、已禁用 | 1.1.0 |
| 管理合规性活动 | CMA_0358 - 管理合规性活动 | 手动、已禁用 | 1.1.0 |
| 管理系统和管理员帐户 | CMA_0368 - 管理系统和管理员帐户 | 手动、已禁用 | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 监视特权角色分配 | CMA_0378 - 监视特权角色分配 | 手动、已禁用 | 1.1.0 |
| 通知客户控制帐户的帐户经理 | CMA_C1009 - 通知客户控制帐户的帐户经理 | 手动、已禁用 | 1.1.0 |
| 当不需要帐户时通知 | CMA_0383 - 当不需要帐户时通知 | 手动、已禁用 | 1.1.0 |
| 阻止远程设备的拆分隧道 | CMA_C1632 - 阻止远程设备拆分隧道 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配非对称加密密钥 | CMA_C1646 - 生成、控制和分配非对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 保护信息安全计划 | CMA_C1732 - 保护信息安全计划 | 手动、已禁用 | 1.1.0 |
| 提供安全的名称和地址解析服务 | CMA_0416 - 提供安全的名称和地址解析服务 | 手动、已禁用 | 1.1.0 |
| 刷新验证器 | CMA_0425 - 刷新验证器 | 手动、已禁用 | 1.1.0 |
| 重新颁发已更改的组和帐户的验证器 | CMA_0426 - 重新颁发用于已更改的组和帐户的验证器 | 手动、已禁用 | 1.1.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问权限 | 手动、已禁用 | 1.1.0 |
| 查看访问控制策略和过程 | CMA_0457 - 查看访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 审阅并重新评估特权 | CMA_C1207 - 审阅并重新评估特权 | 手动、已禁用 | 1.1.0 |
| 查看和更新配置管理策略和过程 | CMA_C1175 - 查看和更新配置管理策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新应变规划策略和过程 | CMA_C1243 - 查看和更新应变规划策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看并更新事件响应策略和过程 | CMA_C1352 - 查看并更新事件响应策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新信息完整性策略及过程 | CMA_C1667 - 查看和更新信息完整性策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新媒体保护策略及过程 | CMA_C1427 - 查看和更新媒体保护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新人员安全策略及过程 | CMA_C1507 - 查看和更新人员安全策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新物理与环境策略和过程 | CMA_C1446 - 查看和更新物理与环境策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新规划策略及过程 | CMA_C1491 - 查看和更新规划策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新风险评估策略及过程 | CMA_C1537 - 查看和更新风险评估策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和通信保护策略及过程 | CMA_C1616 - 查看和更新系统和通信保护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和服务采购政策和过程 | CMA_C1560 - 查看和更新系统和服务采购政策和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统维护策略及过程 | CMA_C1395 - 查看和更新系统维护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看安全评估和授权策略及过程 | CMA_C1143 - 查看安全评估和授权策略及过程 | 手动、已禁用 | 1.1.0 |
| 审查用户帐户 | CMA_0480 - 审查用户帐户 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | 手动、已禁用 | 1.1.0 |
| 将接口固定到外部系统 | CMA_0491 - 保护到外部系统的接口 | 手动、已禁用 | 1.1.0 |
| 单独的用户和信息系统管理功能 | CMA_0493 - 单独的用户和信息系统管理功能 | 手动、已禁用 | 1.1.0 |
| Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 | 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 | Audit、Deny、Disabled | 1.1.0 |
| 支持由法律机构颁发的个人验证凭据 | CMA_0507 - 支持由法律机构颁发的个人验证凭据 | 手动、已禁用 | 1.1.0 |
| 终止客户控制的帐户凭据 | CMA_C1022 - 终止客户控制的帐户凭据 | 手动、已禁用 | 1.1.0 |
| 更新信息安全策略 | CMA_0518 - 更新信息安全策略 | 手动、已禁用 | 1.1.0 |
| 更新隐私计划、策略和过程 | CMA_C1807 - 更新隐私计划、策略和过程 | 手动、已禁用 | 1.1.0 |
| 使用专用计算机执行管理任务 | CMA_0527 - 使用专用计算机执行管理任务 | 手动、已禁用 | 1.1.0 |
| 使用特权标识管理 | CMA_0533 - 使用特权标识管理 | 手动、已禁用 | 1.1.0 |
| 在分发验证器之前验证标识 | CMA_0538 - 在分发验证器之前验证标识 | 手动、已禁用 | 1.1.0 |
服务保护
ID:ENS v1 mp.s.3 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应将应用服务应用槽注入到虚拟网络中 | 将应用服务应用注入虚拟网络可以解锁高级应用服务网络和安全功能,并更好地控制网络安全配置。 有关详细信息,请访问:https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet。 | Audit、Deny、Disabled | 1.0.0 |
| 应用服务应用槽应使用最新的“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用应注入到虚拟网络中 | 将应用服务应用注入虚拟网络可以解锁高级应用服务网络和安全功能,并更好地控制网络安全配置。 有关详细信息,请访问:https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet。 | Audit、Deny、Disabled | 3.0.0 |
| 应用服务应用应已启用身份验证 | Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问 Web 应用,或在令牌访问 Web 应用之前对其进行身份验证。 | AuditIfNotExists、Disabled | 2.0.1 |
| 应用服务应用应使用最新“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 4.0.0 |
| Azure 应用程序网关应启用资源日志 | 为 Azure 应用程序网关(以及 WAF)启用资源日志,并流式传输到 Log Analytics 工作区。 详细了解入站 Web 流量和为缓解攻击所采取的措施。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Front Door 应启用资源日志 | 为 Azure Front Door(以及 WAF)启用资源日志,并流式传输到 Log Analytics 工作区。 详细了解入站 Web 流量和为缓解攻击所采取的措施。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Front Door 标准版或高级版 (加 WAF) 应启用资源日志 | 为 Azure Front Door 标准版或高级版 (加 WAF) 启用资源日志,并流式传输到 Log Analytics 工作区。 详细了解入站 Web 流量和为缓解攻击所采取的措施。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在群集上安装并启用用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项 | 用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项扩展了 Gatekeeper v3(用于开放策略代理 (OPA) 的许可控制器 Webhook),以集中、一致的方式在群集上应用大规模强制措施和安全措施。 | Audit、Disabled | 1.0.2 |
| Azure 应用程序网关上的 Azure Web 应用程序防火墙应启用请求正文检查 | 确保与 Azure 应用程序网关关联的 Web 应用程序防火墙已启用请求正文检查。 这样,WAF 就能检查 HTTP 正文中可能无法在 HTTP 标头、Cookie 或 URI 中评估的属性。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Front Door 上的 Azure Web 应用程序防火墙应启用请求正文检查 | 确保与 Azure Front Door 关联的 Web 应用程序防火墙已启用请求正文检查。 这样,WAF 就能检查 HTTP 正文中可能无法在 HTTP 标头、Cookie 或 URI 中评估的属性。 | Audit、Deny、Disabled | 1.0.0 |
| 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 1.0.2 |
| Azure Web PubSub 服务应禁用公用网络访问 | 禁用公用网络访问可确保 Azure Web PubSub 服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制 Azure Web PubSub 服务的公开。 有关详细信息,请访问:https://aka.ms/awps/networkacls。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Web PubSub 服务应启用诊断日志 | 审核是否已启用诊断日志。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Web PubSub Service 应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure Web PubSub Service 仅需要 Azure Active Directory 标识进行身份验证,从而提高安全性。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Web PubSub 服务应使用支持专用链接的 SKU | 使用受支持的 SKU 时,Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Web PubSub 服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/awps/privatelink。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Web PubSub 服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure Web PubSub 服务可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://aka.ms/awps/privatelink。 | Audit、Disabled | 1.0.0 |
| 为 Web groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 Web groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 web_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 web_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将适用于应用服务的 Azure Defender 配置为启用 | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | DeployIfNotExists、Disabled | 1.0.1 |
| 配置 Azure Web PubSub Service 以禁用本地身份验证 | 禁用本地身份验证方法,使 Azure Web PubSub Service 仅需要 Azure Active Directory 标识进行身份验证。 | 修改,已禁用 | 1.0.0 |
| 配置 Azure Web PubSub 服务以禁用公用网络访问 | 禁用对 Azure Web PubSub 资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/awps/networkacls。 | 修改,已禁用 | 1.0.0 |
| 将 Azure Web PubSub 服务配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Web PubSub 服务。 有关详细信息,请访问:https://aka.ms/awps/privatelink。 | DeployIfNotExists、Disabled | 1.0.0 |
| 使用专用终结点配置 Azure Web PubSub 服务 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Web PubSub 服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/awps/privatelink。 | DeployIfNotExists、Disabled | 1.0.0 |
| 记录安全和隐私培训活动 | CMA_0198 - 记录安全和隐私培训活动 | 手动、已禁用 | 1.1.0 |
| 采用自动化培训环境 | CMA_C1357 - 采用自动化培训环境 | 手动、已禁用 | 1.1.0 |
| 按类别组为 Web PubSub Service (microsoft.signalrservice/webpubsub) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Web PubSub Service (microsoft.signalrservice/webpubsub) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 按类别组为 Web PubSub Service (microsoft.signalrservice/webpubsub) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Web PubSub Service (microsoft.signalrservice/webpubsub) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 按类别组为 Web PubSub Service (microsoft.signalrservice/webpubsub) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Web PubSub Service (microsoft.signalrservice/webpubsub) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 启用速率限制规则来防范 Azure Front Door WAF 上的 DDoS 攻击 | Azure Front Door 的 Azure Web 应用程序防火墙 (WAF) 速率限制规则控制在速率限制期间允许从特定客户端 IP 地址发送到应用程序的请求数。 | Audit、Deny、Disabled | 1.0.0 |
| 建立信息安全工作人员开发和改进计划 | CMA_C1752 - 建立信息安全工作人员开发和改进计划 | 手动、已禁用 | 1.1.0 |
| 函数应用槽应使用最新的“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 1.0.0 |
| 函数应用应使用最新“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 4.0.0 |
| Microsoft 托管的控制 1829 - 数据完整性和数据完整性板委员会 | 在网站上发布协议 | Microsoft 实现此数据质量和完整性控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1865 - 记录系统通知和隐私法案声明 | 公共网站发布 | Microsoft 实现此透明度控制 | 审核 | 1.0.0 |
| 监视安全和隐私培训完成情况 | CMA_0379 - 监视安全和隐私培训完成情况 | 手动、已禁用 | 1.1.0 |
| 提供应变培训 | CMA_0412 - 提供应变训练 | 手动、已禁用 | 1.1.0 |
| 提供信息溢写培训 | CMA_0413 - 提供信息溢写培训 | 手动、已禁用 | 1.1.0 |
| 定期提供基于角色的安全训练 | CMA_C1095 - 定期提供基于角色的安全训练 | 手动、已禁用 | 1.1.0 |
| 提供定期安全意识培训 | CMA_C1091 - 提供定期安全意识培训 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 提供基于角色的安全培训 | CMA_C1094 - 提供基于角色的安全培训 | 手动、已禁用 | 1.1.0 |
| 在提供访问权限之前提供安全培训 | CMA_0418 - 在提供访问权限之前提供安全培训 | 手动、已禁用 | 1.1.0 |
| 为新用户提供安全培训 | CMA_0419 - 为新用户提供安全培训 | 手动、已禁用 | 1.1.0 |
| 在公共网站上发布计算机匹配协议 | CMA_C1829 - 在公共网站上发布计算机匹配协议 | 手动、已禁用 | 1.1.0 |
| 保留培训记录 | CMA_0456 - 保留培训记录 | 手动、已禁用 | 1.1.0 |
| 对人员进行关于披露非公开信息的培训 | CMA_C1084 - 对人员进行关于披露非公开信息的培训 | 手动、已禁用 | 1.1.0 |
| 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 2.0.0 |
| Web 应用程序防火墙 (WAF) 应对应用程序网关使用指定模式 | 要求对应用程序网关的所有 Web 应用程序防火墙策略启用“检测”或“防护”模式。 | Audit、Deny、Disabled | 1.0.0 |
| Web 应用程序防火墙 (WAF) 应对 Azure Front Door 服务使用指定模式 | 要求对 Azure Front Door 服务的所有 Web 应用程序防火墙策略启用“检测”或“防护”模式。 | Audit、Deny、Disabled | 1.0.0 |
服务保护
ID:ENS v1 mp.s.4 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应启用 Azure DDoS 防护 | 应对具有相关子网(属于具有公共 IP 的应用程序网关)的所有虚拟网络启用 DDoS 防护。 | AuditIfNotExists、Disabled | 3.0.1 |
| 执行产能规划 | CMA_C1252 - 执行产能规划 | 手动、已禁用 | 1.1.0 |
| 制定并记录 DDoS 响应计划 | CMA_0147 - 制定并记录 DDoS 响应计划 | 手动、已禁用 | 1.1.0 |
| 启用速率限制规则来防范 Azure Front Door WAF 上的 DDoS 攻击 | Azure Front Door 的 Azure Web 应用程序防火墙 (WAF) 速率限制规则控制在速率限制期间允许从特定客户端 IP 地址发送到应用程序的请求数。 | Audit、Deny、Disabled | 1.0.0 |
| 治理并监视审核处理活动 | CMA_0289 - 治理并监视审核处理活动 | 手动、已禁用 | 1.1.0 |
| 公共 IP 地址应启用 Azure DDoS 防护的资源日志 | 在诊断设置中启用公共 IP 地址的资源日志以流式传输到 Log Analytics 工作区。 详细了解利用通知、报告和流日志降低 DDoS 攻击所采取的攻击流量和操作。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
| 虚拟网络应受 Azure DDoS 防护保护 | 使用 Azure DDoS 防护来保护虚拟网络免受容量耗尽攻击和协议攻击。 有关详细信息,请访问 https://aka.ms/ddosprotectiondocs。 | Modify、Audit、Disabled | 1.0.1 |
信息介质保护
ID:ENS v1 mp.si.1 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对信息进行分类 | CMA_0052 - 对信息进行分类 | 手动、已禁用 | 1.1.0 |
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 制定业务分类方案 | CMA_0155 - 制定业务分类方案 | 手动、已禁用 | 1.1.0 |
| 确保已批准安全分类 | CMA_C1540 - 确保已批准安全分类 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 管理数据的输入、输出、处理和存储 | CMA_0369 - 管理数据的输入、输出、处理和存储 | 手动、已禁用 | 1.1.0 |
| 查看标签活动和分析 | CMA_0474 - 查看标签活动和分析 | 手动、已禁用 | 1.1.0 |
信息介质保护
ID:ENS v1 mp.si.2 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 遵守定义的保持期 | CMA_0004 - 遵守定义的保持期 | 手动、已禁用 | 1.1.0 |
| 对加密模块进行身份验证 | CMA_0021 - 对加密模块进行身份验证 | 手动、已禁用 | 1.1.0 |
| 执行信息系统文档的备份 | CMA_C1289 - 执行信息系统文档备份 | 手动、已禁用 | 1.1.0 |
| 创建单独的备用和主存储站点 | CMA_C1269 - 创建单独的备用和主存储站点 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义移动设备要求 | CMA_0122 - 定义移动设备要求 | 手动、已禁用 | 1.1.0 |
| 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 记录并分发隐私策略 | CMA_0188 - 记录并分发隐私策略 | 手动、已禁用 | 1.1.0 |
| 确保信息系统发生故障时处于已知状态 | CMA_C1662 - 确保信息系统发生故障时处于已知状态 | 手动、已禁用 | 1.1.0 |
| 确保在个人返回时不需要安全保护措施 | CMA_C1183 - 确保在个人返回时不需要安全保护措施 | 手动、已禁用 | 1.1.0 |
| 建立备用处理站点 | CMA_0262 - 建立备用处理站点 | 手动、已禁用 | 1.1.0 |
| 建立备份策略和过程 | CMA_0268 - 制定备份策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定访问资源的条款和条件 | CMA_C1076 - 制定访问资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 制定处理资源的条款和条件 | CMA_C1077 - 制定处理资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 实施隐私声明传递方法 | CMA_0324 - 实现隐私通知交付方法 | 手动、已禁用 | 1.1.0 |
| 实现基于事务的恢复 | CMA_C1296 - 实现基于事务的恢复 | 手动、已禁用 | 1.1.0 |
| 管理资产的运输 | CMA_0370 - 管理资产的运输 | 手动、已禁用 | 1.1.0 |
| 不允许信息系统随附于个人 | CMA_C1182 - 不允许信息系统随附于个人 | 手动、已禁用 | 1.1.0 |
| 执行处置评审 | CMA_0391 - 执行处置评审 | 手动、已禁用 | 1.1.0 |
| 规划基本业务功能的持续性 | CMA_C1255 - 规划基本业务功能的持续性 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 提供隐私通知 | CMA_0414 - 提供隐私通知 | 手动、已禁用 | 1.1.0 |
| 限制通信 | CMA_0449 - 限制通信 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和通信保护策略及过程 | CMA_C1616 - 查看和更新系统和通信保护策略及过程 | 手动、已禁用 | 1.1.0 |
| 单独存储备份信息 | CMA_C1293 - 单独存储备份信息 | 手动、已禁用 | 1.1.0 |
| 将备份信息传输到备用存储站点 | CMA_C1294 - 将备份信息传输到备用存储站点 | 手动、已禁用 | 1.1.0 |
| 在处理结束时验证个人数据是否已删除 | CMA_0540 - 在处理结束时验证个人数据是否已删除 | 手动、已禁用 | 1.1.0 |
| 验证外部信息系统的安全控制 | CMA_0541 - 验证外部信息系统的安全控制 | 手动、已禁用 | 1.1.0 |
信息介质保护
ID:ENS v1 mp.si.3 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 控制维护和修复活动 | CMA_0080 - 控制维护和修复活动 | 手动、已禁用 | 1.1.0 |
| 控制便携式存储设备的使用 | CMA_0083 - 控制便携式存储设备的使用 | 手动、已禁用 | 1.1.0 |
| 创建数据清单 | CMA_0096 - 创建数据清单 | 手动、已禁用 | 1.1.0 |
| 定义管理资产的要求 | CMA_0125 - 定义管理资产的要求 | 手动、已禁用 | 1.1.0 |
| 制定可接受的使用策略和过程 | CMA_0143 - 制定可接受的使用策略和过程 | 手动、已禁用 | 1.1.0 |
| 记录安全和隐私培训活动 | CMA_0198 - 记录安全和隐私培训活动 | 手动、已禁用 | 1.1.0 |
| 使用媒体清理机制 | CMA_0208 - 使用媒体清理机制 | 手动、已禁用 | 1.1.0 |
| 采用自动化培训环境 | CMA_C1357 - 采用自动化培训环境 | 手动、已禁用 | 1.1.0 |
| 强制执行行为和访问协议规则 | CMA_0248 - 强制执行行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 建立信息安全工作人员开发和改进计划 | CMA_C1752 - 建立信息安全工作人员开发和改进计划 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 维护个人数据的处理记录 | CMA_0353 - 维护个人数据的处理记录 | 手动、已禁用 | 1.1.0 |
| 管理非本地维护和诊断活动 | CMA_0364 - 管理非本地维护和诊断活动 | 手动、已禁用 | 1.1.0 |
| 管理资产的运输 | CMA_0370 - 管理资产的运输 | 手动、已禁用 | 1.1.0 |
| 监视安全和隐私培训完成情况 | CMA_0379 - 监视安全和隐私培训完成情况 | 手动、已禁用 | 1.1.0 |
| 提供应变培训 | CMA_0412 - 提供应变训练 | 手动、已禁用 | 1.1.0 |
| 提供信息溢写培训 | CMA_0413 - 提供信息溢写培训 | 手动、已禁用 | 1.1.0 |
| 定期提供基于角色的安全训练 | CMA_C1095 - 定期提供基于角色的安全训练 | 手动、已禁用 | 1.1.0 |
| 提供定期安全意识培训 | CMA_C1091 - 提供定期安全意识培训 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 提供基于角色的安全培训 | CMA_C1094 - 提供基于角色的安全培训 | 手动、已禁用 | 1.1.0 |
| 在提供访问权限之前提供安全培训 | CMA_0418 - 在提供访问权限之前提供安全培训 | 手动、已禁用 | 1.1.0 |
| 为新用户提供安全培训 | CMA_0419 - 为新用户提供安全培训 | 手动、已禁用 | 1.1.0 |
| 限制媒体使用 | CMA_0450 - 限制媒体使用 | 手动、已禁用 | 1.1.0 |
| 保留培训记录 | CMA_0456 - 保留培训记录 | 手动、已禁用 | 1.1.0 |
| 对人员进行关于披露非公开信息的培训 | CMA_C1084 - 对人员进行关于披露非公开信息的培训 | 手动、已禁用 | 1.1.0 |
信息介质保护
ID:ENS v1 mp.si.4 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 控制便携式存储设备的使用 | CMA_0083 - 控制便携式存储设备的使用 | 手动、已禁用 | 1.1.0 |
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 指定监督未经授权的维护活动的人员 | CMA_C1422 - 指定监督未经授权的维护活动的人员 | 手动、已禁用 | 1.1.0 |
| 阐述和分发隐私策略 | CMA_0188 - 记录并分发隐私策略 | 手动、已禁用 | 1.1.0 |
| 使用媒体清理机制 | CMA_0208 - 使用媒体清理机制 | 手动、已禁用 | 1.1.0 |
| 建立和维护资产清单 | CMA_0266 - 建立和维护资产清单 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
| 实施隐私声明传递方法 | CMA_0324 - 实现隐私通知交付方法 | 手动、已禁用 | 1.1.0 |
| 保留授权远程维护人员的清单 | CMA_C1420 - 保留授权远程维护人员的清单 | 手动、已禁用 | 1.1.0 |
| 管理维护人员 | CMA_C1421 - 管理维护人员 | 手动、已禁用 | 1.1.0 |
| 管理数据的输入、输出、处理和存储 | CMA_0369 - 管理数据的输入、输出、处理和存储 | 手动、已禁用 | 1.1.0 |
| 管理资产的运输 | CMA_0370 - 管理资产的运输 | 手动、已禁用 | 1.1.0 |
| 提供隐私通知 | CMA_0414 - 提供隐私通知 | 手动、已禁用 | 1.1.0 |
| 限制通信 | CMA_0449 - 限制通信 | 手动、已禁用 | 1.1.0 |
| 限制媒体使用 | CMA_0450 - 限制媒体使用 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和通信保护策略及过程 | CMA_C1616 - 查看和更新系统和通信保护策略及过程 | 手动、已禁用 | 1.1.0 |
信息介质保护
ID:ENS v1 mp.si.5 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守定义的保持期 | CMA_0004 - 遵守定义的保持期 | 手动、已禁用 | 1.1.0 |
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 控制便携式存储设备的使用 | CMA_0083 - 控制便携式存储设备的使用 | 手动、已禁用 | 1.1.0 |
| 使用媒体清理机制 | CMA_0208 - 使用媒体清理机制 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 管理资产的运输 | CMA_0370 - 管理资产的运输 | 手动、已禁用 | 1.1.0 |
| 执行处置评审 | CMA_0391 - 执行处置评审 | 手动、已禁用 | 1.1.0 |
| 限制媒体使用 | CMA_0450 - 限制媒体使用 | 手动、已禁用 | 1.1.0 |
| 在处理结束时验证个人数据是否已删除 | CMA_0540 - 在处理结束时验证个人数据是否已删除 | 手动、已禁用 | 1.1.0 |
IT 应用程序保护
ID:ENS v1 mp.sw.1 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 解决编码漏洞 | CMA_0003 - 解决编码漏洞 | 手动、已禁用 | 1.1.0 |
| 遵守定义的保持期 | CMA_0004 - 遵守定义的保持期 | 手动、已禁用 | 1.1.0 |
| 评估第三方关系中的风险 | CMA_0014 - 评估第三方关系中的风险 | 手动、已禁用 | 1.1.0 |
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | 手动、已禁用 | 1.1.0 |
| 定义信息安全角色和职责 | CMA_C1565 - 定义信息安全角色和职责 | 手动、已禁用 | 1.1.0 |
| 定义提供货物和服务的要求 | CMA_0126 - 定义供应货物和服务的要求 | 手动、已禁用 | 1.1.0 |
| 设计访问控制模型 | CMA_0129 - 设计访问控制模型 | 手动、已禁用 | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 制定和记录应用程序安全要求 | CMA_0148 - 制定和记录应用程序安全要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同验收条件 | CMA_0187 - 记录收购合同验收条件 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的个人数据保护 | CMA_0194 - 记录收购合同中的个人数据保护 | 手动、已禁用 | 1.1.0 |
| 收购合同中安全信息的文档保护 | CMA_0195 - 记录收购合同中安全信息的保护 | 手动、已禁用 | 1.1.0 |
| 记录在合同中使用共享数据的要求 | CMA_0197 - 记录在合同中使用共享数据的要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全保证要求 | CMA_0199 - 记录收购合同中的安全保证要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全记录要求 | CMA_0200 - 收购合同中的文档安全记录要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全功能要求 | CMA_0201 - 记录收购合同中的安全功能要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 记录第三方合同中的持卡人数据保护 | CMA_0207 - 记录第三方合同中的持卡人数据保护 | 手动、已禁用 | 1.1.0 |
| 采用最小特权访问 | CMA_0212 - 采用最小特权访问 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 确保没有未加密的静态验证器 | CMA_C1340 - 确保没有未加密的静态验证器 | 手动、已禁用 | 1.1.0 |
| 建立安全软件开发计划 | CMA_0259 - 制定安全软件开发计划 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 为开发人员建立配置管理要求 | CMA_0270 - 为开发人员设定配置管理要求 | 手动、已禁用 | 1.1.0 |
| 制定供应链风险管理策略 | CMA_0275 - 制定供应链风险管理策略 | 手动、已禁用 | 1.1.0 |
| 标识具有安全角色和职责的用户 | CMA_C1566 - 标识具有安全角色和职责的用户 | 手动、已禁用 | 1.1.1 |
| 实现控制以保护 PII | CMA_C1839 - 实现控制以保护 PII | 手动、已禁用 | 1.1.0 |
| 在研究处理中合并安全和数据隐私做法 | CMA_0331 - 在研究处理中合并安全和数据隐私做法 | 手动、已禁用 | 1.1.0 |
| 将风险管理过程集成到 SDLC 中 | CMA_C1567 - 将风险管理过程集成到 SDLC 中 | 手动、已禁用 | 1.1.0 |
| 限制在生产环境中进行更改的特权 | CMA_C1206 - 限制在生产环境中进行更改的特权 | 手动、已禁用 | 1.1.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | 手动、已禁用 | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置变更控制执行审核 | 手动、已禁用 | 1.1.0 |
| 执行处置评审 | CMA_0391 - 执行处置评审 | 手动、已禁用 | 1.1.0 |
| 执行信息输入验证 | CMA_C1723 - 执行信息输入验证 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 要求开发人员构建安全体系结构 | CMA_C1612 - 要求开发人员构建安全体系结构 | 手动、已禁用 | 1.1.0 |
| 要求开发人员准确描述安全功能 | CMA_C1613 - 要求开发人员准确描述安全功能 | 手动、已禁用 | 1.1.0 |
| 要求开发人员记录已批准的更改和潜在影响 | CMA_C1597 - 要求开发人员记录已批准的更改和潜在影响 | 手动、已禁用 | 1.1.0 |
| 要求开发人员仅实现已批准的更改 | CMA_C1596 - 要求开发人员仅实现已批准的更改 | 手动、已禁用 | 1.1.0 |
| 要求开发人员管理更改完整性 | CMA_C1595 - 要求开发人员管理更改完整性 | 手动、已禁用 | 1.1.0 |
| 要求开发人员生成安全评估计划执行的证据 | CMA_C1602 - 要求开发人员生成安全评估计划执行的证据 | 手动、已禁用 | 1.1.0 |
| 要求开发人员提供统一的安全保护方法 | CMA_C1614 - 要求开发人员提供统一的安全保护方法 | 手动、已禁用 | 1.1.0 |
| 查看开发流程、标准和工具 | CMA_C1610 - 查看开发流程、标准和工具 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
| 在处理结束时验证个人数据是否已删除 | CMA_0540 - 在处理结束时验证个人数据是否已删除 | 手动、已禁用 | 1.1.0 |
IT 应用程序保护
ID:ENS v1 mp.sw.2 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 解决编码漏洞 | CMA_0003 - 解决编码漏洞 | 手动、已禁用 | 1.1.0 |
| 遵守定义的保持期 | CMA_0004 - 遵守定义的保持期 | 手动、已禁用 | 1.1.0 |
| 评估第三方关系中的风险 | CMA_0014 - 评估第三方关系中的风险 | 手动、已禁用 | 1.1.0 |
| 评估安全控制措施 | CMA_C1145 - 评估安全控制 | 手动、已禁用 | 1.1.0 |
| 分配授权官方(AO) | CMA_C1158 - 分配授权官方 (AO) | 手动、已禁用 | 1.1.0 |
| 对建议的更改自动执行审批请求 | CMA_C1192 - 对建议的更改自动执行审批请求 | 手动、已禁用 | 1.1.0 |
| 自动实现已批准的更改通知 | CMA_C1196 - 自动实现已批准的更改通知 | 手动、已禁用 | 1.1.0 |
| 将记录已实现的更改的流程自动化 | CMA_C1195 - 将记录已实现的更改的流程自动化 | 手动、已禁用 | 1.1.0 |
| 自动执行流程以突出未审阅的更改建议 | CMA_C1193 - 自动执行流程以突出未审阅的更改建议 | 手动、已禁用 | 1.1.0 |
| 自动执行进程以禁止实现未经批准的更改 | CMA_C1194 - 自动执行进程以禁止实现未经批准的更改 | 手动、已禁用 | 1.1.0 |
| 自动执行建议的已记录更改 | CMA_C1191 - 自动执行建议的已记录更改 | 手动、已禁用 | 1.1.0 |
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | 手动、已禁用 | 1.1.0 |
| 执行风险评估 | CMA_C1543 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
| 执行风险评估并分配其结果 | CMA_C1544 - 执行风险评估并分配其结果 | 手动、已禁用 | 1.1.0 |
| 执行风险评估并记录其结果 | CMA_C1542 - 执行风险评估并记录其结果 | 手动、已禁用 | 1.1.0 |
| 定义提供货物和服务的要求 | CMA_0126 - 定义供应货物和服务的要求 | 手动、已禁用 | 1.1.0 |
| 提供安全评估结果 | CMA_C1147 - 提供安全评估结果 | 手动、已禁用 | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 制定和记录应用程序安全要求 | CMA_0148 - 制定和记录应用程序安全要求 | 手动、已禁用 | 1.1.0 |
| 制定和维护漏洞管理标准 | CMA_0152 - 制定和维护漏洞管理标准 | 手动、已禁用 | 1.1.0 |
| 制定安全评估计划 | CMA_C1144 - 制定安全评估计划 | 手动、已禁用 | 1.1.0 |
| 记录收购合同验收条件 | CMA_0187 - 记录收购合同验收条件 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的个人数据保护 | CMA_0194 - 记录收购合同中的个人数据保护 | 手动、已禁用 | 1.1.0 |
| 收购合同中安全信息的文档保护 | CMA_0195 - 记录收购合同中安全信息的保护 | 手动、已禁用 | 1.1.0 |
| 记录在合同中使用共享数据的要求 | CMA_0197 - 记录在合同中使用共享数据的要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全保证要求 | CMA_0199 - 记录收购合同中的安全保证要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全记录要求 | CMA_0200 - 收购合同中的文档安全记录要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全功能要求 | CMA_0201 - 记录收购合同中的安全功能要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 记录第三方合同中的持卡人数据保护 | CMA_0207 - 记录第三方合同中的持卡人数据保护 | 手动、已禁用 | 1.1.0 |
| 强制执行安全配置设置 | CMA_0249 - 强制执行安全配置设置 | 手动、已禁用 | 1.1.0 |
| 确保资源已获得授权 | CMA_C1159 - 确保资源已获得授权 | 手动、已禁用 | 1.1.0 |
| 确保没有未加密的静态验证器 | CMA_C1340 - 确保没有未加密的静态验证器 | 手动、已禁用 | 1.1.0 |
| 建立风险管理策略 | CMA_0258 - 建立风险管理策略 | 手动、已禁用 | 1.1.0 |
| 建立安全软件开发计划 | CMA_0259 - 制定安全软件开发计划 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 为开发人员建立配置管理要求 | CMA_0270 - 为开发人员设定配置管理要求 | 手动、已禁用 | 1.1.0 |
| 制定供应链风险管理策略 | CMA_0275 - 制定供应链风险管理策略 | 手动、已禁用 | 1.1.0 |
| 使用 Python 的函数应用应使用指定的 Python 版本 | 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Python 版本。 | AuditIfNotExists、Disabled | 4.1.0 |
| 治理云服务提供商的合规性 | CMA_0290 - 治理云服务提供商的合规性 | 手动、已禁用 | 1.1.0 |
| 实现控制以保护 PII | CMA_C1839 - 实现控制以保护 PII | 手动、已禁用 | 1.1.0 |
| 将缺陷修正合并到配置管理中 | CMA_C1671 - 将缺陷修正合并到配置管理中 | 手动、已禁用 | 1.1.0 |
| 在研究处理中合并安全和数据隐私做法 | CMA_0331 - 在研究处理中合并安全和数据隐私做法 | 手动、已禁用 | 1.1.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | 手动、已禁用 | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置变更控制执行审核 | 手动、已禁用 | 1.1.0 |
| 执行处置评审 | CMA_0391 - 执行处置评审 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 生成安全评估报告 | CMA_C1146 - 生成安全评估报告 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
| 要求开发人员记录已批准的更改和潜在影响 | CMA_C1597 - 要求开发人员记录已批准的更改和潜在影响 | 手动、已禁用 | 1.1.0 |
| 要求开发人员仅实现已批准的更改 | CMA_C1596 - 要求开发人员仅实现已批准的更改 | 手动、已禁用 | 1.1.0 |
| 要求开发人员管理更改完整性 | CMA_C1595 - 要求开发人员管理更改完整性 | 手动、已禁用 | 1.1.0 |
| 要求开发人员生成安全评估计划执行的证据 | CMA_C1602 - 要求开发人员生成安全评估计划执行的证据 | 手动、已禁用 | 1.1.0 |
| 为安全控制评估选择其他测试 | CMA_C1149 - 为安全控制评估选择其他测试 | 手动、已禁用 | 1.1.0 |
| SQL 数据库应已解决漏洞结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 应在计算机上安装系统更新 | 建议通过 Azure 安全中心监视服务器上缺失的安全系统更新 | AuditIfNotExists、Disabled | 4.0.0 |
| 在处理结束时验证个人数据是否已删除 | CMA_0540 - 在处理结束时验证个人数据是否已删除 | 手动、已禁用 | 1.1.0 |
| 查看并配置系统诊断数据 | CMA_0544 - 查看并配置系统诊断数据 | 手动、已禁用 | 1.1.0 |
操作框架
访问控制
ID:ENS v1 op.acc.1 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对 Azure 资源拥有所有者权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有读取权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有写入权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 分配客户经理 | CMA_0015 - 分配客户经理 | 手动、已禁用 | 1.1.0 |
| 分配系统标识符 | CMA_0018 - 分配系统标识符 | 手动、已禁用 | 1.1.0 |
| 审核没有将 passwd 文件权限设为 0644 的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机未将密码文件权限设为 0644,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
| 审核特权函数 | CMA_0019 - 审核特权函数 | 手动、已禁用 | 1.1.0 |
| 审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | Audit、Disabled | 1.0.1 |
| 审核用户帐户状态 | CMA_0020 - 审核用户帐户状态 | 手动、已禁用 | 1.1.0 |
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 自动执行帐户管理 | CMA_0026 - 自动执行帐户管理 | 手动、已禁用 | 1.1.0 |
| 应删除对 Azure 资源拥有所有者权限的已封锁帐户 | 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取和写入权限的已封锁帐户 | 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 定义信息系统帐户类型 | CMA_0121 - 定义信息系统帐户类型 | 手动、已禁用 | 1.1.0 |
| 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 设计访问控制模型 | CMA_0129 - 设计访问控制模型 | 手动、已禁用 | 1.1.0 |
| 终止时禁用验证器 | CMA_0169 - 终止时禁用验证器 | 手动、已禁用 | 1.1.0 |
| 记录访问特权 | CMA_0186 - 记录访问特权 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 采用最小特权访问 | CMA_0212 - 采用最小特权访问 | 手动、已禁用 | 1.1.0 |
| 启用网络设备检测 | CMA_0220 - 启用网络设备检测 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 强制执行用户唯一性 | CMA_0250 - 强制执行用户唯一性 | 手动、已禁用 | 1.1.0 |
| 制定密码策略 | CMA_0256 - 制定密码策略 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 建立验证器类型和进程 | CMA_0267 - 建立验证器类型和流程 | 手动、已禁用 | 1.1.0 |
| 为角色成员资格设定条件 | CMA_0269 - 为角色成员资格设定条件 | 手动、已禁用 | 1.1.0 |
| 建立初始验证器分配过程 | CMA_0276 - 建立初始验证器分配过程 | 手动、已禁用 | 1.1.0 |
| 应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 识别未经身份验证允许的操作 | CMA_0295 - 识别未经身份验证允许的操作 | 手动、已禁用 | 1.1.0 |
| 识别非组织用户并对其进行身份验证 | CMA_C1346 - 识别非组织用户并对其进行身份验证 | 手动、已禁用 | 1.1.0 |
| 实现记住的机密验证过程的参数 | CMA_0321 - 实现记住的机密验证工具的参数 | 手动、已禁用 | 1.1.0 |
| 进行验证器保护培训 | CMA_0329 - 进行验证器保护的培训 | 手动、已禁用 | 1.1.0 |
| 启动传输或重新分配操作 | CMA_0333 - 启动调动或重新分配操作 | 手动、已禁用 | 1.1.0 |
| 限制在生产环境中进行更改的特权 | CMA_C1206 - 限制在生产环境中进行更改的特权 | 手动、已禁用 | 1.1.0 |
| 管理验证器生存期并重新使用 | CMA_0355 - 管理验证器生存期并重新使用 | 手动、已禁用 | 1.1.0 |
| 管理验证器 | CMA_C1321 - 管理验证器 | 手动、已禁用 | 1.1.0 |
| 管理系统和管理员帐户 | CMA_0368 - 管理系统和管理员帐户 | 手动、已禁用 | 1.1.0 |
| 在人员调动时修改访问授权 | CMA_0374 - 在人员调动时修改访问授权 | 手动、已禁用 | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 监视特权角色分配 | CMA_0378 - 监视特权角色分配 | 手动、已禁用 | 1.1.0 |
| 通知客户控制帐户的帐户经理 | CMA_C1009 - 通知客户控制帐户的帐户经理 | 手动、已禁用 | 1.1.0 |
| 终止或传输时通知 | CMA_0381 - 离职或调动时通知 | 手动、已禁用 | 1.1.0 |
| 当不需要帐户时通知 | CMA_0383 - 当不需要帐户时通知 | 手动、已禁用 | 1.1.0 |
| 阻止在定义的时间段内重复使用标识符 | CMA_C1314 - 阻止在定义的时间段内重复使用标识符 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
| 根据需要重新分配或移除用户权限 | CMA_C1040 - 根据需要重新分配或移除用户权限 | 手动、已禁用 | 1.1.0 |
| 在个人传输时重新评估访问权限 | CMA_0424 - 在个人调动时重新评估访问权限 | 手动、已禁用 | 1.1.0 |
| 刷新验证器 | CMA_0425 - 刷新验证器 | 手动、已禁用 | 1.1.0 |
| 重新颁发已更改的组和帐户的验证器 | CMA_0426 - 重新颁发用于已更改的组和帐户的验证器 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问权限 | 手动、已禁用 | 1.1.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 审阅并重新评估特权 | CMA_C1207 - 审阅并重新评估特权 | 手动、已禁用 | 1.1.0 |
| 审查用户帐户 | CMA_0480 - 审查用户帐户 | 手动、已禁用 | 1.1.0 |
| 查看用户权限 | CMA_C1039 - 查看用户权限 | 手动、已禁用 | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | 手动、已禁用 | 1.1.0 |
| Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 | 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 | Audit、Deny、Disabled | 1.1.0 |
| 为组织中的新云应用程序和热门云应用程序设置自动通知 | CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 | 手动、已禁用 | 1.1.0 |
| 支持由法律机构颁发的个人验证凭据 | CMA_0507 - 支持由法律机构颁发的个人验证凭据 | 手动、已禁用 | 1.1.0 |
| 使用特权标识管理 | CMA_0533 - 使用特权标识管理 | 手动、已禁用 | 1.1.0 |
| 在分发验证器之前验证标识 | CMA_0538 - 在分发验证器之前验证标识 | 手动、已禁用 | 1.1.0 |
访问控制
ID:ENS v1 op.acc.2 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对 Azure 资源拥有所有者权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有读取权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有写入权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 审核允许在没有密码的情况下从帐户进行远程连接的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机允许通过没有密码的帐户进行远程连接,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
| 审核具有不使用密码的帐户的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机具有不使用密码的帐户,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
| 审核未使用托管磁盘的 VM | 此策略审核未使用托管磁盘的 VM | 审核 | 1.0.0 |
| 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机允许在指定数量的唯一密码后重新使用密码,则这些计算机是不合规的。 唯一密码的默认值为 24 | AuditIfNotExists、Disabled | 2.1.0 |
| 审核未将最长密码期限设置为指定天数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最长密码期限设置为指定天数,则这些计算机是不合规的。 最长密码期限的默认值为 70 天 | AuditIfNotExists、Disabled | 2.1.0 |
| 审核未将最短密码期限设置为指定天数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最短密码期限设置为指定天数,则这些计算机是不合规的。 最短密码期限的默认值为 1 天 | AuditIfNotExists、Disabled | 2.1.0 |
| 审核未启用密码复杂性设置的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未启用密码复杂性设置,则计算机不合规 | AuditIfNotExists、Disabled | 2.0.0 |
| 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机没有将最短密码长度限制为特定字符数,则这些计算机是不合规的。 最短密码长度的默认值为 14 个字符 | AuditIfNotExists、Disabled | 2.1.0 |
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 自动执行帐户管理 | CMA_0026 - 自动执行帐户管理 | 手动、已禁用 | 1.1.0 |
| 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 设计访问控制模型 | CMA_0129 - 设计访问控制模型 | 手动、已禁用 | 1.1.0 |
| 制定访问控制策略和过程 | CMA_0144 - 制定访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 终止时禁用验证器 | CMA_0169 - 终止时禁用验证器 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 采用最小特权访问 | CMA_0212 - 采用最小特权访问 | 手动、已禁用 | 1.1.0 |
| 启用网络设备检测 | CMA_0220 - 启用网络设备检测 | 手动、已禁用 | 1.1.0 |
| 强制限制连续失败的登录尝试次数 | CMA_C1044 - 强制限制连续失败的登录尝试次数 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 强制执行用户唯一性 | CMA_0250 - 强制执行用户唯一性 | 手动、已禁用 | 1.1.0 |
| 制定密码策略 | CMA_0256 - 制定密码策略 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 建立验证器类型和进程 | CMA_0267 - 建立验证器类型和流程 | 手动、已禁用 | 1.1.0 |
| 制定电子签名和证书要求 | CMA_0271 - 制定电子签名和证书要求 | 手动、已禁用 | 1.1.0 |
| 建立初始验证器分配过程 | CMA_0276 - 建立初始验证器分配过程 | 手动、已禁用 | 1.1.0 |
| 生成错误消息 | CMA_C1724 - 生成错误消息 | 手动、已禁用 | 1.1.0 |
| 治理策略和过程 | CMA_0292 - 治理策略和过程 | 手动、已禁用 | 1.1.0 |
| 识别未经身份验证允许的操作 | CMA_0295 - 识别未经身份验证允许的操作 | 手动、已禁用 | 1.1.0 |
| 识别非组织用户并对其进行身份验证 | CMA_C1346 - 识别非组织用户并对其进行身份验证 | 手动、已禁用 | 1.1.0 |
| 实现记住的机密验证过程的参数 | CMA_0321 - 实现记住的机密验证工具的参数 | 手动、已禁用 | 1.1.0 |
| 进行验证器保护培训 | CMA_0329 - 进行验证器保护的培训 | 手动、已禁用 | 1.1.0 |
| 限制在生产环境中进行更改的特权 | CMA_C1206 - 限制在生产环境中进行更改的特权 | 手动、已禁用 | 1.1.0 |
| 管理验证器生存期并重新使用 | CMA_0355 - 管理验证器生存期并重新使用 | 手动、已禁用 | 1.1.0 |
| 管理验证器 | CMA_C1321 - 管理验证器 | 手动、已禁用 | 1.1.0 |
| 管理系统和管理员帐户 | CMA_0368 - 管理系统和管理员帐户 | 手动、已禁用 | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 当不需要帐户时通知 | CMA_0383 - 当不需要帐户时通知 | 手动、已禁用 | 1.1.0 |
| 身份验证过程中模糊的反馈信息 | CMA_C1344 - 身份验证过程中模糊的反馈信息 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
| 刷新验证器 | CMA_0425 - 刷新验证器 | 手动、已禁用 | 1.1.0 |
| 重新颁发已更改的组和帐户的验证器 | CMA_0426 - 重新颁发用于已更改的组和帐户的验证器 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问权限 | 手动、已禁用 | 1.1.0 |
| 显示错误消息 | CMA_C1725 - 显示错误消息 | 手动、已禁用 | 1.1.0 |
| 查看访问控制策略和过程 | CMA_0457 - 查看访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | 手动、已禁用 | 1.1.0 |
| 通过托管网络访问点路由流量 | CMA_0484 - 通过托管网络访问点路由流量 | 手动、已禁用 | 1.1.0 |
| 为组织中的新云应用程序和热门云应用程序设置自动通知 | CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 | 手动、已禁用 | 1.1.0 |
| 存储帐户应迁移到新的 Azure 资源管理器资源 | 使用新的 Azure 资源管理器为存储帐户提供安全增强功能,例如:更强大的访问控制 (RBAC)、更好的审核、基于 Azure 资源管理器的部署和监管、对托管标识的访问权限、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及对标记和资源组的支持,以简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
| 支持由法律机构颁发的个人验证凭据 | CMA_0507 - 支持由法律机构颁发的个人验证凭据 | 手动、已禁用 | 1.1.0 |
| 终止客户控制的帐户凭据 | CMA_C1022 - 终止客户控制的帐户凭据 | 手动、已禁用 | 1.1.0 |
| 自动终止用户会话 | CMA_C1054 - 自动终止用户会话 | 手动、已禁用 | 1.1.0 |
| 在分发验证器之前验证标识 | CMA_0538 - 在分发验证器之前验证标识 | 手动、已禁用 | 1.1.0 |
| 应将虚拟机迁移到新的 Azure 资源管理器资源 | 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
访问控制
ID:ENS v1 op.acc.3 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对 Azure 资源拥有所有者权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有写入权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 分配客户经理 | CMA_0015 - 分配客户经理 | 手动、已禁用 | 1.1.0 |
| 审核特权函数 | CMA_0019 - 审核特权函数 | 手动、已禁用 | 1.1.0 |
| 审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | Audit、Disabled | 1.0.1 |
| 审核用户帐户状态 | CMA_0020 - 审核用户帐户状态 | 手动、已禁用 | 1.1.0 |
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 自动执行帐户管理 | CMA_0026 - 自动执行帐户管理 | 手动、已禁用 | 1.1.0 |
| 应删除对 Azure 资源拥有所有者权限的已封锁帐户 | 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取和写入权限的已封锁帐户 | 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 定义访问授权以支持职责划分 | CMA_0116 - 定义访问授权以支持职责划分 | 手动、已禁用 | 1.1.0 |
| 定义信息系统帐户类型 | CMA_0121 - 定义信息系统帐户类型 | 手动、已禁用 | 1.1.0 |
| 设计访问控制模型 | CMA_0129 - 设计访问控制模型 | 手动、已禁用 | 1.1.0 |
| 记录访问特权 | CMA_0186 - 记录访问特权 | 手动、已禁用 | 1.1.0 |
| 记录职责划分 | CMA_0204 - 记录职责划分 | 手动、已禁用 | 1.1.0 |
| 采用最小特权访问 | CMA_0212 - 采用最小特权访问 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 为角色成员资格设定条件 | CMA_0269 - 为角色成员资格设定条件 | 手动、已禁用 | 1.1.0 |
| 应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 启动传输或重新分配操作 | CMA_0333 - 启动调动或重新分配操作 | 手动、已禁用 | 1.1.0 |
| 限制在生产环境中进行更改的特权 | CMA_C1206 - 限制在生产环境中进行更改的特权 | 手动、已禁用 | 1.1.0 |
| 管理系统和管理员帐户 | CMA_0368 - 管理系统和管理员帐户 | 手动、已禁用 | 1.1.0 |
| 在人员调动时修改访问授权 | CMA_0374 - 在人员调动时修改访问授权 | 手动、已禁用 | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 监视特权角色分配 | CMA_0378 - 监视特权角色分配 | 手动、已禁用 | 1.1.0 |
| 通知客户控制帐户的帐户经理 | CMA_C1009 - 通知客户控制帐户的帐户经理 | 手动、已禁用 | 1.1.0 |
| 终止或传输时通知 | CMA_0381 - 离职或调动时通知 | 手动、已禁用 | 1.1.0 |
| 当不需要帐户时通知 | CMA_0383 - 当不需要帐户时通知 | 手动、已禁用 | 1.1.0 |
| 根据需要重新分配或移除用户权限 | CMA_C1040 - 根据需要重新分配或移除用户权限 | 手动、已禁用 | 1.1.0 |
| 在个人传输时重新评估访问权限 | CMA_0424 - 在个人调动时重新评估访问权限 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问权限 | 手动、已禁用 | 1.1.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 审阅并重新评估特权 | CMA_C1207 - 审阅并重新评估特权 | 手动、已禁用 | 1.1.0 |
| 审查用户帐户 | CMA_0480 - 审查用户帐户 | 手动、已禁用 | 1.1.0 |
| 查看用户权限 | CMA_C1039 - 查看用户权限 | 手动、已禁用 | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | 手动、已禁用 | 1.1.0 |
| 个人的独立职责 | CMA_0492 - 个人的独立职责 | 手动、已禁用 | 1.1.0 |
| Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 | 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 | Audit、Deny、Disabled | 1.1.0 |
| 使用特权标识管理 | CMA_0533 - 使用特权标识管理 | 手动、已禁用 | 1.1.0 |
访问控制
ID:ENS v1 op.acc.4 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对 Azure 资源拥有所有者权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有写入权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 分配客户经理 | CMA_0015 - 分配客户经理 | 手动、已禁用 | 1.1.0 |
| 审核特权函数 | CMA_0019 - 审核特权函数 | 手动、已禁用 | 1.1.0 |
| 审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | Audit、Disabled | 1.0.1 |
| 审核用户帐户状态 | CMA_0020 - 审核用户帐户状态 | 手动、已禁用 | 1.1.0 |
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 自动执行帐户管理 | CMA_0026 - 自动执行帐户管理 | 手动、已禁用 | 1.1.0 |
| 应删除对 Azure 资源拥有所有者权限的已封锁帐户 | 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取和写入权限的已封锁帐户 | 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 定义信息系统帐户类型 | CMA_0121 - 定义信息系统帐户类型 | 手动、已禁用 | 1.1.0 |
| 设计访问控制模型 | CMA_0129 - 设计访问控制模型 | 手动、已禁用 | 1.1.0 |
| 记录访问特权 | CMA_0186 - 记录访问特权 | 手动、已禁用 | 1.1.0 |
| 采用最小特权访问 | CMA_0212 - 采用最小特权访问 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 为角色成员资格设定条件 | CMA_0269 - 为角色成员资格设定条件 | 手动、已禁用 | 1.1.0 |
| 应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 启动传输或重新分配操作 | CMA_0333 - 启动调动或重新分配操作 | 手动、已禁用 | 1.1.0 |
| 限制在生产环境中进行更改的特权 | CMA_C1206 - 限制在生产环境中进行更改的特权 | 手动、已禁用 | 1.1.0 |
| 管理系统和管理员帐户 | CMA_0368 - 管理系统和管理员帐户 | 手动、已禁用 | 1.1.0 |
| 在人员调动时修改访问授权 | CMA_0374 - 在人员调动时修改访问授权 | 手动、已禁用 | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 监视特权角色分配 | CMA_0378 - 监视特权角色分配 | 手动、已禁用 | 1.1.0 |
| 通知客户控制帐户的帐户经理 | CMA_C1009 - 通知客户控制帐户的帐户经理 | 手动、已禁用 | 1.1.0 |
| 终止或传输时通知 | CMA_0381 - 离职或调动时通知 | 手动、已禁用 | 1.1.0 |
| 当不需要帐户时通知 | CMA_0383 - 当不需要帐户时通知 | 手动、已禁用 | 1.1.0 |
| 根据需要重新分配或移除用户权限 | CMA_C1040 - 根据需要重新分配或移除用户权限 | 手动、已禁用 | 1.1.0 |
| 在个人传输时重新评估访问权限 | CMA_0424 - 在个人调动时重新评估访问权限 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问权限 | 手动、已禁用 | 1.1.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 审阅并重新评估特权 | CMA_C1207 - 审阅并重新评估特权 | 手动、已禁用 | 1.1.0 |
| 审查用户帐户 | CMA_0480 - 审查用户帐户 | 手动、已禁用 | 1.1.0 |
| 查看用户权限 | CMA_C1039 - 查看用户权限 | 手动、已禁用 | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | 手动、已禁用 | 1.1.0 |
| Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 | 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 | Audit、Deny、Disabled | 1.1.0 |
| 使用特权标识管理 | CMA_0533 - 使用特权标识管理 | 手动、已禁用 | 1.1.0 |
访问控制
ID:ENS v1 op.acc.5 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对 Azure 资源拥有所有者权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有读取权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有写入权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 分配客户经理 | CMA_0015 - 分配客户经理 | 手动、已禁用 | 1.1.0 |
| 审核没有将 passwd 文件权限设为 0644 的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机未将密码文件权限设为 0644,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
| 审核特权函数 | CMA_0019 - 审核特权函数 | 手动、已禁用 | 1.1.0 |
| 审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | Audit、Disabled | 1.0.1 |
| 审核用户帐户状态 | CMA_0020 - 审核用户帐户状态 | 手动、已禁用 | 1.1.0 |
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 自动执行帐户管理 | CMA_0026 - 自动执行帐户管理 | 手动、已禁用 | 1.1.0 |
| 应删除对 Azure 资源拥有所有者权限的已封锁帐户 | 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取和写入权限的已封锁帐户 | 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 定义信息系统帐户类型 | CMA_0121 - 定义信息系统帐户类型 | 手动、已禁用 | 1.1.0 |
| 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 设计访问控制模型 | CMA_0129 - 设计访问控制模型 | 手动、已禁用 | 1.1.0 |
| 终止时禁用验证器 | CMA_0169 - 终止时禁用验证器 | 手动、已禁用 | 1.1.0 |
| 记录访问特权 | CMA_0186 - 记录访问特权 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 采用最小特权访问 | CMA_0212 - 采用最小特权访问 | 手动、已禁用 | 1.1.0 |
| 启用网络设备检测 | CMA_0220 - 启用网络设备检测 | 手动、已禁用 | 1.1.0 |
| 强制限制连续失败的登录尝试次数 | CMA_C1044 - 强制限制连续失败的登录尝试次数 | 手动、已禁用 | 1.1.0 |
| 强制执行用户唯一性 | CMA_0250 - 强制执行用户唯一性 | 手动、已禁用 | 1.1.0 |
| 制定密码策略 | CMA_0256 - 制定密码策略 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 建立验证器类型和进程 | CMA_0267 - 建立验证器类型和流程 | 手动、已禁用 | 1.1.0 |
| 为角色成员资格设定条件 | CMA_0269 - 为角色成员资格设定条件 | 手动、已禁用 | 1.1.0 |
| 制定电子签名和证书要求 | CMA_0271 - 制定电子签名和证书要求 | 手动、已禁用 | 1.1.0 |
| 建立初始验证器分配过程 | CMA_0276 - 建立初始验证器分配过程 | 手动、已禁用 | 1.1.0 |
| 生成错误消息 | CMA_C1724 - 生成错误消息 | 手动、已禁用 | 1.1.0 |
| 应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 识别未经身份验证允许的操作 | CMA_0295 - 识别未经身份验证允许的操作 | 手动、已禁用 | 1.1.0 |
| 识别非组织用户并对其进行身份验证 | CMA_C1346 - 识别非组织用户并对其进行身份验证 | 手动、已禁用 | 1.1.0 |
| 实现记住的机密验证过程的参数 | CMA_0321 - 实现记住的机密验证工具的参数 | 手动、已禁用 | 1.1.0 |
| 进行验证器保护培训 | CMA_0329 - 进行验证器保护的培训 | 手动、已禁用 | 1.1.0 |
| 启动传输或重新分配操作 | CMA_0333 - 启动调动或重新分配操作 | 手动、已禁用 | 1.1.0 |
| 限制在生产环境中进行更改的特权 | CMA_C1206 - 限制在生产环境中进行更改的特权 | 手动、已禁用 | 1.1.0 |
| 管理验证器生存期并重新使用 | CMA_0355 - 管理验证器生存期并重新使用 | 手动、已禁用 | 1.1.0 |
| 管理验证器 | CMA_C1321 - 管理验证器 | 手动、已禁用 | 1.1.0 |
| 管理系统和管理员帐户 | CMA_0368 - 管理系统和管理员帐户 | 手动、已禁用 | 1.1.0 |
| 在人员调动时修改访问授权 | CMA_0374 - 在人员调动时修改访问授权 | 手动、已禁用 | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 监视特权角色分配 | CMA_0378 - 监视特权角色分配 | 手动、已禁用 | 1.1.0 |
| 通知客户控制帐户的帐户经理 | CMA_C1009 - 通知客户控制帐户的帐户经理 | 手动、已禁用 | 1.1.0 |
| 终止或传输时通知 | CMA_0381 - 离职或调动时通知 | 手动、已禁用 | 1.1.0 |
| 通知用户系统登录或访问 | CMA_0382 - 在系统登录或访问时通知用户 | 手动、已禁用 | 1.1.0 |
| 当不需要帐户时通知 | CMA_0383 - 当不需要帐户时通知 | 手动、已禁用 | 1.1.0 |
| 身份验证过程中模糊的反馈信息 | CMA_C1344 - 身份验证过程中模糊的反馈信息 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
| 根据需要重新分配或移除用户权限 | CMA_C1040 - 根据需要重新分配或移除用户权限 | 手动、已禁用 | 1.1.0 |
| 在个人传输时重新评估访问权限 | CMA_0424 - 在个人调动时重新评估访问权限 | 手动、已禁用 | 1.1.0 |
| 刷新验证器 | CMA_0425 - 刷新验证器 | 手动、已禁用 | 1.1.0 |
| 重新颁发已更改的组和帐户的验证器 | CMA_0426 - 重新颁发用于已更改的组和帐户的验证器 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问权限 | 手动、已禁用 | 1.1.0 |
| 显示错误消息 | CMA_C1725 - 显示错误消息 | 手动、已禁用 | 1.1.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 审阅并重新评估特权 | CMA_C1207 - 审阅并重新评估特权 | 手动、已禁用 | 1.1.0 |
| 审查用户帐户 | CMA_0480 - 审查用户帐户 | 手动、已禁用 | 1.1.0 |
| 查看用户权限 | CMA_C1039 - 查看用户权限 | 手动、已禁用 | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | 手动、已禁用 | 1.1.0 |
| 通过托管网络访问点路由流量 | CMA_0484 - 通过托管网络访问点路由流量 | 手动、已禁用 | 1.1.0 |
| Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 | 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 | Audit、Deny、Disabled | 1.1.0 |
| 为组织中的新云应用程序和热门云应用程序设置自动通知 | CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 | 手动、已禁用 | 1.1.0 |
| 支持由法律机构颁发的个人验证凭据 | CMA_0507 - 支持由法律机构颁发的个人验证凭据 | 手动、已禁用 | 1.1.0 |
| 终止客户控制的帐户凭据 | CMA_C1022 - 终止客户控制的帐户凭据 | 手动、已禁用 | 1.1.0 |
| 自动终止用户会话 | CMA_C1054 - 自动终止用户会话 | 手动、已禁用 | 1.1.0 |
| 使用特权标识管理 | CMA_0533 - 使用特权标识管理 | 手动、已禁用 | 1.1.0 |
| 在分发验证器之前验证标识 | CMA_0538 - 在分发验证器之前验证标识 | 手动、已禁用 | 1.1.0 |
访问控制
ID:ENS v1 op.acc.6 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [已弃用]:虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 此策略定义不再是实现其意图的建议方法。 建议不要继续使用此策略,而是使用策略 ID 3dc5edcd-002d-444c-b216-e123bbfa37c0 和 ca88aadc-6e2b-416c-9de2-5a0f01d1693f 分配此替带策略。 若要详细了解策略定义弃用,请访问 aka.ms/policydefdeprecation | AuditIfNotExists、Disabled | 2.1.0-deprecated |
| 对 Azure 资源拥有所有者权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有读取权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有写入权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 审核未存储使用可逆加密的密码的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未存储使用可逆加密的密码,则计算机不合规 | AuditIfNotExists、Disabled | 2.0.0 |
| 对加密模块进行身份验证 | CMA_0021 - 对加密模块进行身份验证 | 手动、已禁用 | 1.1.0 |
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 自动化帐户变量应加密 | 存储敏感数据时,请务必启用自动化帐户变量资产加密 | Audit、Deny、Disabled | 1.1.0 |
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 定义和记录政府监督 | CMA_C1587 - 定义和记录政府监督 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 制定访问控制策略和过程 | CMA_0144 - 制定访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 阐述和分发隐私策略 | CMA_0188 - 记录并分发隐私策略 | 手动、已禁用 | 1.1.0 |
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 使用边界保护隔离信息系统 | CMA_C1639 - 使用边界保护隔离信息系统 | 手动、已禁用 | 1.1.0 |
| 启用网络设备检测 | CMA_0220 - 启用网络设备检测 | 手动、已禁用 | 1.1.0 |
| 强制限制连续失败的登录尝试次数 | CMA_C1044 - 强制限制连续失败的登录尝试次数 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制执行用户唯一性 | CMA_0250 - 强制执行用户唯一性 | 手动、已禁用 | 1.1.0 |
| 制定电子签名和证书要求 | CMA_0271 - 制定电子签名和证书要求 | 手动、已禁用 | 1.1.0 |
| 建立防火墙和路由器配置标准 | CMA_0272 - 建立防火墙和路由器配置标准 | 手动、已禁用 | 1.1.0 |
| 为持卡人数据环境建立网络分段 | CMA_0273 - 为持卡人数据环境建立网络分段 | 手动、已禁用 | 1.1.0 |
| 制定访问资源的条款和条件 | CMA_C1076 - 制定访问资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 制定处理资源的条款和条件 | CMA_C1077 - 制定处理资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 生成错误消息 | CMA_C1724 - 生成错误消息 | 手动、已禁用 | 1.1.0 |
| 治理策略和过程 | CMA_0292 - 治理策略和过程 | 手动、已禁用 | 1.1.0 |
| 识别未经身份验证允许的操作 | CMA_0295 - 识别未经身份验证允许的操作 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 识别非组织用户并对其进行身份验证 | CMA_C1346 - 识别非组织用户并对其进行身份验证 | 手动、已禁用 | 1.1.0 |
| 标识和管理下游信息交换 | CMA_0298 - 标识和管理下游信息交换 | 手动、已禁用 | 1.1.0 |
| 实现容错名称/地址服务 | CMA_0305 - 实现容错名称/地址服务 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 为每项外部服务实现托管接口 | CMA_C1626 - 为每项外部服务实现托管接口 | 手动、已禁用 | 1.1.0 |
| 实施隐私声明传递方法 | CMA_0324 - 实现隐私通知交付方法 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 通知用户系统登录或访问 | CMA_0382 - 在系统登录或访问时通知用户 | 手动、已禁用 | 1.1.0 |
| 身份验证过程中模糊的反馈信息 | CMA_C1344 - 身份验证过程中模糊的反馈信息 | 手动、已禁用 | 1.1.0 |
| 阻止远程设备的拆分隧道 | CMA_C1632 - 阻止远程设备拆分隧道 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配非对称加密密钥 | CMA_C1646 - 生成、控制和分配非对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
| 提供隐私通知 | CMA_0414 - 提供隐私通知 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 提供安全的名称和地址解析服务 | CMA_0416 - 提供安全的名称和地址解析服务 | 手动、已禁用 | 1.1.0 |
| 重新验证或终止用户会话 | CMA_0421 - 重新验证或终止用户会话 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
| 需要互连安全协议 | CMA_C1151 - 需要互连安全协议 | 手动、已禁用 | 1.1.0 |
| 限制通信 | CMA_0449 - 限制通信 | 手动、已禁用 | 1.1.0 |
| 显示错误消息 | CMA_C1725 - 显示错误消息 | 手动、已禁用 | 1.1.0 |
| 查看访问控制策略和过程 | CMA_0457 - 查看访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和通信保护策略及过程 | CMA_C1616 - 查看和更新系统和通信保护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看云服务提供商对策略和协议的符合性 | CMA_0469 - 查看云服务提供商对策略和协议的符合性 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
| 通过托管网络访问点路由流量 | CMA_0484 - 通过托管网络访问点路由流量 | 手动、已禁用 | 1.1.0 |
| 将接口固定到外部系统 | CMA_0491 - 保护到外部系统的接口 | 手动、已禁用 | 1.1.0 |
| 应启用安全传输到存储帐户 | 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | Audit、Deny、Disabled | 2.0.0 |
| 单独的用户和信息系统管理功能 | CMA_0493 - 单独的用户和信息系统管理功能 | 手动、已禁用 | 1.1.0 |
| Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign | Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别(None、Sign 和 EncryptAndSign)。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名 | Audit、Deny、Disabled | 1.1.0 |
| 为组织中的新云应用程序和热门云应用程序设置自动通知 | CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 | 手动、已禁用 | 1.1.0 |
| 支持由法律机构颁发的个人验证凭据 | CMA_0507 - 支持由法律机构颁发的个人验证凭据 | 手动、已禁用 | 1.1.0 |
| 自动终止用户会话 | CMA_C1054 - 自动终止用户会话 | 手动、已禁用 | 1.1.0 |
| 应在 SQL 数据库上启用透明数据加密 | 应启用透明数据加密以保护静态数据并满足符合性要求 | AuditIfNotExists、Disabled | 2.0.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
| 更新互连安全协议 | CMA_0519 - 更新互连安全协议 | 手动、已禁用 | 1.1.0 |
| 使用专用计算机执行管理任务 | CMA_0527 - 使用专用计算机执行管理任务 | 手动、已禁用 | 1.1.0 |
| 验证外部信息系统的安全控制 | CMA_0541 - 验证外部信息系统的安全控制 | 手动、已禁用 | 1.1.0 |
服务连续性
ID:ENS v1 op.cont.1 所有权:客户
服务连续性
ID:ENS v1 op.cont.2 所有权:客户
服务连续性
ID:ENS v1 op.cont.3 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 | 使用客户管理的密钥来管理备份数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/AB-CmkEncryption。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览版]:Azure 恢复服务保管库应使用专用链接进行备份 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 恢复服务保管库,可以减少数据泄漏风险。 有关专用链接的详细信息,请访问:https://aka.ms/AB-PrivateEndpoints。 | Audit、Disabled | 2.0.0-preview |
| 预览版:配置恢复服务保管库以使用专用 DNS 区域进行备份 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到恢复服务保管库。 有关详细信息,请访问:https://aka.ms/AB-PrivateEndpoints。 | DeployIfNotExists、Disabled | 1.0.1-preview |
| [预览]:配置恢复服务保管库以使用专用终结点进行备份 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到恢复服务保管库,可以降低数据泄露风险。 请注意,保管库需要满足某些先决条件,才有资格进行专用终结点配置。 了解详细信息:https://go.microsoft.com/fwlink/?linkid=2187162。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:禁用备份保管库的跨订阅还原 | 禁用或永久禁用备份保管库的跨订阅还原,从而使还原目标无法位于与保管库订阅不同的订阅中。 有关详细信息,请访问:https://aka.ms/csrstatechange。 | 修改,已禁用 | 1.1.0-preview |
| [预览版]:备份保管库必须启用不可变性 | 此策略会审核范围内的备份保管库是否启用了不可变保管库属性。 有助于防止备份数据在预期过期前被删除。 更多信息请访问 https://aka.ms/AB-ImmutableVaults。 | Audit、Disabled | 1.0.1-preview |
| [预览]:恢复服务库必须启用不可变性 | 此策略会审核范围内的恢复服务库是否启用了不可变保管库属性。 有助于防止备份数据在预期过期前被删除。 更多信息请访问 https://aka.ms/AB-ImmutableVaults。 | Audit、Disabled | 1.0.1-preview |
| [预览版]:备份保管库应启用软删除 | 此策略会审核范围内的备份保管库是否启用了软删除。 软删除可帮助恢复已经被删除的数据。 有关详细信息,请访问 https://aka.ms/AB-SoftDelete | Audit、Disabled | 1.0.0-preview |
| 应为虚拟机启用 Azure 备份 | 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 | AuditIfNotExists、Disabled | 3.0.0 |
| 传达应变计划更改 | CMA_C1249 - 传达应变计划更改 | 手动、已禁用 | 1.1.0 |
| 执行信息系统文档的备份 | CMA_C1289 - 执行信息系统文档备份 | 手动、已禁用 | 1.1.0 |
| 配置带给定标记的虚拟机上的备份并备份到同一位置中的现有恢复服务保管库 | 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMCentralBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 配置不带给定标记的虚拟机上的备份并备份到包含默认策略的新恢复服务保管库 | 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMAppCentricBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
| 制定应变计划 | CMA_C1244 - 制定应变计划 | 手动、已禁用 | 1.1.0 |
| 制定应变计划策略和过程 | CMA_0156 - 制定应变计划策略和过程 | 手动、已禁用 | 1.1.0 |
| 建立备用存储站点以存储和检索备份信息 | CMA_C1267 - 建立备用存储站点以存储和检索备份信息 | 手动、已禁用 | 1.1.0 |
| 建立备份策略和过程 | CMA_0268 - 制定备份策略和过程 | 手动、已禁用 | 1.1.0 |
| 应为 Azure Database for MariaDB 启用异地冗余备份 | 通过 Azure Database for MariaDB,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Database for MySQL 启用异地冗余备份 | 通过 Azure Database for MySQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Database for PostgreSQL 启用异地冗余备份 | 通过 Azure Database for PostgreSQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 合并模拟的应变训练 | CMA_C1260 - 合并模拟的应变训练 | 手动、已禁用 | 1.1.0 |
| 启动应变计划测试纠正措施 | CMA_C1263 - 启动应变计划测试纠正措施 | 手动、已禁用 | 1.1.0 |
| 应为 Azure SQL 数据库启用长期异地冗余备份 | 此策略将审核未启用长期异地冗余备份的任何 Azure SQL 数据库。 | AuditIfNotExists、Disabled | 2.0.0 |
| Microsoft 托管的控制 1132 - 审核信息保护 | 对独立物理系统/组件的审核备份 | 由 Microsoft 实现此审核和问责制控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1242 - 应变计划政策和程序 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1243 - 应变计划政策和程序 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1244 - 应变计划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1245 - 应变计划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1246 - 应变计划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1247 - 应变计划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1248 - 应变计划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1249 - 应变计划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1250 - 应变计划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1251 - 应变计划 | 与相关计划协调 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1252 - 应变计划 | 容量规划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1253 - 应变计划 | 恢复关键任务/业务功能 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1254 - 应变计划 | 恢复所有任务/业务功能 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1255 - 应变计划 | 继续关键任务/业务功能 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1256 - 应变计划 | 识别关键资产 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1257 - 应变培训 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1258 - 应变培训 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1259 - 应变培训 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1260 - 应变培训 | 模拟事件 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1261 - 应变计划测试 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1262 - 应变计划测试 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1263 - 应变计划测试 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1264 - 应变计划测试 | 与相关计划协调 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1265 - 应变计划测试 | 备用处理站点 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1266 - 应变计划测试 | 备用处理站点 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1267 - 备用存储站点 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1268 - 备用存储站点 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1269 - 备用存储站点 | 从主站点分离 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1270 - 备用存储站点 | 恢复时间/点目标 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1271 - 备用存储站点 | 辅助功能 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1272 - 备用处理站点 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1273 - 备用处理站点 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1274 - 备用处理站点 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1275 - 备用处理站点 | 从主站点分离 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1276 - 备用处理站点 | 辅助功能 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1277 - 备用处理网站 | 服务优先级 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1278 - 备用处理网站 | 使用准备 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1279 - 电信服务 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1280 - 电信服务 | 服务优先级规定 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1281 - 电信服务 | 服务优先级规定 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1282 - 电信服务 | 单一故障点 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1283 - 电信服务 | 主要/备用提供商的分离 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1284 - 电信服务 | 提供商应变计划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1285 - 电信服务 | 提供商应变计划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1286 - 电信服务 | 提供商应变计划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1287 - 信息系统备份 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1288 - 信息系统备份 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1289 - 信息系统备份 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1290 - 信息系统备份 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1291 - 信息系统备份 | 测试可靠性/完整性 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1292 - 信息系统备份 | 使用采样法测试还原 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1293 - 信息系统备份 | 单独存储关键信息 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1294 - 信息系统备份 | 转移到备用存储站点 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1295 - 信息系统恢复与重建 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1296 - 信息系统恢复与重建 | 事务恢复 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1297 - 信息系统恢复与重建 | 时间段内还原 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| 提供应变培训 | CMA_0412 - 提供应变训练 | 手动、已禁用 | 1.1.0 |
| 查看和更新应变规划策略和过程 | CMA_C1243 - 查看和更新应变规划策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看应变计划 | CMA_C1247 - 查看应变计划 | 手动、已禁用 | 1.1.0 |
| 查看应变计划测试的结果 | CMA_C1262 - 查看应变计划测试的结果 | 手动、已禁用 | 1.1.0 |
| 单独存储备份信息 | CMA_C1293 - 单独存储备份信息 | 手动、已禁用 | 1.1.0 |
| SQL 数据库应避免使用 GRS 备份冗余 | 如果数据驻留规则要求数据驻留在特定区域内,那么数据库应避免使用默认异地冗余存储进行备份。 注意:使用 T-SQL 创建数据库时,不会强制实施 Azure Policy。 如果未显式指定,则通过 T-SQL 创建具有异地冗余备份存储的数据库。 | 拒绝、已禁用 | 2.0.0 |
| SQL 托管实例应避免使用 GRS 备份冗余 | 如果数据驻留规则要求数据驻留在特定区域内,那么托管实例应避免使用默认异地冗余存储进行备份。 注意:使用 T-SQL 创建数据库时,不会强制实施 Azure Policy。 如果未显式指定,则通过 T-SQL 创建具有异地冗余备份存储的数据库。 | 拒绝、已禁用 | 2.0.0 |
| 在备用处理位置测试应变计划 | CMA_C1265 - 在备用处理位置测试应变计划 | 手动、已禁用 | 1.1.0 |
| 将备份信息传输到备用存储站点 | CMA_C1294 - 将备份信息传输到备用存储站点 | 手动、已禁用 | 1.1.0 |
| 更新应变计划 | CMA_C1248 - 更新应变计划 | 手动、已禁用 | 1.1.0 |
服务连续性
ID:ENS v1 op.cont.4 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 | 使用客户管理的密钥来管理备份数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/AB-CmkEncryption。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览版]:Azure 恢复服务保管库应使用专用链接进行备份 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 恢复服务保管库,可以减少数据泄漏风险。 有关专用链接的详细信息,请访问:https://aka.ms/AB-PrivateEndpoints。 | Audit、Disabled | 2.0.0-preview |
| [预览]:将具有给定标记的 Blob 存储帐户配置为备份到同一区域中的现有备份保管库 | 将包含给定标记的所有存储帐户上的 Blob 强制备份到中心备份保管库。 这有助于大规模管理包含在多个存储帐户中的 Blob 的备份。 如需更多详细信息,请参阅 https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| [预览]:为不包含给定标记的所有存储帐户配置 Blob 备份到同一区域中的备份保管库 | 对不包含给定标记的所有存储帐户上的 Blob 强制备份到中心备份保管库。 这有助于大规模管理包含在多个存储帐户中的 Blob 的备份。 如需更多详细信息,请参阅 https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| 预览版:配置恢复服务保管库以使用专用 DNS 区域进行备份 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到恢复服务保管库。 有关详细信息,请访问:https://aka.ms/AB-PrivateEndpoints。 | DeployIfNotExists、Disabled | 1.0.1-preview |
| [预览]:配置恢复服务保管库以使用专用终结点进行备份 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到恢复服务保管库,可以降低数据泄露风险。 请注意,保管库需要满足某些先决条件,才有资格进行专用终结点配置。 了解详细信息:https://go.microsoft.com/fwlink/?linkid=2187162。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:禁用备份保管库的跨订阅还原 | 禁用或永久禁用备份保管库的跨订阅还原,从而使还原目标无法位于与保管库订阅不同的订阅中。 有关详细信息,请访问:https://aka.ms/csrstatechange。 | 修改,已禁用 | 1.1.0-preview |
| [预览版]:备份保管库必须启用不可变性 | 此策略会审核范围内的备份保管库是否启用了不可变保管库属性。 有助于防止备份数据在预期过期前被删除。 更多信息请访问 https://aka.ms/AB-ImmutableVaults。 | Audit、Disabled | 1.0.1-preview |
| [预览]:恢复服务库必须启用不可变性 | 此策略会审核范围内的恢复服务库是否启用了不可变保管库属性。 有助于防止备份数据在预期过期前被删除。 更多信息请访问 https://aka.ms/AB-ImmutableVaults。 | Audit、Disabled | 1.0.1-preview |
| [预览版]:备份保管库应启用软删除 | 此策略会审核范围内的备份保管库是否启用了软删除。 软删除可帮助恢复已经被删除的数据。 有关详细信息,请访问 https://aka.ms/AB-SoftDelete | Audit、Disabled | 1.0.0-preview |
| 应为虚拟机启用 Azure 备份 | 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 | AuditIfNotExists、Disabled | 3.0.0 |
| 传达应变计划更改 | CMA_C1249 - 传达应变计划更改 | 手动、已禁用 | 1.1.0 |
| 执行信息系统文档的备份 | CMA_C1289 - 执行信息系统文档备份 | 手动、已禁用 | 1.1.0 |
| 配置带给定标记的虚拟机上的备份并备份到包含默认策略的新恢复服务保管库 | 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMAppCentricBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 配置带给定标记的虚拟机上的备份并备份到同一位置中的现有恢复服务保管库 | 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMCentralBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 配置不带给定标记的虚拟机上的备份并备份到包含默认策略的新恢复服务保管库 | 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMAppCentricBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 配置将不带给定标记的虚拟机备份到同一位置中的现有恢复服务保管库 | 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMCentralBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
| 制定应变计划 | CMA_C1244 - 制定应变计划 | 手动、已禁用 | 1.1.0 |
| 制定应变计划策略和过程 | CMA_0156 - 制定应变计划策略和过程 | 手动、已禁用 | 1.1.0 |
| 建立备用存储站点以存储和检索备份信息 | CMA_C1267 - 建立备用存储站点以存储和检索备份信息 | 手动、已禁用 | 1.1.0 |
| 建立备份策略和过程 | CMA_0268 - 制定备份策略和过程 | 手动、已禁用 | 1.1.0 |
| 应为 Azure Database for MariaDB 启用异地冗余备份 | 通过 Azure Database for MariaDB,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Database for MySQL 启用异地冗余备份 | 通过 Azure Database for MySQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Database for PostgreSQL 启用异地冗余备份 | 通过 Azure Database for PostgreSQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 合并模拟的应变训练 | CMA_C1260 - 合并模拟的应变训练 | 手动、已禁用 | 1.1.0 |
| 启动应变计划测试纠正措施 | CMA_C1263 - 启动应变计划测试纠正措施 | 手动、已禁用 | 1.1.0 |
| 应为 Azure SQL 数据库启用长期异地冗余备份 | 此策略将审核未启用长期异地冗余备份的任何 Azure SQL 数据库。 | AuditIfNotExists、Disabled | 2.0.0 |
| Microsoft 托管的控制 1132 - 审核信息保护 | 对独立物理系统/组件的审核备份 | 由 Microsoft 实现此审核和问责制控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1242 - 应变计划政策和程序 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1243 - 应变计划政策和程序 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1244 - 应变计划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1245 - 应变计划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1246 - 应变计划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1247 - 应变计划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1248 - 应变计划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1249 - 应变计划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1250 - 应变计划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1251 - 应变计划 | 与相关计划协调 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1252 - 应变计划 | 容量规划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1253 - 应变计划 | 恢复关键任务/业务功能 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1254 - 应变计划 | 恢复所有任务/业务功能 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1255 - 应变计划 | 继续关键任务/业务功能 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1256 - 应变计划 | 识别关键资产 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1257 - 应变培训 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1258 - 应变培训 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1259 - 应变培训 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1260 - 应变培训 | 模拟事件 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1261 - 应变计划测试 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1262 - 应变计划测试 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1263 - 应变计划测试 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1264 - 应变计划测试 | 与相关计划协调 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1265 - 应变计划测试 | 备用处理站点 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1266 - 应变计划测试 | 备用处理站点 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1267 - 备用存储站点 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1268 - 备用存储站点 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1269 - 备用存储站点 | 从主站点分离 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1270 - 备用存储站点 | 恢复时间/点目标 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1271 - 备用存储站点 | 辅助功能 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1272 - 备用处理站点 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1273 - 备用处理站点 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1274 - 备用处理站点 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1275 - 备用处理站点 | 从主站点分离 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1276 - 备用处理站点 | 辅助功能 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1277 - 备用处理网站 | 服务优先级 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1278 - 备用处理网站 | 使用准备 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1279 - 电信服务 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1280 - 电信服务 | 服务优先级规定 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1281 - 电信服务 | 服务优先级规定 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1282 - 电信服务 | 单一故障点 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1283 - 电信服务 | 主要/备用提供商的分离 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1284 - 电信服务 | 提供商应变计划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1285 - 电信服务 | 提供商应变计划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1286 - 电信服务 | 提供商应变计划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1287 - 信息系统备份 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1288 - 信息系统备份 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1289 - 信息系统备份 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1290 - 信息系统备份 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1291 - 信息系统备份 | 测试可靠性/完整性 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1292 - 信息系统备份 | 使用采样法测试还原 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1293 - 信息系统备份 | 单独存储关键信息 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1294 - 信息系统备份 | 转移到备用存储站点 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1295 - 信息系统恢复与重建 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1296 - 信息系统恢复与重建 | 事务恢复 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1297 - 信息系统恢复与重建 | 时间段内还原 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| 提供应变培训 | CMA_0412 - 提供应变训练 | 手动、已禁用 | 1.1.0 |
| 查看和更新应变规划策略和过程 | CMA_C1243 - 查看和更新应变规划策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看应变计划 | CMA_C1247 - 查看应变计划 | 手动、已禁用 | 1.1.0 |
| 查看应变计划测试的结果 | CMA_C1262 - 查看应变计划测试的结果 | 手动、已禁用 | 1.1.0 |
| 单独存储备份信息 | CMA_C1293 - 单独存储备份信息 | 手动、已禁用 | 1.1.0 |
| SQL 数据库应避免使用 GRS 备份冗余 | 如果数据驻留规则要求数据驻留在特定区域内,那么数据库应避免使用默认异地冗余存储进行备份。 注意:使用 T-SQL 创建数据库时,不会强制实施 Azure Policy。 如果未显式指定,则通过 T-SQL 创建具有异地冗余备份存储的数据库。 | 拒绝、已禁用 | 2.0.0 |
| SQL 托管实例应避免使用 GRS 备份冗余 | 如果数据驻留规则要求数据驻留在特定区域内,那么托管实例应避免使用默认异地冗余存储进行备份。 注意:使用 T-SQL 创建数据库时,不会强制实施 Azure Policy。 如果未显式指定,则通过 T-SQL 创建具有异地冗余备份存储的数据库。 | 拒绝、已禁用 | 2.0.0 |
| 在备用处理位置测试应变计划 | CMA_C1265 - 在备用处理位置测试应变计划 | 手动、已禁用 | 1.1.0 |
| 将备份信息传输到备用存储站点 | CMA_C1294 - 将备份信息传输到备用存储站点 | 手动、已禁用 | 1.1.0 |
| 更新应变计划 | CMA_C1248 - 更新应变计划 | 手动、已禁用 | 1.1.0 |
操作
ID:ENS v1 op.exp.1 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:将已启用 Arc 的 Linux 计算机配置为与 ChangeTracking 和库存的数据收集规则相关联 | 部署关联以将已启用 Arc 的 Linux 计算机链接到指定的数据收集规则,并启用 ChangeTracking 和库存。 随着支持的增加,位置列表会随着时间而更新。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:将已启用 Arc 的 Linux 计算机配置为安装用于 ChangeTracking 和库存的 AMA | 在已启用 Arc 的 Linux 计算机上自动部署 Azure Monitor 代理扩展,以启用 ChangeTracking 和库存。 如果支持区域,则此策略将安装扩展。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.3.0-preview |
| [预览版]:将 Linux 虚拟机配置为与 ChangeTracking 和库存的数据收集规则相关联 | 部署关联以将 Linux 虚拟机链接到指定的数据收集规则,从而启用更改跟踪和库存。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:配置 Linux VM 以使用用户分配的托管标识安装用于更改跟踪和库存的 AMA | 在 Linux 虚拟机上自动部署 Azure Monitor 代理扩展,以启用更改跟踪和库存。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.5.0-preview |
| [预览版]:将 Linux VMSS 配置为与 ChangeTracking 和库存的数据收集规则相关联 | 部署关联以将 Linux 虚拟机规模集链接到指定的数据收集规则,从而启用更改跟踪和库存。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:配置 Linux VMSS 以使用用户分配的托管标识安装用于更改跟踪和库存的 AMA | 在 Linux 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以启用更改跟踪和库存。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.4.0-预览版 |
| [预览版]:将启用了 Windows Arc 的计算机配置为与 ChangeTracking 和库存的数据收集规则相关联 | 部署关联以将已启用 Arc 的 Windows 计算机链接到指定的数据收集规则,并启用 ChangeTracking 和库存。 随着支持的增加,位置列表会随着时间而更新。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:配置已启用 Arc 的 Windows 计算机以安装用于 ChangeTracking 和库存的 AMA | 在已启用 Arc 的 Windows 计算机上自动部署 Azure Monitor 代理扩展,以启用 ChangeTracking 和库存。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:将 Windows 虚拟机配置为与 ChangeTracking 和库存的数据收集规则相关联 | 部署关联以将 Windows 虚拟机链接到指定的数据收集规则,从而启用更改跟踪和库存。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:配置 Windows VM 以使用用户分配的托管标识安装用于更改跟踪和库存的 AMA | 在 Windows 虚拟机上自动部署 Azure Monitor 代理扩展,以启用更改跟踪和库存。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.1.0-preview |
| [预览版]:将 Windows VMSS 配置为与 ChangeTracking 和库存的数据收集规则相关联 | 部署关联以将 Windows 虚拟机规模集链接到指定的数据收集规则,从而启用更改跟踪和库存。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:配置 Windows VMSS 以使用用户分配的托管标识安装用于更改跟踪和库存的 AMA | 在 Windows 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以启用更改跟踪和库存。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.1.0-preview |
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 离职时进行离职面谈 | CMA_0058 - 离职时进行离职面谈 | 手动、已禁用 | 1.1.0 |
| 控制便携式存储设备的使用 | CMA_0083 - 控制便携式存储设备的使用 | 手动、已禁用 | 1.1.0 |
| 创建数据清单 | CMA_0096 - 创建数据清单 | 手动、已禁用 | 1.1.0 |
| 制定可接受的使用策略和过程 | CMA_0143 - 制定可接受的使用策略和过程 | 手动、已禁用 | 1.1.0 |
| 终止时禁用验证器 | CMA_0169 - 终止时禁用验证器 | 手动、已禁用 | 1.1.0 |
| 强制执行行为和访问协议规则 | CMA_0248 - 强制执行行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 建立和维护资产清单 | CMA_0266 - 建立和维护资产清单 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 启动传输或重新分配操作 | CMA_0333 - 启动调动或重新分配操作 | 手动、已禁用 | 1.1.0 |
| 维护个人数据的处理记录 | CMA_0353 - 维护个人数据的处理记录 | 手动、已禁用 | 1.1.0 |
| Microsoft 托管的控制 1222 - 信息系统组件清单 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1223 - 信息系统组件清单 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1224 - 信息系统组件清单 | 在安装/删除过程中更新 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1225 - 信息系统组件清单 | 自动维护 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1226 - 信息系统组件清单 | 自动检测未经授权的组件 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1227 - 信息系统组件清单 | 自动检测未经授权的组件 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1228 - 信息系统组件清单 | 问责制信息 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1229 - 信息系统组件清单 | 没有重复的组件核算 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1739 - 信息系统清单 | Microsoft 实现此计划管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1854 - 个人身份信息清单 | Microsoft 实现此安全控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1855 - 个人身份信息清单 | Microsoft 实现此安全控制 | 审核 | 1.0.0 |
| 在人员调动时修改访问授权 | CMA_0374 - 在人员调动时修改访问授权 | 手动、已禁用 | 1.1.0 |
| 终止或传输时通知 | CMA_0381 - 离职或调动时通知 | 手动、已禁用 | 1.1.0 |
| 防范并阻止离职员工窃取数据 | CMA_0398 - 防范并阻止离职员工窃取数据 | 手动、已禁用 | 1.1.0 |
| 在个人传输时重新评估访问权限 | CMA_0424 - 在个人调动时重新评估访问权限 | 手动、已禁用 | 1.1.0 |
| 限制媒体使用 | CMA_0450 - 限制媒体使用 | 手动、已禁用 | 1.1.0 |
| 保留终止的用户数据 | CMA_0455 - 保留终止的用户数据 | 手动、已禁用 | 1.1.0 |
操作
ID:ENS v1 op.exp.10 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:Azure Key Vault 托管 HSM 密钥应具有过期日期 | 若要在预览版中使用此策略,必须先按照 https://aka.ms/mhsmgovernance 中的这些说明进行操作。 应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 | Audit、Deny、Disabled | 1.0.1-preview |
| 对 Azure 资源拥有所有者权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有读取权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有写入权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 审核未将密码文件权限设为 0644 的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机未将密码文件权限设为 0644,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
| 对加密模块进行身份验证 | CMA_0021 - 对加密模块进行身份验证 | 手动、已禁用 | 1.1.0 |
| Azure 容器实例容器组应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护容器。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | 审核、已禁用、拒绝 | 1.0.0 |
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | 手动、已禁用 | 1.1.0 |
| 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | 手动、已禁用 | 1.1.0 |
| 终止时禁用验证器 | CMA_0169 - 终止时禁用验证器 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 确保加密机制由配置管理 | CMA_C1199 - 确保加密机制由配置管理 | 手动、已禁用 | 1.1.0 |
| 制定密码策略 | CMA_0256 - 制定密码策略 | 手动、已禁用 | 1.1.0 |
| 建立验证器类型和进程 | CMA_0267 - 建立验证器类型和流程 | 手动、已禁用 | 1.1.0 |
| 建立初始验证器分配过程 | CMA_0276 - 建立初始验证器分配过程 | 手动、已禁用 | 1.1.0 |
| 识别未经身份验证允许的操作 | CMA_0295 - 识别未经身份验证允许的操作 | 手动、已禁用 | 1.1.0 |
| 识别非组织用户并对其进行身份验证 | CMA_C1346 - 识别非组织用户并对其进行身份验证 | 手动、已禁用 | 1.1.0 |
| 实现加密机制 | CMA_C1419 - 实现加密机制 | 手动、已禁用 | 1.1.0 |
| 实现记住的机密验证过程的参数 | CMA_0321 - 实现记住的机密验证工具的参数 | 手动、已禁用 | 1.1.0 |
| 进行验证器保护培训 | CMA_0329 - 进行验证器保护的培训 | 手动、已禁用 | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | 手动、已禁用 | 1.1.0 |
| Key Vault 密钥应具有到期日期 | 应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 | Audit、Deny、Disabled | 1.0.2 |
| 密钥应由硬件安全模块 (HSM) 提供支持 | HSM 是存储密钥的硬件安全模块。 HSM 为加密密钥提供物理保护层。 加密密钥不能离开物理 HSM,物理 HSM 提供比软件密钥更高的安全级别。 | Audit、Deny、Disabled | 1.0.1 |
| 密钥应为指定的加密类型 RSA 或 EC | 某些应用程序需要使用特定加密类型支持的密钥。 在你的环境中强制使用特定加密密钥类型:RSA 或 EC。 | Audit、Deny、Disabled | 1.0.1 |
| 管理验证器生存期并重新使用 | CMA_0355 - 管理验证器生存期并重新使用 | 手动、已禁用 | 1.1.0 |
| 管理验证器 | CMA_C1321 - 管理验证器 | 手动、已禁用 | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | 手动、已禁用 | 1.1.0 |
| Microsoft 托管的控制 1133 - 审核信息保护 | 加密保护 | 由 Microsoft 实现此审核和问责制控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1345 - 加密模块身份验证 | 由 Microsoft 实现此标识和身份验证控制 | 审核 | 1.0.0 |
| Microsoft 管理的控制 1419 - 远程维护 | 加密保护 | 由 Microsoft 实现此维护控制 | 审核 | 1.0.1 |
| Microsoft 托管的控制 1641 - 传输保密性和完整性 | 加密或备用物理保护 | 由 Microsoft 实现此系统和通信保护控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1643 - 加密密钥建立和管理 | 由 Microsoft 实现此系统和通信保护控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1644 - 加密密钥建立和管理 | 可用性 | 由 Microsoft 实现此系统和通信保护控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1645 - 加密密钥建立和管理 | 对称密钥 | 由 Microsoft 实现此系统和通信保护控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1664 - 保护静态信息 | 加密保护 | 由 Microsoft 实现此系统和通信保护控制 | 审核 | 1.0.0 |
| 生成、控制和分配非对称加密密钥 | CMA_C1646 - 生成、控制和分配非对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配对称加密密钥 | CMA_C1645 - 生成、控制和分配对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
| 队列存储应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护队列存储。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | Audit、Deny、Disabled | 1.0.0 |
| 刷新验证器 | CMA_0425 - 刷新验证器 | 手动、已禁用 | 1.1.0 |
| 重新颁发已更改的组和帐户的验证器 | CMA_0426 - 重新颁发用于已更改的组和帐户的验证器 | 手动、已禁用 | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问权限 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和通信保护策略及过程 | CMA_C1616 - 查看和更新系统和通信保护策略及过程 | 手动、已禁用 | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | 手动、已禁用 | 1.1.0 |
| 存储帐户应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护 blob 和文件存储帐户。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | Audit、Disabled | 1.0.3 |
| 表存储应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护表存储。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | Audit、Deny、Disabled | 1.0.0 |
| 终止客户控制的帐户凭据 | CMA_C1022 - 终止客户控制的帐户凭据 | 手动、已禁用 | 1.1.0 |
| 在分发验证器之前验证标识 | CMA_0538 - 在分发验证器之前验证标识 | 手动、已禁用 | 1.1.0 |
操作
ID:ENS v1 op.exp.2 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应重新创建 Azure 机器学习计算实例以获取最新的软件更新 | 确保 Azure 机器学习计算实例在最新的可用操作系统上运行。 通过使用最新的安全修补程序运行,提高了安全性并减少了漏洞。 有关详细信息,请访问 https://aka.ms/azureml-ci-updates/。 | [parameters('effects')] | 1.0.3 |
| Azure 注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | AuditIfNotExists、Disabled | 1.0.1 |
| 配置计算机以接收漏洞评估提供程序 | Azure Defender 包含适用于计算机的漏洞扫描,不额外收费。 你无需具备 Qualys 许可证,甚至还不需要 Qualys 帐户 - 所有操作都在安全中心内无缝执行。 启用此策略后,Azure Defender 会自动将 Qualys 漏洞评估提供程序部署到尚未安装该代理的所有受支持的计算机。 | DeployIfNotExists、Disabled | 4.0.0 |
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 关联漏洞扫描信息 | CMA_C1558 - 关联漏洞扫描信息 | 手动、已禁用 | 1.1.1 |
| 定义和记录政府监督 | CMA_C1587 - 定义和记录政府监督 | 手动、已禁用 | 1.1.0 |
| 制定和维护漏洞管理标准 | CMA_0152 - 制定和维护漏洞管理标准 | 手动、已禁用 | 1.1.0 |
| 制定配置管理计划 | CMA_C1232 - 制定配置管理计划 | 手动、已禁用 | 1.1.0 |
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 使用边界保护隔离信息系统 | CMA_C1639 - 使用边界保护隔离信息系统 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制实施软件执行特权 | CMA_C1041 - 强制实施软件执行特权 | 手动、已禁用 | 1.1.0 |
| 确保加密机制由配置管理 | CMA_C1199 - 确保加密机制由配置管理 | 手动、已禁用 | 1.1.0 |
| 建立安全软件开发计划 | CMA_0259 - 制定安全软件开发计划 | 手动、已禁用 | 1.1.0 |
| 建立并记录配置管理计划 | CMA_0264 - 建立并记录配置管理计划 | 手动、已禁用 | 1.1.0 |
| 为开发人员建立配置管理要求 | CMA_0270 - 为开发人员设定配置管理要求 | 手动、已禁用 | 1.1.0 |
| 制定电子签名和证书要求 | CMA_0271 - 制定电子签名和证书要求 | 手动、已禁用 | 1.1.0 |
| 建立防火墙和路由器配置标准 | CMA_0272 - 建立防火墙和路由器配置标准 | 手动、已禁用 | 1.1.0 |
| 为持卡人数据环境建立网络分段 | CMA_0273 - 为持卡人数据环境建立网络分段 | 手动、已禁用 | 1.1.0 |
| 制定访问资源的条款和条件 | CMA_C1076 - 制定访问资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 制定处理资源的条款和条件 | CMA_C1077 - 制定处理资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 标识和管理下游信息交换 | CMA_0298 - 标识和管理下游信息交换 | 手动、已禁用 | 1.1.0 |
| 实现容错名称/地址服务 | CMA_0305 - 实现容错名称/地址服务 | 手动、已禁用 | 1.1.0 |
| 实现自动配置管理工具 | CMA_0311 - 实现自动配置管理工具 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 为每项外部服务实现托管接口 | CMA_C1626 - 为每项外部服务实现托管接口 | 手动、已禁用 | 1.1.0 |
| 为执行漏洞扫描活动实现特权访问 | CMA_C1555 - 为执行漏洞扫描活动实现特权访问 | 手动、已禁用 | 1.1.0 |
| 将缺陷修正合并到配置管理中 | CMA_C1671 - 将缺陷修正合并到配置管理中 | 手动、已禁用 | 1.1.0 |
| Microsoft 托管的控制 1174 - 配置管理政策和程序 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1175 - 配置管理政策和程序 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1219 - 最少的功能 | 授权软件/允许列表 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1220 - 最少的功能 | 授权软件/允许列表 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1221 - 最少的功能 | 授权软件/允许列表 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1230 - 配置管理计划 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1231 - 配置管理计划 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1232 - 配置管理计划 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1233 - 配置管理计划 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1234 - 软件使用限制 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1235 - 软件使用限制 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1236 - 软件使用限制 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1237 - 软件使用限制 | 开放源代码软件 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1238 - 用户安装的软件 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1239 - 用户安装的软件 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1240 - 用户安装的软件 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1241 - 用户安装的软件 | 未经授权的安装的警报 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1546 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1547 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1548 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1549 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1550 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1551 - 漏洞扫描 | 更新工具功能 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1552 - 漏洞扫描 | 按频率更新/新扫描之前/识别时 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1553 - 漏洞扫描 | 作用广度/深度 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1554 - 漏洞扫描 | 可检测到的信息 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1555 - 漏洞扫描 | 特权访问 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1556 - 漏洞扫描 | 自动趋势分析 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1557 - 漏洞扫描 | 查阅历史审核日志 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1558 - 漏洞扫描 | 关联扫描信息 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1594 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1595 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1596 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1597 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1598 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1599 - 开发商配置管理 | 软件/固件完整性验证 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1606 - 开发商安全测试和评估 | 威胁和漏洞分析 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 管理的控制 1712 - 软件和信息完整性 | 由 Microsoft 实现此系统和信息完整性控制 | 审核 | 1.0.1 |
| Microsoft 管理的控制 1713 - 软件和信息完整性 | 完整性检查 | 由 Microsoft 实现此系统和信息完整性控制 | 审核 | 1.0.1 |
| Microsoft 管理的控制 1714 - 软件和信息完整性 | 完整性冲突的自动通知 | 由 Microsoft 实现此系统和信息完整性控制 | 审核 | 1.0.1 |
| Microsoft 管理的控制 1715 - 软件和信息完整性 | 完整性冲突的自动响应 | 由 Microsoft 实现此系统和信息完整性控制 | 审核 | 1.0.1 |
| Microsoft 管理的控制 1716 - 软件和信息完整性 | 检测和响应的集成 | 由 Microsoft 实现此系统和信息完整性控制 | 审核 | 1.0.1 |
| Microsoft 托管的控制 1717 - 软件和信息完整性 | 二进制或计算机可执行代码 | 由 Microsoft 实现此系统和信息完整性控制 | 审核 | 1.0.1 |
| Microsoft 托管的控制 1718 - 软件和信息完整性 | 二进制或计算机可执行代码 | 由 Microsoft 实现此系统和信息完整性控制 | 审核 | 1.0.1 |
| Microsoft 管理的控制 1834 - 数据保留和处置 | Microsoft 实现此数据最小化和保留控制 | 审核 | 1.0.0 |
| Microsoft 管理的控制 1835 - 数据保留和处置 | Microsoft 实现此数据最小化和保留控制 | 审核 | 1.0.0 |
| Microsoft 管理的控制 1836 - 数据保留和处置 | Microsoft 实现此数据最小化和保留控制 | 审核 | 1.0.0 |
| Microsoft 管理的控制 1837 - 数据保留和处置 | 系统配置 | Microsoft 实现此数据最小化和保留控制 | 审核 | 1.0.0 |
| 通知用户系统登录或访问 | CMA_0382 - 在系统登录或访问时通知用户 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 阻止远程设备的拆分隧道 | CMA_C1632 - 阻止远程设备拆分隧道 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配非对称加密密钥 | CMA_C1646 - 生成、控制和分配非对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
| 提供安全的名称和地址解析服务 | CMA_0416 - 提供安全的名称和地址解析服务 | 手动、已禁用 | 1.1.0 |
| 重新验证或终止用户会话 | CMA_0421 - 重新验证或终止用户会话 | 手动、已禁用 | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
| 需要互连安全协议 | CMA_C1151 - 需要互连安全协议 | 手动、已禁用 | 1.1.0 |
| 限制未经授权的软件和固件安装 | CMA_C1205 - 限制未经授权的软件和固件安装 | 手动、已禁用 | 1.1.0 |
| 限制开放源代码软件的使用 | CMA_C1237 - 限制开放源代码软件的使用 | 手动、已禁用 | 1.1.0 |
| 查看和更新配置管理策略和过程 | CMA_C1175 - 查看和更新配置管理策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看云服务提供商对策略和协议的符合性 | CMA_0469 - 查看云服务提供商对策略和协议的符合性 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
| 通过托管网络访问点路由流量 | CMA_0484 - 通过托管网络访问点路由流量 | 手动、已禁用 | 1.1.0 |
| 将接口固定到外部系统 | CMA_0491 - 保护到外部系统的接口 | 手动、已禁用 | 1.1.0 |
| 单独的用户和信息系统管理功能 | CMA_0493 - 单独的用户和信息系统管理功能 | 手动、已禁用 | 1.1.0 |
| 设置订阅以过渡到备用漏洞评估解决方案 | Microsoft Defender for Cloud 可为计算机提供漏洞扫描服务,而无需额外付费。 启用此策略将导致 Defender for Cloud 自动将内置 Microsoft Defender 漏洞管理解决方案中的结果传播到所有受支持的计算机。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| SQL 数据库应已解决漏洞结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 计算机上的 SQL Server 应已解决漏洞结果 | SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,例如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 | AuditIfNotExists、Disabled | 1.0.0 |
| 跟踪软件许可证使用情况 | CMA_C1235 - 跟踪软件许可证使用情况 | 手动、已禁用 | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
| 更新互连安全协议 | CMA_0519 - 更新互连安全协议 | 手动、已禁用 | 1.1.0 |
| 使用专用计算机执行管理任务 | CMA_0527 - 使用专用计算机执行管理任务 | 手动、已禁用 | 1.1.0 |
| 验证外部信息系统的安全控制 | CMA_0541 - 验证外部信息系统的安全控制 | 手动、已禁用 | 1.1.0 |
| 验证软件、固件和信息完整性 | CMA_0542 - 验证软件、固件和信息完整性 | 手动、已禁用 | 1.1.0 |
| 应在 SQL 托管实例上启用漏洞评估 | 审核未启用定期漏洞评估扫描的每个 SQL 托管实例。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应对 SQL 服务器启用漏洞评估 | 审核未正确配置漏洞评估的 Azure SQL 服务器。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应对 Synapse 工作区启用漏洞评估 | 通过在 Synapse 工作区上配置定期 SQL 漏洞评估扫描来发现、跟踪和修复潜在的漏洞。 | AuditIfNotExists、Disabled | 1.0.0 |
操作
ID:ENS v1 op.exp.3 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应为虚拟机启用 Azure 备份 | 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应重新创建 Azure 机器学习计算实例以获取最新的软件更新 | 确保 Azure 机器学习计算实例在最新的可用操作系统上运行。 通过使用最新的安全修补程序运行,提高了安全性并减少了漏洞。 有关详细信息,请访问 https://aka.ms/azureml-ci-updates/。 | [parameters('effects')] | 1.0.3 |
| Azure 注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | AuditIfNotExists、Disabled | 1.0.1 |
| 执行信息系统文档的备份 | CMA_C1289 - 执行信息系统文档备份 | 手动、已禁用 | 1.1.0 |
| 配置带给定标记的虚拟机上的备份并备份到包含默认策略的新恢复服务保管库 | 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMAppCentricBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 配置带给定标记的虚拟机上的备份并备份到同一位置中的现有恢复服务保管库 | 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMCentralBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 配置将不带给定标记的虚拟机备份到同一位置中的现有恢复服务保管库 | 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMCentralBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 配置计算机以接收漏洞评估提供程序 | Azure Defender 包含适用于计算机的漏洞扫描,不额外收费。 你无需具备 Qualys 许可证,甚至还不需要 Qualys 帐户 - 所有操作都在安全中心内无缝执行。 启用此策略后,Azure Defender 会自动将 Qualys 漏洞评估提供程序部署到尚未安装该代理的所有受支持的计算机。 | DeployIfNotExists、Disabled | 4.0.0 |
| 关联漏洞扫描信息 | CMA_C1558 - 关联漏洞扫描信息 | 手动、已禁用 | 1.1.1 |
| 定义和记录政府监督 | CMA_C1587 - 定义和记录政府监督 | 手动、已禁用 | 1.1.0 |
| 制定和维护漏洞管理标准 | CMA_0152 - 制定和维护漏洞管理标准 | 手动、已禁用 | 1.1.0 |
| 制定配置管理计划 | CMA_C1232 - 制定配置管理计划 | 手动、已禁用 | 1.1.0 |
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 使用边界保护隔离信息系统 | CMA_C1639 - 使用边界保护隔离信息系统 | 手动、已禁用 | 1.1.0 |
| 强制实施软件执行特权 | CMA_C1041 - 强制实施软件执行特权 | 手动、已禁用 | 1.1.0 |
| 确保加密机制由配置管理 | CMA_C1199 - 确保加密机制由配置管理 | 手动、已禁用 | 1.1.0 |
| 建立安全软件开发计划 | CMA_0259 - 制定安全软件开发计划 | 手动、已禁用 | 1.1.0 |
| 建立备用存储站点以存储和检索备份信息 | CMA_C1267 - 建立备用存储站点以存储和检索备份信息 | 手动、已禁用 | 1.1.0 |
| 建立并记录配置管理计划 | CMA_0264 - 建立并记录配置管理计划 | 手动、已禁用 | 1.1.0 |
| 建立备份策略和过程 | CMA_0268 - 制定备份策略和过程 | 手动、已禁用 | 1.1.0 |
| 为开发人员建立配置管理要求 | CMA_0270 - 为开发人员设定配置管理要求 | 手动、已禁用 | 1.1.0 |
| 制定电子签名和证书要求 | CMA_0271 - 制定电子签名和证书要求 | 手动、已禁用 | 1.1.0 |
| 制定访问资源的条款和条件 | CMA_C1076 - 制定访问资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 制定处理资源的条款和条件 | CMA_C1077 - 制定处理资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 应为 Azure Database for MariaDB 启用异地冗余备份 | 通过 Azure Database for MariaDB,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Database for MySQL 启用异地冗余备份 | 通过 Azure Database for MySQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Database for PostgreSQL 启用异地冗余备份 | 通过 Azure Database for PostgreSQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 实现自动配置管理工具 | CMA_0311 - 实现自动配置管理工具 | 手动、已禁用 | 1.1.0 |
| 为每项外部服务实现托管接口 | CMA_C1626 - 为每项外部服务实现托管接口 | 手动、已禁用 | 1.1.0 |
| 为执行漏洞扫描活动实现特权访问 | CMA_C1555 - 为执行漏洞扫描活动实现特权访问 | 手动、已禁用 | 1.1.0 |
| 将缺陷修正合并到配置管理中 | CMA_C1671 - 将缺陷修正合并到配置管理中 | 手动、已禁用 | 1.1.0 |
| 应为 Azure SQL 数据库启用长期异地冗余备份 | 此策略将审核未启用长期异地冗余备份的任何 Azure SQL 数据库。 | AuditIfNotExists、Disabled | 2.0.0 |
| Microsoft 托管的控制 1132 - 审核信息保护 | 对独立物理系统/组件的审核备份 | 由 Microsoft 实现此审核和问责制控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1174 - 配置管理政策和程序 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1175 - 配置管理政策和程序 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1219 - 最少的功能 | 授权软件/允许列表 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1220 - 最少的功能 | 授权软件/允许列表 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1221 - 最少的功能 | 授权软件/允许列表 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1230 - 配置管理计划 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1231 - 配置管理计划 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1232 - 配置管理计划 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1233 - 配置管理计划 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1234 - 软件使用限制 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1235 - 软件使用限制 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1236 - 软件使用限制 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1237 - 软件使用限制 | 开放源代码软件 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1238 - 用户安装的软件 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1239 - 用户安装的软件 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1240 - 用户安装的软件 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1241 - 用户安装的软件 | 未经授权的安装的警报 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1287 - 信息系统备份 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1288 - 信息系统备份 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1289 - 信息系统备份 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1290 - 信息系统备份 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1291 - 信息系统备份 | 测试可靠性/完整性 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1292 - 信息系统备份 | 使用采样法测试还原 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1293 - 信息系统备份 | 单独存储关键信息 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1294 - 信息系统备份 | 转移到备用存储站点 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1546 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1547 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1548 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1549 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1550 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1551 - 漏洞扫描 | 更新工具功能 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1552 - 漏洞扫描 | 按频率更新/新扫描之前/识别时 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1553 - 漏洞扫描 | 作用广度/深度 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1554 - 漏洞扫描 | 可检测到的信息 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1555 - 漏洞扫描 | 特权访问 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1556 - 漏洞扫描 | 自动趋势分析 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1557 - 漏洞扫描 | 查阅历史审核日志 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1558 - 漏洞扫描 | 关联扫描信息 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1594 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1595 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1596 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1597 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1598 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1599 - 开发商配置管理 | 软件/固件完整性验证 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1606 - 开发商安全测试和评估 | 威胁和漏洞分析 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 管理的控制 1712 - 软件和信息完整性 | 由 Microsoft 实现此系统和信息完整性控制 | 审核 | 1.0.1 |
| Microsoft 管理的控制 1713 - 软件和信息完整性 | 完整性检查 | 由 Microsoft 实现此系统和信息完整性控制 | 审核 | 1.0.1 |
| Microsoft 管理的控制 1714 - 软件和信息完整性 | 完整性冲突的自动通知 | 由 Microsoft 实现此系统和信息完整性控制 | 审核 | 1.0.1 |
| Microsoft 管理的控制 1715 - 软件和信息完整性 | 完整性冲突的自动响应 | 由 Microsoft 实现此系统和信息完整性控制 | 审核 | 1.0.1 |
| Microsoft 管理的控制 1716 - 软件和信息完整性 | 检测和响应的集成 | 由 Microsoft 实现此系统和信息完整性控制 | 审核 | 1.0.1 |
| Microsoft 托管的控制 1717 - 软件和信息完整性 | 二进制或计算机可执行代码 | 由 Microsoft 实现此系统和信息完整性控制 | 审核 | 1.0.1 |
| Microsoft 托管的控制 1718 - 软件和信息完整性 | 二进制或计算机可执行代码 | 由 Microsoft 实现此系统和信息完整性控制 | 审核 | 1.0.1 |
| Microsoft 管理的控制 1834 - 数据保留和处置 | Microsoft 实现此数据最小化和保留控制 | 审核 | 1.0.0 |
| Microsoft 管理的控制 1835 - 数据保留和处置 | Microsoft 实现此数据最小化和保留控制 | 审核 | 1.0.0 |
| Microsoft 管理的控制 1836 - 数据保留和处置 | Microsoft 实现此数据最小化和保留控制 | 审核 | 1.0.0 |
| Microsoft 管理的控制 1837 - 数据保留和处置 | 系统配置 | Microsoft 实现此数据最小化和保留控制 | 审核 | 1.0.0 |
| 通知用户系统登录或访问 | CMA_0382 - 在系统登录或访问时通知用户 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 阻止远程设备的拆分隧道 | CMA_C1632 - 阻止远程设备拆分隧道 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
| 重新验证或终止用户会话 | CMA_0421 - 重新验证或终止用户会话 | 手动、已禁用 | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
| 需要互连安全协议 | CMA_C1151 - 需要互连安全协议 | 手动、已禁用 | 1.1.0 |
| 限制未经授权的软件和固件安装 | CMA_C1205 - 限制未经授权的软件和固件安装 | 手动、已禁用 | 1.1.0 |
| 限制开放源代码软件的使用 | CMA_C1237 - 限制开放源代码软件的使用 | 手动、已禁用 | 1.1.0 |
| 查看和更新配置管理策略和过程 | CMA_C1175 - 查看和更新配置管理策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看云服务提供商对策略和协议的符合性 | CMA_0469 - 查看云服务提供商对策略和协议的符合性 | 手动、已禁用 | 1.1.0 |
| 通过托管网络访问点路由流量 | CMA_0484 - 通过托管网络访问点路由流量 | 手动、已禁用 | 1.1.0 |
| 单独的用户和信息系统管理功能 | CMA_0493 - 单独的用户和信息系统管理功能 | 手动、已禁用 | 1.1.0 |
| 单独存储备份信息 | CMA_C1293 - 单独存储备份信息 | 手动、已禁用 | 1.1.0 |
| 设置订阅以过渡到备用漏洞评估解决方案 | Microsoft Defender for Cloud 可为计算机提供漏洞扫描服务,而无需额外付费。 启用此策略将导致 Defender for Cloud 自动将内置 Microsoft Defender 漏洞管理解决方案中的结果传播到所有受支持的计算机。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| SQL 数据库应避免使用 GRS 备份冗余 | 如果数据驻留规则要求数据驻留在特定区域内,那么数据库应避免使用默认异地冗余存储进行备份。 注意:使用 T-SQL 创建数据库时,不会强制实施 Azure Policy。 如果未显式指定,则通过 T-SQL 创建具有异地冗余备份存储的数据库。 | 拒绝、已禁用 | 2.0.0 |
| SQL 数据库应已解决漏洞结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| SQL 托管实例应避免使用 GRS 备份冗余 | 如果数据驻留规则要求数据驻留在特定区域内,那么托管实例应避免使用默认异地冗余存储进行备份。 注意:使用 T-SQL 创建数据库时,不会强制实施 Azure Policy。 如果未显式指定,则通过 T-SQL 创建具有异地冗余备份存储的数据库。 | 拒绝、已禁用 | 2.0.0 |
| 计算机上的 SQL 服务器应已解决漏洞发现 | SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,例如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 | AuditIfNotExists、Disabled | 1.0.0 |
| 跟踪软件许可证使用情况 | CMA_C1235 - 跟踪软件许可证使用情况 | 手动、已禁用 | 1.1.0 |
| 将备份信息传输到备用存储站点 | CMA_C1294 - 将备份信息传输到备用存储站点 | 手动、已禁用 | 1.1.0 |
| 更新互连安全协议 | CMA_0519 - 更新互连安全协议 | 手动、已禁用 | 1.1.0 |
| 使用专用计算机执行管理任务 | CMA_0527 - 使用专用计算机执行管理任务 | 手动、已禁用 | 1.1.0 |
| 验证外部信息系统的安全控制 | CMA_0541 - 验证外部信息系统的安全控制 | 手动、已禁用 | 1.1.0 |
| 验证软件、固件和信息完整性 | CMA_0542 - 验证软件、固件和信息完整性 | 手动、已禁用 | 1.1.0 |
| 应在 SQL 托管实例上启用漏洞评估 | 审核未启用定期漏洞评估扫描的每个 SQL 托管实例。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应对 SQL 服务器启用漏洞评估 | 审核未正确配置漏洞评估的 Azure SQL 服务器。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应对 Synapse 工作区启用漏洞评估 | 通过在 Synapse 工作区上配置定期 SQL 漏洞评估扫描来发现、跟踪和修复潜在的漏洞。 | AuditIfNotExists、Disabled | 1.0.0 |
操作
ID:ENS v1 op.exp.4 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 解决编码漏洞 | CMA_0003 - 解决编码漏洞 | 手动、已禁用 | 1.1.0 |
| 使用 Python 的应用服务应用应使用指定的 Python 版本 | 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 Python 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Python 版本。 | AuditIfNotExists、Disabled | 4.1.0 |
| 对建议的更改自动执行审批请求 | CMA_C1192 - 对建议的更改自动执行审批请求 | 手动、已禁用 | 1.1.0 |
| 自动实现已批准的更改通知 | CMA_C1196 - 自动实现已批准的更改通知 | 手动、已禁用 | 1.1.0 |
| 将记录已实现的更改的流程自动化 | CMA_C1195 - 将记录已实现的更改的流程自动化 | 手动、已禁用 | 1.1.0 |
| 自动执行流程以突出未审阅的更改建议 | CMA_C1193 - 自动执行流程以突出未审阅的更改建议 | 手动、已禁用 | 1.1.0 |
| 自动执行进程以禁止实现未经批准的更改 | CMA_C1194 - 自动执行进程以禁止实现未经批准的更改 | 手动、已禁用 | 1.1.0 |
| 自动执行建议的已记录更改 | CMA_C1191 - 自动执行建议的已记录更改 | 手动、已禁用 | 1.1.0 |
| 自动执行远程维护活动 | CMA_C1402 - 自动执行远程维护活动 | 手动、已禁用 | 1.1.0 |
| Azure 注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | AuditIfNotExists、Disabled | 1.0.1 |
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | 手动、已禁用 | 1.1.0 |
| 配置计算机以接收漏洞评估提供程序 | Azure Defender 包含适用于计算机的漏洞扫描,不额外收费。 你无需具备 Qualys 许可证,甚至还不需要 Qualys 帐户 - 所有操作都在安全中心内无缝执行。 启用此策略后,Azure Defender 会自动将 Qualys 漏洞评估提供程序部署到尚未安装该代理的所有受支持的计算机。 | DeployIfNotExists、Disabled | 4.0.0 |
| 控制维护和修复活动 | CMA_0080 - 控制维护和修复活动 | 手动、已禁用 | 1.1.0 |
| 关联漏洞扫描信息 | CMA_C1558 - 关联漏洞扫描信息 | 手动、已禁用 | 1.1.1 |
| 制定和记录应用程序安全要求 | CMA_0148 - 制定和记录应用程序安全要求 | 手动、已禁用 | 1.1.0 |
| 制定和维护漏洞管理标准 | CMA_0152 - 制定和维护漏洞管理标准 | 手动、已禁用 | 1.1.0 |
| 制定配置管理计划 | CMA_C1232 - 制定配置管理计划 | 手动、已禁用 | 1.1.0 |
| 记录人员接受隐私要求 | CMA_0193 - 记录人员对隐私要求的接受情况 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 使用媒体清理机制 | CMA_0208 - 使用媒体清理机制 | 手动、已禁用 | 1.1.0 |
| 强制执行安全配置设置 | CMA_0249 - 强制执行安全配置设置 | 手动、已禁用 | 1.1.0 |
| 确保加密机制由配置管理 | CMA_C1199 - 确保加密机制由配置管理 | 手动、已禁用 | 1.1.0 |
| 建立风险管理策略 | CMA_0258 - 建立风险管理策略 | 手动、已禁用 | 1.1.0 |
| 建立安全软件开发计划 | CMA_0259 - 制定安全软件开发计划 | 手动、已禁用 | 1.1.0 |
| 建立并记录配置管理计划 | CMA_0264 - 建立并记录配置管理计划 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 为开发人员建立配置管理要求 | CMA_0270 - 为开发人员设定配置管理要求 | 手动、已禁用 | 1.1.0 |
| 实现自动配置管理工具 | CMA_0311 - 实现自动配置管理工具 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
| 为执行漏洞扫描活动实现特权访问 | CMA_C1555 - 为执行漏洞扫描活动实现特权访问 | 手动、已禁用 | 1.1.0 |
| 将缺陷修正合并到配置管理中 | CMA_C1671 - 将缺陷修正合并到配置管理中 | 手动、已禁用 | 1.1.0 |
| 安装警报系统 | CMA_0338 - 安装警报系统 | 手动、已禁用 | 1.1.0 |
| 管理非本地维护和诊断活动 | CMA_0364 - 管理非本地维护和诊断活动 | 手动、已禁用 | 1.1.0 |
| Microsoft 托管的控制 1174 - 配置管理政策和程序 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1175 - 配置管理政策和程序 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1230 - 配置管理计划 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1231 - 配置管理计划 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1232 - 配置管理计划 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1233 - 配置管理计划 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1546 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1547 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1548 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1549 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1550 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1551 - 漏洞扫描 | 更新工具功能 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1552 - 漏洞扫描 | 按频率更新/新扫描之前/识别时 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1553 - 漏洞扫描 | 作用广度/深度 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1554 - 漏洞扫描 | 可检测到的信息 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1555 - 漏洞扫描 | 特权访问 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1556 - 漏洞扫描 | 自动趋势分析 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1557 - 漏洞扫描 | 查阅历史审核日志 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1558 - 漏洞扫描 | 关联扫描信息 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1594 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1595 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1596 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1597 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1598 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1599 - 开发商配置管理 | 软件/固件完整性验证 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1606 - 开发商安全测试和评估 | 威胁和漏洞分析 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | 手动、已禁用 | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置变更控制执行审核 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 生成远程维护活动的完整记录 | CMA_C1403 - 生成远程维护活动的完整记录 | 手动、已禁用 | 1.1.0 |
| 提供及时的维护支持 | CMA_C1425 - 提供及时的维护支持 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
| 要求开发人员记录已批准的更改和潜在影响 | CMA_C1597 - 要求开发人员记录已批准的更改和潜在影响 | 手动、已禁用 | 1.1.0 |
| 要求开发人员仅实现已批准的更改 | CMA_C1596 - 要求开发人员仅实现已批准的更改 | 手动、已禁用 | 1.1.0 |
| 要求开发人员管理更改完整性 | CMA_C1595 - 要求开发人员管理更改完整性 | 手动、已禁用 | 1.1.0 |
| 查看和更新配置管理策略和过程 | CMA_C1175 - 查看和更新配置管理策略和过程 | 手动、已禁用 | 1.1.0 |
| 设置订阅以过渡到备用漏洞评估解决方案 | Microsoft Defender for Cloud 可为计算机提供漏洞扫描服务,而无需额外付费。 启用此策略将导致 Defender for Cloud 自动将内置 Microsoft Defender 漏洞管理解决方案中的结果传播到所有受支持的计算机。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| SQL 数据库应已解决漏洞结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 计算机上的 SQL Server 应已解决漏洞结果 | SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,例如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在 SQL 托管实例上启用漏洞评估 | 审核未启用定期漏洞评估扫描的每个 SQL 托管实例。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应对 SQL 服务器启用漏洞评估 | 审核未正确配置漏洞评估的 Azure SQL 服务器。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应对 Synapse 工作区启用漏洞评估 | 通过在 Synapse 工作区上配置定期 SQL 漏洞评估扫描来发现、跟踪和修复潜在的漏洞。 | AuditIfNotExists、Disabled | 1.0.0 |
操作
ID:ENS v1 op.exp.5 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 解决编码漏洞 | CMA_0003 - 解决编码漏洞 | 手动、已禁用 | 1.1.0 |
| 对建议的更改自动执行审批请求 | CMA_C1192 - 对建议的更改自动执行审批请求 | 手动、已禁用 | 1.1.0 |
| 自动实现已批准的更改通知 | CMA_C1196 - 自动实现已批准的更改通知 | 手动、已禁用 | 1.1.0 |
| 将记录已实现的更改的流程自动化 | CMA_C1195 - 将记录已实现的更改的流程自动化 | 手动、已禁用 | 1.1.0 |
| 自动执行流程以突出未审阅的更改建议 | CMA_C1193 - 自动执行流程以突出未审阅的更改建议 | 手动、已禁用 | 1.1.0 |
| 自动执行进程以禁止实现未经批准的更改 | CMA_C1194 - 自动执行进程以禁止实现未经批准的更改 | 手动、已禁用 | 1.1.0 |
| 自动执行建议的已记录更改 | CMA_C1191 - 自动执行建议的已记录更改 | 手动、已禁用 | 1.1.0 |
| Azure 注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | AuditIfNotExists、Disabled | 1.0.1 |
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | 手动、已禁用 | 1.1.0 |
| 配置计算机以接收漏洞评估提供程序 | Azure Defender 包含适用于计算机的漏洞扫描,不额外收费。 你无需具备 Qualys 许可证,甚至还不需要 Qualys 帐户 - 所有操作都在安全中心内无缝执行。 启用此策略后,Azure Defender 会自动将 Qualys 漏洞评估提供程序部署到尚未安装该代理的所有受支持的计算机。 | DeployIfNotExists、Disabled | 4.0.0 |
| 关联漏洞扫描信息 | CMA_C1558 - 关联漏洞扫描信息 | 手动、已禁用 | 1.1.1 |
| 制定和记录应用程序安全要求 | CMA_0148 - 制定和记录应用程序安全要求 | 手动、已禁用 | 1.1.0 |
| 制定和维护漏洞管理标准 | CMA_0152 - 制定和维护漏洞管理标准 | 手动、已禁用 | 1.1.0 |
| 制定配置管理计划 | CMA_C1232 - 制定配置管理计划 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 强制执行安全配置设置 | CMA_0249 - 强制执行安全配置设置 | 手动、已禁用 | 1.1.0 |
| 确保加密机制由配置管理 | CMA_C1199 - 确保加密机制由配置管理 | 手动、已禁用 | 1.1.0 |
| 建立风险管理策略 | CMA_0258 - 建立风险管理策略 | 手动、已禁用 | 1.1.0 |
| 建立安全软件开发计划 | CMA_0259 - 制定安全软件开发计划 | 手动、已禁用 | 1.1.0 |
| 建立并记录配置管理计划 | CMA_0264 - 建立并记录配置管理计划 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 为开发人员建立配置管理要求 | CMA_0270 - 为开发人员设定配置管理要求 | 手动、已禁用 | 1.1.0 |
| 实现自动配置管理工具 | CMA_0311 - 实现自动配置管理工具 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
| 为执行漏洞扫描活动实现特权访问 | CMA_C1555 - 为执行漏洞扫描活动实现特权访问 | 手动、已禁用 | 1.1.0 |
| 将缺陷修正合并到配置管理中 | CMA_C1671 - 将缺陷修正合并到配置管理中 | 手动、已禁用 | 1.1.0 |
| 安装警报系统 | CMA_0338 - 安装警报系统 | 手动、已禁用 | 1.1.0 |
| 管理非本地维护和诊断活动 | CMA_0364 - 管理非本地维护和诊断活动 | 手动、已禁用 | 1.1.0 |
| Microsoft 托管的控制 1174 - 配置管理政策和程序 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1175 - 配置管理政策和程序 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1230 - 配置管理计划 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1231 - 配置管理计划 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1232 - 配置管理计划 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1233 - 配置管理计划 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1546 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1547 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1548 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1549 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1550 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1551 - 漏洞扫描 | 更新工具功能 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1552 - 漏洞扫描 | 按频率更新/新扫描之前/识别时 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1553 - 漏洞扫描 | 作用广度/深度 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1554 - 漏洞扫描 | 可检测到的信息 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1555 - 漏洞扫描 | 特权访问 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1556 - 漏洞扫描 | 自动趋势分析 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1557 - 漏洞扫描 | 查阅历史审核日志 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1558 - 漏洞扫描 | 关联扫描信息 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1594 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1595 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1596 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1597 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1598 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1599 - 开发商配置管理 | 软件/固件完整性验证 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1606 - 开发商安全测试和评估 | 威胁和漏洞分析 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | 手动、已禁用 | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置变更控制执行审核 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
| 要求开发人员记录已批准的更改和潜在影响 | CMA_C1597 - 要求开发人员记录已批准的更改和潜在影响 | 手动、已禁用 | 1.1.0 |
| 要求开发人员仅实现已批准的更改 | CMA_C1596 - 要求开发人员仅实现已批准的更改 | 手动、已禁用 | 1.1.0 |
| 要求开发人员管理更改完整性 | CMA_C1595 - 要求开发人员管理更改完整性 | 手动、已禁用 | 1.1.0 |
| 查看和更新配置管理策略和过程 | CMA_C1175 - 查看和更新配置管理策略和过程 | 手动、已禁用 | 1.1.0 |
| 设置订阅以过渡到备用漏洞评估解决方案 | Microsoft Defender for Cloud 可为计算机提供漏洞扫描服务,而无需额外付费。 启用此策略将导致 Defender for Cloud 自动将内置 Microsoft Defender 漏洞管理解决方案中的结果传播到所有受支持的计算机。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| SQL 数据库应已解决漏洞结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 计算机上的 SQL Server 应已解决漏洞结果 | SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,例如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在 SQL 托管实例上启用漏洞评估 | 审核未启用定期漏洞评估扫描的每个 SQL 托管实例。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应对 SQL 服务器启用漏洞评估 | 审核未正确配置漏洞评估的 Azure SQL 服务器。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应对 Synapse 工作区启用漏洞评估 | 通过在 Synapse 工作区上配置定期 SQL 漏洞评估扫描来发现、跟踪和修复潜在的漏洞。 | AuditIfNotExists、Disabled | 1.0.0 |
操作
ID:ENS v1 op.exp.6 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于 Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于开源关系数据库的 Azure Defender | 适用于开源关系数据库的 Azure Defender 可以检测异常活动,这些活动指示有人企图以非寻常或可能有害的方式访问或恶意利用数据库。 若要详细了解有关适用于开源关系数据库的 Azure Defender 的功能,请参阅 https://aka.ms/AzDforOpenSourceDBsDocu。 重要提示:启用此计划将产生保护开源关系数据库的费用。 若要了解定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用 Azure Defender for Resource Manager | Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于计算机上的 SQL 服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 SQL 服务器 | AuditIfNotExists、Disabled | 2.0.1 |
| 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 审核所有未启用高级数据安全的 SQL 托管实例。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Kubernetes 服务群集应启用 Defender 配置文件 | Microsoft Defender for Containers 提供云原生 Kubernetes 安全功能,包括环境强化、工作负载保护和运行时保护。 在 Azure Kubernetes 服务群集上启用 SecurityProfile.AzureDefender 时,会将代理部署到群集以收集安全事件数据。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks 中详细了解 Microsoft Defender for Containers | Audit、Disabled | 2.0.1 |
| Azure 注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | AuditIfNotExists、Disabled | 1.0.1 |
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 云服务(外延支持)角色实例应安装终结点保护解决方案 | 确保已在云服务(外延支持)角色实例上安装终结点保护解决方案,以防止这些实例受到威胁和漏洞侵害。 | AuditIfNotExists、Disabled | 1.0.0 |
| 配置已启用 Arc 的 SQL Server 以自动安装 Microsoft Defender for SQL | 配置已启用 Windows Arc 的 SQL Server 以自动安装 Microsoft Defender for SQL 代理。 Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 | DeployIfNotExists、Disabled | 1.2.0 |
| 配置已启用 Arc 的 SQL Server 以使用 Log Analytics 工作区自动安装 Microsoft Defender for SQL 和 DCR | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建资源组、数据收集规则和 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.5.0 |
| 配置已启用 Arc 的 SQL Server 以使用用户定义的 LA 工作区自动安装 Microsoft Defender for SQL 和 DCR | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在用户定义的 Log Analytics 工作区所在的同一区域中创建资源组和数据收集规则。 | DeployIfNotExists、Disabled | 1.7.0 |
| 使用数据收集规则关联将已启用 Arc 的 SQL Server 配置为 Microsoft Defender for SQL DCR | 配置已启用 Arc 的 SQL Server 与 Microsoft Defender for SQL DCR 之间的关联。 删除此关联将中断对此已启用 Arc 的 SQL Server 的安全漏洞检测。 | DeployIfNotExists、Disabled | 1.1.0 |
| 使用数据收集规则关联将已启用 Arc 的 SQL Server 配置为 Microsoft Defender for SQL 用户定义的 DCR | 配置已启用 Arc 的 SQL Server 与 Microsoft Defender for SQL 用户定义的 DCR 之间的关联。 删除此关联将中断对此已启用 Arc 的 SQL Server 的安全漏洞检测。 | DeployIfNotExists、Disabled | 1.3.0 |
| 将适用于应用服务的 Azure Defender 配置为启用 | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | DeployIfNotExists、Disabled | 1.0.1 |
| 将适用于 Azure SQL 数据库的 Azure Defender 配置为启用 | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | DeployIfNotExists、Disabled | 1.0.1 |
| 应启用配置适用于开源关系数据库的 Azure Defender | 适用于开源关系数据库的 Azure Defender 可以检测异常活动,这些活动指示有人企图以非寻常或可能有害的方式访问或恶意利用数据库。 若要详细了解有关适用于开源关系数据库的 Azure Defender 的功能,请参阅 https://aka.ms/AzDforOpenSourceDBsDocu。 重要提示:启用此计划将产生保护开源关系数据库的费用。 若要了解定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Azure Defender for Resource Manager 配置为启用 | Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center。 | DeployIfNotExists、Disabled | 1.1.0 |
| 将适用于服务器的 Azure Defender 配置为启用 | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | DeployIfNotExists、Disabled | 1.0.1 |
| 为要启用的计算机上的 SQL 服务器配置 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | DeployIfNotExists、Disabled | 1.0.1 |
| 将 Azure Defender 配置为在 SQL 托管实例上启用 | 在 Azure SQL 托管实例上启用 Azure Defender 可检测异常活动,此类活动表明数据库遭到了异常的访问或利用尝试并且可能会造成损害。 | DeployIfNotExists、Disabled | 2.0.0 |
| 配置 Azure Kubernetes 服务群集以启用 Defender 配置文件 | Microsoft Defender for Containers 提供云原生 Kubernetes 安全功能,包括环境强化、工作负载保护和运行时保护。 在 Azure Kubernetes 服务群集上启用 SecurityProfile.Defender 时,会将代理部署到群集以收集安全事件数据。 详细了解 Microsoft Defender for Containers:https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks。 | DeployIfNotExists、Disabled | 4.2.0 |
| 将基本 Microsoft Defender for Storage 配置为启用(仅限活动监视) | Microsoft Defender for Storage 是 Azure 原生安全智能层,用于检测对你的存储帐户的潜在威胁。 此策略将启用基本的 Defender for Storage 功能(活动监视)。 若要启用完全保护(其中还包括上传时恶意软件扫描和敏感数据威胁检测),请使用完整的启用策略:aka.ms/DefenderForStoragePolicy。 若要详细了解 efender for Storage 的功能和优势,请访问 aka.ms/DefenderForStorage。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置计算机以接收漏洞评估提供程序 | Azure Defender 包含适用于计算机的漏洞扫描,不额外收费。 你无需具备 Qualys 许可证,甚至还不需要 Qualys 帐户 - 所有操作都在安全中心内无缝执行。 启用此策略后,Azure Defender 会自动将 Qualys 漏洞评估提供程序部署到尚未安装该代理的所有受支持的计算机。 | DeployIfNotExists、Disabled | 4.0.0 |
| 将 Microsoft Defender CSPM 配置为启用 | Defender 云安全态势管理 (CSPM) 提供增强的态势功能和全新的智能云安全图,以帮助识别风险、确定风险优先级和减少风险。 除了 Defender for Cloud 中默认启用的免费基础安全态势功能,还提供 Defender CSPM。 | DeployIfNotExists、Disabled | 1.0.2 |
| 将 Microsoft Defender for Azure Cosmos DB 配置为启用 | Microsoft Defender for Azure Cosmos DB 是 Azure 本机安全层,可检测企图利用 Azure Cosmos DB 帐户中的数据库的行为。 Defender for Azure Cosmos DB 检测潜在的 SQL 注入、已知恶意参与者(基于 Microsoft 威胁智能)、可疑访问模式以及通过泄露的标识或由恶意预览体验成员对数据库的潜在利用。 | DeployIfNotExists、Disabled | 1.0.0 |
| 应启用配置 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | DeployIfNotExists、Disabled | 1.0.1 |
| 配置 Microsoft Defender for Key Vault 计划 | 适用于密钥保管库的 Microsoft Defender 通过检测访问或利用密钥保管库帐户的可能有害的异常尝试,提供额外的保护层和安全情报。 | DeployIfNotExists、Disabled | 1.1.0 |
| 将 Microsoft Defender for SQL 配置为在 Synapse 工作区上启用 | 在 Azure Synapse 工作区上启用 Microsoft Defender for SQL 可检测异常活动,这些活动表明 SQL 数据库遭到了异常的访问或利用尝试并且可能会造成损害。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Microsoft Defender for Storage(经典版)配置为启用 | Microsoft Defender for Storage(经典版)可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。 | DeployIfNotExists、Disabled | 1.0.2 |
| 将 Microsoft Defender for Storage 配置为启用 | Microsoft Defender for Storage 是 Azure 原生安全智能层,用于检测对你的存储帐户的潜在威胁。 此策略将启用所有 Defender for Storage 功能:活动监视、恶意软件扫描、敏感数据威胁检测。 若要详细了解 efender for Storage 的功能和优势,请访问 aka.ms/DefenderForStorage。 | DeployIfNotExists、Disabled | 1.3.0 |
| 配置 SQL 虚拟机以自动安装 Microsoft Defender for SQL | 配置 Windows SQL 虚拟机以自动安装 Microsoft Defender for SQL 扩展。 Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 | DeployIfNotExists、Disabled | 1.4.0 |
| 配置 SQL 虚拟机以使用 Log Analytics 工作区自动安装 Microsoft Defender for SQL 和 DCR | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建资源组、数据收集规则和 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.6.0 |
| 配置 SQL 虚拟机以使用用户定义的 LA 工作区自动安装 Microsoft Defender for SQL 和 DCR | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在用户定义的 Log Analytics 工作区所在的同一区域中创建资源组和数据收集规则。 | DeployIfNotExists、Disabled | 1.7.0 |
| 配置 Microsoft Defender for SQL Log Analytics 工作区 | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建资源组和 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.3.0 |
| 控制维护和修复活动 | CMA_0080 - 控制维护和修复活动 | 手动、已禁用 | 1.1.0 |
| 在存储帐户上部署 Defender for Storage(经典) | 此策略在存储帐户上启用 Defender for Storage(经典)。 | DeployIfNotExists、Disabled | 1.0.1 |
| 为 Microsoft Defender for Cloud 数据将“导出到事件中心”部署为受信任的服务 | 将“导出到事件中心”作为 Microsoft Defender for Cloud 数据受信任的服务启用。 此策略会在分配的范围上使用所设定的条件和目标事件中心将“导出到事件中心”部署为受信任的服务配置。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | DeployIfNotExists、Disabled | 1.0.0 |
| 在订阅上启用 Microsoft Defender for Cloud | 标识不受 Microsoft Defender for Cloud 监视的现有订阅,并使用 Defender for Cloud 的免费功能保护它们。 已监视的订阅将被视为合规。 要注册新创建的订阅,请打开“合规性”选项卡,选择相关的不合规分配,然后创建修正任务。 | deployIfNotExists | 1.0.1 |
| 应在计算机上解决 Endpoint Protection 运行状况问题 | 解决虚拟机上的 Endpoint Protection 运行状况问题,以保护其免受最新威胁和漏洞的侵害。 此文档介绍了 Azure 安全中心支持的终结点保护解决方案 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 此文档介绍了终结点保护评估 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在计算机上安装 Endpoint Protection | 若要保护计算机免受威胁和漏洞的侵害,请安装受支持的 Endpoint Protection 解决方案。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在虚拟机规模集上安装终结点保护解决方案 | 审核终结点保护解决方案在虚拟机规模集上的存在性和运行状况 ,以保护其免受威胁和漏洞的侵害。 | AuditIfNotExists、Disabled | 3.0.0 |
| 管理网关 | CMA_0363 - 管理网关 | 手动、已禁用 | 1.1.0 |
| 管理非本地维护和诊断活动 | CMA_0364 - 管理非本地维护和诊断活动 | 手动、已禁用 | 1.1.0 |
| 应启用 Microsoft Defender CSPM | Defender 云安全态势管理 (CSPM) 提供增强的态势功能和全新的智能云安全图,以帮助识别风险、确定风险优先级和减少风险。 除了 Defender for Cloud 中默认启用的免费基础安全态势功能,还提供 Defender CSPM。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用 Microsoft Defender for API | Microsoft Defender for API 引入了新的发现、保护、检测,以及用于监视常见基于 API 的攻击和安全性配置错误的响应覆盖。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用 Microsoft Defender for Azure Cosmos DB | Microsoft Defender for Azure Cosmos DB 是 Azure 本机安全层,可检测企图利用 Azure Cosmos DB 帐户中的数据库的行为。 Defender for Azure Cosmos DB 检测潜在的 SQL 注入、已知恶意参与者(基于 Microsoft 威胁智能)、可疑访问模式以及通过泄露的标识或由恶意预览体验成员对数据库的潜在利用。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为未受保护的 Synapse 工作区启用 Microsoft Defender for SQL | 启用 Defender for SQL 以保护 Synapse 工作区。 Defender for SQL 监视 Synapse SQL 以检测异常活动,这些活动表明数据库遭到了异常的访问或利用尝试并且可能会造成损害。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for SQL 的状态应为“已为已启用 Arc 的 SQL Server 进行了保护” | Microsoft Defender for SQL 提供了以下功能:公开和缓解潜在数据库漏洞、检测可能对 SQL 数据库造成威胁的异常活动,发现和分类敏感数据。 启用后,保护状态指示资源受到主动监视。 即使启用了 Defender,也应该在代理、计算机、工作区和 SQL Server 上验证多个配置设置,以确保主动保护。 | Audit、Disabled | 1.0.1 |
| 应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 建议通过 Azure 安全中心监视未安装 Endpoint Protection 代理的服务器 | AuditIfNotExists、Disabled | 3.0.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 提供定期安全意识培训 | CMA_C1091 - 提供定期安全意识培训 | 手动、已禁用 | 1.1.0 |
| 为新用户提供安全培训 | CMA_0419 - 为新用户提供安全培训 | 手动、已禁用 | 1.1.0 |
| 每周查看恶意软件检测报告 | CMA_0475 - 每周查看恶意软件检测报告 | 手动、已禁用 | 1.1.0 |
| 每周查看威胁防护状态 | CMA_0479 - 每周查看威胁防护状态 | 手动、已禁用 | 1.1.0 |
| 设置订阅以过渡到备用漏洞评估解决方案 | Microsoft Defender for Cloud 可为计算机提供漏洞扫描服务,而无需额外付费。 启用此策略将导致 Defender for Cloud 自动将内置 Microsoft Defender 漏洞管理解决方案中的结果传播到所有受支持的计算机。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| 更新防病毒定义 | CMA_0517 - 更新防病毒定义 | 手动、已禁用 | 1.1.0 |
| 应在计算机上启用 Windows Defender 攻击防护 | Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 | AuditIfNotExists、Disabled | 2.0.0 |
| Windows 计算机应配置 Windows Defender 以在一天内更新保护签名 | 为了提供足够的保护来防御新发布的恶意软件,需要定期更新 Windows Defender 保护签名来应对新发布的恶意软件。 此策略不适用于连接了 Arc 的服务器,它要求来宾配置先决条件已部署到策略分配范围。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | AuditIfNotExists、Disabled | 1.0.1 |
| Windows 计算机应启用 Windows Defender 实时保护 | Windows 计算机应启用 Windows Defender 中的实时保护,以提供足够的保护来防御新发布的恶意软件。 此策略不适用于连接了 Arc 的服务器,它要求来宾配置先决条件已部署到策略分配范围。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | AuditIfNotExists、Disabled | 1.0.1 |
操作
ID:ENS v1 op.exp.7 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 解决信息安全问题 | CMA_C1742 - 解决信息安全问题 | 手动、已禁用 | 1.1.0 |
| 遵守定义的保持期 | CMA_0004 - 遵守定义的保持期 | 手动、已禁用 | 1.1.0 |
| 应用服务应用应已启用资源日志 | 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists、Disabled | 2.0.1 |
| 访问信息安全事件 | CMA_0013 - 访问信息安全事件 | 手动、已禁用 | 1.1.0 |
| 建立内部连接之前检查隐私和安全合规性 | CMA_0053 - 建立内部连接之前检查隐私和安全合规性 | 手动、已禁用 | 1.1.0 |
| 执行事件响应测试 | CMA_0060 - 执行事件响应测试 | 手动、已禁用 | 1.1.0 |
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
| 关联审核记录 | CMA_0087 - 关联审核记录 | 手动、已禁用 | 1.1.0 |
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | 手动、已禁用 | 1.1.0 |
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | 手动、已禁用 | 1.1.0 |
| 制定安全防护措施 | CMA_0161 - 制定安全防护措施 | 手动、已禁用 | 1.1.0 |
| 发现任何泄露指示信号 | CMA_C1702 - 发现任何泄露指示信号 | 手动、已禁用 | 1.1.0 |
| 向人员传播安全警报 | CMA_C1705 - 向人员传播安全警报 | 手动、已禁用 | 1.1.0 |
| 记录安全操作 | CMA_0202 - 记录安全操作 | 手动、已禁用 | 1.1.0 |
| 应启用高严重性警报的电子邮件通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请在安全中心为高严重性警报启用电子邮件通知。 | AuditIfNotExists、Disabled | 1.2.0 |
| 应启用向订阅所有者发送高严重性警报的电子邮件通知 | 当订阅中存在潜在的安全漏洞时,若要确保订阅所有者收到通知,请在安全中心设置向订阅所有者发送高严重性警报的电子邮件通知。 | AuditIfNotExists、Disabled | 2.1.0 |
| 启用网络保护 | CMA_0238 - 启用网络保护 | 手动、已禁用 | 1.1.0 |
| 根除被污染的信息 | CMA_0253 - 根除被污染的信息 | 手动、已禁用 | 1.1.0 |
| 制定隐私计划 | CMA_0257 - 制定隐私计划 | 手动、已禁用 | 1.1.0 |
| 建立威胁情报计划 | CMA_0260 - 建立威胁情报计划 | 手动、已禁用 | 1.1.0 |
| 在事件响应功能和外部提供程序之间建立关系 | CMA_C1376 - 在事件响应功能和外部提供程序之间建立关系 | 手动、已禁用 | 1.1.0 |
| 建立审核评审与报告要求 | CMA_0277 - 建立审核评审与报告的要求 | 手动、已禁用 | 1.1.0 |
| 执行操作以响应信息溢写 | CMA_0281 - 执行操作以响应信息溢写 | 手动、已禁用 | 1.1.0 |
| 生成内部安全警报 | CMA_C1704 - 生成内部安全警报 | 手动、已禁用 | 1.1.0 |
| 标识事件响应人员 | CMA_0301 - 确定事件响应人员 | 手动、已禁用 | 1.1.0 |
| 实现事件处理 | CMA_0318 - 实现事件处理 | 手动、已禁用 | 1.1.0 |
| 实现事件处理功能 | CMA_C1367 - 实现事件处理功能 | 手动、已禁用 | 1.1.0 |
| 实现安全指令 | CMA_C1706 - 实现安全指令 | 手动、已禁用 | 1.1.0 |
| 将缺陷修正合并到配置管理中 | CMA_C1671 - 将缺陷修正合并到配置管理中 | 手动、已禁用 | 1.1.0 |
| 集成审核评审、分析和报告 | CMA_0339 - 集成审核评审、分析和报告 | 手动、已禁用 | 1.1.0 |
| 将云应用安全与 SIEM 集成 | CMA_0340 - 将云应用安全与 SIEM 集成 | 手动、已禁用 | 1.1.0 |
| 隔离 SecurID 系统、安全事件管理系统 | CMA_C1636 - 隔离 SecurID 系统、安全事件管理系统 | 手动、已禁用 | 1.1.0 |
| Kubernetes 群集容器应只使用允许的映像 | 使用受信任注册表中的映像,以降低 Kubernetes 群集暴露于未知漏洞、安全问题和恶意映像的风险。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 9.2.0 |
| 维护事件响应计划 | CMA_0352 - 维护事件响应计划 | 手动、已禁用 | 1.1.0 |
| 管理机构和特殊兴趣组的联系人 | CMA_0359 - 管理机构和特殊兴趣组的联系人 | 手动、已禁用 | 1.1.0 |
| Microsoft 托管的控制 1351 - 事件响应政策和程序 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1352 - 事件响应政策和程序 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1353 - 事件响应培训 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1354 - 事件响应培训 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1355 - 事件响应培训 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1356 - 事件响应培训 | 模拟事件 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1357 - 事件响应培训 | 自动化培训环境 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1358 - 事件响应测试 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1359 - 事件响应测试 | 与相关计划协调 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1360 - 事件处理 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1361 - 事件处理 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1362 - 事件处理 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1363 - 事件处理 | 自动化事件处理过程 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1364 - 事件处理 | 动态重新配置 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1365 - 事件处理 | 操作连续性 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1366 - 事件处理 | 信息关联 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1367 - 事件处理 | 内部威胁 - 特定力量 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1368 - 事件处理 | 与外部组织关联 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1369 - 事件监视 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1370 - 事件监视 | 自动跟踪/数据收集/分析 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1371 - 事件报告 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1372 - 事件报告 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1373 - 事件报告 | 自动化报告 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1374 - 事件响应协助 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1375 - 事件响应协助 | 对信息/支持可用性的自动化支持 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1376 - 事件响应协助 | 与外部提供商协调 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1377 - 事件响应协助 | 与外部提供商协调 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1378 - 事件响应计划 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1379 - 事件响应计划 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1380 - 事件响应计划 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1381 - 事件响应计划 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1382 - 事件响应计划 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1383 - 事件响应计划 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1384 - 信息泄漏响应 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1385 - 信息泄漏响应 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1386 - 信息泄漏响应 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1387 - 信息泄漏响应 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1388 - 信息泄漏响应 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1389 - 信息泄漏响应 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1390 - 信息泄漏响应 | 负责人员 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1391 - 信息泄漏响应 | 培训 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1392 - 信息泄漏响应 | 泄漏后操作 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1393 - 信息泄漏响应 | 信息遭他人未经授权地访问 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1728 - 事件处理 | 由 Microsoft 实现此事件响应控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1856 - 隐私事件响应 | Microsoft 实现此安全控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1857 - 隐私事件响应 | Microsoft 实现此安全控制 | 审核 | 1.0.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 保护事件响应计划 | CMA_0405 - 保护事件响应计划 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
| 报告用户帐户的异常行为 | CMA_C1025 - 报告用户帐户的异常行为 | 手动、已禁用 | 1.1.0 |
| 应启用 Azure Key Vault 托管 HSM 中的资源日志 | 若要在发生安全事件或网络遭到破坏时重新创建活动跟踪以供调查之用,你可能需要通过启用托管的 HSM 上的资源日志进行审核。 请按照此处的说明进行操作:https://docs.microsoft.com/azure/key-vault/managed-hsm/logging。 | AuditIfNotExists、Disabled | 1.1.0 |
| 应启用 Azure 机器学习工作区中的资源日志 | 发生安全事件或网络遭到入侵时,通过资源日志可重新创建用于调查的活动线索。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应启用事件中心内的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 Key Vault 中的资源日志 | 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用搜索服务中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 保留安全策略和过程 | CMA_0454 - 保留安全策略和过程 | 手动、已禁用 | 1.1.0 |
| 保留终止的用户数据 | CMA_0455 - 保留终止的用户数据 | 手动、已禁用 | 1.1.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 每周检查管理员分配任务 | CMA_0461 - 每周检查管理员分配 | 手动、已禁用 | 1.1.0 |
| 查看并更新事件响应策略和过程 | CMA_C1352 - 查看并更新事件响应策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看审核数据 | CMA_0466 - 查看审核数据 | 手动、已禁用 | 1.1.0 |
| 查看云标识报告概述 | CMA_0468 - 查看云标识报告概述 | 手动、已禁用 | 1.1.0 |
| 查看受控文件夹访问事件 | CMA_0471 - 查看受控文件夹访问权限事件 | 手动、已禁用 | 1.1.0 |
| 查看文件和文件夹活动 | CMA_0473 - 查看文件和文件夹活动 | 手动、已禁用 | 1.1.0 |
| 每周评审角色组更改 | CMA_0476 - 每周评审角色组更改 | 手动、已禁用 | 1.1.0 |
| 对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 | 为便于调查事件,建议将 SQL Server 审核数据在存储帐户目标中的数据保留期设置为至少 90 天。 确认你遵守所运营区域的必要保留规则。 为了符合监管标准,有时需要这样做。 | AuditIfNotExists、Disabled | 3.0.0 |
| 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请设置一个安全联系人,以接收来自安全中心的电子邮件通知。 | AuditIfNotExists、Disabled | 1.0.1 |
| 查看并调查受限制的用户 | CMA_0545 - 查看并调查受限制的用户 | 手动、已禁用 | 1.1.0 |
操作
ID:ENS v1 op.exp.8 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 | 如果虚拟机映像不在定义的列表中,并且未安装扩展,则会将虚拟机报告为不合规。 | AuditIfNotExists、Disabled | 2.0.1-preview |
| 遵守定义的保持期 | CMA_0004 - 遵守定义的保持期 | 手动、已禁用 | 1.1.0 |
| 向人员发出信息溢写警报 | CMA_0007 - 向人员发出信息溢写警报 | 手动、已禁用 | 1.1.0 |
| 应用服务应用槽应启用资源日志 | 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists、Disabled | 1.0.0 |
| 审核所选资源类型的诊断设置。 | 审核所选资源类型的诊断设置。 请确保仅选择支持诊断设置的资源类型。 | AuditIfNotExists | 2.0.1 |
| 审核特权函数 | CMA_0019 - 审核特权函数 | 手动、已禁用 | 1.1.0 |
| 审核用户帐户状态 | CMA_0020 - 审核用户帐户状态 | 手动、已禁用 | 1.1.0 |
| 应启用 SQL 服务器上的审核 | 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 | AuditIfNotExists、Disabled | 2.0.0 |
| 授权、监视和控制 voip | CMA_0025 - 授权、监视、控制 VoIP | 手动、已禁用 | 1.1.0 |
| 自动执行帐户管理 | CMA_0026 - 自动执行帐户管理 | 手动、已禁用 | 1.1.0 |
| Azure SignalR 服务应启用诊断日志 | 审核是否已启用诊断日志。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Web PubSub 服务应启用诊断日志 | 审核是否已启用诊断日志。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 1.0.0 |
| 建立内部连接之前检查隐私和安全合规性 | CMA_0053 - 建立内部连接之前检查隐私和安全合规性 | 手动、已禁用 | 1.1.0 |
| 将审核记录编入系统范围的审核 | CMA_C1140 - 将审核记录编入系统范围的审核 | 手动、已禁用 | 1.1.0 |
| 对已记录的特权命令进行全文分析 | CMA_0056 - 对已记录的特权命令进行全文分析 | 手动、已禁用 | 1.1.0 |
| 配置 Azure 审核功能 | CMA_C1108 - 配置 Azure 审核功能 | 手动、已禁用 | 1.1.1 |
| 关联审核记录 | CMA_0087 - 关联审核记录 | 手动、已禁用 | 1.1.0 |
| 应为列出的虚拟机映像启用 Dependency Agent | 如果虚拟机映像不在定义的列表中,并且未安装该代理,则会将虚拟机报告为不合规。 OS 映像列表会随着支持的更新而不断更新。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应在虚拟机规模集中为列出的虚拟机映像启用 Dependency Agent | 如果虚拟机映像不在定义的列表中,并且未安装该代理,则会将虚拟机规模集报告为不合规。 OS 映像列表会随着支持的更新而不断更新。 | AuditIfNotExists、Disabled | 2.0.0 |
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | 手动、已禁用 | 1.1.0 |
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | 手动、已禁用 | 1.1.0 |
| 发现任何泄露指示信号 | CMA_C1702 - 发现任何泄露指示信号 | 手动、已禁用 | 1.1.0 |
| 阐述处理个人信息的法律依据 | CMA_0206 - 记录处理个人信息的法律依据 | 手动、已禁用 | 1.1.0 |
| 启用双重或联合授权 | CMA_0226 - 启用双重或联合授权 | 手动、已禁用 | 1.1.0 |
| 强制和审核访问限制 | CMA_C1203 - 强制和审核访问限制 | 手动、已禁用 | 1.1.0 |
| 建立审核评审与报告要求 | CMA_0277 - 建立审核评审与报告的要求 | 手动、已禁用 | 1.1.0 |
| 实现使用者请求的方法 | CMA_0319 - 实现使用者请求的方法 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 集成审核评审、分析和报告 | CMA_0339 - 集成审核评审、分析和报告 | 手动、已禁用 | 1.1.0 |
| 将云应用安全与 SIEM 集成 | CMA_0340 - 将云应用安全与 SIEM 集成 | 手动、已禁用 | 1.1.0 |
| 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 | 如果虚拟机映像不在定义的列表中且未安装扩展,则将虚拟机规模集报告为不合规。 | AuditIfNotExists、Disabled | 2.0.1 |
| 管理网关 | CMA_0363 - 管理网关 | 手动、已禁用 | 1.1.0 |
| 管理系统和管理员帐户 | CMA_0368 - 管理系统和管理员帐户 | 手动、已禁用 | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 监视帐户活动 | CMA_0377 - 监视帐户活动 | 手动、已禁用 | 1.1.0 |
| 监视特权角色分配 | CMA_0378 - 监视特权角色分配 | 手动、已禁用 | 1.1.0 |
| 当不需要帐户时通知 | CMA_0383 - 当不需要帐户时通知 | 手动、已禁用 | 1.1.0 |
| 获取有关监视系统活动的法律意见 | CMA_C1688 - 获取有关监视系统活动的法律意见 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 保护审核信息 | CMA_0401 - 保护审核信息 | 手动、已禁用 | 1.1.0 |
| 根据需要提供监视信息 | CMA_C1689 - 根据需要提供监视信息 | 手动、已禁用 | 1.1.0 |
| 在 SORN 中发布访问过程 | CMA_C1848 - 在 SORN 中发布访问过程 | 手动、已禁用 | 1.1.0 |
| 发布访问隐私法记录的规则和法规 | CMA_C1847 - 发布访问隐私法记录的规则和法规 | 手动、已禁用 | 1.1.0 |
| 应启用 Azure Kubernetes 服务中的资源日志 | 在调查安全事件时,Azure Kubernetes 服务的资源日志可帮助重新创建活动线索。 启用日志可确保它们在需要时存在 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用 Azure 流分析中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 Batch 帐户中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 Data Lake Analytics 中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 IoT 中心内的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 3.1.0 |
| 应启用服务总线中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问权限 | 手动、已禁用 | 1.1.0 |
| 保留安全策略和过程 | CMA_0454 - 保留安全策略和过程 | 手动、已禁用 | 1.1.0 |
| 保留终止的用户数据 | CMA_0455 - 保留终止的用户数据 | 手动、已禁用 | 1.1.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 每周检查管理员分配任务 | CMA_0461 - 每周检查管理员分配 | 手动、已禁用 | 1.1.0 |
| 查看和更新 AU-02 中定义的事件 | CMA_C1106 - 查看和更新 AU-02 中定义的事件 | 手动、已禁用 | 1.1.0 |
| 查看审核数据 | CMA_0466 - 查看审核数据 | 手动、已禁用 | 1.1.0 |
| 查看任何未经授权的更改的更改 | CMA_C1204 - 查看任何未经授权的更改的更改 | 手动、已禁用 | 1.1.0 |
| 查看云标识报告概述 | CMA_0468 - 查看云标识报告概述 | 手动、已禁用 | 1.1.0 |
| 查看受控文件夹访问事件 | CMA_0471 - 查看受控文件夹访问权限事件 | 手动、已禁用 | 1.1.0 |
| 查看文件和文件夹活动 | CMA_0473 - 查看文件和文件夹活动 | 手动、已禁用 | 1.1.0 |
| 每周评审角色组更改 | CMA_0476 - 每周评审角色组更改 | 手动、已禁用 | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | 手动、已禁用 | 1.1.0 |
| 通过托管网络访问点路由流量 | CMA_0484 - 通过托管网络访问点路由流量 | 手动、已禁用 | 1.1.0 |
| 为组织中的新云应用程序和热门云应用程序设置自动通知 | CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 | 手动、已禁用 | 1.1.0 |
| 对存储帐户目标进行 SQL 审核的 Synapse 工作区应配置有 90 天或更高的保留期 | 为便于调查事件,我们建议将对存储帐户目标进行 SQL 审核的 Synapse 工作区保留期设置为至少 90 天。 确认你遵守所运营区域的必要保留规则。 为了符合监管标准,有时需要这样做。 | AuditIfNotExists、Disabled | 2.0.0 |
| 使用特权标识管理 | CMA_0533 - 使用特权标识管理 | 手动、已禁用 | 1.1.0 |
| 对审核记录使用系统时钟 | CMA_0535 - 对审核记录使用系统时钟 | 手动、已禁用 | 1.1.0 |
操作
ID:ENS v1 op.exp.9 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守定义的保持期 | CMA_0004 - 遵守定义的保持期 | 手动、已禁用 | 1.1.0 |
| 访问信息安全事件 | CMA_0013 - 访问信息安全事件 | 手动、已禁用 | 1.1.0 |
| 建立内部连接之前检查隐私和安全合规性 | CMA_0053 - 建立内部连接之前检查隐私和安全合规性 | 手动、已禁用 | 1.1.0 |
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
| 关联审核记录 | CMA_0087 - 关联审核记录 | 手动、已禁用 | 1.1.0 |
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | 手动、已禁用 | 1.1.0 |
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | 手动、已禁用 | 1.1.0 |
| 制定安全防护措施 | CMA_0161 - 制定安全防护措施 | 手动、已禁用 | 1.1.0 |
| 发现任何泄露指示信号 | CMA_C1702 - 发现任何泄露指示信号 | 手动、已禁用 | 1.1.0 |
| 记录安全操作 | CMA_0202 - 记录安全操作 | 手动、已禁用 | 1.1.0 |
| 启用网络保护 | CMA_0238 - 启用网络保护 | 手动、已禁用 | 1.1.0 |
| 根除被污染的信息 | CMA_0253 - 根除被污染的信息 | 手动、已禁用 | 1.1.0 |
| 建立审核评审与报告要求 | CMA_0277 - 建立审核评审与报告的要求 | 手动、已禁用 | 1.1.0 |
| 执行操作以响应信息溢写 | CMA_0281 - 执行操作以响应信息溢写 | 手动、已禁用 | 1.1.0 |
| 实现事件处理 | CMA_0318 - 实现事件处理 | 手动、已禁用 | 1.1.0 |
| 集成审核评审、分析和报告 | CMA_0339 - 集成审核评审、分析和报告 | 手动、已禁用 | 1.1.0 |
| 将云应用安全与 SIEM 集成 | CMA_0340 - 将云应用安全与 SIEM 集成 | 手动、已禁用 | 1.1.0 |
| 维护事件响应计划 | CMA_0352 - 维护事件响应计划 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 报告用户帐户的异常行为 | CMA_C1025 - 报告用户帐户的异常行为 | 手动、已禁用 | 1.1.0 |
| 保留安全策略和过程 | CMA_0454 - 保留安全策略和过程 | 手动、已禁用 | 1.1.0 |
| 保留终止的用户数据 | CMA_0455 - 保留终止的用户数据 | 手动、已禁用 | 1.1.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 每周检查管理员分配任务 | CMA_0461 - 每周检查管理员分配 | 手动、已禁用 | 1.1.0 |
| 查看审核数据 | CMA_0466 - 查看审核数据 | 手动、已禁用 | 1.1.0 |
| 查看云标识报告概述 | CMA_0468 - 查看云标识报告概述 | 手动、已禁用 | 1.1.0 |
| 查看受控文件夹访问事件 | CMA_0471 - 查看受控文件夹访问权限事件 | 手动、已禁用 | 1.1.0 |
| 查看文件和文件夹活动 | CMA_0473 - 查看文件和文件夹活动 | 手动、已禁用 | 1.1.0 |
| 每周评审角色组更改 | CMA_0476 - 每周评审角色组更改 | 手动、已禁用 | 1.1.0 |
| 查看并调查受限制的用户 | CMA_0545 - 查看并调查受限制的用户 | 手动、已禁用 | 1.1.0 |
外部资源
ID:ENS v1 op.ext.1 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 评估第三方关系中的风险 | CMA_0014 - 评估第三方关系中的风险 | 手动、已禁用 | 1.1.0 |
| 建立内部连接之前检查隐私和安全合规性 | CMA_0053 - 建立内部连接之前检查隐私和安全合规性 | 手动、已禁用 | 1.1.0 |
| 定义和记录政府监督 | CMA_C1587 - 定义和记录政府监督 | 手动、已禁用 | 1.1.0 |
| 定义提供货物和服务的要求 | CMA_0126 - 定义供应货物和服务的要求 | 手动、已禁用 | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 制定可接受的使用策略和过程 | CMA_0143 - 制定可接受的使用策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定组织行为准则策略 | CMA_0159 - 制定组织行为准则策略 | 手动、已禁用 | 1.1.0 |
| 记录收购合同验收条件 | CMA_0187 - 记录收购合同验收条件 | 手动、已禁用 | 1.1.0 |
| 记录人员接受隐私要求 | CMA_0193 - 记录人员对隐私要求的接受情况 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的个人数据保护 | CMA_0194 - 记录收购合同中的个人数据保护 | 手动、已禁用 | 1.1.0 |
| 收购合同中安全信息的文档保护 | CMA_0195 - 记录收购合同中安全信息的保护 | 手动、已禁用 | 1.1.0 |
| 记录在合同中使用共享数据的要求 | CMA_0197 - 记录在合同中使用共享数据的要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全保证要求 | CMA_0199 - 记录收购合同中的安全保证要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全记录要求 | CMA_0200 - 收购合同中的文档安全记录要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全功能要求 | CMA_0201 - 记录收购合同中的安全功能要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 记录第三方合同中的持卡人数据保护 | CMA_0207 - 记录第三方合同中的持卡人数据保护 | 手动、已禁用 | 1.1.0 |
| 强制执行行为和访问协议规则 | CMA_0248 - 强制执行行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 制定供应链风险管理策略 | CMA_0275 - 制定供应链风险管理策略 | 手动、已禁用 | 1.1.0 |
| 标识外部服务提供程序 | CMA_C1591 - 标识外部服务提供程序 | 手动、已禁用 | 1.1.0 |
| 实施隐私声明传递方法 | CMA_0324 - 实现隐私通知交付方法 | 手动、已禁用 | 1.1.0 |
| 在收集或处理个人数据之前获取同意 | CMA_0385 - 在收集或处理个人数据之前获取同意 | 手动、已禁用 | 1.1.0 |
| 禁止不公平做法 | CMA_0396 - 禁止不公平做法 | 手动、已禁用 | 1.1.0 |
| 提供隐私通知 | CMA_0414 - 提供隐私通知 | 手动、已禁用 | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
| 需要互连安全协议 | CMA_C1151 - 需要互连安全协议 | 手动、已禁用 | 1.1.0 |
| 审阅和签署修订的行为规则 | CMA_0465 - 审阅和签署修订的行为规则 | 手动、已禁用 | 1.1.0 |
| 查看和更新人员安全策略及过程 | CMA_C1507 - 查看和更新人员安全策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和服务采购政策和过程 | CMA_C1560 - 查看和更新系统和服务采购政策和过程 | 手动、已禁用 | 1.1.0 |
| 查看云服务提供商对策略和协议的符合性 | CMA_0469 - 查看云服务提供商对策略和协议的符合性 | 手动、已禁用 | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
| 更新互连安全协议 | CMA_0519 - 更新互连安全协议 | 手动、已禁用 | 1.1.0 |
| 更新行为和访问协议规则 | CMA_0521 - 更新行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 每 3 年更新一次行为和访问协议规则 | CMA_0522 - 每 3 年更新一次行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
外部资源
ID:ENS v1 op.ext.2 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义和记录政府监督 | CMA_C1587 - 定义和记录政府监督 | 手动、已禁用 | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 记录收购合同验收条件 | CMA_0187 - 记录收购合同验收条件 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的个人数据保护 | CMA_0194 - 记录收购合同中的个人数据保护 | 手动、已禁用 | 1.1.0 |
| 收购合同中安全信息的文档保护 | CMA_0195 - 记录收购合同中安全信息的保护 | 手动、已禁用 | 1.1.0 |
| 记录在合同中使用共享数据的要求 | CMA_0197 - 记录在合同中使用共享数据的要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全保证要求 | CMA_0199 - 记录收购合同中的安全保证要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全记录要求 | CMA_0200 - 收购合同中的文档安全记录要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全功能要求 | CMA_0201 - 记录收购合同中的安全功能要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 记录第三方合同中的持卡人数据保护 | CMA_0207 - 记录第三方合同中的持卡人数据保护 | 手动、已禁用 | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
| 查看云服务提供商对策略和协议的符合性 | CMA_0469 - 查看云服务提供商对策略和协议的符合性 | 手动、已禁用 | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
外部资源
ID:ENS v1 op.ext.3 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定供应链风险管理策略 | CMA_0275 - 制定供应链风险管理策略 | 手动、已禁用 | 1.1.0 |
| Microsoft 托管的控制 1608 - 供应链保护 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
外部资源
ID:ENS v1 op.ext.4 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机允许通过没有密码的帐户进行远程连接,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
| 审核具有不使用密码的帐户的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机具有不使用密码的帐户,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
| 审核未使用托管磁盘的 VM | 此策略审核未使用托管磁盘的 VM | 审核 | 1.0.0 |
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 自动执行帐户管理 | CMA_0026 - 自动执行帐户管理 | 手动、已禁用 | 1.1.0 |
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 定义和记录政府监督 | CMA_C1587 - 定义和记录政府监督 | 手动、已禁用 | 1.1.0 |
| 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 设计访问控制模型 | CMA_0129 - 设计访问控制模型 | 手动、已禁用 | 1.1.0 |
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 使用边界保护隔离信息系统 | CMA_C1639 - 使用边界保护隔离信息系统 | 手动、已禁用 | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | 手动、已禁用 | 1.1.0 |
| 采用最小特权访问 | CMA_0212 - 采用最小特权访问 | 手动、已禁用 | 1.1.0 |
| 启用网络设备检测 | CMA_0220 - 启用网络设备检测 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 强制执行用户唯一性 | CMA_0250 - 强制执行用户唯一性 | 手动、已禁用 | 1.1.0 |
| 制定电子签名和证书要求 | CMA_0271 - 制定电子签名和证书要求 | 手动、已禁用 | 1.1.0 |
| 建立防火墙和路由器配置标准 | CMA_0272 - 建立防火墙和路由器配置标准 | 手动、已禁用 | 1.1.0 |
| 为持卡人数据环境建立网络分段 | CMA_0273 - 为持卡人数据环境建立网络分段 | 手动、已禁用 | 1.1.0 |
| 制定访问资源的条款和条件 | CMA_C1076 - 制定访问资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 制定处理资源的条款和条件 | CMA_C1077 - 制定处理资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 识别未经身份验证允许的操作 | CMA_0295 - 识别未经身份验证允许的操作 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 识别非组织用户并对其进行身份验证 | CMA_C1346 - 识别非组织用户并对其进行身份验证 | 手动、已禁用 | 1.1.0 |
| 标识和管理下游信息交换 | CMA_0298 - 标识和管理下游信息交换 | 手动、已禁用 | 1.1.0 |
| 实现容错名称/地址服务 | CMA_0305 - 实现容错名称/地址服务 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 为每项外部服务实现托管接口 | CMA_C1626 - 为每项外部服务实现托管接口 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 使用安全策略筛选器的信息流控制 | CMA_C1029 - 使用安全策略筛选器的信息流控制 | 手动、已禁用 | 1.1.0 |
| 管理系统和管理员帐户 | CMA_0368 - 管理系统和管理员帐户 | 手动、已禁用 | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 通知用户系统登录或访问 | CMA_0382 - 在系统登录或访问时通知用户 | 手动、已禁用 | 1.1.0 |
| 当不需要帐户时通知 | CMA_0383 - 当不需要帐户时通知 | 手动、已禁用 | 1.1.0 |
| 阻止远程设备的拆分隧道 | CMA_C1632 - 阻止远程设备拆分隧道 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配非对称加密密钥 | CMA_C1646 - 生成、控制和分配非对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 提供安全的名称和地址解析服务 | CMA_0416 - 提供安全的名称和地址解析服务 | 手动、已禁用 | 1.1.0 |
| 重新验证或终止用户会话 | CMA_0421 - 重新验证或终止用户会话 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
| 需要互连安全协议 | CMA_C1151 - 需要互连安全协议 | 手动、已禁用 | 1.1.0 |
| 查看云服务提供商对策略和协议的符合性 | CMA_0469 - 查看云服务提供商对策略和协议的符合性 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
| 通过托管网络访问点路由流量 | CMA_0484 - 通过托管网络访问点路由流量 | 手动、已禁用 | 1.1.0 |
| 将接口固定到外部系统 | CMA_0491 - 保护到外部系统的接口 | 手动、已禁用 | 1.1.0 |
| 单独的用户和信息系统管理功能 | CMA_0493 - 单独的用户和信息系统管理功能 | 手动、已禁用 | 1.1.0 |
| 为组织中的新云应用程序和热门云应用程序设置自动通知 | CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 | 手动、已禁用 | 1.1.0 |
| 存储帐户应迁移到新的 Azure 资源管理器资源 | 使用新的 Azure 资源管理器为存储帐户提供安全增强功能,例如:更强大的访问控制 (RBAC)、更好的审核、基于 Azure 资源管理器的部署和监管、对托管标识的访问权限、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及对标记和资源组的支持,以简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
| 支持由法律机构颁发的个人验证凭据 | CMA_0507 - 支持由法律机构颁发的个人验证凭据 | 手动、已禁用 | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
| 更新互连安全协议 | CMA_0519 - 更新互连安全协议 | 手动、已禁用 | 1.1.0 |
| 使用专用计算机执行管理任务 | CMA_0527 - 使用专用计算机执行管理任务 | 手动、已禁用 | 1.1.0 |
| 验证外部信息系统的安全控制 | CMA_0541 - 验证外部信息系统的安全控制 | 手动、已禁用 | 1.1.0 |
| 应将虚拟机迁移到新的 Azure 资源管理器资源 | 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
系统监视
ID:ENS v1 op.mon.1 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 所有流日志资源都应处于启用状态 | 审核流日志资源以验证是否启用了流日志状态。 启用流日志后,可记录有关 IP 流量流动的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.0.1 |
| 审核每个虚拟网络的流日志配置 | 审核虚拟网络以验证是否配置了流日志。 启用流日志后,可记录流经虚拟网络的 IP 流量的相关信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.0.1 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 定义和记录政府监督 | CMA_C1587 - 定义和记录政府监督 | 手动、已禁用 | 1.1.0 |
| 定义移动设备要求 | CMA_0122 - 定义移动设备要求 | 手动、已禁用 | 1.1.0 |
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录人员接受隐私要求 | CMA_0193 - 记录人员对隐私要求的接受情况 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | 手动、已禁用 | 1.1.0 |
| 建立防火墙和路由器配置标准 | CMA_0272 - 建立防火墙和路由器配置标准 | 手动、已禁用 | 1.1.0 |
| 为持卡人数据环境建立网络分段 | CMA_0273 - 为持卡人数据环境建立网络分段 | 手动、已禁用 | 1.1.0 |
| 制定访问资源的条款和条件 | CMA_C1076 - 制定访问资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 制定处理资源的条款和条件 | CMA_C1077 - 制定处理资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 显式通知协作型计算设备的使用 | CMA_C1649 - 显式通知协作型计算设备的使用 | 手动、已禁用 | 1.1.1 |
| 应为每个网络安全组配置流日志 | 审核网络安全组以验证是否配置了流日志。 启用流日志可以记录有关流经网络安全组的 IP 流量的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.1.0 |
| 标识和管理下游信息交换 | CMA_0298 - 标识和管理下游信息交换 | 手动、已禁用 | 1.1.0 |
| 标识外部服务提供程序 | CMA_C1591 - 标识外部服务提供程序 | 手动、已禁用 | 1.1.0 |
| 实现容错名称/地址服务 | CMA_0305 - 实现容错名称/地址服务 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 为每项外部服务实现托管接口 | CMA_C1626 - 为每项外部服务实现托管接口 | 手动、已禁用 | 1.1.0 |
| 实施隐私声明传递方法 | CMA_0324 - 实现隐私通知交付方法 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 使用安全策略筛选器的信息流控制 | CMA_C1029 - 使用安全策略筛选器的信息流控制 | 手动、已禁用 | 1.1.0 |
| Microsoft 托管的控制 1464 - 监视物理访问 | 入侵警报/监视设备 | 由 Microsoft 实现此物理保护和环境保护控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1690 - 信息系统监视 | 系统范围的入侵检测系统 | 由 Microsoft 实现此系统和信息完整性控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1695 - 信息系统监视 | 无线入侵检测 | 由 Microsoft 实现此系统和信息完整性控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1829 - 数据完整性和数据完整性板委员会 | 在网站上发布协议 | Microsoft 实现此数据质量和完整性控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1865 - 记录系统通知和隐私法案声明 | 公共网站发布 | Microsoft 实现此透明度控制 | 审核 | 1.0.0 |
| 在收集或处理个人数据之前获取同意 | CMA_0385 - 在收集或处理个人数据之前获取同意 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配非对称加密密钥 | CMA_C1646 - 生成、控制和分配非对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 禁止远程激活协作型计算设备 | CMA_C1648 - 禁止远程激活协作型计算设备 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
| 提供隐私通知 | CMA_0414 - 提供隐私通知 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 提供安全的名称和地址解析服务 | CMA_0416 - 提供安全的名称和地址解析服务 | 手动、已禁用 | 1.1.0 |
| 在公共网站上发布计算机匹配协议 | CMA_C1829 - 在公共网站上发布计算机匹配协议 | 手动、已禁用 | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
| 需要互连安全协议 | CMA_C1151 - 需要互连安全协议 | 手动、已禁用 | 1.1.0 |
| 查看云服务提供商对策略和协议的符合性 | CMA_0469 - 查看云服务提供商对策略和协议的符合性 | 手动、已禁用 | 1.1.0 |
| 将接口固定到外部系统 | CMA_0491 - 保护到外部系统的接口 | 手动、已禁用 | 1.1.0 |
| 应启用安全传输到存储帐户 | 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | Audit、Deny、Disabled | 2.0.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
| 更新互连安全协议 | CMA_0519 - 更新互连安全协议 | 手动、已禁用 | 1.1.0 |
| 验证外部信息系统的安全控制 | CMA_0541 - 验证外部信息系统的安全控制 | 手动、已禁用 | 1.1.0 |
| 应在计算机上启用 Windows Defender 攻击防护 | Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 | AuditIfNotExists、Disabled | 2.0.0 |
系统监视
ID:ENS v1 op.mon.2 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 配置检测允许列表 | CMA_0068 - 配置检测允许列表 | 手动、已禁用 | 1.1.0 |
| 打开终结点安全解决方案的传感器 | CMA_0514 - 打开终结点安全解决方案的传感器 | 手动、已禁用 | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
系统监视
ID:ENS v1 op.mon.3 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure 注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | AuditIfNotExists、Disabled | 1.0.1 |
| 配置计算机以接收漏洞评估提供程序 | Azure Defender 包含适用于计算机的漏洞扫描,不额外收费。 你无需具备 Qualys 许可证,甚至还不需要 Qualys 帐户 - 所有操作都在安全中心内无缝执行。 启用此策略后,Azure Defender 会自动将 Qualys 漏洞评估提供程序部署到尚未安装该代理的所有受支持的计算机。 | DeployIfNotExists、Disabled | 4.0.0 |
| 将 Microsoft Defender for Azure Cosmos DB 配置为启用 | Microsoft Defender for Azure Cosmos DB 是 Azure 本机安全层,可检测企图利用 Azure Cosmos DB 帐户中的数据库的行为。 Defender for Azure Cosmos DB 检测潜在的 SQL 注入、已知恶意参与者(基于 Microsoft 威胁智能)、可疑访问模式以及通过泄露的标识或由恶意预览体验成员对数据库的潜在利用。 | DeployIfNotExists、Disabled | 1.0.0 |
| 关联漏洞扫描信息 | CMA_C1558 - 关联漏洞扫描信息 | 手动、已禁用 | 1.1.1 |
| 制定和维护漏洞管理标准 | CMA_0152 - 制定和维护漏洞管理标准 | 手动、已禁用 | 1.1.0 |
| 制定配置管理计划 | CMA_C1232 - 制定配置管理计划 | 手动、已禁用 | 1.1.0 |
| 确保加密机制由配置管理 | CMA_C1199 - 确保加密机制由配置管理 | 手动、已禁用 | 1.1.0 |
| 建立威胁情报计划 | CMA_0260 - 建立威胁情报计划 | 手动、已禁用 | 1.1.0 |
| 建立并记录配置管理计划 | CMA_0264 - 建立并记录配置管理计划 | 手动、已禁用 | 1.1.0 |
| 为开发人员建立配置管理要求 | CMA_0270 - 为开发人员设定配置管理要求 | 手动、已禁用 | 1.1.0 |
| 实现自动配置管理工具 | CMA_0311 - 实现自动配置管理工具 | 手动、已禁用 | 1.1.0 |
| 为执行漏洞扫描活动实现特权访问 | CMA_C1555 - 为执行漏洞扫描活动实现特权访问 | 手动、已禁用 | 1.1.0 |
| 将缺陷修正合并到配置管理中 | CMA_C1671 - 将缺陷修正合并到配置管理中 | 手动、已禁用 | 1.1.0 |
| 应启用 Microsoft Defender for Azure Cosmos DB | Microsoft Defender for Azure Cosmos DB 是 Azure 本机安全层,可检测企图利用 Azure Cosmos DB 帐户中的数据库的行为。 Defender for Azure Cosmos DB 检测潜在的 SQL 注入、已知恶意参与者(基于 Microsoft 威胁智能)、可疑访问模式以及通过泄露的标识或由恶意预览体验成员对数据库的潜在利用。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft 托管的控制 1174 - 配置管理政策和程序 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1175 - 配置管理政策和程序 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1230 - 配置管理计划 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1231 - 配置管理计划 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1232 - 配置管理计划 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1233 - 配置管理计划 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1546 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1547 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1548 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1549 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1550 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1551 - 漏洞扫描 | 更新工具功能 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1552 - 漏洞扫描 | 按频率更新/新扫描之前/识别时 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1553 - 漏洞扫描 | 作用广度/深度 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1554 - 漏洞扫描 | 可检测到的信息 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1555 - 漏洞扫描 | 特权访问 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1556 - 漏洞扫描 | 自动趋势分析 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1557 - 漏洞扫描 | 查阅历史审核日志 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1558 - 漏洞扫描 | 关联扫描信息 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1594 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1595 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1596 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1597 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1598 - 开发商配置管理 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1599 - 开发商配置管理 | 软件/固件完整性验证 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1606 - 开发商安全测试和评估 | 威胁和漏洞分析 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 查看和更新配置管理策略和过程 | CMA_C1175 - 查看和更新配置管理策略和过程 | 手动、已禁用 | 1.1.0 |
| 应选择安全中心标准定价层 | 标准定价层为网络和虚拟机启用威胁检测,在 Azure 安全中心提供威胁情报、异常检测和行为分析 | Audit、Disabled | 1.1.0 |
| 设置订阅以过渡到备用漏洞评估解决方案 | Microsoft Defender for Cloud 可为计算机提供漏洞扫描服务,而无需额外付费。 启用此策略将导致 Defender for Cloud 自动将内置 Microsoft Defender 漏洞管理解决方案中的结果传播到所有受支持的计算机。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| SQL 数据库应已解决漏洞结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 计算机上的 SQL Server 应已解决漏洞结果 | SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,例如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在 SQL 托管实例上启用漏洞评估 | 审核未启用定期漏洞评估扫描的每个 SQL 托管实例。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应对 SQL 服务器启用漏洞评估 | 审核未正确配置漏洞评估的 Azure SQL 服务器。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应对 Synapse 工作区启用漏洞评估 | 通过在 Synapse 工作区上配置定期 SQL 漏洞评估扫描来发现、跟踪和修复潜在的漏洞。 | AuditIfNotExists、Disabled | 1.0.0 |
云服务
ID:ENS v1 op.nub.1 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 评估第三方关系中的风险 | CMA_0014 - 评估第三方关系中的风险 | 手动、已禁用 | 1.1.0 |
| 建立内部连接之前检查隐私和安全合规性 | CMA_0053 - 建立内部连接之前检查隐私和安全合规性 | 手动、已禁用 | 1.1.0 |
| 应安全配置云服务(外延支持)角色实例 | 确保云服务(外延支持)角色实例未暴露于任何 OS 漏洞下,以防止这些实例受到攻击。 | AuditIfNotExists、Disabled | 1.0.0 |
| 云服务(外延支持)角色实例应安装终结点保护解决方案 | 确保已在云服务(外延支持)角色实例上安装终结点保护解决方案,以防止这些实例受到威胁和漏洞侵害。 | AuditIfNotExists、Disabled | 1.0.0 |
| 云服务(外延支持)角色实例应安装系统更新 | 确保已在云服务(外延支持)角色实例上安装最新的安全更新和关键更新,从而对这些实例进行保护。 | AuditIfNotExists、Disabled | 1.0.0 |
| 定义和记录政府监督 | CMA_C1587 - 定义和记录政府监督 | 手动、已禁用 | 1.1.0 |
| 定义提供货物和服务的要求 | CMA_0126 - 定义供应货物和服务的要求 | 手动、已禁用 | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 制定可接受的使用策略和过程 | CMA_0143 - 制定可接受的使用策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定组织行为准则策略 | CMA_0159 - 制定组织行为准则策略 | 手动、已禁用 | 1.1.0 |
| 记录收购合同验收条件 | CMA_0187 - 记录收购合同验收条件 | 手动、已禁用 | 1.1.0 |
| 记录人员接受隐私要求 | CMA_0193 - 记录人员对隐私要求的接受情况 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的个人数据保护 | CMA_0194 - 记录收购合同中的个人数据保护 | 手动、已禁用 | 1.1.0 |
| 收购合同中安全信息的文档保护 | CMA_0195 - 记录收购合同中安全信息的保护 | 手动、已禁用 | 1.1.0 |
| 记录在合同中使用共享数据的要求 | CMA_0197 - 记录在合同中使用共享数据的要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全保证要求 | CMA_0199 - 记录收购合同中的安全保证要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全记录要求 | CMA_0200 - 收购合同中的文档安全记录要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全功能要求 | CMA_0201 - 记录收购合同中的安全功能要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 记录第三方合同中的持卡人数据保护 | CMA_0207 - 记录第三方合同中的持卡人数据保护 | 手动、已禁用 | 1.1.0 |
| 强制执行行为和访问协议规则 | CMA_0248 - 强制执行行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 制定供应链风险管理策略 | CMA_0275 - 制定供应链风险管理策略 | 手动、已禁用 | 1.1.0 |
| 标识外部服务提供程序 | CMA_C1591 - 标识外部服务提供程序 | 手动、已禁用 | 1.1.0 |
| 应在云服务(外延支持)角色实例上安装 Log Analytics 代理 | 安全中心会从云服务(外延支持)角色实例中收集数据,以监视是否存在安全漏洞和威胁。 | AuditIfNotExists、Disabled | 2.0.0 |
| 禁止不公平做法 | CMA_0396 - 禁止不公平做法 | 手动、已禁用 | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
| 审阅和签署修订的行为规则 | CMA_0465 - 审阅和签署修订的行为规则 | 手动、已禁用 | 1.1.0 |
| 查看和更新人员安全策略及过程 | CMA_C1507 - 查看和更新人员安全策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和服务采购政策和过程 | CMA_C1560 - 查看和更新系统和服务采购政策和过程 | 手动、已禁用 | 1.1.0 |
| 查看云服务提供商对策略和协议的符合性 | CMA_0469 - 查看云服务提供商对策略和协议的符合性 | 手动、已禁用 | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
| 更新行为和访问协议规则 | CMA_0521 - 更新行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 每 3 年更新一次行为和访问协议规则 | CMA_0522 - 每 3 年更新一次行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
规划
ID:ENS v1 op.pl.1 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 评估第三方关系中的风险 | CMA_0014 - 评估第三方关系中的风险 | 手动、已禁用 | 1.1.0 |
| 分配风险指定 | CMA_0016 - 分配风险指定 | 手动、已禁用 | 1.1.0 |
| 执行风险评估 | CMA_C1543 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
| 执行风险评估并分配其结果 | CMA_C1544 - 执行风险评估并分配其结果 | 手动、已禁用 | 1.1.0 |
| 执行风险评估并记录其结果 | CMA_C1542 - 执行风险评估并记录其结果 | 手动、已禁用 | 1.1.0 |
| 将 Microsoft Defender CSPM 配置为启用 | Defender 云安全态势管理 (CSPM) 提供增强的态势功能和全新的智能云安全图,以帮助识别风险、确定风险优先级和减少风险。 除了 Defender for Cloud 中默认启用的免费基础安全态势功能,还提供 Defender CSPM。 | DeployIfNotExists、Disabled | 1.0.2 |
| 开发 POAM(&M) | CMA_C1156 - 制定 POA&M | 手动、已禁用 | 1.1.0 |
| 开发符合条件的 SSP | CMA_C1492 - 开发符合条件的 SSP | 手动、已禁用 | 1.1.0 |
| 建立风险管理策略 | CMA_0258 - 建立风险管理策略 | 手动、已禁用 | 1.1.0 |
| 制定供应链风险管理策略 | CMA_0275 - 制定供应链风险管理策略 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 实施风险管理策略 | CMA_C1744 - 实施风险管理策略 | 手动、已禁用 | 1.1.0 |
| 将风险管理过程集成到 SDLC 中 | CMA_C1567 - 将风险管理过程集成到 SDLC 中 | 手动、已禁用 | 1.1.0 |
| 应启用 Microsoft Defender CSPM | Defender 云安全态势管理 (CSPM) 提供增强的态势功能和全新的智能云安全图,以帮助识别风险、确定风险优先级和减少风险。 除了 Defender for Cloud 中默认启用的免费基础安全态势功能,还提供 Defender CSPM。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft 托管的控制 1026 - 帐户管理 | 禁用高风险个人的帐户 | 由 Microsoft 实现此访问控制控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1182 - 基线配置 | 为高风险区域配置系统、组件或设备 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1183 - 基线配置 | 为高风险区域配置系统、组件或设备 | 由 Microsoft 实现此配置管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1536 - 风险评估政策和程序 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1537 - 风险评估政策和程序 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1538 - 安全分类 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1539 - 安全分类 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1540 - 安全分类 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1541 - 风险评估 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1542 - 风险评估 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1543 - 风险评估 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1544 - 风险评估 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1545 - 风险评估 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1546 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1547 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1548 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1549 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1550 - 漏洞扫描 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1551 - 漏洞扫描 | 更新工具功能 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1552 - 漏洞扫描 | 按频率更新/新扫描之前/识别时 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1553 - 漏洞扫描 | 作用广度/深度 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1554 - 漏洞扫描 | 可检测到的信息 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1555 - 漏洞扫描 | 特权访问 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1556 - 漏洞扫描 | 自动趋势分析 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1557 - 漏洞扫描 | 查阅历史审核日志 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1558 - 漏洞扫描 | 关联扫描信息 | 由 Microsoft 实现此风险评估控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1589 - 外部信息系统服务 | 风险评估/组织审批 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1590 - 外部信息系统服务 | 风险评估/组织审批 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1698 - 信息系统监视 | 个人带来的更大风险 | 由 Microsoft 实现此系统和信息完整性控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1743 - 风险管理策略 | Microsoft 实现此计划管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1744 - 风险管理策略 | Microsoft 实现此计划管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1745 - 风险管理策略 | Microsoft 实现此计划管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1802 - 治理和隐私计划 | Microsoft 实现此问责、审核和风险管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1803 - 治理和隐私计划 | Microsoft 实现此问责、审核和风险管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1804 - 治理和隐私计划 | Microsoft 实现此问责、审核和风险管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1805 - 治理和隐私计划 | Microsoft 实现此问责、审核和风险管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1806 - 治理和隐私计划 | Microsoft 实现此问责、审核和风险管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1807 - 治理和隐私计划 | Microsoft 实现此问责、审核和风险管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1808 - 隐私影响和风险评估 | Microsoft 实现此问责、审核和风险管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1809 - 隐私影响和风险评估 | Microsoft 实现此问责、审核和风险管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1810 - 为承包商和服务提供商建立隐私要求 | Microsoft 实现此问责、审核和风险管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1811 - 为承包商和服务提供商建立隐私要求 | Microsoft 实现此问责、审核和风险管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1812 - 隐私监视和审核 | Microsoft 实现此问责、审核和风险管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1813 - 隐私意识和培训 | Microsoft 实现此问责、审核和风险管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1814 - 隐私意识和培训 | Microsoft 实现此问责、审核和风险管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1815 - 隐私意识和培训 | Microsoft 实现此问责、审核和风险管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1816 - 隐私报告 | Microsoft 实现此问责、审核和风险管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1817 - 隐私增强型系统设计和开发 | Microsoft 实现此问责、审核和风险管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1818 - 披露记录 | Microsoft 实现此问责、审核和风险管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1819 - 披露记录 | Microsoft 实现此问责、审核和风险管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1820 - 披露记录 | Microsoft 实现此问责、审核和风险管理控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1840 - 测试、培训和研究中使用的 PII 最小化 | 风险最小化技术 | Microsoft 实现此数据最小化和保留控制 | 审核 | 1.0.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
| 查看和更新风险评估策略及过程 | CMA_C1537 - 查看和更新风险评估策略及过程 | 手动、已禁用 | 1.1.0 |
| 将接口固定到外部系统 | CMA_0491 - 保护到外部系统的接口 | 手动、已禁用 | 1.1.0 |
| 更新 POAM 项(&M) | CMA_C1157 - 更新 POA&M 项 | 手动、已禁用 | 1.1.0 |
规划
ID:ENS v1 op.pl.2 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 控制便携式存储设备的使用 | CMA_0083 - 控制便携式存储设备的使用 | 手动、已禁用 | 1.1.0 |
| 创建数据清单 | CMA_0096 - 创建数据清单 | 手动、已禁用 | 1.1.0 |
| 制定可接受的使用策略和过程 | CMA_0143 - 制定可接受的使用策略和过程 | 手动、已禁用 | 1.1.0 |
| 开发企业体系结构 | CMA_C1741 - 开发企业体系结构 | 手动、已禁用 | 1.1.0 |
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 使用边界保护隔离信息系统 | CMA_C1639 - 使用边界保护隔离信息系统 | 手动、已禁用 | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 强制执行行为和访问协议规则 | CMA_0248 - 强制执行行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 建立和维护资产清单 | CMA_0266 - 建立和维护资产清单 | 手动、已禁用 | 1.1.0 |
| 建立防火墙和路由器配置标准 | CMA_0272 - 建立防火墙和路由器配置标准 | 手动、已禁用 | 1.1.0 |
| 为持卡人数据环境建立网络分段 | CMA_0273 - 为持卡人数据环境建立网络分段 | 手动、已禁用 | 1.1.0 |
| 制定访问资源的条款和条件 | CMA_C1076 - 制定访问资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 制定处理资源的条款和条件 | CMA_C1077 - 制定处理资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 标识和管理下游信息交换 | CMA_0298 - 标识和管理下游信息交换 | 手动、已禁用 | 1.1.0 |
| 实现容错名称/地址服务 | CMA_0305 - 实现容错名称/地址服务 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 为每项外部服务实现托管接口 | CMA_C1626 - 为每项外部服务实现托管接口 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 使用安全策略筛选器的信息流控制 | CMA_C1029 - 使用安全策略筛选器的信息流控制 | 手动、已禁用 | 1.1.0 |
| 维护个人数据的处理记录 | CMA_0353 - 维护个人数据的处理记录 | 手动、已禁用 | 1.1.0 |
| Microsoft 托管的控制 1503 - 信息安全体系结构 | 由 Microsoft 实现此计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1504 - 信息安全体系结构 | 由 Microsoft 实现此计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1505 - 信息安全体系结构 | 由 Microsoft 实现此计划控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1612 - 开发商安全体系结构和设计 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1613 - 开发商安全体系结构和设计 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1614 - 开发商安全体系结构和设计 | 由 Microsoft 实现此系统和服务获取控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1659 - 名称体系结构和预配/地址解析服务 | 由 Microsoft 实现此系统和通信保护控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1741 - 企业体系结构 | Microsoft 实现此计划管理控制 | 审核 | 1.0.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 通知用户系统登录或访问 | CMA_0382 - 在系统登录或访问时通知用户 | 手动、已禁用 | 1.1.0 |
| 执行信息输入验证 | CMA_C1723 - 执行信息输入验证 | 手动、已禁用 | 1.1.0 |
| 阻止远程设备的拆分隧道 | CMA_C1632 - 阻止远程设备拆分隧道 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配非对称加密密钥 | CMA_C1646 - 生成、控制和分配非对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 提供安全的名称和地址解析服务 | CMA_0416 - 提供安全的名称和地址解析服务 | 手动、已禁用 | 1.1.0 |
| 重新验证或终止用户会话 | CMA_0421 - 重新验证或终止用户会话 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 要求开发人员构建安全体系结构 | CMA_C1612 - 要求开发人员构建安全体系结构 | 手动、已禁用 | 1.1.0 |
| 要求开发人员准确描述安全功能 | CMA_C1613 - 要求开发人员准确描述安全功能 | 手动、已禁用 | 1.1.0 |
| 要求开发人员提供统一的安全保护方法 | CMA_C1614 - 要求开发人员提供统一的安全保护方法 | 手动、已禁用 | 1.1.0 |
| 限制媒体使用 | CMA_0450 - 限制媒体使用 | 手动、已禁用 | 1.1.0 |
| 查看和更新信息安全体系结构 | CMA_C1504 - 查看和更新信息安全体系结构 | 手动、已禁用 | 1.1.0 |
| 查看开发流程、标准和工具 | CMA_C1610 - 查看开发流程、标准和工具 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
| 将接口固定到外部系统 | CMA_0491 - 保护到外部系统的接口 | 手动、已禁用 | 1.1.0 |
| 单独的用户和信息系统管理功能 | CMA_0493 - 单独的用户和信息系统管理功能 | 手动、已禁用 | 1.1.0 |
| 使用专用计算机执行管理任务 | CMA_0527 - 使用专用计算机执行管理任务 | 手动、已禁用 | 1.1.0 |
| 验证外部信息系统的安全控制 | CMA_0541 - 验证外部信息系统的安全控制 | 手动、已禁用 | 1.1.0 |
规划
ID:ENS v1 op.pl.3 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义信息安全角色和职责 | CMA_C1565 - 定义信息安全角色和职责 | 手动、已禁用 | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 开发操作概念 (CONOPS) | CMA_0141 - 开发操作概念 (CONOPS) | 手动、已禁用 | 1.1.0 |
| 制定并建立系统安全计划 | CMA_0151 - 制定并建立系统安全计划 | 手动、已禁用 | 1.1.0 |
| 制定信息安全策略和过程 | CMA_0158 - 制定信息安全策略和过程 | 手动、已禁用 | 1.1.0 |
| 开发符合条件的 SSP | CMA_C1492 - 开发符合条件的 SSP | 手动、已禁用 | 1.1.0 |
| 记录收购合同验收条件 | CMA_0187 - 记录收购合同验收条件 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的个人数据保护 | CMA_0194 - 记录收购合同中的个人数据保护 | 手动、已禁用 | 1.1.0 |
| 收购合同中安全信息的文档保护 | CMA_0195 - 记录收购合同中安全信息的保护 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 记录在合同中使用共享数据的要求 | CMA_0197 - 记录在合同中使用共享数据的要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全保证要求 | CMA_0199 - 记录收购合同中的安全保证要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全记录要求 | CMA_0200 - 收购合同中的文档安全记录要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全功能要求 | CMA_0201 - 记录收购合同中的安全功能要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 记录第三方合同中的持卡人数据保护 | CMA_0207 - 记录第三方合同中的持卡人数据保护 | 手动、已禁用 | 1.1.0 |
| 使用边界保护隔离信息系统 | CMA_C1639 - 使用边界保护隔离信息系统 | 手动、已禁用 | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 强制执行用户唯一性 | CMA_0250 - 强制执行用户唯一性 | 手动、已禁用 | 1.1.0 |
| 制定隐私计划 | CMA_0257 - 制定隐私计划 | 手动、已禁用 | 1.1.0 |
| 建立防火墙和路由器配置标准 | CMA_0272 - 建立防火墙和路由器配置标准 | 手动、已禁用 | 1.1.0 |
| 为持卡人数据环境建立网络分段 | CMA_0273 - 为持卡人数据环境建立网络分段 | 手动、已禁用 | 1.1.0 |
| 制定连接设备制造的安全要求 | CMA_0279 - 制定连接设备制造的安全要求 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 识别非组织用户并对其进行身份验证 | CMA_C1346 - 识别非组织用户并对其进行身份验证 | 手动、已禁用 | 1.1.0 |
| 标识和管理下游信息交换 | CMA_0298 - 标识和管理下游信息交换 | 手动、已禁用 | 1.1.0 |
| 标识外部服务提供程序 | CMA_C1591 - 标识外部服务提供程序 | 手动、已禁用 | 1.1.0 |
| 标识具有安全角色和职责的用户 | CMA_C1566 - 标识具有安全角色和职责的用户 | 手动、已禁用 | 1.1.1 |
| 实现容错名称/地址服务 | CMA_0305 - 实现容错名称/地址服务 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 实现信息系统的安全工程原则 | CMA_0325 - 实现信息系统的安全工程原则 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 使用安全策略筛选器的信息流控制 | CMA_C1029 - 使用安全策略筛选器的信息流控制 | 手动、已禁用 | 1.1.0 |
| 将风险管理过程集成到 SDLC 中 | CMA_C1567 - 将风险管理过程集成到 SDLC 中 | 手动、已禁用 | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 通知用户系统登录或访问 | CMA_0382 - 在系统登录或访问时通知用户 | 手动、已禁用 | 1.1.0 |
| 阻止远程设备的拆分隧道 | CMA_C1632 - 阻止远程设备拆分隧道 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配非对称加密密钥 | CMA_C1646 - 生成、控制和分配非对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 提供安全的名称和地址解析服务 | CMA_0416 - 提供安全的名称和地址解析服务 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 查看和更新信息安全体系结构 | CMA_C1504 - 查看和更新信息安全体系结构 | 手动、已禁用 | 1.1.0 |
| 查看开发流程、标准和工具 | CMA_C1610 - 查看开发流程、标准和工具 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
| 将接口固定到外部系统 | CMA_0491 - 保护到外部系统的接口 | 手动、已禁用 | 1.1.0 |
| 单独的用户和信息系统管理功能 | CMA_0493 - 单独的用户和信息系统管理功能 | 手动、已禁用 | 1.1.0 |
| 支持由法律机构颁发的个人验证凭据 | CMA_0507 - 支持由法律机构颁发的个人验证凭据 | 手动、已禁用 | 1.1.0 |
| 使用专用计算机执行管理任务 | CMA_0527 - 使用专用计算机执行管理任务 | 手动、已禁用 | 1.1.0 |
规划
ID:ENS v1 op.pl.4 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 评估第三方关系中的风险 | CMA_0014 - 评估第三方关系中的风险 | 手动、已禁用 | 1.1.0 |
| 执行产能规划 | CMA_C1252 - 执行产能规划 | 手动、已禁用 | 1.1.0 |
| 定义提供货物和服务的要求 | CMA_0126 - 定义供应货物和服务的要求 | 手动、已禁用 | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 制定供应链风险管理策略 | CMA_0275 - 制定供应链风险管理策略 | 手动、已禁用 | 1.1.0 |
| 治理并监视审核处理活动 | CMA_0289 - 治理并监视审核处理活动 | 手动、已禁用 | 1.1.0 |
| 管理可用性和容量 | CMA_0356 - 管理可用性和容量 | 手动、已禁用 | 1.1.0 |
| Microsoft 托管的控制 1110 - 审核存储容量 | 由 Microsoft 实现此审核和问责制控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1113 - 对审核处理失败的响应 | 审核存储容量 | 由 Microsoft 实现此审核和问责制控制 | 审核 | 1.0.0 |
| Microsoft 托管的控制 1252 - 应变计划 | 容量规划 | 由 Microsoft 实现此应变计划控制 | 审核 | 1.0.0 |
| 查看和更新人员安全策略及过程 | CMA_C1507 - 查看和更新人员安全策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和服务采购政策和过程 | CMA_C1560 - 查看和更新系统和服务采购政策和过程 | 手动、已禁用 | 1.1.0 |
规划
ID:ENS v1 op.pl.5 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 评估第三方关系中的风险 | CMA_0014 - 评估第三方关系中的风险 | 手动、已禁用 | 1.1.0 |
| 建立内部连接之前检查隐私和安全合规性 | CMA_0053 - 建立内部连接之前检查隐私和安全合规性 | 手动、已禁用 | 1.1.0 |
| 定义提供货物和服务的要求 | CMA_0126 - 定义供应货物和服务的要求 | 手动、已禁用 | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 制定可接受的使用策略和过程 | CMA_0143 - 制定可接受的使用策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定组织行为准则策略 | CMA_0159 - 制定组织行为准则策略 | 手动、已禁用 | 1.1.0 |
| 记录收购合同验收条件 | CMA_0187 - 记录收购合同验收条件 | 手动、已禁用 | 1.1.0 |
| 记录人员接受隐私要求 | CMA_0193 - 记录人员对隐私要求的接受情况 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的个人数据保护 | CMA_0194 - 记录收购合同中的个人数据保护 | 手动、已禁用 | 1.1.0 |
| 收购合同中安全信息的文档保护 | CMA_0195 - 记录收购合同中安全信息的保护 | 手动、已禁用 | 1.1.0 |
| 记录在合同中使用共享数据的要求 | CMA_0197 - 记录在合同中使用共享数据的要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全保证要求 | CMA_0199 - 记录收购合同中的安全保证要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全记录要求 | CMA_0200 - 收购合同中的文档安全记录要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全功能要求 | CMA_0201 - 记录收购合同中的安全功能要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 记录第三方合同中的持卡人数据保护 | CMA_0207 - 记录第三方合同中的持卡人数据保护 | 手动、已禁用 | 1.1.0 |
| 强制执行行为和访问协议规则 | CMA_0248 - 强制执行行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 制定供应链风险管理策略 | CMA_0275 - 制定供应链风险管理策略 | 手动、已禁用 | 1.1.0 |
| 标识外部服务提供程序 | CMA_C1591 - 标识外部服务提供程序 | 手动、已禁用 | 1.1.0 |
| 禁止不公平做法 | CMA_0396 - 禁止不公平做法 | 手动、已禁用 | 1.1.0 |
| 审阅和签署修订的行为规则 | CMA_0465 - 审阅和签署修订的行为规则 | 手动、已禁用 | 1.1.0 |
| 查看和更新人员安全策略及过程 | CMA_C1507 - 查看和更新人员安全策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和服务采购政策和过程 | CMA_C1560 - 查看和更新系统和服务采购政策和过程 | 手动、已禁用 | 1.1.0 |
| 更新行为和访问协议规则 | CMA_0521 - 更新行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 每 3 年更新一次行为和访问协议规则 | CMA_0522 - 每 3 年更新一次行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
组织框架
组织框架
ID:ENS v1 org.1 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 任命高级信息安全管理人员 | CMA_C1733 - 任命高级信息安全管理人员 | 手动、已禁用 | 1.1.0 |
| 对加密模块进行身份验证 | CMA_0021 - 对加密模块进行身份验证 | 手动、已禁用 | 1.1.0 |
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 传达应变计划更改 | CMA_C1249 - 传达应变计划更改 | 手动、已禁用 | 1.1.0 |
| 执行信息系统文档的备份 | CMA_C1289 - 执行信息系统文档备份 | 手动、已禁用 | 1.1.0 |
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
| 创建配置计划保护 | CMA_C1233 - 创建配置计划保护 | 手动、已禁用 | 1.1.0 |
| 定义和记录政府监督 | CMA_C1587 - 定义和记录政府监督 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义信息安全角色和职责 | CMA_C1565 - 定义信息安全角色和职责 | 手动、已禁用 | 1.1.0 |
| 指定个人履行特定角色和职责 | CMA_C1747 - 指定个人履行特定角色和职责 | 手动、已禁用 | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 制定访问控制策略和过程 | CMA_0144 - 制定访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定并记录业务连续性和灾难恢复计划 | CMA_0146 - 制定并记录业务连续性和灾难恢复计划 | 手动、已禁用 | 1.1.0 |
| 制定并建立系统安全计划 | CMA_0151 - 制定并建立系统安全计划 | 手动、已禁用 | 1.1.0 |
| 开发并维护基线配置 | CMA_0153 - 设计并维护基线配置 | 手动、已禁用 | 1.1.0 |
| 制定审核和责任策略和过程 | CMA_0154- 制定审核和责任策略及过程 | 手动、已禁用 | 1.1.0 |
| 制定配置项目标识计划 | CMA_C1231 - 制定配置项目标识计划 | 手动、已禁用 | 1.1.0 |
| 制定配置管理计划 | CMA_C1232 - 制定配置管理计划 | 手动、已禁用 | 1.1.0 |
| 制定应变计划 | CMA_C1244 - 制定应变计划 | 手动、已禁用 | 1.1.0 |
| 制定应变计划策略和过程 | CMA_0156 - 制定应变计划策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定信息安全策略和过程 | CMA_0158 - 制定信息安全策略和过程 | 手动、已禁用 | 1.1.0 |
| 分配策略和过程 | CMA_0185 - 分配策略和过程 | 手动、已禁用 | 1.1.0 |
| 记录收购合同验收条件 | CMA_0187 - 记录收购合同验收条件 | 手动、已禁用 | 1.1.0 |
| 记录并实施隐私投诉过程 | CMA_0189 - 记录并实施隐私投诉流程 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的个人数据保护 | CMA_0194 - 记录收购合同中的个人数据保护 | 手动、已禁用 | 1.1.0 |
| 收购合同中安全信息的文档保护 | CMA_0195 - 记录收购合同中安全信息的保护 | 手动、已禁用 | 1.1.0 |
| 记录在合同中使用共享数据的要求 | CMA_0197 - 记录在合同中使用共享数据的要求 | 手动、已禁用 | 1.1.0 |
| 记录安全和隐私培训活动 | CMA_0198 - 记录安全和隐私培训活动 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全保证要求 | CMA_0199 - 记录收购合同中的安全保证要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全记录要求 | CMA_0200 - 收购合同中的文档安全记录要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全功能要求 | CMA_0201 - 记录收购合同中的安全功能要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 记录第三方合同中的持卡人数据保护 | CMA_0207 - 记录第三方合同中的持卡人数据保护 | 手动、已禁用 | 1.1.0 |
| 制定第三方人员安全要求 | CMA_C1531 - 制定第三方人员安全要求 | 手动、已禁用 | 1.1.0 |
| 启用双重或联合授权 | CMA_0226 - 启用双重或联合授权 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 确保信息系统发生故障时处于已知状态 | CMA_C1662 - 确保信息系统发生故障时处于已知状态 | 手动、已禁用 | 1.1.0 |
| 确保隐私计划信息公开 | CMA_C1867 - 确保隐私计划信息公开 | 手动、已禁用 | 1.1.0 |
| 制定隐私计划 | CMA_0257 - 制定隐私计划 | 手动、已禁用 | 1.1.0 |
| 建立风险管理策略 | CMA_0258 - 建立风险管理策略 | 手动、已禁用 | 1.1.0 |
| 建立信息安全计划 | CMA_0263 - 制定信息安全计划 | 手动、已禁用 | 1.1.0 |
| 建立并记录配置管理计划 | CMA_0264 - 建立并记录配置管理计划 | 手动、已禁用 | 1.1.0 |
| 建立备份策略和过程 | CMA_0268 - 制定备份策略和过程 | 手动、已禁用 | 1.1.0 |
| 为承包商和服务提供商建立隐私要求 | CMA_C1810 - 为承包商和服务提供商建立隐私要求 | 手动、已禁用 | 1.1.0 |
| 制定连接设备制造的安全要求 | CMA_0279 - 制定连接设备制造的安全要求 | 手动、已禁用 | 1.1.0 |
| 制定第三方人员安全要求 | CMA_C1529 - 制定第三方人员安全要求 | 手动、已禁用 | 1.1.0 |
| 治理策略和过程 | CMA_0292 - 治理策略和过程 | 手动、已禁用 | 1.1.0 |
| 标识具有安全角色和职责的用户 | CMA_C1566 - 标识具有安全角色和职责的用户 | 手动、已禁用 | 1.1.1 |
| 实现自动配置管理工具 | CMA_0311 - 实现自动配置管理工具 | 手动、已禁用 | 1.1.0 |
| 实施正式解除程序 | CMA_0317 - 实施正式处罚流程 | 手动、已禁用 | 1.1.0 |
| 实现信息系统的安全工程原则 | CMA_0325 - 实现信息系统的安全工程原则 | 手动、已禁用 | 1.1.0 |
| 实现基于事务的恢复 | CMA_C1296 - 实现基于事务的恢复 | 手动、已禁用 | 1.1.0 |
| 将风险管理过程集成到 SDLC 中 | CMA_C1567 - 将风险管理过程集成到 SDLC 中 | 手动、已禁用 | 1.1.0 |
| 管理合规性活动 | CMA_0358 - 管理合规性活动 | 手动、已禁用 | 1.1.0 |
| 管理信息系统的安全状态 | CMA_C1746 - 管理信息系统的安全状态 | 手动、已禁用 | 1.1.0 |
| 管理数据的输入、输出、处理和存储 | CMA_0369 - 管理数据的输入、输出、处理和存储 | 手动、已禁用 | 1.1.0 |
| 监视第三方提供程序符合性 | CMA_C1533 - 监视第三方提供程序符合性 | 手动、已禁用 | 1.1.0 |
| 接受处罚时通知人员 | CMA_0380 - 在人员受到处罚时通知他们 | 手动、已禁用 | 1.1.0 |
| 规划恢复基本业务功能 | CMA_C1253 - 规划恢复基本业务功能 | 手动、已禁用 | 1.1.0 |
| 保护审核信息 | CMA_0401 - 保护审核信息 | 手动、已禁用 | 1.1.0 |
| 保护信息安全计划 | CMA_C1732 - 保护信息安全计划 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 要求遵守知识产权 | CMA_0432 - 要求遵守知识产权 | 手动、已禁用 | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
| 要求通知第三方人员调动或离职 | CMA_C1532 - 需要第三方人员调动或离职通知 | 手动、已禁用 | 1.1.0 |
| 要求第三方提供商遵守人员安全策略和过程 | CMA_C1530 - 要求第三方提供商遵守人员安全策略和过程 | 手动、已禁用 | 1.1.0 |
| 恢复所有任务和业务功能 | CMA_C1254 - 恢复所有任务和业务功能 | 手动、已禁用 | 1.1.0 |
| 查看访问控制策略和过程 | CMA_0457 - 查看访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新配置管理策略和过程 | CMA_C1175 - 查看和更新配置管理策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新应变规划策略和过程 | CMA_C1243 - 查看和更新应变规划策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看并更新事件响应策略和过程 | CMA_C1352 - 查看并更新事件响应策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新信息完整性策略及过程 | CMA_C1667 - 查看和更新信息完整性策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新媒体保护策略及过程 | CMA_C1427 - 查看和更新媒体保护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新人员安全策略及过程 | CMA_C1507 - 查看和更新人员安全策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新物理与环境策略和过程 | CMA_C1446 - 查看和更新物理与环境策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新规划策略及过程 | CMA_C1491 - 查看和更新规划策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新风险评估策略及过程 | CMA_C1537 - 查看和更新风险评估策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和通信保护策略及过程 | CMA_C1616 - 查看和更新系统和通信保护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和服务采购政策和过程 | CMA_C1560 - 查看和更新系统和服务采购政策和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统维护策略及过程 | CMA_C1395 - 查看和更新系统维护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看云服务提供商对策略和协议的符合性 | CMA_0469 - 查看云服务提供商对策略和协议的符合性 | 手动、已禁用 | 1.1.0 |
| 查看应变计划 | CMA_C1247 - 查看应变计划 | 手动、已禁用 | 1.1.0 |
| 查看标签活动和分析 | CMA_0474 - 查看标签活动和分析 | 手动、已禁用 | 1.1.0 |
| 查看安全评估和授权策略及过程 | CMA_C1143 - 查看安全评估和授权策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
| 跟踪软件许可证使用情况 | CMA_C1235 - 跟踪软件许可证使用情况 | 手动、已禁用 | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
| 更新应变计划 | CMA_C1248 - 更新应变计划 | 手动、已禁用 | 1.1.0 |
| 更新信息安全策略 | CMA_0518 - 更新信息安全策略 | 手动、已禁用 | 1.1.0 |
| 更新隐私计划、策略和过程 | CMA_C1807 - 更新隐私计划、策略和过程 | 手动、已禁用 | 1.1.0 |
组织框架
ID:ENS v1 org.2 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守定义的保持期 | CMA_0004 - 遵守定义的保持期 | 手动、已禁用 | 1.1.0 |
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 访问信息安全事件 | CMA_0013 - 访问信息安全事件 | 手动、已禁用 | 1.1.0 |
| 评估安全控制措施 | CMA_C1145 - 评估安全控制 | 手动、已禁用 | 1.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 建立内部连接之前检查隐私和安全合规性 | CMA_0053 - 建立内部连接之前检查隐私和安全合规性 | 手动、已禁用 | 1.1.0 |
| 离职时进行离职面谈 | CMA_0058 - 离职时进行离职面谈 | 手动、已禁用 | 1.1.0 |
| 配置检测允许列表 | CMA_0068 - 配置检测允许列表 | 手动、已禁用 | 1.1.0 |
| 关联审核记录 | CMA_0087 - 关联审核记录 | 手动、已禁用 | 1.1.0 |
| 定义移动设备要求 | CMA_0122 - 定义移动设备要求 | 手动、已禁用 | 1.1.0 |
| 提供安全评估结果 | CMA_C1147 - 提供安全评估结果 | 手动、已禁用 | 1.1.0 |
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | 手动、已禁用 | 1.1.0 |
| 制定可接受的使用策略和过程 | CMA_0143 - 制定可接受的使用策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定访问控制策略和过程 | CMA_0144 - 制定访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | 手动、已禁用 | 1.1.0 |
| 制定并建立系统安全计划 | CMA_0151 - 制定并建立系统安全计划 | 手动、已禁用 | 1.1.0 |
| 制定审核和责任策略和过程 | CMA_0154- 制定审核和责任策略及过程 | 手动、已禁用 | 1.1.0 |
| 制定信息安全策略和过程 | CMA_0158 - 制定信息安全策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定安全评估计划 | CMA_C1144 - 制定安全评估计划 | 手动、已禁用 | 1.1.0 |
| 制定安全防护措施 | CMA_0161 - 制定安全防护措施 | 手动、已禁用 | 1.1.0 |
| 终止时禁用验证器 | CMA_0169 - 终止时禁用验证器 | 手动、已禁用 | 1.1.0 |
| 发现任何泄露指示信号 | CMA_C1702 - 发现任何泄露指示信号 | 手动、已禁用 | 1.1.0 |
| 向人员传播安全警报 | CMA_C1705 - 向人员传播安全警报 | 手动、已禁用 | 1.1.0 |
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 记录安全和隐私培训活动 | CMA_0198 - 记录安全和隐私培训活动 | 手动、已禁用 | 1.1.0 |
| 记录安全操作 | CMA_0202 - 记录安全操作 | 手动、已禁用 | 1.1.0 |
| 启用网络保护 | CMA_0238 - 启用网络保护 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制执行行为和访问协议规则 | CMA_0248 - 强制执行行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 确保在个人返回时不需要安全保护措施 | CMA_C1183 - 确保在个人返回时不需要安全保护措施 | 手动、已禁用 | 1.1.0 |
| 根除被污染的信息 | CMA_0253 - 根除被污染的信息 | 手动、已禁用 | 1.1.0 |
| 制定隐私计划 | CMA_0257 - 制定隐私计划 | 手动、已禁用 | 1.1.0 |
| 建立威胁情报计划 | CMA_0260 - 建立威胁情报计划 | 手动、已禁用 | 1.1.0 |
| 建立信息安全计划 | CMA_0263 - 制定信息安全计划 | 手动、已禁用 | 1.1.0 |
| 建立审核评审与报告要求 | CMA_0277 - 建立审核评审与报告的要求 | 手动、已禁用 | 1.1.0 |
| 制定连接设备制造的安全要求 | CMA_0279 - 制定连接设备制造的安全要求 | 手动、已禁用 | 1.1.0 |
| 制定访问资源的条款和条件 | CMA_C1076 - 制定访问资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 制定处理资源的条款和条件 | CMA_C1077 - 制定处理资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 执行操作以响应信息溢写 | CMA_0281 - 执行操作以响应信息溢写 | 手动、已禁用 | 1.1.0 |
| 生成内部安全警报 | CMA_C1704 - 生成内部安全警报 | 手动、已禁用 | 1.1.0 |
| 治理策略和过程 | CMA_0292 - 治理策略和过程 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 实现事件处理 | CMA_0318 - 实现事件处理 | 手动、已禁用 | 1.1.0 |
| 实现安全指令 | CMA_C1706 - 实现安全指令 | 手动、已禁用 | 1.1.0 |
| 实现信息系统的安全工程原则 | CMA_0325 - 实现信息系统的安全工程原则 | 手动、已禁用 | 1.1.0 |
| 将缺陷修正合并到配置管理中 | CMA_C1671 - 将缺陷修正合并到配置管理中 | 手动、已禁用 | 1.1.0 |
| 启动传输或重新分配操作 | CMA_0333 - 启动调动或重新分配操作 | 手动、已禁用 | 1.1.0 |
| 集成审核评审、分析和报告 | CMA_0339 - 集成审核评审、分析和报告 | 手动、已禁用 | 1.1.0 |
| 将云应用安全与 SIEM 集成 | CMA_0340 - 将云应用安全与 SIEM 集成 | 手动、已禁用 | 1.1.0 |
| 维护数据泄露记录 | CMA_0351 - 维护数据泄露记录 | 手动、已禁用 | 1.1.0 |
| 维护事件响应计划 | CMA_0352 - 维护事件响应计划 | 手动、已禁用 | 1.1.0 |
| 管理机构和特殊兴趣组的联系人 | CMA_0359 - 管理机构和特殊兴趣组的联系人 | 手动、已禁用 | 1.1.0 |
| 管理资产的运输 | CMA_0370 - 管理资产的运输 | 手动、已禁用 | 1.1.0 |
| 在人员调动时修改访问授权 | CMA_0374 - 在人员调动时修改访问授权 | 手动、已禁用 | 1.1.0 |
| 不允许信息系统随附于个人 | CMA_C1182 - 不允许信息系统随附于个人 | 手动、已禁用 | 1.1.0 |
| 终止或传输时通知 | CMA_0381 - 离职或调动时通知 | 手动、已禁用 | 1.1.0 |
| 通知用户系统登录或访问 | CMA_0382 - 在系统登录或访问时通知用户 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 生成安全评估报告 | CMA_C1146 - 生成安全评估报告 | 手动、已禁用 | 1.1.0 |
| 防范并阻止离职员工窃取数据 | CMA_0398 - 防范并阻止离职员工窃取数据 | 手动、已禁用 | 1.1.0 |
| 保护事件响应计划 | CMA_0405 - 保护事件响应计划 | 手动、已禁用 | 1.1.0 |
| 保护信息安全计划 | CMA_C1732 - 保护信息安全计划 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 在个人传输时重新评估访问权限 | CMA_0424 - 在个人调动时重新评估访问权限 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
| 报告用户帐户的异常行为 | CMA_C1025 - 报告用户帐户的异常行为 | 手动、已禁用 | 1.1.0 |
| 保留安全策略和过程 | CMA_0454 - 保留安全策略和过程 | 手动、已禁用 | 1.1.0 |
| 保留终止的用户数据 | CMA_0455 - 保留终止的用户数据 | 手动、已禁用 | 1.1.0 |
| 查看访问控制策略和过程 | CMA_0457 - 查看访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 每周检查管理员分配任务 | CMA_0461 - 每周检查管理员分配 | 手动、已禁用 | 1.1.0 |
| 查看和更新配置管理策略和过程 | CMA_C1175 - 查看和更新配置管理策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新应变规划策略和过程 | CMA_C1243 - 查看和更新应变规划策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看并更新事件响应策略和过程 | CMA_C1352 - 查看并更新事件响应策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新信息完整性策略及过程 | CMA_C1667 - 查看和更新信息完整性策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新媒体保护策略及过程 | CMA_C1427 - 查看和更新媒体保护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新人员安全策略及过程 | CMA_C1507 - 查看和更新人员安全策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新物理与环境策略和过程 | CMA_C1446 - 查看和更新物理与环境策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新规划策略及过程 | CMA_C1491 - 查看和更新规划策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新风险评估策略及过程 | CMA_C1537 - 查看和更新风险评估策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和通信保护策略及过程 | CMA_C1616 - 查看和更新系统和通信保护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和服务采购政策和过程 | CMA_C1560 - 查看和更新系统和服务采购政策和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统维护策略及过程 | CMA_C1395 - 查看和更新系统维护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看审核数据 | CMA_0466 - 查看审核数据 | 手动、已禁用 | 1.1.0 |
| 查看云标识报告概述 | CMA_0468 - 查看云标识报告概述 | 手动、已禁用 | 1.1.0 |
| 查看受控文件夹访问事件 | CMA_0471 - 查看受控文件夹访问权限事件 | 手动、已禁用 | 1.1.0 |
| 查看文件和文件夹活动 | CMA_0473 - 查看文件和文件夹活动 | 手动、已禁用 | 1.1.0 |
| 每周评审角色组更改 | CMA_0476 - 每周评审角色组更改 | 手动、已禁用 | 1.1.0 |
| 查看安全评估和授权策略及过程 | CMA_C1143 - 查看安全评估和授权策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
| 打开终结点安全解决方案的传感器 | CMA_0514 - 打开终结点安全解决方案的传感器 | 手动、已禁用 | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
| 更新信息安全策略 | CMA_0518 - 更新信息安全策略 | 手动、已禁用 | 1.1.0 |
| 更新隐私计划、策略和过程 | CMA_C1807 - 更新隐私计划、策略和过程 | 手动、已禁用 | 1.1.0 |
| 验证外部信息系统的安全控制 | CMA_0541 - 验证外部信息系统的安全控制 | 手动、已禁用 | 1.1.0 |
| 查看并调查受限制的用户 | CMA_0545 - 查看并调查受限制的用户 | 手动、已禁用 | 1.1.0 |
组织框架
ID:ENS v1 org.3 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 评估安全控制措施 | CMA_C1145 - 评估安全控制 | 手动、已禁用 | 1.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 定义和记录政府监督 | CMA_C1587 - 定义和记录政府监督 | 手动、已禁用 | 1.1.0 |
| 定义移动设备要求 | CMA_0122 - 定义移动设备要求 | 手动、已禁用 | 1.1.0 |
| 提供安全评估结果 | CMA_C1147 - 提供安全评估结果 | 手动、已禁用 | 1.1.0 |
| 制定可接受的使用策略和过程 | CMA_0143 - 制定可接受的使用策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定访问控制策略和过程 | CMA_0144 - 制定访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定并建立系统安全计划 | CMA_0151 - 制定并建立系统安全计划 | 手动、已禁用 | 1.1.0 |
| 制定审核和责任策略和过程 | CMA_0154- 制定审核和责任策略及过程 | 手动、已禁用 | 1.1.0 |
| 制定信息安全策略和过程 | CMA_0158 - 制定信息安全策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定组织行为准则策略 | CMA_0159 - 制定组织行为准则策略 | 手动、已禁用 | 1.1.0 |
| 制定安全评估计划 | CMA_C1144 - 制定安全评估计划 | 手动、已禁用 | 1.1.0 |
| 制定安全防护措施 | CMA_0161 - 制定安全防护措施 | 手动、已禁用 | 1.1.0 |
| 分布信息系统文档 | CMA_C1584 - 分布信息系统文档 | 手动、已禁用 | 1.1.0 |
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 记录客户定义的操作 | CMA_C1582 - 记录客户定义的操作 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录组织访问协议 | CMA_0192 - 记录组织访问协议 | 手动、已禁用 | 1.1.0 |
| 记录人员接受隐私要求 | CMA_0193 - 记录人员对隐私要求的接受情况 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 记录安全和隐私培训活动 | CMA_0198 - 记录安全和隐私培训活动 | 手动、已禁用 | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | 手动、已禁用 | 1.1.0 |
| 聘请独立团队进行渗透测试 | CMA_C1171 - 聘请独立团队进行渗透测试 | 手动、已禁用 | 1.1.0 |
| 强制执行行为和访问协议规则 | CMA_0248 - 强制执行行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 确保及时签署或重新签署访问协议 | CMA_C1528 - 确保及时签署或重新签署访问协议 | 手动、已禁用 | 1.1.0 |
| 制定隐私计划 | CMA_0257 - 制定隐私计划 | 手动、已禁用 | 1.1.0 |
| 建立防火墙和路由器配置标准 | CMA_0272 - 建立防火墙和路由器配置标准 | 手动、已禁用 | 1.1.0 |
| 为持卡人数据环境建立网络分段 | CMA_0273 - 为持卡人数据环境建立网络分段 | 手动、已禁用 | 1.1.0 |
| 制定连接设备制造的安全要求 | CMA_0279 - 制定连接设备制造的安全要求 | 手动、已禁用 | 1.1.0 |
| 制定访问资源的条款和条件 | CMA_C1076 - 制定访问资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 制定处理资源的条款和条件 | CMA_C1077 - 制定处理资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 显式通知协作型计算设备的使用 | CMA_C1649 - 显式通知协作型计算设备的使用 | 手动、已禁用 | 1.1.1 |
| 治理策略和过程 | CMA_0292 - 治理策略和过程 | 手动、已禁用 | 1.1.0 |
| 标识和管理下游信息交换 | CMA_0298 - 标识和管理下游信息交换 | 手动、已禁用 | 1.1.0 |
| 标识外部服务提供程序 | CMA_C1591 - 标识外部服务提供程序 | 手动、已禁用 | 1.1.0 |
| 实现容错名称/地址服务 | CMA_0305 - 实现容错名称/地址服务 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 为每项外部服务实现托管接口 | CMA_C1626 - 为每项外部服务实现托管接口 | 手动、已禁用 | 1.1.0 |
| 实施隐私声明传递方法 | CMA_0324 - 实现隐私通知交付方法 | 手动、已禁用 | 1.1.0 |
| 实现信息系统的安全工程原则 | CMA_0325 - 实现信息系统的安全工程原则 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 使用安全策略筛选器的信息流控制 | CMA_C1029 - 使用安全策略筛选器的信息流控制 | 手动、已禁用 | 1.1.0 |
| 管理机构和特殊兴趣组的联系人 | CMA_0359 - 管理机构和特殊兴趣组的联系人 | 手动、已禁用 | 1.1.0 |
| 获取管理员文档 | CMA_C1580 - 获取管理员文档 | 手动、已禁用 | 1.1.0 |
| 在收集或处理个人数据之前获取同意 | CMA_0385 - 在收集或处理个人数据之前获取同意 | 手动、已禁用 | 1.1.0 |
| 获取用户安全性函数文档 | CMA_C1581 - 获取用户安全性函数文档 | 手动、已禁用 | 1.1.0 |
| 生成安全评估报告 | CMA_C1146 - 生成安全评估报告 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配非对称加密密钥 | CMA_C1646 - 生成、控制和分配非对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 禁止远程激活协作型计算设备 | CMA_C1648 - 禁止远程激活协作型计算设备 | 手动、已禁用 | 1.1.0 |
| 禁止不公平做法 | CMA_0396 - 禁止不公平做法 | 手动、已禁用 | 1.1.0 |
| 保护管理员和用户文档 | CMA_C1583 - 保护管理员和用户文档 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
| 提供隐私通知 | CMA_0414 - 提供隐私通知 | 手动、已禁用 | 1.1.0 |
| 提供安全的名称和地址解析服务 | CMA_0416 - 提供安全的名称和地址解析服务 | 手动、已禁用 | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
| 需要互连安全协议 | CMA_C1151 - 需要互连安全协议 | 手动、已禁用 | 1.1.0 |
| 要求用户签署访问协议 | CMA_0440 - 要求用户签署访问协议 | 手动、已禁用 | 1.1.0 |
| 查看访问控制策略和过程 | CMA_0457 - 查看访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 审阅和签署修订的行为规则 | CMA_0465 - 审阅和签署修订的行为规则 | 手动、已禁用 | 1.1.0 |
| 查看和更新配置管理策略和过程 | CMA_C1175 - 查看和更新配置管理策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新应变规划策略和过程 | CMA_C1243 - 查看和更新应变规划策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看并更新事件响应策略和过程 | CMA_C1352 - 查看并更新事件响应策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新信息完整性策略及过程 | CMA_C1667 - 查看和更新信息完整性策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新媒体保护策略及过程 | CMA_C1427 - 查看和更新媒体保护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新人员安全策略及过程 | CMA_C1507 - 查看和更新人员安全策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新物理与环境策略和过程 | CMA_C1446 - 查看和更新物理与环境策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新规划策略及过程 | CMA_C1491 - 查看和更新规划策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新风险评估策略及过程 | CMA_C1537 - 查看和更新风险评估策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和通信保护策略及过程 | CMA_C1616 - 查看和更新系统和通信保护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和服务采购政策和过程 | CMA_C1560 - 查看和更新系统和服务采购政策和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统维护策略及过程 | CMA_C1395 - 查看和更新系统维护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看云服务提供商对策略和协议的符合性 | CMA_0469 - 查看云服务提供商对策略和协议的符合性 | 手动、已禁用 | 1.1.0 |
| 查看安全评估和授权策略及过程 | CMA_C1143 - 查看安全评估和授权策略及过程 | 手动、已禁用 | 1.1.0 |
| 将接口固定到外部系统 | CMA_0491 - 保护到外部系统的接口 | 手动、已禁用 | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
| 更新信息安全策略 | CMA_0518 - 更新信息安全策略 | 手动、已禁用 | 1.1.0 |
| 更新互连安全协议 | CMA_0519 - 更新互连安全协议 | 手动、已禁用 | 1.1.0 |
| 更新组织访问协议 | CMA_0520 - 更新组织访问协议 | 手动、已禁用 | 1.1.0 |
| 更新行为和访问协议规则 | CMA_0521 - 更新行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 每 3 年更新一次行为和访问协议规则 | CMA_0522 - 每 3 年更新一次行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 验证外部信息系统的安全控制 | CMA_0541 - 验证外部信息系统的安全控制 | 手动、已禁用 | 1.1.0 |
组织框架
ID:ENS v1 org.4 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 | AuditIfNotExists、Disabled | 3.0.0 |
| 解决编码漏洞 | CMA_0003 - 解决编码漏洞 | 手动、已禁用 | 1.1.0 |
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 任命高级信息安全管理人员 | CMA_C1733 - 任命高级信息安全管理人员 | 手动、已禁用 | 1.1.0 |
| 对建议的更改自动执行审批请求 | CMA_C1192 - 对建议的更改自动执行审批请求 | 手动、已禁用 | 1.1.0 |
| 自动实现已批准的更改通知 | CMA_C1196 - 自动实现已批准的更改通知 | 手动、已禁用 | 1.1.0 |
| 将记录已实现的更改的流程自动化 | CMA_C1195 - 将记录已实现的更改的流程自动化 | 手动、已禁用 | 1.1.0 |
| 自动执行流程以突出未审阅的更改建议 | CMA_C1193 - 自动执行流程以突出未审阅的更改建议 | 手动、已禁用 | 1.1.0 |
| 自动执行进程以禁止实现未经批准的更改 | CMA_C1194 - 自动执行进程以禁止实现未经批准的更改 | 手动、已禁用 | 1.1.0 |
| 自动执行建议的已记录更改 | CMA_C1191 - 自动执行建议的已记录更改 | 手动、已禁用 | 1.1.0 |
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 传达应变计划更改 | CMA_C1249 - 传达应变计划更改 | 手动、已禁用 | 1.1.0 |
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | 手动、已禁用 | 1.1.0 |
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 控制便携式存储设备的使用 | CMA_0083 - 控制便携式存储设备的使用 | 手动、已禁用 | 1.1.0 |
| 创建配置计划保护 | CMA_C1233 - 创建配置计划保护 | 手动、已禁用 | 1.1.0 |
| 定义和记录政府监督 | CMA_C1587 - 定义和记录政府监督 | 手动、已禁用 | 1.1.0 |
| 定义信息安全角色和职责 | CMA_C1565 - 定义信息安全角色和职责 | 手动、已禁用 | 1.1.0 |
| 定义移动设备要求 | CMA_0122 - 定义移动设备要求 | 手动、已禁用 | 1.1.0 |
| 指定个人履行特定角色和职责 | CMA_C1747 - 指定个人履行特定角色和职责 | 手动、已禁用 | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 制定可接受的使用策略和过程 | CMA_0143 - 制定可接受的使用策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定访问控制策略和过程 | CMA_0144 - 制定访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定并记录业务连续性和灾难恢复计划 | CMA_0146 - 制定并记录业务连续性和灾难恢复计划 | 手动、已禁用 | 1.1.0 |
| 制定和记录应用程序安全要求 | CMA_0148 - 制定和记录应用程序安全要求 | 手动、已禁用 | 1.1.0 |
| 制定并建立系统安全计划 | CMA_0151 - 制定并建立系统安全计划 | 手动、已禁用 | 1.1.0 |
| 制定和维护漏洞管理标准 | CMA_0152 - 制定和维护漏洞管理标准 | 手动、已禁用 | 1.1.0 |
| 开发并维护基线配置 | CMA_0153 - 设计并维护基线配置 | 手动、已禁用 | 1.1.0 |
| 制定审核和责任策略和过程 | CMA_0154- 制定审核和责任策略及过程 | 手动、已禁用 | 1.1.0 |
| 制定配置项目标识计划 | CMA_C1231 - 制定配置项目标识计划 | 手动、已禁用 | 1.1.0 |
| 制定配置管理计划 | CMA_C1232 - 制定配置管理计划 | 手动、已禁用 | 1.1.0 |
| 制定应变计划 | CMA_C1244 - 制定应变计划 | 手动、已禁用 | 1.1.0 |
| 制定应变计划策略和过程 | CMA_0156 - 制定应变计划策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定信息安全策略和过程 | CMA_0158 - 制定信息安全策略和过程 | 手动、已禁用 | 1.1.0 |
| 分配策略和过程 | CMA_0185 - 分配策略和过程 | 手动、已禁用 | 1.1.0 |
| 记录收购合同验收条件 | CMA_0187 - 记录收购合同验收条件 | 手动、已禁用 | 1.1.0 |
| 记录并实施隐私投诉过程 | CMA_0189 - 记录并实施隐私投诉流程 | 手动、已禁用 | 1.1.0 |
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的个人数据保护 | CMA_0194 - 记录收购合同中的个人数据保护 | 手动、已禁用 | 1.1.0 |
| 收购合同中安全信息的文档保护 | CMA_0195 - 记录收购合同中安全信息的保护 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 记录在合同中使用共享数据的要求 | CMA_0197 - 记录在合同中使用共享数据的要求 | 手动、已禁用 | 1.1.0 |
| 记录安全和隐私培训活动 | CMA_0198 - 记录安全和隐私培训活动 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全保证要求 | CMA_0199 - 记录收购合同中的安全保证要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全记录要求 | CMA_0200 - 收购合同中的文档安全记录要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全功能要求 | CMA_0201 - 记录收购合同中的安全功能要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 记录第三方合同中的持卡人数据保护 | CMA_0207 - 记录第三方合同中的持卡人数据保护 | 手动、已禁用 | 1.1.0 |
| 制定第三方人员安全要求 | CMA_C1531 - 制定第三方人员安全要求 | 手动、已禁用 | 1.1.0 |
| 使用媒体清理机制 | CMA_0208 - 使用媒体清理机制 | 手动、已禁用 | 1.1.0 |
| 使用边界保护隔离信息系统 | CMA_C1639 - 使用边界保护隔离信息系统 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制执行行为和访问协议规则 | CMA_0248 - 强制执行行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 强制执行安全配置设置 | CMA_0249 - 强制执行安全配置设置 | 手动、已禁用 | 1.1.0 |
| 确保隐私计划信息公开 | CMA_C1867 - 确保隐私计划信息公开 | 手动、已禁用 | 1.1.0 |
| 制定隐私计划 | CMA_0257 - 制定隐私计划 | 手动、已禁用 | 1.1.0 |
| 建立风险管理策略 | CMA_0258 - 建立风险管理策略 | 手动、已禁用 | 1.1.0 |
| 建立安全软件开发计划 | CMA_0259 - 制定安全软件开发计划 | 手动、已禁用 | 1.1.0 |
| 建立信息安全计划 | CMA_0263 - 制定信息安全计划 | 手动、已禁用 | 1.1.0 |
| 建立并记录配置管理计划 | CMA_0264 - 建立并记录配置管理计划 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 为开发人员建立配置管理要求 | CMA_0270 - 为开发人员设定配置管理要求 | 手动、已禁用 | 1.1.0 |
| 制定电子签名和证书要求 | CMA_0271 - 制定电子签名和证书要求 | 手动、已禁用 | 1.1.0 |
| 制定连接设备制造的安全要求 | CMA_0279 - 制定连接设备制造的安全要求 | 手动、已禁用 | 1.1.0 |
| 制定访问资源的条款和条件 | CMA_C1076 - 制定访问资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 制定处理资源的条款和条件 | CMA_C1077 - 制定处理资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 制定第三方人员安全要求 | CMA_C1529 - 制定第三方人员安全要求 | 手动、已禁用 | 1.1.0 |
| 治理云服务提供商的合规性 | CMA_0290 - 治理云服务提供商的合规性 | 手动、已禁用 | 1.1.0 |
| 治理策略和过程 | CMA_0292 - 治理策略和过程 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 标识具有安全角色和职责的用户 | CMA_C1566 - 标识具有安全角色和职责的用户 | 手动、已禁用 | 1.1.1 |
| 实现容错名称/地址服务 | CMA_0305 - 实现容错名称/地址服务 | 手动、已禁用 | 1.1.0 |
| 实现自动配置管理工具 | CMA_0311 - 实现自动配置管理工具 | 手动、已禁用 | 1.1.0 |
| 为每项外部服务实现托管接口 | CMA_C1626 - 为每项外部服务实现托管接口 | 手动、已禁用 | 1.1.0 |
| 实现信息系统的安全工程原则 | CMA_0325 - 实现信息系统的安全工程原则 | 手动、已禁用 | 1.1.0 |
| 将风险管理过程集成到 SDLC 中 | CMA_C1567 - 将风险管理过程集成到 SDLC 中 | 手动、已禁用 | 1.1.0 |
| 管理信息系统的安全状态 | CMA_C1746 - 管理信息系统的安全状态 | 手动、已禁用 | 1.1.0 |
| 管理资产的运输 | CMA_0370 - 管理资产的运输 | 手动、已禁用 | 1.1.0 |
| 监视第三方提供程序符合性 | CMA_C1533 - 监视第三方提供程序符合性 | 手动、已禁用 | 1.1.0 |
| 通知用户系统登录或访问 | CMA_0382 - 在系统登录或访问时通知用户 | 手动、已禁用 | 1.1.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | 手动、已禁用 | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置变更控制执行审核 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 规划恢复基本业务功能 | CMA_C1253 - 规划恢复基本业务功能 | 手动、已禁用 | 1.1.0 |
| 阻止远程设备的拆分隧道 | CMA_C1632 - 阻止远程设备拆分隧道 | 手动、已禁用 | 1.1.0 |
| 保护信息安全计划 | CMA_C1732 - 保护信息安全计划 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
| 提供安全的名称和地址解析服务 | CMA_0416 - 提供安全的名称和地址解析服务 | 手动、已禁用 | 1.1.0 |
| 重新验证或终止用户会话 | CMA_0421 - 重新验证或终止用户会话 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
| 要求开发人员记录已批准的更改和潜在影响 | CMA_C1597 - 要求开发人员记录已批准的更改和潜在影响 | 手动、已禁用 | 1.1.0 |
| 要求开发人员仅实现已批准的更改 | CMA_C1596 - 要求开发人员仅实现已批准的更改 | 手动、已禁用 | 1.1.0 |
| 要求开发人员管理更改完整性 | CMA_C1595 - 要求开发人员管理更改完整性 | 手动、已禁用 | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
| 需要互连安全协议 | CMA_C1151 - 需要互连安全协议 | 手动、已禁用 | 1.1.0 |
| 要求通知第三方人员调动或离职 | CMA_C1532 - 需要第三方人员调动或离职通知 | 手动、已禁用 | 1.1.0 |
| 要求第三方提供商遵守人员安全策略和过程 | CMA_C1530 - 要求第三方提供商遵守人员安全策略和过程 | 手动、已禁用 | 1.1.0 |
| 限制媒体使用 | CMA_0450 - 限制媒体使用 | 手动、已禁用 | 1.1.0 |
| 恢复所有任务和业务功能 | CMA_C1254 - 恢复所有任务和业务功能 | 手动、已禁用 | 1.1.0 |
| 查看访问控制策略和过程 | CMA_0457 - 查看访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新配置管理策略和过程 | CMA_C1175 - 查看和更新配置管理策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看并更新事件响应策略和过程 | CMA_C1352 - 查看并更新事件响应策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新信息完整性策略及过程 | CMA_C1667 - 查看和更新信息完整性策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新媒体保护策略及过程 | CMA_C1427 - 查看和更新媒体保护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新人员安全策略及过程 | CMA_C1507 - 查看和更新人员安全策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新物理与环境策略和过程 | CMA_C1446 - 查看和更新物理与环境策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新规划策略及过程 | CMA_C1491 - 查看和更新规划策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新风险评估策略及过程 | CMA_C1537 - 查看和更新风险评估策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和通信保护策略及过程 | CMA_C1616 - 查看和更新系统和通信保护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统和服务采购政策和过程 | CMA_C1560 - 查看和更新系统和服务采购政策和过程 | 手动、已禁用 | 1.1.0 |
| 查看和更新系统维护策略及过程 | CMA_C1395 - 查看和更新系统维护策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看云服务提供商对策略和协议的符合性 | CMA_0469 - 查看云服务提供商对策略和协议的符合性 | 手动、已禁用 | 1.1.0 |
| 查看应变计划 | CMA_C1247 - 查看应变计划 | 手动、已禁用 | 1.1.0 |
| 查看安全评估和授权策略及过程 | CMA_C1143 - 查看安全评估和授权策略及过程 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
| 通过托管网络访问点路由流量 | CMA_0484 - 通过托管网络访问点路由流量 | 手动、已禁用 | 1.1.0 |
| 单独的用户和信息系统管理功能 | CMA_0493 - 单独的用户和信息系统管理功能 | 手动、已禁用 | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
| 更新应变计划 | CMA_C1248 - 更新应变计划 | 手动、已禁用 | 1.1.0 |
| 更新信息安全策略 | CMA_0518 - 更新信息安全策略 | 手动、已禁用 | 1.1.0 |
| 更新互连安全协议 | CMA_0519 - 更新互连安全协议 | 手动、已禁用 | 1.1.0 |
| 更新隐私计划、策略和过程 | CMA_C1807 - 更新隐私计划、策略和过程 | 手动、已禁用 | 1.1.0 |
| 使用专用计算机执行管理任务 | CMA_0527 - 使用专用计算机执行管理任务 | 手动、已禁用 | 1.1.0 |
| 验证外部信息系统的安全控制 | CMA_0541 - 验证外部信息系统的安全控制 | 手动、已禁用 | 1.1.0 |
| 查看并配置系统诊断数据 | CMA_0544 - 查看并配置系统诊断数据 | 手动、已禁用 | 1.1.0 |
后续步骤
有关 Azure Policy 的其他文章:
- 法规符合性概述。
- 请参阅计划定义结构。
- 在 Azure Policy 示例中查看其他示例。
- 查看了解策略效果。
- 了解如何修正不符合的资源。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈