你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 虚拟机的 Azure Policy 法规遵从性控制措施

适用于:✔️ Linux VM ✔️ Windows VM ✔️ 灵活规模集 ✔️ 统一规模集

Azure Policy 中的法规遵从性为与不同合规性标准相关的“合规性域”和“安全控制”提供由 Microsoft 创建和管理的计划定义,称为“内置项” 。 此页列出 Azure 虚拟机的“符合域”和“安全控制措施” 。 可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。

每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。

重要

每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的“符合”仅指策略本身。 这并不能确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 对于这些合规性标准,控件与 Azure Policy 法规合规性定义之间的关联可能会随时间的推移而发生变化。

澳大利亚政府 ISM PROTECTED

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 澳大利亚政府 ISM PROTECTED。 有关此合规性标准的详细信息,请参阅澳大利亚政府 ISM PROTECTED

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
人员安全性指导原则 - 对系统及其资源的访问 415 用户标识 - 415 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
人员安全性指导原则 - 对系统及其资源的访问 415 用户标识 - 415 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
人员安全性指导原则 - 对系统及其资源的访问 415 用户标识 - 415 审核具有管理员组中指定成员的 Windows 计算机 2.0.0
人员安全性指导原则 - 对系统及其资源的访问 415 用户标识 - 415 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
系统强化指导原则 - 身份验证强化 421 单因素身份验证 - 421 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
系统强化指导原则 - 身份验证强化 421 单因素身份验证 - 421 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
系统强化指导原则 - 身份验证强化 421 单因素身份验证 - 421 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
系统强化指导原则 - 身份验证强化 421 单因素身份验证 - 421 Windows 计算机应符合“安全设置 - 帐户策略”的要求 3.0.0
人员安全性指导原则 - 对系统及其资源的访问 445 对系统的特权访问 - 445 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
人员安全性指导原则 - 对系统及其资源的访问 445 对系统的特权访问 - 445 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
人员安全性指导原则 - 对系统及其资源的访问 445 对系统的特权访问 - 445 审核具有管理员组中指定成员的 Windows 计算机 2.0.0
人员安全性指导原则 - 对系统及其资源的访问 445 对系统的特权访问 - 445 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
加密指南 - 加密基本要求 459 加密静态数据 - 459 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 2.0.3
系统监视指导原则 - 事件日志记录和审核 582 要记录的事件 - 582 虚拟机应连接到指定的工作区 1.1.0
系统管理指导原则 - 系统修补 940 何时修补安全漏洞 - 940 应在虚拟机上启用漏洞评估解决方案 3.0.0
系统管理指导原则 - 系统修补 940 何时修补安全漏洞 - 940 应修正容器安全配置中的漏洞 3.0.0
系统管理指导原则 - 系统修补 940 何时修补安全漏洞 - 940 应修复计算机上安全配置中的漏洞 3.0.0
系统管理指导原则 - 系统修补 940 何时修补安全漏洞 - 940 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
加密指南 - 传输层安全性 1139 使用传输层安全性 - 1139 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
加密指南 - 传输层安全性 1139 使用传输层安全性 - 1139 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
加密指南 - 传输层安全性 1139 使用传输层安全性 - 1139 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
加密指南 - 传输层安全性 1139 使用传输层安全性 - 1139 应将 Windows Web 服务器配置为使用安全通信协议 4.0.0
系统管理指导原则 - 系统修补 1144 何时修补安全漏洞 - 1144 应在虚拟机上启用漏洞评估解决方案 3.0.0
系统管理指导原则 - 系统修补 1144 何时修补安全漏洞 - 1144 应修正容器安全配置中的漏洞 3.0.0
系统管理指导原则 - 系统修补 1144 何时修补安全漏洞 - 1144 应修复计算机上安全配置中的漏洞 3.0.0
系统管理指导原则 - 系统修补 1144 何时修补安全漏洞 - 1144 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
网络指南 - 网络设计和配置 1182 网络访问控制 - 1182 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
网络指南 - 网络设计和配置 1182 网络访问控制 - 1182 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
数据库系统指南 - 数据库服务器 1277 数据库服务器和 Web 服务器之间的通信 - 1277 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
数据库系统指南 - 数据库服务器 1277 数据库服务器和 Web 服务器之间的通信 - 1277 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
数据库系统指南 - 数据库服务器 1277 数据库服务器和 Web 服务器之间的通信 - 1277 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
数据库系统指导原则 - 数据库服务器 1277 数据库服务器和 Web 服务器之间的通信 - 1277 应将 Windows Web 服务器配置为使用安全通信协议 4.0.0
网关指南 - 内容筛选 1288 病毒扫描 - 1288 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
网关指南 - 内容筛选 1288 病毒扫描 - 1288 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 1.1.0
网关指南 - 内容筛选 1288 病毒扫描 - 1288 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
系统管理指导原则 - 系统管理 1386 管理流量流限制 - 1386 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
系统强化指导原则 - 操作系统强化 1407 操作系统版本 - 1407 应在虚拟机规模集上安装系统更新 3.0.0
系统强化指导原则 - 操作系统强化 1407 操作系统版本 - 1407 应在计算机上安装系统更新 4.0.0
系统强化指导原则 - 操作系统强化 1417 防病毒软件 - 1417 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
系统强化指导原则 - 操作系统强化 1417 防病毒软件 - 1417 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 1.1.0
系统强化指导原则 - 操作系统强化 1417 防病毒软件 - 1417 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
数据库系统指南 - 数据库服务器 1425 保护数据库服务器的内容 - 1425 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 2.0.3
系统管理指导原则 - 系统修补 1472 何时修补安全漏洞 - 1472 应在虚拟机上启用漏洞评估解决方案 3.0.0
系统管理指导原则 - 系统修补 1472 何时修补安全漏洞 - 1472 应修正容器安全配置中的漏洞 3.0.0
系统管理指导原则 - 系统修补 1472 何时修补安全漏洞 - 1472 应修复计算机上安全配置中的漏洞 3.0.0
系统管理指导原则 - 系统修补 1472 何时修补安全漏洞 - 1472 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
系统强化指导原则 - 操作系统强化 1490 应用程序控制 - 1490 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
系统管理指导原则 - 系统修补 1494 何时修补安全漏洞 - 1494 应在虚拟机上启用漏洞评估解决方案 3.0.0
系统管理指导原则 - 系统修补 1494 何时修补安全漏洞 - 1494 应修正容器安全配置中的漏洞 3.0.0
系统管理指导原则 - 系统修补 1494 何时修补安全漏洞 - 1494 应修复计算机上安全配置中的漏洞 3.0.0
系统管理指导原则 - 系统修补 1494 何时修补安全漏洞 - 1494 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
系统管理指导原则 - 系统修补 1495 何时修补安全漏洞 - 1495 应在虚拟机上启用漏洞评估解决方案 3.0.0
系统管理指导原则 - 系统修补 1495 何时修补安全漏洞 - 1495 应修正容器安全配置中的漏洞 3.0.0
系统管理指导原则 - 系统修补 1495 何时修补安全漏洞 - 1495 应修复计算机上安全配置中的漏洞 3.0.0
系统管理指导原则 - 系统修补 1495 何时修补安全漏洞 - 1495 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
系统管理指导原则 - 系统修补 1496 何时修补安全漏洞 - 1496 应在虚拟机上启用漏洞评估解决方案 3.0.0
系统管理指导原则 - 系统修补 1496 何时修补安全漏洞 - 1496 应修正容器安全配置中的漏洞 3.0.0
系统管理指导原则 - 系统修补 1496 何时修补安全漏洞 - 1496 应修复计算机上安全配置中的漏洞 3.0.0
系统管理指导原则 - 系统修补 1496 何时修补安全漏洞 - 1496 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
人员安全性指导原则 - 对系统及其资源的访问 1503 对系统的标准访问 - 1503 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
人员安全性指导原则 - 对系统及其资源的访问 1503 对系统的标准访问 - 1503 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
人员安全性指导原则 - 对系统及其资源的访问 1503 对系统的标准访问 - 1503 审核具有管理员组中指定成员的 Windows 计算机 2.0.0
人员安全性指导原则 - 对系统及其资源的访问 1503 对系统的标准访问 - 1503 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
人员安全性指导原则 - 对系统及其资源的访问 1507 对系统的特权访问 - 1507 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
人员安全性指导原则 - 对系统及其资源的访问 1507 对系统的特权访问 - 1507 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
人员安全性指导原则 - 对系统及其资源的访问 1507 对系统的特权访问 - 1507 审核具有管理员组中指定成员的 Windows 计算机 2.0.0
人员安全性指导原则 - 对系统及其资源的访问 1507 对系统的特权访问 - 1507 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
人员安全性指导原则 - 对系统及其资源的访问 1508 对系统的特权访问 - 1508 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
人员安全性指导原则 - 对系统及其资源的访问 1508 对系统的特权访问 - 1508 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
人员安全性指导原则 - 对系统及其资源的访问 1508 对系统的特权访问 - 1508 审核具有管理员组中指定成员的 Windows 计算机 2.0.0
人员安全性指导原则 - 对系统及其资源的访问 1508 对系统的特权访问 - 1508 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
人员安全性指导原则 - 对系统及其资源的访问 1508 对系统的特权访问 - 1508 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
系统管理指导原则 - 数据备份和还原 1511 执行备份 - 1511 审核未配置灾难恢复的虚拟机 1.0.0
系统强化指导原则 - 身份验证强化 1546 向系统进行身份验证 - 1546 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
系统强化指导原则 - 身份验证强化 1546 向系统进行身份验证 - 1546 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
系统强化指导原则 - 身份验证强化 1546 向系统进行身份验证 - 1546 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 3.0.0
系统强化指导原则 - 身份验证强化 1546 向系统进行身份验证 - 1546 审核具有不使用密码的帐户的 Linux 计算机 3.0.0
系统强化指导原则 - 身份验证强化 1546 向系统进行身份验证 - 1546 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0

Azure 安全基准

Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Azure 安全基准,请参阅 Azure 安全基准映射文件

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - Azure 安全基准

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
网络安全 NS-1 建立网络分段边界 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
网络安全 NS-1 建立网络分段边界 应限制在与虚拟机关联的网络安全组上使用所有网络端口 3.0.0
网络安全 NS-1 建立网络分段边界 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
网络安全 NS-1 建立网络分段边界 应使用网络安全组来保护非面向 Internet 的虚拟机 3.0.0
网络安全 NS-3 在企业网络边缘部署防火墙 应禁用虚拟机上的 IP 转发 3.0.0
网络安全 NS-3 在企业网络边缘部署防火墙 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
网络安全 NS-3 在企业网络边缘部署防火墙 应关闭虚拟机上的管理端口 3.0.0
网络安全 NS-7 简化网络安全配置 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
标识管理 IM-3 以安全方式自动管理应用程序标识 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 1.0.1
标识管理 IM-6 使用强身份验证控制 对 Linux 虚拟机进行身份验证需要 SSH 密钥 3.0.0
特权访问 PA-2 避免对帐户和权限的长期访问 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
数据保护 DP-3 加密传输中的敏感数据 应将 Windows Web 服务器配置为使用安全通信协议 4.0.0
数据保护 DP-4 默认启用静态数据加密 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 2.0.3
资产管理 AM-2 仅使用已批准的服务
应将虚拟机迁移到新的 Azure 资源管理器资源 1.0.0
资产管理 AM-5 仅在虚拟机中使用已批准的应用程序 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
资产管理 AM-5 仅在虚拟机中使用已批准的应用程序 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
日志记录和威胁检测 LT-1 启用威胁检测功能 应在计算机上启用 Windows Defender 攻击防护 2.0.0
日志记录和威胁检测 LT-2 为标识和访问管理启用威胁检测 应在计算机上启用 Windows Defender 攻击防护 2.0.0
日志记录和威胁检测 LT-3 启用日志记录以进行安全调查 应启用虚拟机规模集中的资源日志 2.1.0
日志记录和威胁检测 LT-4 启用网络日志记录以进行安全调查
[预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 1.0.2-preview
日志记录和威胁检测 LT-4 启用网络日志记录以进行安全调查
[预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 1.0.2-preview
日志记录和威胁检测 LT-5 集中执行安全日志管理和分析 Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 1.0.0
日志记录和威胁检测 LT-5 集中执行安全日志管理和分析 Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 1.0.0
安全状况和漏洞管理 PV-4 审核并强制执行计算资源的安全配置 [预览版]:应在支持的 Linux 虚拟机上安装来宾证明扩展 5.0.0-preview
安全状况和漏洞管理 PV-4 审核并强制执行计算资源的安全配置 [预览版]:应在支持的 Linux 虚拟机规模集上安装来宾证明扩展 4.0.0-preview
安全状况和漏洞管理 PV-4 审核并强制执行计算资源的安全配置 [预览版]:应在支持的 Windows 虚拟机上安装来宾证明扩展 3.0.0-preview
安全状况和漏洞管理 PV-4 审核并强制执行计算资源的安全配置 [预览版]:应在支持的 Windows 虚拟机规模集上安装来宾证明扩展 2.0.0-preview
安全状况和漏洞管理 PV-4 审核并强制执行计算资源的安全配置 [预览版]:应在支持的 Windows 虚拟机上启用安全启动 3.0.0-preview
安全状况和漏洞管理 PV-4 审核并强制执行计算资源的安全配置 [预览版]:应在支持的虚拟机上启用 vTPM 2.0.0-preview
安全状况和漏洞管理 PV-4 审核并强制执行计算资源的安全配置 应在计算机上安装来宾配置扩展 1.0.2
安全状况和漏洞管理 PV-4 审核并强制执行计算资源的安全配置 Linux 计算机应符合 Azure 计算安全基线的要求 2.0.0
安全状况和漏洞管理 PV-4 审核并强制执行计算资源的安全配置 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 1.0.1
安全状况和漏洞管理 PV-4 审核并强制执行计算资源的安全配置 Windows 计算机应符合 Azure 计算安全基线的要求 2.0.0
安全状况和漏洞管理 PV-5 执行漏洞评估 应在虚拟机上启用漏洞评估解决方案 3.0.0
安全状况和漏洞管理 PV-6 快速自动地修正漏洞 [预览版]:计算机应配置为定期检查,以确认缺少的系统更新 1.0.0-preview
安全状况和漏洞管理 PV-6 快速自动地修正漏洞 [预览]:应在计算机上安装系统更新(由更新中心提供支持) 1.0.0-preview
安全状况和漏洞管理 PV-6 快速自动地修正漏洞 计算机上的 SQL 服务器应已解决漏洞发现 1.0.0
安全状况和漏洞管理 PV-6 快速自动地修正漏洞 应在虚拟机规模集上安装系统更新 3.0.0
安全状况和漏洞管理 PV-6 快速自动地修正漏洞 应在计算机上安装系统更新 4.0.0
安全状况和漏洞管理 PV-6 快速自动地修正漏洞 应修正容器安全配置中的漏洞 3.0.0
安全状况和漏洞管理 PV-6 快速自动地修正漏洞 应修复计算机上安全配置中的漏洞 3.0.0
安全状况和漏洞管理 PV-6 快速自动地修正漏洞 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
终结点安全性 ES-2 使用新式反恶意软件 应在计算机上解决 Endpoint Protection 运行状况问题 1.0.0
终结点安全性 ES-2 使用新式反恶意软件 应在计算机上安装 Endpoint Protection 1.0.0
终结点安全性 ES-2 使用新式反恶意软件 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
终结点安全性 ES-2 使用新式反恶意软件 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
终结点安全性 ES-2 使用新式反恶意软件 应在计算机上启用 Windows Defender 攻击防护 2.0.0
终结点安全性 ES-3 确保反恶意软件和签名已更新 应在计算机上解决 Endpoint Protection 运行状况问题 1.0.0
备份和恢复 BR-1 确保定期执行自动备份 应为虚拟机启用 Azure 备份 3.0.0
备份和恢复 BR-2 保护备份和恢复数据 应为虚拟机启用 Azure 备份 3.0.0
DevOps 安全性 DS-6 在整个 DevOps 生命周期内加强工作负载的安全性 应修正容器安全配置中的漏洞 3.0.0

Azure 安全基准 v1

Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Azure 安全基准,请参阅 Azure 安全基准映射文件

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - Azure 安全基准

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
网络安全 1.1 在虚拟网络上使用网络安全组或 Azure 防火墙来保护资源 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
网络安全 1.1 在虚拟网络上使用网络安全组或 Azure 防火墙来保护资源 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
网络安全 1.1 在虚拟网络上使用网络安全组或 Azure 防火墙来保护资源 应禁用虚拟机上的 IP 转发 3.0.0
网络安全 1.1 在虚拟网络上使用网络安全组或 Azure 防火墙来保护资源 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
网络安全 1.1 在虚拟网络上使用网络安全组或 Azure 防火墙来保护资源 应关闭虚拟机上的管理端口 3.0.0
网络安全 1.11 使用自动化工具监视网络资源配置并检测更改 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
网络安全 1.11 使用自动化工具监视网络资源配置并检测更改 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
网络安全 1.11 使用自动化工具监视网络资源配置并检测更改 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
网络安全 1.11 使用自动化工具监视网络资源配置并检测更改 Windows 计算机应符合“管理模板 - 网络”的要求 3.0.0
网络安全 1.11 使用自动化工具监视网络资源配置并检测更改 Windows 计算机应符合“安全选项 - Microsoft 网络服务器”的要求 3.0.0
网络安全 1.11 使用自动化工具监视网络资源配置并检测更改 Windows 计算机应符合“安全选项 - 网络访问”的要求 3.0.0
网络安全 1.11 使用自动化工具监视网络资源配置并检测更改 Windows 计算机应符合“安全选项 - 网络安全”的要求 3.0.0
网络安全 1.4 拒绝与已知的恶意 IP 地址通信 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
网络安全 1.4 拒绝与已知的恶意 IP 地址通信 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
日志记录和监视 2.2 配置安全日志集中管理 审核其 Log Analytics 代理未按预期连接的 Windows 计算机 2.0.0
日志记录和监视 2.2 配置安全日志集中管理 应在虚拟机规模集上安装 Log Analytics 扩展 1.0.1
日志记录和监视 2.2 配置安全日志集中管理 虚拟机应安装 Log Analytics 扩展 1.0.1
日志记录和监视 2.3 为 Azure 资源启用审核日志记录 应启用虚拟机规模集中的资源日志 2.1.0
日志记录和监视 2.4 从操作系统收集安全日志 审核其 Log Analytics 代理未按预期连接的 Windows 计算机 2.0.0
日志记录和监视 2.4 从操作系统收集安全日志 应在虚拟机规模集上安装 Log Analytics 扩展 1.0.1
日志记录和监视 2.4 从操作系统收集安全日志 虚拟机应安装 Log Analytics 扩展 1.0.1
日志记录和监视 2.8 集中进行反恶意软件日志记录 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
日志记录和监视 2.8 集中进行反恶意软件日志记录 Microsoft Antimalware for Azure 应配置为自动更新保护签名 1.0.0
日志记录和监视 2.8 集中进行反恶意软件日志记录 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
标识和访问控制 3.3 使用专用管理帐户 审核缺少管理员组中任何指定成员的 Windows 计算机 2.0.0
标识和访问控制 3.3 使用专用管理帐户 审核管理员组中具有额外帐户的 Windows 计算机 2.0.0
标识和访问控制 3.3 使用专用管理帐户 审核具有管理员组中指定成员的 Windows 计算机 2.0.0
数据保护 4.8 加密静态的敏感信息 [已弃用]:应当加密未附加的磁盘 1.0.0-deprecated
数据保护 4.8 加密静态的敏感信息 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 2.0.3
漏洞管理 5.1 运行自动化漏洞扫描工具 应在虚拟机上启用漏洞评估解决方案 3.0.0
漏洞管理 5.2 部署操作系统修补程序自动化管理解决方案 应在虚拟机规模集上安装系统更新 3.0.0
漏洞管理 5.2 部署操作系统修补程序自动化管理解决方案 应在计算机上安装系统更新 4.0.0
漏洞管理 5.5 使用风险评分流程确定所发现漏洞的修正优先级 应修正容器安全配置中的漏洞 3.0.0
漏洞管理 5.5 使用风险评分流程确定所发现漏洞的修正优先级 应修复计算机上安全配置中的漏洞 3.0.0
漏洞管理 5.5 使用风险评分流程确定所发现漏洞的修正优先级 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
清单和资产管理 6.10 实现已批准的应用程序列表 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
清单和资产管理 6.8 只使用已批准的应用程序 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
清单和资产管理 6.9 只使用已批准的 Azure 服务 应将虚拟机迁移到新的 Azure 资源管理器资源 1.0.0
安全配置 7.10 针对操作系统实现自动化配置监视 应修正容器安全配置中的漏洞 3.0.0
安全配置 7.10 针对操作系统实现自动化配置监视 应修复计算机上安全配置中的漏洞 3.0.0
安全配置 7.10 针对操作系统实现自动化配置监视 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
安全配置 7.4 维护安全的操作系统配置 应修正容器安全配置中的漏洞 3.0.0
安全配置 7.4 维护安全的操作系统配置 应修复计算机上安全配置中的漏洞 3.0.0
安全配置 7.4 维护安全的操作系统配置 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
恶意软件防护 8.1 使用集中管理的反恶意软件 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
恶意软件防护 8.1 使用集中管理的反恶意软件 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
恶意软件防护 8.3 确保反恶意软件和签名已更新 Microsoft Antimalware for Azure 应配置为自动更新保护签名 1.0.0
数据恢复 9.1 确保定期执行自动备份 应为虚拟机启用 Azure 备份 3.0.0
数据恢复 9.2 执行完整的系统备份并备份所有客户管理的密钥 应为虚拟机启用 Azure 备份 3.0.0

加拿大联邦 PBMM

若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - 加拿大联邦 PBMM。 有关此合规性标准的详细信息,请参阅加拿大联邦 PBMM

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 AC-5 职责分离 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
访问控制 AC-5 职责分离 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
访问控制 AC-5 职责分离 审核缺少管理员组中任何指定成员的 Windows 计算机 2.0.0
访问控制 AC-5 职责分离 审核具有管理员组中指定成员的 Windows 计算机 2.0.0
访问控制 AC-5 职责分离 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
访问控制 AC-6 最小特权 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
访问控制 AC-6 最小特权 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
访问控制 AC-6 最小特权 审核缺少管理员组中任何指定成员的 Windows 计算机 2.0.0
访问控制 AC-6 最小特权 审核具有管理员组中指定成员的 Windows 计算机 2.0.0
访问控制 AC-6 最小特权 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
访问控制 AC-17(1) 远程访问 | 自动监视/控制 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
访问控制 AC-17(1) 远程访问 | 自动监视/控制 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
访问控制 AC-17(1) 远程访问 | 自动监视/控制 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 3.0.0
访问控制 AC-17(1) 远程访问 | 自动监视/控制 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
审核和责任 AU-3 审核记录的内容 [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1-preview
审核和责任 AU-3 审核记录的内容 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1
审核和责任 AU-3 审核记录的内容 虚拟机应连接到指定的工作区 1.1.0
审核和责任 AU-12 审核生成 [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1-preview
审核和责任 AU-12 审核生成 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1
审核和责任 AU-12 审核生成 虚拟机应连接到指定的工作区 1.1.0
配置管理 CM-7(5) 最少的功能 | 授权软件/允许列表 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
配置管理 CM-11 用户安装的软件 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
应变规划 CP-7 备用处理站点 审核未配置灾难恢复的虚拟机 1.0.0
识别和身份验证 IA-5 验证器管理 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
识别和身份验证 IA-5 验证器管理 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
识别和身份验证 IA-5 验证器管理 审核未将密码文件权限设为 0644 的 Linux 计算机 3.0.0
识别和身份验证 IA-5 验证器管理 审核具有不使用密码的帐户的 Linux 计算机 3.0.0
识别和身份验证 IA-5 验证器管理 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
识别和身份验证 IA-5(1) 验证器管理 |基于密码的身份验证 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
识别和身份验证 IA-5(1) 验证器管理 |基于密码的身份验证 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
识别和身份验证 IA-5(1) 验证器管理 |基于密码的身份验证 审核允许重用之前的 24 个密码的 Windows 计算机 2.0.0
识别和身份验证 IA-5(1) 验证器管理 |基于密码的身份验证 审核未将最长密码期限设为 70 天的 Windows 计算机 2.0.0
识别和身份验证 IA-5(1) 验证器管理 |基于密码的身份验证 审核未将最短密码期限设为 1 天的 Windows 计算机 2.0.0
识别和身份验证 IA-5(1) 验证器管理 |基于密码的身份验证 审核未启用密码复杂性设置的 Windows 计算机 2.0.0
识别和身份验证 IA-5(1) 验证器管理 |基于密码的身份验证 审核未将最短密码长度限制为 14 个字符的 Windows 计算机 2.0.0
识别和身份验证 IA-5(1) 验证器管理 |基于密码的身份验证 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
风险评估 RA-5 漏洞扫描 应在虚拟机上启用漏洞评估解决方案 3.0.0
风险评估 RA-5 漏洞扫描 应修复计算机上安全配置中的漏洞 3.0.0
风险评估 RA-5 漏洞扫描 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
系统和通信保护 SC-7 边界保护 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
系统和通信保护 SC-7 边界保护 应在与虚拟机关联的网络安全组上限制所有网络端口 3.0.0
系统和通信保护 SC-7(3) 边界保护 | 接入点 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
系统和通信保护 SC-7(4) 边界保护 | 外部电信服务 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
系统和通信保护 SC-8(1) 传输保密性和完整性 | 加密或备用物理保护 应将 Windows Web 服务器配置为使用安全通信协议 4.0.0
系统和通信保护 SC-28 保护静态信息 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 2.0.3
系统和信息完整性 SI-2 缺陷修正 应在虚拟机规模集上安装系统更新 3.0.0
系统和信息完整性 SI-2 缺陷修正 应在计算机上安装系统更新 4.0.0
系统和信息完整性 SI-2 缺陷修正 应修复计算机上安全配置中的漏洞 3.0.0
系统和信息完整性 SI-2 缺陷修正 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
系统和信息完整性 SI-3 恶意代码防护 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
系统和信息完整性 SI-3 恶意代码防护 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
系统和信息完整性 SI-3(1) 恶意代码防护 | 集中管理 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
系统和信息完整性 SI-3(1) 恶意代码防护 | 集中管理 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
系统和信息完整性 SI-4 信息系统监视 [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1-preview
系统和信息完整性 SI-4 信息系统监视 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1
系统和信息完整性 SI-4 信息系统监视 虚拟机应连接到指定的工作区 1.1.0

CIS Microsoft Azure 基础基准检验 1.1.0

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - CIS Microsoft Azure 基础基准 1.1.0。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
安全中心 CIS Microsoft Azure 基础基准建议 2.10 确保 ASC 默认策略设置“监视漏洞评估”不是处于“已禁用”状态 应在虚拟机上启用漏洞评估解决方案 3.0.0
安全中心 CIS Microsoft Azure 基础基准建议 2.12 确保 ASC 默认策略设置“监视 JIT 网络访问”不是处于“已禁用”状态 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
安全中心 CIS Microsoft Azure 基础基准建议 2.13 确保 ASC 默认策略设置“监视自适应应用程序允许列表”不是处于“已禁用”状态 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
安全中心 CIS Microsoft Azure 基础基准建议 2.3 确保 ASC 默认策略设置“监视系统更新”不是处于“已禁用”状态 应在计算机上安装系统更新 4.0.0
安全中心 CIS Microsoft Azure 基础基准建议 2.4 确保 ASC 默认策略设置“监视 OS 漏洞”不是处于“已禁用”状态 应修复计算机上安全配置中的漏洞 3.0.0
安全中心 CIS Microsoft Azure 基础基准建议 2.5 确保 ASC 默认策略设置“监视 Endpoint Protection”不是处于“已禁用”状态 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
安全中心 CIS Microsoft Azure 基础基准建议 2.6 确保 ASC 默认策略设置“监视磁盘加密”不是处于“已禁用”状态 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 2.0.3
安全中心 CIS Microsoft Azure 基础基准建议 2.7 确保 ASC 默认策略设置“监视网络安全组”不是处于“已禁用”状态 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
安全中心 CIS Microsoft Azure 基础基准建议 2.9 确保 ASC 默认策略设置“启用下一代防火墙(NGFW)监视”不是处于“已禁用”状态 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
虚拟机 CIS Microsoft Azure 基础基准建议 7.1 确保“OS 磁盘”已加密 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 2.0.3
虚拟机 CIS Microsoft Azure 基础基准建议 7.2 确保“数据磁盘”已加密 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 2.0.3
虚拟机 CIS Microsoft Azure 基础基准建议 7.4 确保仅安装已批准的扩展 应当仅安装已批准的 VM 扩展 1.0.0
虚拟机 CIS Microsoft Azure 基础基准建议 7.5 确保已应用适用于所有虚拟机的最新 OS 修补程序 应在计算机上安装系统更新 4.0.0
虚拟机 CIS Microsoft Azure 基础基准建议 7.6 确保已安装适用于所有虚拟机的 Endpoint Protection 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0

CIS Microsoft Azure 基础基准检验 1.3.0

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - CIS Microsoft Azure 基础基准 1.3.0。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
5 日志记录和监视 CIS Microsoft Azure 基础基准建议 5.3 确保已为所有支持诊断日志的服务启用了诊断日志。 应启用虚拟机规模集中的资源日志 2.1.0
7 虚拟机 CIS Microsoft Azure 基础基准建议 7.1 确保虚拟机使用托管磁盘 审核未使用托管磁盘的 VM 1.0.0
7 虚拟机 CIS Microsoft Azure 基础基准建议 7.2 确保“OS 和数据”磁盘已通过 CMK 进行加密 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 2.0.3
7 虚拟机 CIS Microsoft Azure 基础基准建议 7.4 确保仅安装已批准的扩展 应当仅安装已批准的 VM 扩展 1.0.0
7 虚拟机 CIS Microsoft Azure 基础基准建议 7.5 确保已应用适用于所有虚拟机的最新 OS 修补程序 应在计算机上安装系统更新 4.0.0
7 虚拟机 CIS Microsoft Azure 基础基准建议 7.6 确保已安装适用于所有虚拟机的 Endpoint Protection 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0

CMMC 级别 3

若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - CMMC 级别 3。 有关此合规性标准的详细信息,请参阅网络安全成熟度模型认证 (CMMC)

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 AC.1.001 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
访问控制 AC.1.001 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
访问控制 AC.1.001 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 3.0.0
访问控制 AC.1.001 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
访问控制 AC.1.001 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
访问控制 AC.1.001 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 Windows 计算机应符合“安全选项 - 网络访问”的要求 3.0.0
访问控制 AC.1.001 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 Windows 计算机应符合“安全选项 - 网络安全”的要求 3.0.0
访问控制 AC.1.002 仅限授权用户有权执行的事务和函数类型访问信息系统。 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 3.0.0
访问控制 AC.1.002 仅限授权用户有权执行的事务和函数类型访问信息系统。 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
访问控制 AC.1.002 仅限授权用户有权执行的事务和函数类型访问信息系统。 Windows 计算机应符合“安全选项 - 网络访问”的要求 3.0.0
访问控制 AC.1.002 仅限授权用户有权执行的事务和函数类型访问信息系统。 应将 Windows Web 服务器配置为使用安全通信协议 4.0.0
访问控制 AC.1.003 验证和控制/限制外部信息系统的连接和使用。 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
访问控制 AC.1.003 验证和控制/限制外部信息系统的连接和使用。 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
访问控制 AC.2.007 对特定安全功能和特权帐户等内容采用最小特权原则。 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
访问控制 AC.2.008 访问非安全性函数时使用非特权帐户或角色。 Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 3.0.0
访问控制 AC.2.008 访问非安全性函数时使用非特权帐户或角色。 Windows 计算机应符合“用户权限分配”的要求 3.0.0
访问控制 AC.2.013 监视和控制远程访问会话。 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
访问控制 AC.2.013 监视和控制远程访问会话。 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
访问控制 AC.2.013 监视和控制远程访问会话。 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 3.0.0
访问控制 AC.2.013 监视和控制远程访问会话。 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
访问控制 AC.2.013 监视和控制远程访问会话。 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
访问控制 AC.2.013 监视和控制远程访问会话。 Windows 计算机应符合“安全选项 - 网络安全”的要求 3.0.0
访问控制 AC.2.016 根据批准的授权控制 CUI 流。 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
访问控制 AC.2.016 根据批准的授权控制 CUI 流。 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
访问控制 AC.2.016 根据批准的授权控制 CUI 流。 Windows 计算机应符合“安全选项 - 网络访问”的要求 3.0.0
访问控制 AC.3.017 区分个体的责任,减少无串谋的恶意活动的风险。 审核缺少管理员组中任何指定成员的 Windows 计算机 2.0.0
访问控制 AC.3.017 区分个体的责任,减少无串谋的恶意活动的风险。 审核具有管理员组中指定成员的 Windows 计算机 2.0.0
访问控制 AC.3.018 阻止非特权用户执行特权函数,并在审核日志中捕获此类函数的执行情况。 Windows 计算机应符合“系统审核策略 - 特权使用”的要求 3.0.0
访问控制 AC.3.021 授权远程执行特权命令和远程访问安全相关信息。 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
访问控制 AC.3.021 授权远程执行特权命令和远程访问安全相关信息。 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
访问控制 AC.3.021 授权远程执行特权命令和远程访问安全相关信息。 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
访问控制 AC.3.021 授权远程执行特权命令和远程访问安全相关信息。 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
访问控制 AC.3.021 授权远程执行特权命令和远程访问安全相关信息。 应在计算机上安装来宾配置扩展 1.0.2
访问控制 AC.3.021 授权远程执行特权命令和远程访问安全相关信息。 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 1.0.1
访问控制 AC.3.021 授权远程执行特权命令和远程访问安全相关信息。 Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 3.0.0
访问控制 AC.3.021 授权远程执行特权命令和远程访问安全相关信息。 Windows 计算机应符合“用户权限分配”的要求 3.0.0
审核和责任 AU.2.041 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1-preview
审核和责任 AU.2.041 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1
审核和责任 AU.2.041 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 应在虚拟机规模集上安装 Log Analytics 扩展 1.0.1
审核和责任 AU.2.041 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 虚拟机应连接到指定的工作区 1.1.0
审核和责任 AU.2.041 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 虚拟机应安装 Log Analytics 扩展 1.0.1
审核和责任 AU.2.042 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1-preview
审核和责任 AU.2.042 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1
审核和责任 AU.2.042 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 应在虚拟机规模集上安装 Log Analytics 扩展 1.0.1
审核和责任 AU.2.042 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 虚拟机应连接到指定的工作区 1.1.0
审核和责任 AU.2.042 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 虚拟机应安装 Log Analytics 扩展 1.0.1
审核和责任 AU.3.046 审核日志记录过程失败时发出警报。 [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1-preview
审核和责任 AU.3.046 审核日志记录过程失败时发出警报。 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1
审核和责任 AU.3.046 审核日志记录过程失败时发出警报。 虚拟机应连接到指定的工作区 1.1.0
审核和责任 AU.3.048 将审核信息(例如日志)集中收集到一个或多个存储库中。 [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1-preview
审核和责任 AU.3.048 将审核信息(例如日志)集中收集到一个或多个存储库中。 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1
审核和责任 AU.3.048 将审核信息(例如日志)集中收集到一个或多个存储库中。 应在虚拟机规模集上安装 Log Analytics 扩展 1.0.1
审核和责任 AU.3.048 将审核信息(例如日志)集中收集到一个或多个存储库中。 虚拟机应连接到指定的工作区 1.1.0
审核和责任 AU.3.048 将审核信息(例如日志)集中收集到一个或多个存储库中。 虚拟机应安装 Log Analytics 扩展 1.0.1
安全评估 CA.2.158 定期评估组织系统中的安全控制措施,以确定这些措施在其应用中是否有效。 应在虚拟机上启用漏洞评估解决方案 3.0.0
安全评估 CA.2.158 定期评估组织系统中的安全控制措施,以确定这些措施在其应用中是否有效。 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
安全评估 CA.2.158 定期评估组织系统中的安全控制措施,以确定这些措施在其应用中是否有效。 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
安全评估 CA.2.158 定期评估组织系统中的安全控制措施,以确定这些措施在其应用中是否有效。 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
安全评估 CA.2.158 定期评估组织系统中的安全控制措施,以确定这些措施在其应用中是否有效。 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
安全评估 CA.3.161 持续监视安全控制措施,确保措施持续有效。 应在虚拟机上启用漏洞评估解决方案 3.0.0
安全评估 CA.3.161 持续监视安全控制措施,确保措施持续有效。 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
安全评估 CA.3.161 持续监视安全控制措施,确保措施持续有效。 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
安全评估 CA.3.161 持续监视安全控制措施,确保措施持续有效。 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
安全评估 CA.3.161 持续监视安全控制措施,确保措施持续有效。 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
配置管理 CM.2.061 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
配置管理 CM.2.061 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 Linux 计算机应符合 Azure 计算安全基线的要求 2.0.0
配置管理 CM.2.062 采用最少功能原则,将组织系统配置为仅提供基本功能。 Windows 计算机应符合“系统审核策略 - 特权使用”的要求 3.0.0
配置管理 CM.2.063 控制和监视用户安装的软件。 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
配置管理 CM.2.063 控制和监视用户安装的软件。 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
配置管理 CM.2.063 控制和监视用户安装的软件。 Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 3.0.0
配置管理 CM.2.064 为组织系统中使用的信息技术产品建立和实施安全配置设置。 应限制在与虚拟机关联的网络安全组上使用所有网络端口 3.0.0
配置管理 CM.2.064 为组织系统中使用的信息技术产品建立和实施安全配置设置。 Windows 计算机应符合“安全选项 - 网络安全”的要求 3.0.0
配置管理 CM.2.065 跟踪、评审、批准/拒绝并记录对组织系统的更改。 Windows 计算机应符合“系统审核策略 - 策略更改”的要求 3.0.0
配置管理 CM.3.068 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
配置管理 CM.3.068 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
配置管理 CM.3.068 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 应限制在与虚拟机关联的网络安全组上使用所有网络端口 3.0.0
配置管理 CM.3.068 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
配置管理 CM.3.068 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
配置管理 CM.3.068 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
配置管理 CM.3.068 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 应使用网络安全组来保护非面向 Internet 的虚拟机 3.0.0
配置管理 CM.3.069 应用 deny-by-exception(阻止列表)策略来防止使用未经授权的软件,或应用 deny-all 和 permit-by-exception(允许列表)策略来允许执行授权的软件。 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
识别和身份验证 IA.1.077 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
识别和身份验证 IA.1.077 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
识别和身份验证 IA.1.077 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 审核未将密码文件权限设为 0644 的 Linux 计算机 3.0.0
识别和身份验证 IA.1.077 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 审核具有不使用密码的帐户的 Linux 计算机 3.0.0
识别和身份验证 IA.1.077 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
识别和身份验证 IA.1.077 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 Windows 计算机应符合“安全选项 - 网络安全”的要求 3.0.0
识别和身份验证 IA.2.078 在创建新密码时强制要求最低密码复杂性和字符更改。 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
识别和身份验证 IA.2.078 在创建新密码时强制要求最低密码复杂性和字符更改。 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
识别和身份验证 IA.2.078 在创建新密码时强制要求最低密码复杂性和字符更改。 审核具有不使用密码的帐户的 Linux 计算机 3.0.0
识别和身份验证 IA.2.078 在创建新密码时强制要求最低密码复杂性和字符更改。 审核未启用密码复杂性设置的 Windows 计算机 2.0.0
识别和身份验证 IA.2.078 在创建新密码时强制要求最低密码复杂性和字符更改。 审核未将最短密码长度限制为 14 个字符的 Windows 计算机 2.0.0
识别和身份验证 IA.2.078 在创建新密码时强制要求最低密码复杂性和字符更改。 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
识别和身份验证 IA.2.078 在创建新密码时强制要求最低密码复杂性和字符更改。 Windows 计算机应符合“安全选项 - 网络安全”的要求 3.0.0
识别和身份验证 IA.2.079 禁止对指定数量的生成操作重复使用密码。 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
识别和身份验证 IA.2.079 禁止对指定数量的生成操作重复使用密码。 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
识别和身份验证 IA.2.079 禁止对指定数量的生成操作重复使用密码。 审核允许重用之前的 24 个密码的 Windows 计算机 2.0.0
识别和身份验证 IA.2.079 禁止对指定数量的生成操作重复使用密码。 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
识别和身份验证 IA.2.079 禁止对指定数量的生成操作重复使用密码。 Windows 计算机应符合“安全选项 - 网络安全”的要求 3.0.0
识别和身份验证 IA.2.081 仅存储和传输受加密保护的密码。 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
识别和身份验证 IA.2.081 仅存储和传输受加密保护的密码。 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
识别和身份验证 IA.2.081 仅存储和传输受加密保护的密码。 审核未存储使用可逆加密的密码的 Windows 计算机 2.0.0
识别和身份验证 IA.2.081 仅存储和传输受加密保护的密码。 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
识别和身份验证 IA.2.081 仅存储和传输受加密保护的密码。 Windows 计算机应符合“安全选项 - 网络安全”的要求 3.0.0
识别和身份验证 IA.3.084 针对到特权帐户和非特权帐户的网络访问采用防重播身份验证机制。 应将 Windows Web 服务器配置为使用安全通信协议 4.0.0
事件响应 IR.2.093 检测和报告事件。 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
恢复 RE.2.137 定期执行和测试数据备份。 审核未配置灾难恢复的虚拟机 1.0.0
恢复 RE.2.137 定期执行和测试数据备份。 应为虚拟机启用 Azure 备份 3.0.0
恢复 RE.3.139 根据组织规定定期执行完整、全面且可复原的数据备份。 审核未配置灾难恢复的虚拟机 1.0.0
恢复 RE.3.139 根据组织规定定期执行完整、全面且可复原的数据备份。 应为虚拟机启用 Azure 备份 3.0.0
风险评估 RM.2.141 定期评估组织操作(包括任务、功能、映像或信誉)、组织资产和个人因组织系统的操作和相关的 CUI 处理、存储或传输而产生的风险。 应在虚拟机上启用漏洞评估解决方案 3.0.0
风险评估 RM.2.142 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 应在虚拟机上启用漏洞评估解决方案 3.0.0
风险评估 RM.2.143 根据风险评估修正漏洞。 应在虚拟机上启用漏洞评估解决方案 3.0.0
风险评估 RM.2.143 根据风险评估修正漏洞。 应修正容器安全配置中的漏洞 3.0.0
风险评估 RM.2.143 根据风险评估修正漏洞。 应修复计算机上安全配置中的漏洞 3.0.0
风险评估 RM.2.143 根据风险评估修正漏洞。 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
系统和通信保护 SC.1.175 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
系统和通信保护 SC.1.175 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 应在与虚拟机关联的网络安全组上限制所有网络端口 3.0.0
系统和通信保护 SC.1.175 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
系统和通信保护 SC.1.175 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
系统和通信保护 SC.1.175 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 应使用网络安全组来保护非面向 Internet 的虚拟机 3.0.0
系统和通信保护 SC.1.175 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 Windows 计算机应符合“安全选项 - 网络访问”的要求 3.0.0
系统和通信保护 SC.1.175 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 Windows 计算机应符合“安全选项 - 网络安全”的要求 3.0.0
系统和通信保护 SC.1.175 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 应将 Windows Web 服务器配置为使用安全通信协议 4.0.0
系统和通信保护 SC.1.176 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
系统和通信保护 SC.1.176 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 应在与虚拟机关联的网络安全组上限制所有网络端口 3.0.0
系统和通信保护 SC.1.176 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
系统和通信保护 SC.2.179 使用加密会话管理网络设备。 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
系统和通信保护 SC.3.177 采用经 FIPS 验证的加密系统来保护 CUI 的机密性。 审核未存储使用可逆加密的密码的 Windows 计算机 2.0.0
系统和通信保护 SC.3.177 采用经 FIPS 验证的加密模块来保护 CUI 的机密性。 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 2.0.3
系统和通信保护 SC.3.181 将用户功能与系统管理功能分开。 审核具有管理员组中指定成员的 Windows 计算机 2.0.0
系统和通信保护 SC.3.183 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
系统和通信保护 SC.3.183 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 应限制在与虚拟机关联的网络安全组上使用所有网络端口 3.0.0
系统和通信保护 SC.3.183 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
系统和通信保护 SC.3.183 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
系统和通信保护 SC.3.183 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 应使用网络安全组来保护非面向 Internet 的虚拟机 3.0.0
系统和通信保护 SC.3.183 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 Windows 计算机应符合“安全选项 - 网络访问”的要求 3.0.0
系统和通信保护 SC.3.183 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 Windows 计算机应符合“安全选项 - 网络安全”的要求 3.0.0
系统和通信保护 SC.3.185 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 应将 Windows Web 服务器配置为使用安全通信协议 4.0.0
系统和通信保护 SC.3.190 保护通信会话的真实性。 应将 Windows Web 服务器配置为使用安全通信协议 4.0.0
系统和通信保护 SC.3.191 保护静态 CUI 的机密性。 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 2.0.3
系统和信息完整性 SI.1.210 及时识别、报告和更正信息及信息系统缺陷。 Microsoft Antimalware for Azure 应配置为自动更新保护签名 1.0.0
系统和信息完整性 SI.1.210 及时识别、报告和更正信息及信息系统缺陷。 应在虚拟机规模集上安装系统更新 3.0.0
系统和信息完整性 SI.1.210 及时识别、报告和更正信息及信息系统缺陷。 应在计算机上安装系统更新 4.0.0
系统和信息完整性 SI.1.210 及时识别、报告和更正信息及信息系统缺陷。 应修复计算机上安全配置中的漏洞 3.0.0
系统和信息完整性 SI.1.210 及时识别、报告和更正信息及信息系统缺陷。 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
系统和信息完整性 SI.1.211 在组织信息系统的适当位置提供针对恶意代码的防护。 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
系统和信息完整性 SI.1.211 在组织信息系统的适当位置提供针对恶意代码的防护。 Microsoft Antimalware for Azure 应配置为自动更新保护签名 1.0.0
系统和信息完整性 SI.1.211 在组织信息系统的适当位置提供针对恶意代码的防护。 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 1.1.0
系统和信息完整性 SI.1.211 在组织信息系统的适当位置提供针对恶意代码的防护。 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
系统和信息完整性 SI.1.212 在有新版本可用时更新恶意代码防护机制。 Microsoft Antimalware for Azure 应配置为自动更新保护签名 1.0.0
系统和信息完整性 SI.1.213 在下载、打开或执行文件时,对信息系统执行定期扫描,并对来自外部源的文件进行实时扫描。 Microsoft Antimalware for Azure 应配置为自动更新保护签名 1.0.0
系统和信息完整性 SI.1.213 在下载、打开或执行文件时,对信息系统执行定期扫描,并对来自外部源的文件进行实时扫描。 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 1.1.0
系统和信息完整性 SI.1.213 在下载、打开或执行文件时,对信息系统执行定期扫描,并对来自外部源的文件进行实时扫描。 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0

FedRAMP 高

若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP High。 有关此合规性标准的详细信息,请参阅 FedRAMP High

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 AC-2 (12) 帐户监视/异常使用 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
访问控制 AC-3 执法机构 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
访问控制 AC-3 执法机构 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
访问控制 AC-3 执法机构 审核具有不使用密码的帐户的 Linux 计算机 3.0.0
访问控制 AC-3 执法机构 对 Linux 虚拟机进行身份验证需要 SSH 密钥 3.0.0
访问控制 AC-3 执法机构 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
访问控制 AC-3 执法机构 应将虚拟机迁移到新的 Azure 资源管理器资源 1.0.0
访问控制 AC-4 信息流强制 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
访问控制 AC-4 信息流强制 应限制在与虚拟机关联的网络安全组上使用所有网络端口 3.0.0
访问控制 AC-4 信息流强制 磁盘访问资源应使用专用链接 1.0.0
访问控制 AC-4 信息流强制 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
访问控制 AC-4 信息流强制 应禁用虚拟机上的 IP 转发 3.0.0
访问控制 AC-4 信息流强制 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
访问控制 AC-4 信息流强制 应关闭虚拟机上的管理端口 3.0.0
访问控制 AC-4 信息流强制 应使用网络安全组来保护非面向 Internet 的虚拟机 3.0.0
访问控制 AC-17 远程访问 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
访问控制 AC-17 远程访问 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
访问控制 AC-17 远程访问 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 3.0.0
访问控制 AC-17 远程访问 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
访问控制 AC-17 远程访问 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
访问控制 AC-17 远程访问 磁盘访问资源应使用专用链接 1.0.0
访问控制 AC-17 (1) 自动化监视/控制 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
访问控制 AC-17 (1) 自动化监视/控制 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
访问控制 AC-17 (1) 自动化监视/控制 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 3.0.0
访问控制 AC-17 (1) 自动化监视/控制 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
访问控制 AC-17 (1) 自动化监视/控制 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
访问控制 AC-17 (1) 自动化监视/控制 磁盘访问资源应使用专用链接 1.0.0
审核和责任 AU-6 审核评审、分析和报告 [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-6 审核评审、分析和报告 [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-6 (4) 集中评审和分析 [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-6 (4) 集中评审和分析 [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-6 (4) 集中评审和分析 应在计算机上安装来宾配置扩展 1.0.2
审核和责任 AU-6 (4) 集中评审和分析 Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 1.0.0
审核和责任 AU-6 (4) 集中评审和分析 Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 1.0.0
审核和责任 AU-6 (4) 集中评审和分析 应启用虚拟机规模集中的资源日志 2.1.0
审核和责任 AU-6 (4) 集中评审和分析 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 1.0.1
审核和责任 AU-6 (5) 集成/扫描和监视功能 [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-6 (5) 集成/扫描和监视功能 [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-6 (5) 集成/扫描和监视功能 应在计算机上安装来宾配置扩展 1.0.2
审核和责任 AU-6 (5) 集成/扫描和监视功能 Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 1.0.0
审核和责任 AU-6 (5) 集成/扫描和监视功能 Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 1.0.0
审核和责任 AU-6 (5) 集成/扫描和监视功能 应启用虚拟机规模集中的资源日志 2.1.0
审核和责任 AU-6 (5) 集成/扫描和监视功能 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 1.0.1
审核和责任 AU-12 审核生成 [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-12 审核生成 [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-12 审核生成 应在计算机上安装来宾配置扩展 1.0.2
审核和责任 AU-12 审核生成 Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 1.0.0
审核和责任 AU-12 审核生成 Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 1.0.0
审核和责任 AU-12 审核生成 应启用虚拟机规模集中的资源日志 2.1.0
审核和责任 AU-12 审核生成 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 1.0.1
审核和责任 AU-12 (1) 系统范围/时间相关的审核线索 [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-12 (1) 系统范围/时间相关的审核线索 [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-12 (1) 系统范围/时间相关的审核线索 应在计算机上安装来宾配置扩展 1.0.2
审核和责任 AU-12 (1) 系统范围/时间相关的审核线索 Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 1.0.0
审核和责任 AU-12 (1) 系统范围/时间相关的审核线索 Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 1.0.0
审核和责任 AU-12 (1) 系统范围/时间相关的审核线索 应启用虚拟机规模集中的资源日志 2.1.0
审核和责任 AU-12 (1) 系统范围/时间相关的审核线索 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 1.0.1
配置管理 CM-6 配置设置 Linux 计算机应符合 Azure 计算安全基线的要求 2.0.0
配置管理 CM-6 配置设置 Windows 计算机应符合 Azure 计算安全基线的要求 2.0.0
配置管理 CM-7 最少的功能 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
配置管理 CM-7 最少的功能 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
配置管理 CM-7 (2) 阻止程序执行 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
配置管理 CM-7 (2) 阻止程序执行 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
配置管理 CM-7 (5) 授权软件/允许列表 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
配置管理 CM-7 (5) 授权软件/允许列表 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
配置管理 CM-10 软件使用限制 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
配置管理 CM-10 软件使用限制 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
配置管理 CM-11 用户安装的软件 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
配置管理 CM-11 用户安装的软件 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
应变规划 CP-7 备用处理站点 审核未配置灾难恢复的虚拟机 1.0.0
应变规划 CP-9 信息系统备份 应为虚拟机启用 Azure 备份 3.0.0
识别和身份验证 IA-5 验证器管理 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
识别和身份验证 IA-5 验证器管理 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
识别和身份验证 IA-5 验证器管理 审核未将密码文件权限设为 0644 的 Linux 计算机 3.0.0
识别和身份验证 IA-5 验证器管理 审核未存储使用可逆加密的密码的 Windows 计算机 2.0.0
识别和身份验证 IA-5 验证器管理 对 Linux 虚拟机进行身份验证需要 SSH 密钥 3.0.0
识别和身份验证 IA-5 验证器管理 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
识别和身份验证 IA-5 验证器管理 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 审核未将密码文件权限设为 0644 的 Linux 计算机 3.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 审核允许重用之前的 24 个密码的 Windows 计算机 2.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 审核未将最长密码期限设为 70 天的 Windows 计算机 2.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 审核未将最短密码期限设为 1 天的 Windows 计算机 2.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 审核未启用密码复杂性设置的 Windows 计算机 2.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 审核未将最短密码长度限制为 14 个字符的 Windows 计算机 2.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 审核未存储使用可逆加密的密码的 Windows 计算机 2.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
风险评估 RA-5 漏洞扫描 应在虚拟机上启用漏洞评估解决方案 3.0.0
风险评估 RA-5 漏洞扫描 计算机上的 SQL 服务器应已解决漏洞发现 1.0.0
风险评估 RA-5 漏洞扫描 应修正容器安全配置中的漏洞 3.0.0
风险评估 RA-5 漏洞扫描 应修复计算机上安全配置中的漏洞 3.0.0
风险评估 RA-5 漏洞扫描 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
系统和通信保护 SC-3 安全功能隔离 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
系统和通信保护 SC-3 安全功能隔离 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
系统和通信保护 SC-3 安全功能隔离 应在计算机上启用 Windows Defender 攻击防护 2.0.0
系统和通信保护 SC-5 拒绝服务保护 应禁用虚拟机上的 IP 转发 3.0.0
系统和通信保护 SC-7 边界保护 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
系统和通信保护 SC-7 边界保护 应在与虚拟机关联的网络安全组上限制所有网络端口 3.0.0
系统和通信保护 SC-7 边界保护 磁盘访问资源应使用专用链接 1.0.0
系统和通信保护 SC-7 边界保护 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
系统和通信保护 SC-7 边界保护 应禁用虚拟机上的 IP 转发 3.0.0
系统和通信保护 SC-7 边界保护 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
系统和通信保护 SC-7 边界保护 应关闭虚拟机上的管理端口 3.0.0
系统和通信保护 SC-7 边界保护 应使用网络安全组来保护非面向 Internet 的虚拟机 3.0.0
系统和通信保护 SC-7 (3) 接入点 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
系统和通信保护 SC-7 (3) 接入点 应限制在与虚拟机关联的网络安全组上使用所有网络端口 3.0.0
系统和通信保护 SC-7 (3) 接入点 磁盘访问资源应使用专用链接 1.0.0
系统和通信保护 SC-7 (3) 接入点 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
系统和通信保护 SC-7 (3) 接入点 应禁用虚拟机上的 IP 转发 3.0.0
系统和通信保护 SC-7 (3) 接入点 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
系统和通信保护 SC-7 (3) 接入点 应关闭虚拟机上的管理端口 3.0.0
系统和通信保护 SC-7 (3) 接入点 应使用网络安全组来保护非面向 Internet 的虚拟机 3.0.0
系统和通信保护 SC-8 传输保密性和完整性 应将 Windows Web 服务器配置为使用安全通信协议 4.0.0
系统和通信保护 SC-8 (1) 加密或备用物理保护 应将 Windows Web 服务器配置为使用安全通信协议 4.0.0
系统和通信保护 SC-12 加密密钥建立和管理 应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘 1.0.0
系统和通信保护 SC-12 加密密钥建立和管理 应使用客户管理的密钥来加密 OS 和数据磁盘 3.0.0
系统和通信保护 SC-28 保护静态信息 虚拟机和虚拟机规模集应启用主机中加密 1.0.0
系统和通信保护 SC-28 保护静态信息 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 2.0.3
系统和通信保护 SC-28 (1) 加密保护 虚拟机和虚拟机规模集应启用主机中加密 1.0.0
系统和通信保护 SC-28 (1) 加密保护 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 2.0.3
系统和信息完整性 SI-2 缺陷修正 应在虚拟机上启用漏洞评估解决方案 3.0.0
系统和信息完整性 SI-2 缺陷修正 应在虚拟机规模集上安装系统更新 3.0.0
系统和信息完整性 SI-2 缺陷修正 应在计算机上安装系统更新 4.0.0
系统和信息完整性 SI-2 缺陷修正 应修复计算机上安全配置中的漏洞 3.0.0
系统和信息完整性 SI-2 缺陷修正 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
系统和信息完整性 SI-3 恶意代码防护 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
系统和信息完整性 SI-3 恶意代码防护 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
系统和信息完整性 SI-3 恶意代码防护 应在计算机上启用 Windows Defender 攻击防护 2.0.0
系统和信息完整性 SI-3 (1) 中央管理 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
系统和信息完整性 SI-3 (1) 中央管理 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
系统和信息完整性 SI-3 (1) 中央管理 应在计算机上启用 Windows Defender 攻击防护 2.0.0
系统和信息完整性 SI-4 信息系统监视 [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 1.0.2-preview
系统和信息完整性 SI-4 信息系统监视 [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 1.0.2-preview
系统和信息完整性 SI-4 信息系统监视 应在计算机上安装来宾配置扩展 1.0.2
系统和信息完整性 SI-4 信息系统监视 Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 1.0.0
系统和信息完整性 SI-4 信息系统监视 Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 1.0.0
系统和信息完整性 SI-4 信息系统监视 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 1.0.1
系统和信息完整性 SI-16 内存保护 应在计算机上启用 Windows Defender 攻击防护 2.0.0

FedRAMP 中等

若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP Moderate。 有关此合规性标准的详细信息,请参阅 FedRAMP Moderate

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 AC-2 (12) 帐户监视/异常使用 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
访问控制 AC-3 执法机构 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
访问控制 AC-3 执法机构 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
访问控制 AC-3 执法机构 审核具有不使用密码的帐户的 Linux 计算机 3.0.0
访问控制 AC-3 执法机构 对 Linux 虚拟机进行身份验证需要 SSH 密钥 3.0.0
访问控制 AC-3 执法机构 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
访问控制 AC-3 执法机构 应将虚拟机迁移到新的 Azure 资源管理器资源 1.0.0
访问控制 AC-4 信息流强制 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
访问控制 AC-4 信息流强制 应限制在与虚拟机关联的网络安全组上使用所有网络端口 3.0.0
访问控制 AC-4 信息流强制 磁盘访问资源应使用专用链接 1.0.0
访问控制 AC-4 信息流强制 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
访问控制 AC-4 信息流强制 应禁用虚拟机上的 IP 转发 3.0.0
访问控制 AC-4 信息流强制 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
访问控制 AC-4 信息流强制 应关闭虚拟机上的管理端口 3.0.0
访问控制 AC-4 信息流强制 应使用网络安全组来保护非面向 Internet 的虚拟机 3.0.0
访问控制 AC-17 远程访问 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
访问控制 AC-17 远程访问 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
访问控制 AC-17 远程访问 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 3.0.0
访问控制 AC-17 远程访问 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
访问控制 AC-17 远程访问 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
访问控制 AC-17 远程访问 磁盘访问资源应使用专用链接 1.0.0
访问控制 AC-17 (1) 自动化监视/控制 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
访问控制 AC-17 (1) 自动化监视/控制 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
访问控制 AC-17 (1) 自动化监视/控制 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 3.0.0
访问控制 AC-17 (1) 自动化监视/控制 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
访问控制 AC-17 (1) 自动化监视/控制 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
访问控制 AC-17 (1) 自动化监视/控制 磁盘访问资源应使用专用链接 1.0.0
审核和责任 AU-6 审核评审、分析和报告 [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-6 审核评审、分析和报告 [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-12 审核生成 [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-12 审核生成 [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-12 审核生成 应在计算机上安装来宾配置扩展 1.0.2
审核和责任 AU-12 审核生成 Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 1.0.0
审核和责任 AU-12 审核生成 Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 1.0.0
审核和责任 AU-12 审核生成 应启用虚拟机规模集中的资源日志 2.1.0
审核和责任 AU-12 审核生成 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 1.0.1
配置管理 CM-6 配置设置 Linux 计算机应符合 Azure 计算安全基线的要求 2.0.0
配置管理 CM-6 配置设置 Windows 计算机应符合 Azure 计算安全基线的要求 2.0.0
配置管理 CM-7 最少的功能 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
配置管理 CM-7 最少的功能 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
配置管理 CM-7 (2) 阻止程序执行 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
配置管理 CM-7 (2) 阻止程序执行 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
配置管理 CM-7 (5) 授权软件/允许列表 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
配置管理 CM-7 (5) 授权软件/允许列表 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
配置管理 CM-10 软件使用限制 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
配置管理 CM-10 软件使用限制 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
配置管理 CM-11 用户安装的软件 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
配置管理 CM-11 用户安装的软件 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
应变规划 CP-7 备用处理站点 审核未配置灾难恢复的虚拟机 1.0.0
应变规划 CP-9 信息系统备份 应为虚拟机启用 Azure 备份 3.0.0
识别和身份验证 IA-5 验证器管理 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
识别和身份验证 IA-5 验证器管理 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
识别和身份验证 IA-5 验证器管理 审核未将密码文件权限设为 0644 的 Linux 计算机 3.0.0
识别和身份验证 IA-5 验证器管理 审核未存储使用可逆加密的密码的 Windows 计算机 2.0.0
识别和身份验证 IA-5 验证器管理 对 Linux 虚拟机进行身份验证需要 SSH 密钥 3.0.0
识别和身份验证 IA-5 验证器管理 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
识别和身份验证 IA-5 验证器管理 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 审核未将密码文件权限设为 0644 的 Linux 计算机 3.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 审核允许重用之前的 24 个密码的 Windows 计算机 2.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 审核未将最长密码期限设为 70 天的 Windows 计算机 2.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 审核未将最短密码期限设为 1 天的 Windows 计算机 2.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 审核未启用密码复杂性设置的 Windows 计算机 2.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 审核未将最短密码长度限制为 14 个字符的 Windows 计算机 2.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 审核未存储使用可逆加密的密码的 Windows 计算机 2.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
风险评估 RA-5 漏洞扫描 应在虚拟机上启用漏洞评估解决方案 3.0.0
风险评估 RA-5 漏洞扫描 计算机上的 SQL 服务器应已解决漏洞发现 1.0.0
风险评估 RA-5 漏洞扫描 应修正容器安全配置中的漏洞 3.0.0
风险评估 RA-5 漏洞扫描 应修复计算机上安全配置中的漏洞 3.0.0
风险评估 RA-5 漏洞扫描 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
系统和通信保护 SC-5 拒绝服务保护 应禁用虚拟机上的 IP 转发 3.0.0
系统和通信保护 SC-7 边界保护 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
系统和通信保护 SC-7 边界保护 应在与虚拟机关联的网络安全组上限制所有网络端口 3.0.0
系统和通信保护 SC-7 边界保护 磁盘访问资源应使用专用链接 1.0.0
系统和通信保护 SC-7 边界保护 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
系统和通信保护 SC-7 边界保护 应禁用虚拟机上的 IP 转发 3.0.0
系统和通信保护 SC-7 边界保护 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
系统和通信保护 SC-7 边界保护 应关闭虚拟机上的管理端口 3.0.0
系统和通信保护 SC-7 边界保护 应使用网络安全组来保护非面向 Internet 的虚拟机 3.0.0
系统和通信保护 SC-7 (3) 接入点 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
系统和通信保护 SC-7 (3) 接入点 应限制在与虚拟机关联的网络安全组上使用所有网络端口 3.0.0
系统和通信保护 SC-7 (3) 接入点 磁盘访问资源应使用专用链接 1.0.0
系统和通信保护 SC-7 (3) 接入点 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
系统和通信保护 SC-7 (3) 接入点 应禁用虚拟机上的 IP 转发 3.0.0
系统和通信保护 SC-7 (3) 接入点 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
系统和通信保护 SC-7 (3) 接入点 应关闭虚拟机上的管理端口 3.0.0
系统和通信保护 SC-7 (3) 接入点 应使用网络安全组来保护非面向 Internet 的虚拟机 3.0.0
系统和通信保护 SC-8 传输保密性和完整性 应将 Windows Web 服务器配置为使用安全通信协议 4.0.0
系统和通信保护 SC-8 (1) 加密或备用物理保护 应将 Windows Web 服务器配置为使用安全通信协议 4.0.0
系统和通信保护 SC-12 加密密钥建立和管理 应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘 1.0.0
系统和通信保护 SC-12 加密密钥建立和管理 应使用客户管理的密钥来加密 OS 和数据磁盘 3.0.0
系统和通信保护 SC-28 保护静态信息 虚拟机和虚拟机规模集应启用主机中加密 1.0.0
系统和通信保护 SC-28 保护静态信息 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 2.0.3
系统和通信保护 SC-28 (1) 加密保护 虚拟机和虚拟机规模集应启用主机中加密 1.0.0
系统和通信保护 SC-28 (1) 加密保护 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 2.0.3
系统和信息完整性 SI-2 缺陷修正 应在虚拟机上启用漏洞评估解决方案 3.0.0
系统和信息完整性 SI-2 缺陷修正 应在虚拟机规模集上安装系统更新 3.0.0
系统和信息完整性 SI-2 缺陷修正 应在计算机上安装系统更新 4.0.0
系统和信息完整性 SI-2 缺陷修正 应修复计算机上安全配置中的漏洞 3.0.0
系统和信息完整性 SI-2 缺陷修正 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
系统和信息完整性 SI-3 恶意代码防护 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
系统和信息完整性 SI-3 恶意代码防护 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
系统和信息完整性 SI-3 恶意代码防护 应在计算机上启用 Windows Defender 攻击防护 2.0.0
系统和信息完整性 SI-3 (1) 中央管理 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
系统和信息完整性 SI-3 (1) 中央管理 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
系统和信息完整性 SI-3 (1) 中央管理 应在计算机上启用 Windows Defender 攻击防护 2.0.0
系统和信息完整性 SI-4 信息系统监视 [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 1.0.2-preview
系统和信息完整性 SI-4 信息系统监视 [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 1.0.2-preview
系统和信息完整性 SI-4 信息系统监视 应在计算机上安装来宾配置扩展 1.0.2
系统和信息完整性 SI-4 信息系统监视 Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 1.0.0
系统和信息完整性 SI-4 信息系统监视 Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 1.0.0
系统和信息完整性 SI-4 信息系统监视 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 1.0.1
系统和信息完整性 SI-16 内存保护 应在计算机上启用 Windows Defender 攻击防护 2.0.0

HIPAA HITRUST 9.2

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - HIPAA HITRUST 9.2。 有关此合规性标准的详细信息,请参阅 HIPAA HITRUST 9.2

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
特权管理 11180.01c3System.6 - 01.c 在托管虚拟化系统的系统中,只有符合最小特权原则的人员才能访问管理功能或管理控制台,并通过技术控制得以实现。 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
特权管理 1143.01c1System.123 - 01.c 特权针对用户的功能角色(例如用户或管理员)根据使用需求和具体事件要求这一基础被正式授予和分配给用户并加以控制,它们针对每个系统产品/元素进行了记录。 应关闭虚拟机上的管理端口 3.0.0
特权管理 1148.01c2System.78 - 01.c 组织限制对特权功能及所有安全相关信息的访问。 Windows 计算机应符合“安全选项 - 帐户”的要求 3.0.0
特权管理 1150.01c2System.10 - 01.c 用于存储、处理或传输涵盖的信息的系统组件的访问控制系统设置为默认的“全部拒绝”设置。 应关闭虚拟机上的管理端口 3.0.0
外部连接用户身份验证 1119.01j2Organizational.3 - 01.j 检查网络设备是否存在意外的拨号功能。 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
外部连接用户身份验证 1175.01j1Organizational.8 - 01.j 只有在成功标识和身份验证之后,才能通过公用网络远程访问业务信息。 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
外部连接用户身份验证 1179.01j3Organizational.1 - 01.j 信息系统监视和控制远程访问方法。 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
远程诊断和配置端口保护 1192.01l1Organizational.1 - 01.l 对网络设备的访问受到物理保护。 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
远程诊断和配置端口保护 1193.01l2Organizational.13 - 01.l 对诊断和配置端口的访问控制包括使用密钥锁和实现支持过程来控制对端口的物理访问。 应关闭虚拟机上的管理端口 3.0.0
远程诊断和配置端口保护 1197.01l3Organizational.3 - 01.l 组织在信息系统中禁用被确定为不必要或不安全的蓝牙和对等网络协议。 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
网络隔离 0805.01m1Organizational.12 - 01.m 组织的安全网关(例如防火墙)强制执行安全策略,并配置为筛选域之间的流量、阻止未经授权的访问。它用于维护内部有线、内部无线和外部网络段(如 Internet,包括 DMZ)之间的隔离,并对每个域强制执行访问控制策略。 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
网络隔离 0806.01m2Organizational.12356 - 01.m 组织网络根据组织要求使用定义的安全外围和一组分级的控制以逻辑方式和物理方式进行分段,包括在逻辑上与内部网络分离的可公开访问的系统组件子网;流量控制基于所需的功能,而数据/系统的分类控制则基于风险评估及其各自的安全要求。 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
网络隔离 0894.01m2Organizational.7 - 01.m 将物理服务器、应用程序或数据迁移到虚拟化服务器时,网络会与生产级网络分离。 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
网络连接控制 0809.01n2Organizational.1234 - 01.n 通过每个网络访问点或外部电信服务托管接口的防火墙和其他网络相关限制,根据组织的访问控制策略来控制网络流量。 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
网络连接控制 0809.01n2Organizational.1234 - 01.n 通过每个网络访问点或外部电信服务托管接口的防火墙和其他网络相关限制,根据组织的访问控制策略来控制网络流量。 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
网络连接控制 0810.01n2Organizational.5 - 01.n 传输的信息是安全的,并且至少在开放的公用网络上已加密。 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
网络连接控制 0810.01n2Organizational.5 - 01.n 传输的信息是安全的,并且至少在开放的公用网络上已加密。 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
网络连接控制 0811.01n2Organizational.6 - 01.n 记录流量流策略的例外情况(包括支持性任务/业务需求、例外情况持续时间),并至少每年审查一次;当明确的任务/业务需求不再支持流量流策略例外情况时,该项例外会被删除。 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
网络连接控制 0811.01n2Organizational.6 - 01.n 记录流量流策略的例外情况(包括支持性任务/业务需求、例外情况持续时间),并至少每年审查一次;当明确的任务/业务需求不再支持流量流策略例外情况时,该项例外会被删除。 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
网络连接控制 0812.01n2Organizational.8 - 01.n 不允许建立非远程连接的远程设备与外部(远程)资源进行通信。 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
网络连接控制 0812.01n2Organizational.8 - 01.n 不允许建立非远程连接的远程设备与外部(远程)资源进行通信。 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
网络连接控制 0814.01n1Organizational.12 - 01.n 根据访问控制策略以及临床和商业应用程序的要求,使用托管接口上的“默认拒绝,出现例外情况时允许”策略来限制用户连接到内部网络的能力。 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
网络连接控制 0814.01n1Organizational.12 - 01.n 根据访问控制策略以及临床和商业应用程序的要求,使用托管接口上的“默认拒绝,出现例外情况时允许”策略来限制用户连接到内部网络的能力。 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
用户识别和身份验证 11210.01q2Organizational.10 - 01.q 电子记录上的电子签名和手写签名应与各自的电子记录关联。 审核具有管理员组中指定成员的 Windows 计算机 2.0.0
用户识别和身份验证 11211.01q2Organizational.11 - 01.q 已签名的电子记录应包含与以用户可读格式签名关联的信息。 审核缺少管理员组中任何指定成员的 Windows 计算机 2.0.0
用户识别和身份验证 1123.01q1System.2 - 01.q 执行特权功能(例如系统管理)的用户在执行这些特权功能时使用不同的帐户。 审核管理员组中具有额外帐户的 Windows 计算机 2.0.0
用户识别和身份验证 1125.01q2System.1 - 01.q 根据组织政策使用多重身份验证方法(例如用于远程网络访问)。 审核具有管理员组中指定成员的 Windows 计算机 2.0.0
用户识别和身份验证 1127.01q2System.3 - 01.q 如果提供令牌进行多重身份验证,则在授予访问权限之前需要进行人工验证。 审核缺少管理员组中任何指定成员的 Windows 计算机 2.0.0
审核日志 1202.09aa1System.1 - 09.aa 为系统上的所有活动(创建、读取、更新、删除)创建安全审核记录,涉及涵盖的信息。 应在虚拟机规模集上安装系统更新 3.0.0
审核日志 1206.09aa2System.23 - 09.aa 当系统处于活动状态时,始终进行审核并跟踪关键事件、成功/失败的数据访问、系统安全配置更改、特权或实用程序的使用情况、引发的任何警报、保护系统的激活和停用(如 A/V 和 IDS)、标识和身份验证机制的激活和停用,以及系统级对象的创建和删除。 应启用虚拟机规模集中的资源日志 2.1.0
监视系统使用情况 12100.09ab2System.15 - 09.ab 组织监视信息系统,以识别指示系统故障或泄露的违规或异常情况,并帮助确认系统正以最佳、可复原且安全的状态运行。 虚拟机应安装 Log Analytics 扩展 1.0.1
监视系统使用情况 12101.09ab1Organizational.3 - 09.ab 组织指定审核日志的审查频率、审查的记录方式,以及执行审查的人员的特定角色和职责,包括专业认证或所需的其他资格。 应在虚拟机规模集上安装 Log Analytics 扩展 1.0.1
监视系统使用情况 12102.09ab1Organizational.4 - 09.ab 组织应定期测试其监视和检测过程、修正缺陷并改进其过程。 审核其 Log Analytics 代理未按预期连接的 Windows 计算机 2.0.0
监视系统使用情况 1215.09ab2System.7 - 09.ab 组织所采用的审核和监视系统支持审核缩减和报表生成。 虚拟机应安装 Log Analytics 扩展 1.0.1
监视系统使用情况 1216.09ab3System.12 - 09.ab 利用自动化系统每天审查安全系统的监视活动(例如 IPS/IDS)和系统记录,确定并记录异常情况。 应在虚拟机规模集上安装 Log Analytics 扩展 1.0.1
监视系统使用情况 1217.09ab3System.3 - 09.ab 生成警报是为了让技术人员分析和调查可疑活动或可疑违规。 审核其 Log Analytics 代理未按预期连接的 Windows 计算机 2.0.0
职责分离 1232.09c3Organizational.12 - 09.c 根据每位用户的角色和职责,负责管理和访问控制的人员的访问权限必须限制在最低必需权限,并且这些人员不能访问与这些控制相关的审核功能。 Windows 计算机应符合“用户权限分配”的要求 3.0.0
职责分离 1277.09c2Organizational.4 - 09.c 事件的启动与其授权分离,以降低串谋的可能性。 Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 3.0.0
恶意代码控制 0201.09j1Organizational.124 - 09.j 防病毒和防间谍软件在所有最终用户设备上进行安装、操作和更新,以对系统进行定期扫描,从而识别和删除未经授权的软件。 对于服务器软件开发人员专门建议不要安装基于主机的防病毒软件和反间谍软件的服务器环境,可通过基于网络的恶意软件检测 (NBMD) 解决方案来满足此要求。 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
恶意代码控制 0201.09j1Organizational.124 - 09.j 防病毒和防间谍软件在所有最终用户设备上进行安装、操作和更新,以对系统进行定期扫描,从而识别和删除未经授权的软件。 对于服务器软件开发人员专门建议不要安装基于主机的防病毒软件和反间谍软件的服务器环境,可通过基于网络的恶意软件检测 (NBMD) 解决方案来满足此要求。 为 Windows Server 部署默认 Microsoft IaaSAntimalware 扩展 1.1.0
恶意代码控制 0201.09j1Organizational.124 - 09.j 防病毒和防间谍软件在所有最终用户设备上进行安装、操作和更新,以对系统进行定期扫描,从而识别和删除未经授权的软件。 对于服务器软件开发人员专门建议不要安装基于主机的防病毒软件和反间谍软件的服务器环境,可通过基于网络的恶意软件检测 (NBMD) 解决方案来满足此要求。 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
恶意代码控制 0201.09j1Organizational.124 - 09.j 防病毒和防间谍软件在所有最终用户设备上进行安装、操作和更新,以对系统进行定期扫描,从而识别和删除未经授权的软件。 对于服务器软件开发人员专门建议不要安装基于主机的防病毒软件和反间谍软件的服务器环境,可通过基于网络的恶意软件检测 (NBMD) 解决方案来满足此要求。 Microsoft Antimalware for Azure 应配置为自动更新保护签名 1.0.0
恶意代码控制 0201.09j1Organizational.124 - 09.j 防病毒和防间谍软件在所有最终用户设备上进行安装、操作和更新,以对系统进行定期扫描,从而识别和删除未经授权的软件。 对于服务器软件开发人员专门建议不要安装基于主机的防病毒软件和反间谍软件的服务器环境,可通过基于网络的恶意软件检测 (NBMD) 解决方案来满足此要求。 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
恶意代码控制 0201.09j1Organizational.124 - 09.j 防病毒和防间谍软件在所有最终用户设备上进行安装、操作和更新,以对系统进行定期扫描,从而识别和删除未经授权的软件。 对于服务器软件开发人员专门建议不要安装基于主机的防病毒软件和反间谍软件的服务器环境,可通过基于网络的恶意软件检测 (NBMD) 解决方案来满足此要求。 应在计算机上安装系统更新 4.0.0
备份 1620.09l1Organizational.8 - 09.l 当第三方提供备份服务时,服务级别协议包含了详细的保护措施,以控制备份信息的机密性、完整性和可用性。 应为虚拟机启用 Azure 备份 3.0.0
备份 1625.09l3Organizational.34 - 09.l 三 (3) 个备份(完整备份加上所有相关的增量备份或差异备份)都存储在非现场,并按名称、日期、时间和操作记录现场备份和非现场备份。 应为虚拟机启用 Azure 备份 3.0.0
备份 1699.09l1Organizational.10 - 09.l 确定工作人员在数据备份过程中的角色和职责并告知工作团队;特别是,要求自带设备办公 (BYOD) 的用户在其设备上对组织和/或客户端数据进行备份。 应为虚拟机启用 Azure 备份 3.0.0
网络控制 0858.09m1Organizational.4 - 09.m 组织监视对信息系统的所有经授权的和未经授权的无线访问,并禁止安装无线访问点 (WAP),除非首席信息官 (CIO) 或其指定的代表进行了明确的书面授权。 应在与虚拟机关联的网络安全组上限制所有网络端口 3.0.0
网络控制 0858.09m1Organizational.4 - 09.m 组织监视对信息系统的所有经授权的和未经授权的无线访问,并禁止安装无线访问点 (WAP),除非首席信息官 (CIO) 或其指定的代表进行了明确的书面授权。 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
网络控制 0858.09m1Organizational.4 - 09.m 组织监视对信息系统的所有经授权的和未经授权的无线访问,并禁止安装无线访问点 (WAP),除非首席信息官 (CIO) 或其指定的代表进行了明确的书面授权。 Windows 计算机应符合“Windows 防火墙属性”的要求 3.0.0
网络控制 0859.09m1Organizational.78 - 09.m 组织确保网络中的信息安全、网络服务和使用网络的信息服务的可用性,以及保护连接服务避免未经授权的访问。 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
网络控制 0861.09m2Organizational.67 - 09.m 为了识别和验证本地和/或广域网络(包括无线网络)上的设备,信息系统使用 (i) 共享的已知信息解决方案或 (ii) 组织身份验证解决方案,具体选择和强度取决于信息系统的安全分类。 Windows 计算机应符合“安全选项 - 网络访问”的要求 3.0.0
网络服务安全 0835.09n1Organizational.1 - 09.n 由网络服务提供商/管理员提供的协议服务将受到正式管理和监视,以确保安全地提供这些服务。 [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 1.0.2-preview
网络服务安全 0835.09n1Organizational.1 - 09.n 由网络服务提供商/管理员提供的协议服务将受到正式管理和监视,以确保安全地提供这些服务。 应将虚拟机迁移到新的 Azure 资源管理器资源 1.0.0
网络服务安全 0836.09.n2Organizational.1 - 09.n 组织正式授权并记录从信息系统到组织外其他信息系统之间的每个连接的特征。 [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 1.0.2-preview
网络服务安全 0885.09n2Organizational.3 - 09.n 组织持续审查并更新互连安全协议,验证安全要求的实施情况。 [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 1.0.2-preview
网络服务安全 0887.09n2Organizational.5 - 09.n 组织要求外部/外包服务提供商确定在外部/外包服务规定中使用的特定功能、端口和协议。 [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 1.0.2-preview
可移动媒体管理 0302.09o2Organizational.1 - 09.o 组织在受控区域之外的传输过程中保护和控制包含敏感信息的媒体。 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 2.0.3
在线事务 0945.09y1Organizational.3 - 09.y 用于在所有参与方之间进行通信的协议使用加密技术(如 SSL)进行保护。 审核在受信任的根中不包含指定证书的 Windows 计算机 3.0.0
操作软件控制 0605.10h1System.12 - 10.h 仅允许经授权的管理员根据业务要求和版本的安全隐患,在获得批准的情况下执行软件、应用程序和程序库的升级。 应修复计算机上安全配置中的漏洞 3.0.0
操作软件控制 0605.10h1System.12 - 10.h 仅允许经授权的管理员根据业务要求和版本的安全隐患,在获得批准的情况下执行软件、应用程序和程序库的升级。 Windows 计算机应符合“安全选项 - 审核”的要求 3.0.0
操作软件控制 0605.10h1System.12 - 10.h 仅允许经授权的管理员根据业务要求和版本的安全隐患,在获得批准的情况下执行软件、应用程序和程序库的升级。 Windows 计算机应符合“系统审核策略 - 帐户管理”的要求 3.0.0
操作软件控制 0606.10h2System.1 - 10.h 在生产之前,应用程序和操作系统已成功进行可用性、安全性和影响测试。 应修正容器安全配置中的漏洞 3.0.0
操作软件控制 0607.10h2System.23 - 10.h 组织使用其配置控制程序来保持对所有已实现软件及其系统文档的控制,并将已实现软件和相关系统文档的历史版本存档。 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
操作软件控制 0607.10h2System.23 - 10.h 组织使用其配置控制程序来保持对所有已实现软件及其系统文档的控制,并将已实现软件和相关系统文档的历史版本存档。 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
更改控制过程 0635.10k1Organizational.12 - 10.k 负责应用程序系统的管理员还负责项目的严格控制(安全)或支持环境,并确保检查所有建议的系统更改,以检查它们是否不会损害系统或操作环境的安全性。 Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 3.0.0
更改控制过程 0636.10k2Organizational.1 - 10.k 组织正式解决目的、范围、角色、职责、管理承诺、组织实体之间的协调以及配置管理的合规性(例如通过策略、标准、流程)。 Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 3.0.0
更改控制过程 0637.10k2Organizational.2 - 10.k 组织已开发、记录并实现了信息系统的配置管理计划。 Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 3.0.0
更改控制过程 0638.10k2Organizational.34569 - 10.k 正式控制、记录和强制执行更改,以最大程度地减少信息系统的损坏。 Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 3.0.0
更改控制过程 0639.10k2Organizational.78 - 10.k 安装清单和漏洞扫描用于验证服务器、工作站、设施和设备的配置,并确保配置符合最低标准。 Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 3.0.0
更改控制过程 0640.10k2Organizational.1012 - 10.k 在外包开发的情况下,合同中包含用于解决安全问题的变更控制过程,特别要求开发人员跟踪系统、组件或服务内部的安全缺陷和缺陷解决方法,并向组织规定的人员或角色报告结果。 Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 3.0.0
更改控制过程 0641.10k2Organizational.11 - 10.k 组织不对关键系统进行自动更新。 Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 3.0.0
更改控制过程 0642.10k3Organizational.12 - 10.k 组织在配置控制措施(信息系统的当前基线配置)下进行开发、记录和维护,并根据需要审查和更新基线。 Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 3.0.0
更改控制过程 0643.10k3Organizational.3 - 10.k 组织 (i) 使用最新的安全配置基线,为信息系统中所采用的信息技术产品建立并记录必需的配置设置;(ii) 根据明确操作要求,识别、记录和批准单个组件的必需配置设置中的异常情况;以及 (iii) 根据组织策略和过程监视和控制对配置设置的更改。 Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 3.0.0
更改控制过程 0644.10k3Organizational.4 - 10.k 组织采用自动化机制来 (i) 集中管理、应用和验证配置设置,(ii) 响应与网络和系统安全相关的配置设置的未经授权的更改,以及 (iii) 强制执行实施操作的访问限制和审核。 Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 3.0.0
技术漏洞控制 0709.10m1Organizational.1 - 10.m 识别技术漏洞,评估其风险性并及时修正。 应在虚拟机上启用漏洞评估解决方案 3.0.0
技术漏洞控制 0709.10m1Organizational.1 - 10.m 识别技术漏洞,评估其风险性并及时修正。 应修正容器安全配置中的漏洞 3.0.0
技术漏洞控制 0709.10m1Organizational.1 - 10.m 识别技术漏洞,评估其风险性并及时修正。 应修复计算机上安全配置中的漏洞 3.0.0
技术漏洞控制 0709.10m1Organizational.1 - 10.m 识别技术漏洞,评估其风险性并及时修正。 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
技术漏洞控制 0709.10m1Organizational.1 - 10.m 识别技术漏洞,评估其风险性并及时修正。 Windows 计算机应符合“安全选项 - Microsoft 网络服务器”的要求 3.0.0
技术漏洞控制 0711.10m2Organizational.23 - 10.m 部署技术漏洞管理程序,用于监视、评估、分级和修正在系统中确定的漏洞。 应在虚拟机上启用漏洞评估解决方案 3.0.0
技术漏洞控制 0713.10m2Organizational.5 - 10.m 在安装补丁前对补丁进行测试和评估。 应修复计算机上安全配置中的漏洞 3.0.0
技术漏洞控制 0714.10m2Organizational.7 - 10.m 技术漏洞管理计划每季度评估一次。 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
技术漏洞控制 0715.10m2Organizational.8 - 10.m 适当强化系统(例如仅启用必要的安全服务、端口和协议)。 应修正容器安全配置中的漏洞 3.0.0
技术漏洞控制 0717.10m3Organizational.2 - 10.m 漏洞扫描工具包含随时更新已扫描的信息系统漏洞的功能。 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
技术漏洞控制 0718.10m3Organizational.34 - 10.m 组织每月(自动)扫描信息系统和托管应用程序中的漏洞,以确定缺陷修正状态,并在识别和报告可能影响系统和网络环境的新漏洞时,再次(手动或自动)扫描。 应修复计算机上安全配置中的漏洞 3.0.0
业务连续性和风险评估 1634.12b1Organizational.1 - 12.b 组织确定需要业务连续性的关键业务流程。 审核未配置灾难恢复的虚拟机 1.0.0
业务连续性和风险评估 1637.12b2Organizational.2 - 12.b 业务影响分析用于评估灾难、安全故障、服务损失和服务可用性的后果。 Windows 计算机应符合“安全选项 - 恢复控制台”的要求 3.0.0
业务连续性和风险评估 1638.12b2Organizational.345 - 12.b 业务连续性风险评估 (i) 每年都会在业务资源和流程所有者的充分参与下进行;(ii) 考虑所有业务流程,不仅限于信息资产,还包括特定于信息安全的结果;(iii) 根据与组织相关的关键业务目标和标准(包括关键资源、中断的影响、允许的中断时间和恢复优先级)识别、量化风险并确定其优先级。 审核未配置灾难恢复的虚拟机 1.0.0

IRS 1075 2016 年 9 月

若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - IRS 1075 2016 年 9 月版。 有关此合规性标准的详细信息,请参阅 IRS 1075 2016 年 9 月版

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 9.3.1.12 远程访问 (AC-17) 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
访问控制 9.3.1.12 远程访问 (AC-17) 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
访问控制 9.3.1.12 远程访问 (AC-17) 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 3.0.0
访问控制 9.3.1.12 远程访问 (AC-17) 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
访问控制 9.3.1.2 帐户管理 (AC-2) 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
访问控制 9.3.1.5 职责分离 (AC-5) 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
访问控制 9.3.1.5 职责分离 (AC-5) 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
访问控制 9.3.1.5 职责分离 (AC-5) 审核缺少管理员组中任何指定成员的 Windows 计算机 2.0.0
访问控制 9.3.1.5 职责分离 (AC-5) 审核具有管理员组中指定成员的 Windows 计算机 2.0.0
访问控制 9.3.1.5 职责分离 (AC-5) 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
访问控制 9.3.1.6 最低特权 (AC-6) 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
访问控制 9.3.1.6 最低特权 (AC-6) 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
访问控制 9.3.1.6 最低特权 (AC-6) 审核缺少管理员组中任何指定成员的 Windows 计算机 2.0.0
访问控制 9.3.1.6 最低特权 (AC-6) 审核具有管理员组中指定成员的 Windows 计算机 2.0.0
访问控制 9.3.1.6 最低特权 (AC-6) 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
风险评估 9.3.14.3 漏洞扫描 (RA-5) 应在虚拟机上启用漏洞评估解决方案 3.0.0
风险评估 9.3.14.3 漏洞扫描 (RA-5) 应修复计算机上安全配置中的漏洞 3.0.0
风险评估 9.3.14.3 漏洞扫描 (RA-5) 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
系统和通信保护 9.3.16.15 静态信息保护 (SC-28) 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 2.0.3
系统和通信保护 9.3.16.5 边界保护 (SC-7) 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
系统和通信保护 9.3.16.5 边界保护 (SC-7) 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
系统和通信保护 9.3.16.5 边界保护 (SC-7) 应限制在与虚拟机关联的网络安全组上使用所有网络端口 3.0.0
系统和通信保护 9.3.16.6 传输保密性和完整性 (SC-8) 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
系统和通信保护 9.3.16.6 传输保密性和完整性 (SC-8) 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
系统和通信保护 9.3.16.6 传输保密性和完整性 (SC-8) 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
系统和通信保护 9.3.16.6 传输保密性和完整性 (SC-8) 应将 Windows Web 服务器配置为使用安全通信协议 4.0.0
系统和信息完整性 9.3.17.2 缺陷修正 (SI-2) 应在虚拟机上启用漏洞评估解决方案 3.0.0
系统和信息完整性 9.3.17.2 缺陷修正 (SI-2) 应在虚拟机规模集上安装系统更新 3.0.0
系统和信息完整性 9.3.17.2 缺陷修正 (SI-2) 应在计算机上安装系统更新 4.0.0
系统和信息完整性 9.3.17.2 缺陷修正 (SI-2) 应修复计算机上安全配置中的漏洞 3.0.0
系统和信息完整性 9.3.17.2 缺陷修正 (SI-2) 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
系统和信息完整性 9.3.17.3 恶意代码防护 (SI-3) 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
系统和信息完整性 9.3.17.3 恶意代码防护 (SI-3) 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
系统和信息完整性 9.3.17.4 信息系统监视 (SI-4) [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1-preview
系统和信息完整性 9.3.17.4 信息系统监视 (SI-4) 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1
系统和信息完整性 9.3.17.4 信息系统监视 (SI-4) 虚拟机应连接到指定的工作区 1.1.0
意识和培训 9.3.3.11 审核生成 (AU-12) [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1-preview
意识和培训 9.3.3.11 审核生成 (AU-12) 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1
意识和培训 9.3.3.11 审核生成 (AU-12) 虚拟机应连接到指定的工作区 1.1.0
意识和培训 9.3.3.3 审核记录的内容 (AU-3) [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1-preview
意识和培训 9.3.3.3 审核记录的内容 (AU-3) 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1
意识和培训 9.3.3.3 审核记录的内容 (AU-3) 虚拟机应连接到指定的工作区 1.1.0
意识和培训 9.3.3.6 审核评审、分析和报告 (AU-6) [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1-preview
意识和培训 9.3.3.6 审核评审、分析和报告 (AU-6) 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1
意识和培训 9.3.3.6 审核评审、分析和报告 (AU-6) 虚拟机应连接到指定的工作区 1.1.0
配置管理 9.3.5.11 用户安装的软件 (CM-11) 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
配置管理 9.3.5.7 最少功能 (CM-7) 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
应变规划 9.3.6.6 备用处理站点 (CP-7) 审核未配置灾难恢复的虚拟机 1.0.0
识别和身份验证 9.3.7.5 验证器管理 (IA-5) 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
识别和身份验证 9.3.7.5 验证器管理 (IA-5) 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
识别和身份验证 9.3.7.5 验证器管理 (IA-5) 审核未将密码文件权限设为 0644 的 Linux 计算机 3.0.0
识别和身份验证 9.3.7.5 验证器管理 (IA-5) 审核具有不使用密码的帐户的 Linux 计算机 3.0.0
识别和身份验证 9.3.7.5 验证器管理 (IA-5) 审核允许重用之前的 24 个密码的 Windows 计算机 2.0.0
识别和身份验证 9.3.7.5 验证器管理 (IA-5) 审核未将最长密码期限设为 70 天的 Windows 计算机 2.0.0
识别和身份验证 9.3.7.5 验证器管理 (IA-5) 审核未将最短密码期限设为 1 天的 Windows 计算机 2.0.0
识别和身份验证 9.3.7.5 验证器管理 (IA-5) 审核未启用密码复杂性设置的 Windows 计算机 2.0.0
识别和身份验证 9.3.7.5 验证器管理 (IA-5) 审核未将最短密码长度限制为 14 个字符的 Windows 计算机 2.0.0
识别和身份验证 9.3.7.5 验证器管理 (IA-5) 审核未存储使用可逆加密的密码的 Windows 计算机 2.0.0
识别和身份验证 9.3.7.5 验证器管理 (IA-5) 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
识别和身份验证 9.3.7.5 验证器管理 (IA-5) 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0

ISO 27001:2013

若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - ISO 27001:2013。 有关此合规性标准的详细信息,请参阅 ISO 27001:2013

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
加密 10.1.1 有关使用加密控制措施的策略 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
密码 10.1.1 有关使用加密控制措施的策略 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
密码 10.1.1 有关使用加密控制措施的策略 审核未存储使用可逆加密的密码的 Windows 计算机 2.0.0
密码 10.1.1 有关使用加密控制措施的策略 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
密码 10.1.1 有关使用加密控制措施的策略 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 2.0.3
操作安全性 12.4.1 事件日志记录 [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1-preview
操作安全性 12.4.1 事件日志记录 应为列出的虚拟机映像启用 Dependency Agent 2.0.0
操作安全性 12.4.1 事件日志记录 应在虚拟机规模集中为列出的虚拟机映像启用 Dependency Agent 2.0.0
操作安全性 12.4.1 事件日志记录 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1
操作安全性 12.4.3 管理员和操作员日志 [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1-preview
操作安全性 12.4.3 管理员和操作员日志 应为列出的虚拟机映像启用 Dependency Agent 2.0.0
操作安全性 12.4.3 管理员和操作员日志 应在虚拟机规模集中为列出的虚拟机映像启用 Dependency Agent 2.0.0
操作安全性 12.4.3 管理员和操作员日志 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1
操作安全性 12.4.4 时钟同步 [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1-preview
操作安全性 12.4.4 时钟同步 应为列出的虚拟机映像启用 Dependency Agent 2.0.0
操作安全性 12.4.4 时钟同步 应在虚拟机规模集中为列出的虚拟机映像启用 Dependency Agent 2.0.0
操作安全性 12.4.4 时钟同步 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1
操作安全性 12.5.1 在可操作的系统上安装软件 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
操作安全性 12.6.1 管理技术漏洞 应在虚拟机上启用漏洞评估解决方案 3.0.0
操作安全性 12.6.1 管理技术漏洞 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
操作安全性 12.6.1 管理技术漏洞 应在计算机上安装系统更新 4.0.0
操作安全性 12.6.1 管理技术漏洞 应修复计算机上安全配置中的漏洞 3.0.0
操作安全性 12.6.2 软件安装的限制 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
通信安全 13.1.1 网络控制措施 应限制在与虚拟机关联的网络安全组上使用所有网络端口 3.0.0
访问控制 9.1.2 访问网络和网络服务 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
访问控制 9.1.2 访问网络和网络服务 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
访问控制 9.1.2 访问网络和网络服务 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 3.0.0
访问控制 9.1.2 访问网络和网络服务 审核具有不使用密码的帐户的 Linux 计算机 3.0.0
访问控制 9.1.2 访问网络和网络服务 审核未使用托管磁盘的 VM 1.0.0
访问控制 9.1.2 访问网络和网络服务 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
访问控制 9.1.2 访问网络和网络服务 应将虚拟机迁移到新的 Azure 资源管理器资源 1.0.0
访问控制 9.2.4 管理用户的机密身份验证信息 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
访问控制 9.2.4 管理用户的机密身份验证信息 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
访问控制 9.2.4 管理用户的机密身份验证信息 审核未将密码文件权限设为 0644 的 Linux 计算机 3.0.0
访问控制 9.2.4 管理用户的机密身份验证信息 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
访问控制 9.4.3 密码管理系统 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
访问控制 9.4.3 密码管理系统 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
访问控制 9.4.3 密码管理系统 审核允许重用之前的 24 个密码的 Windows 计算机 2.0.0
访问控制 9.4.3 密码管理系统 审核未将最长密码期限设为 70 天的 Windows 计算机 2.0.0
访问控制 9.4.3 密码管理系统 审核未将最短密码期限设为 1 天的 Windows 计算机 2.0.0
访问控制 9.4.3 密码管理系统 审核未启用密码复杂性设置的 Windows 计算机 2.0.0
访问控制 9.4.3 密码管理系统 审核未将最短密码长度限制为 14 个字符的 Windows 计算机 2.0.0
访问控制 9.4.3 密码管理系统 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0

限制性的新西兰 ISM

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 限制性的新西兰 ISM。 有关此合规性标准的详细信息,请参阅限制性的新西兰 ISM

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
信息安全监视 ISM-3 6.2.5 执行漏洞评估 应在虚拟机上启用漏洞评估解决方案 3.0.0
信息安全监视 ISM-4 6.2.6 解决漏洞 计算机上的 SQL 服务器应已解决漏洞发现 1.0.0
信息安全监视 ISM-4 6.2.6 解决漏洞 应修正容器安全配置中的漏洞 3.0.0
信息安全监视 ISM-4 6.2.6 解决漏洞 应修复计算机上安全配置中的漏洞 3.0.0
信息安全监视 ISM-4 6.2.6 解决漏洞 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
信息安全监视 ISM-7 6.4.5 可用性要求 审核未配置灾难恢复的虚拟机 1.0.0
产品安全性 PRS-5 12.4.4 修补产品中的漏洞 应在虚拟机规模集上安装系统更新 3.0.0
产品安全性 PRS-5 12.4.4 修补产品中的漏洞 应在计算机上安装系统更新 4.0.0
软件安全性 SS-2 14.1.8 开发强化的 SOE 应关闭虚拟机上的管理端口 3.0.0
软件安全性 SS-3 14.1.9 维护强化的 SOE 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
软件安全性 SS-3 14.1.9 维护强化的 SOE 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
软件安全性 SS-3 14.1.9 维护强化的 SOE 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
软件安全性 SS-3 14.1.9 维护强化的 SOE 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
软件安全性 SS-3 14.1.9 维护强化的 SOE 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
软件安全性 SS-5 14.2.4 应用程序允许列表 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
软件安全性 SS-5 14.2.4 应用程序允许列表 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
访问控制和密码 AC-4 16.1.40 密码选择策略 审核具有不使用密码的帐户的 Linux 计算机 3.0.0
访问控制和密码 AC-4 16.1.40 密码选择策略 Windows 计算机应符合“安全设置 - 帐户策略”的要求 3.0.0
访问控制和密码 AC-11 16.4.30 特权访问管理 审核缺少管理员组中任何指定成员的 Windows 计算机 2.0.0
访问控制和密码 AC-11 16.4.30 特权访问管理 审核管理员组中具有额外帐户的 Windows 计算机 2.0.0
访问控制和密码 AC-11 16.4.30 特权访问管理 审核具有管理员组中指定成员的 Windows 计算机 2.0.0
访问控制和密码 AC-13 16.5.10 身份验证 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 3.0.0
访问控制和密码 AC-17 16.6.9 要记录的事件 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1
访问控制和密码 AC-17 16.6.9 要记录的事件 应启用虚拟机规模集中的资源日志 2.1.0
密码 CR-3 17.1.46 降低存储和物理传输要求 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 2.0.3
密码 CR-7 17.4.16 使用 TLS 应将 Windows Web 服务器配置为使用安全通信协议 4.0.0
密码 CR-9 17.5.7 身份验证机制 对 Linux 虚拟机进行身份验证需要 SSH 密钥 3.0.0
密码 CR-14 17.9.25 KMP 的内容 应禁用虚拟机上的 IP 转发 3.0.0
网关安全性 GS-2 19.1.11 使用网关 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
网关安全性 GS-3 19.1.12 网关配置 应限制在与虚拟机关联的网络安全组上使用所有网络端口 3.0.0
网关安全性 GS-5 19.1.23 网关测试 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0

NIST SP 800-53 Rev. 5

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-53 Rev. 5。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 5

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 AC-2 (12) 针对异常使用的帐户监视 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
访问控制 AC-3 执法机构 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
访问控制 AC-3 执法机构 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
访问控制 AC-3 执法机构 审核具有不使用密码的帐户的 Linux 计算机 3.0.0
访问控制 AC-3 执法机构 对 Linux 虚拟机进行身份验证需要 SSH 密钥 3.0.0
访问控制 AC-3 执法机构 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
访问控制 AC-3 执法机构 应将虚拟机迁移到新的 Azure 资源管理器资源 1.0.0
访问控制 AC-4 信息流强制 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
访问控制 AC-4 信息流强制 应限制在与虚拟机关联的网络安全组上使用所有网络端口 3.0.0
访问控制 AC-4 信息流强制 磁盘访问资源应使用专用链接 1.0.0
访问控制 AC-4 信息流强制 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
访问控制 AC-4 信息流强制 应禁用虚拟机上的 IP 转发 3.0.0
访问控制 AC-4 信息流强制 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
访问控制 AC-4 信息流强制 应关闭虚拟机上的管理端口 3.0.0
访问控制 AC-4 信息流强制 应使用网络安全组来保护非面向 Internet 的虚拟机 3.0.0
访问控制 AC-4 (3) 动态信息流控制 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
访问控制 AC-4 (3) 动态信息流控制 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
访问控制 AC-17 远程访问 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
访问控制 AC-17 远程访问 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
访问控制 AC-17 远程访问 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 3.0.0
访问控制 AC-17 远程访问 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
访问控制 AC-17 远程访问 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
访问控制 AC-17 远程访问 磁盘访问资源应使用专用链接 1.0.0
访问控制 AC-17 (1) 监视和控制 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
访问控制 AC-17 (1) 监视和控制 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
访问控制 AC-17 (1) 监视和控制 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 3.0.0
访问控制 AC-17 (1) 监视和控制 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
访问控制 AC-17 (1) 监视和控制 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
访问控制 AC-17 (1) 监视和控制 磁盘访问资源应使用专用链接 1.0.0
审核和责任 AU-6 审核记录评审、分析和报告 [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-6 审核记录评审、分析和报告 [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-6 (4) 集中评审和分析 [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-6 (4) 集中评审和分析 [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-6 (4) 集中评审和分析 应在计算机上安装来宾配置扩展 1.0.2
审核和责任 AU-6 (4) 集中评审和分析 Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 1.0.0
审核和责任 AU-6 (4) 集中评审和分析 Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 1.0.0
审核和责任 AU-6 (4) 集中评审和分析 应启用虚拟机规模集中的资源日志 2.1.0
审核和责任 AU-6 (4) 集中评审和分析 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 1.0.1
审核和责任 AU-6 (5) 审核记录集成分析 [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-6 (5) 审核记录集成分析 [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-6 (5) 审核记录的集成分析 应在计算机上安装来宾配置扩展 1.0.2
审核和责任 AU-6 (5) 审核记录的集成分析 Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 1.0.0
审核和责任 AU-6 (5) 审核记录的集成分析 Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 1.0.0
审核和责任 AU-6 (5) 审核记录的集成分析 应启用虚拟机规模集中的资源日志 2.1.0
审核和责任 AU-6 (5) 审核记录的集成分析 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 1.0.1
审核和责任 AU-12 审核记录生成 [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-12 审核记录生成 [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-12 审核记录生成 应在计算机上安装来宾配置扩展 1.0.2
审核和责任 AU-12 审核记录生成 Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 1.0.0
审核和责任 AU-12 审核记录生成 Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 1.0.0
审核和责任 AU-12 审核记录生成 应启用虚拟机规模集中的资源日志 2.1.0
审核和责任 AU-12 审核记录生成 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 1.0.1
审核和责任 AU-12 (1) 系统范围和时间相关的审核跟踪 [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-12 (1) 系统范围和时间相关的审核跟踪 [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 1.0.2-preview
审核和责任 AU-12 (1) 系统范围和时间相关的审核跟踪 应在计算机上安装来宾配置扩展 1.0.2
审核和责任 AU-12 (1) 系统范围和时间相关的审核跟踪 Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 1.0.0
审核和责任 AU-12 (1) 系统范围和时间相关的审核跟踪 Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 1.0.0
审核和责任 AU-12 (1) 系统范围和时间相关的审核跟踪 应启用虚拟机规模集中的资源日志 2.1.0
审核和责任 AU-12 (1) 系统范围和时间相关的审核跟踪 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 1.0.1
配置管理 CM-6 配置设置 Linux 计算机应符合 Azure 计算安全基线的要求 2.0.0
配置管理 CM-6 配置设置 Windows 计算机应符合 Azure 计算安全基线的要求 2.0.0
配置管理 CM-7 最少的功能 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
配置管理 CM-7 最少的功能 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
配置管理 CM-7 (2) 阻止程序执行 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
配置管理 CM-7 (2) 阻止程序执行 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
配置管理 CM-7 (5) 授权软件 按异常允许 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
配置管理 CM-7 (5) 授权软件 按异常允许 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
配置管理 CM-10 软件使用限制 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
配置管理 CM-10 软件使用限制 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
配置管理 CM-11 用户安装的软件 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
配置管理 CM-11 用户安装的软件 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
应变规划 CP-7 备用处理站点 审核未配置灾难恢复的虚拟机 1.0.0
应变规划 CP-9 系统备份 应为虚拟机启用 Azure 备份 3.0.0
识别和身份验证 IA-5 验证器管理 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
识别和身份验证 IA-5 验证器管理 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
识别和身份验证 IA-5 验证器管理 审核未将密码文件权限设为 0644 的 Linux 计算机 3.0.0
识别和身份验证 IA-5 验证器管理 审核未存储使用可逆加密的密码的 Windows 计算机 2.0.0
识别和身份验证 IA-5 验证器管理 对 Linux 虚拟机进行身份验证需要 SSH 密钥 3.0.0
识别和身份验证 IA-5 验证器管理 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
识别和身份验证 IA-5 验证器管理 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 审核未将密码文件权限设为 0644 的 Linux 计算机 3.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 审核允许重用之前的 24 个密码的 Windows 计算机 2.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 审核未将最长密码期限设为 70 天的 Windows 计算机 2.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 审核未将最短密码期限设为 1 天的 Windows 计算机 2.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 审核未启用密码复杂性设置的 Windows 计算机 2.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 审核未将最短密码长度限制为 14 个字符的 Windows 计算机 2.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 审核未存储使用可逆加密的密码的 Windows 计算机 2.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
识别和身份验证 IA-5 (1) 基于密码的身份验证 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
风险评估 RA-5 漏洞监视和扫描 应在虚拟机上启用漏洞评估解决方案 3.0.0
风险评估 RA-5 漏洞监视和扫描 计算机上的 SQL 服务器应已解决漏洞发现 1.0.0
风险评估 RA-5 漏洞监视和扫描 应修正容器安全配置中的漏洞 3.0.0
风险评估 RA-5 漏洞监视和扫描 应修复计算机上安全配置中的漏洞 3.0.0
风险评估 RA-5 漏洞监视和扫描 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
系统和通信保护 SC-3 安全功能隔离 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
系统和通信保护 SC-3 安全功能隔离 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
系统和通信保护 SC-3 安全功能隔离 应在计算机上启用 Windows Defender 攻击防护 2.0.0
系统和通信保护 SC-5 拒绝服务保护 应禁用虚拟机上的 IP 转发 3.0.0
系统和通信保护 SC-7 边界保护 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
系统和通信保护 SC-7 边界保护 应在与虚拟机关联的网络安全组上限制所有网络端口 3.0.0
系统和通信保护 SC-7 边界保护 磁盘访问资源应使用专用链接 1.0.0
系统和通信保护 SC-7 边界保护 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
系统和通信保护 SC-7 边界保护 应禁用虚拟机上的 IP 转发 3.0.0
系统和通信保护 SC-7 边界保护 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
系统和通信保护 SC-7 边界保护 应关闭虚拟机上的管理端口 3.0.0
系统和通信保护 SC-7 边界保护 应使用网络安全组来保护非面向 Internet 的虚拟机 3.0.0
系统和通信保护 SC-7 (3) 接入点 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
系统和通信保护 SC-7 (3) 接入点 应限制在与虚拟机关联的网络安全组上使用所有网络端口 3.0.0
系统和通信保护 SC-7 (3) 接入点 磁盘访问资源应使用专用链接 1.0.0
系统和通信保护 SC-7 (3) 接入点 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
系统和通信保护 SC-7 (3) 接入点 应禁用虚拟机上的 IP 转发 3.0.0
系统和通信保护 SC-7 (3) 接入点 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
系统和通信保护 SC-7 (3) 接入点 应关闭虚拟机上的管理端口 3.0.0
系统和通信保护 SC-7 (3) 接入点 应使用网络安全组来保护非面向 Internet 的虚拟机 3.0.0
系统和通信保护 SC-8 传输保密性和完整性 应将 Windows Web 服务器配置为使用安全通信协议 4.0.0
系统和通信保护 SC-8 (1) 加密保护 应将 Windows Web 服务器配置为使用安全通信协议 4.0.0
系统和通信保护 SC-12 加密密钥建立和管理 应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘 1.0.0
系统和通信保护 SC-12 加密密钥建立和管理 应使用客户管理的密钥来加密 OS 和数据磁盘 3.0.0
系统和通信保护 SC-28 保护静态信息 虚拟机和虚拟机规模集应启用主机中加密 1.0.0
系统和通信保护 SC-28 保护静态信息 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 2.0.3
系统和通信保护 SC-28 (1) 加密保护 虚拟机和虚拟机规模集应启用主机中加密 1.0.0
系统和通信保护 SC-28 (1) 加密保护 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 2.0.3
系统和信息完整性 SI-2 缺陷修正 应在虚拟机上启用漏洞评估解决方案 3.0.0
系统和信息完整性 SI-2 缺陷修正 应在虚拟机规模集上安装系统更新 3.0.0
系统和信息完整性 SI-2 缺陷修正 应在计算机上安装系统更新 4.0.0
系统和信息完整性 SI-2 缺陷修正 应修复计算机上安全配置中的漏洞 3.0.0
系统和信息完整性 SI-2 缺陷修正 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
系统和信息完整性 SI-3 恶意代码防护 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
系统和信息完整性 SI-3 恶意代码防护 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
系统和信息完整性 SI-3 恶意代码防护 应在计算机上启用 Windows Defender 攻击防护 2.0.0
系统和信息完整性 SI-4 系统监视 [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 1.0.2-preview
系统和信息完整性 SI-4 系统监视 [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 1.0.2-preview
系统和信息完整性 SI-4 系统监视 应在计算机上安装来宾配置扩展 1.0.2
系统和信息完整性 SI-4 系统监视 Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 1.0.0
系统和信息完整性 SI-4 系统监视 Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 1.0.0
系统和信息完整性 SI-4 系统监视 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 1.0.1
系统和信息完整性 SI-16 内存保护 应在计算机上启用 Windows Defender 攻击防护 2.0.0

限制性的新西兰 ISM v3.5

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 新西兰 ISM 受限制 v3.5。 有关此合规性标准的详细信息,请参阅新西兰 ISM 受限制 v3.5

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制和密码 NZISM 安全基准 AC-13 16.5.10 身份验证 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 3.0.0
访问控制和密码 NZISM 安全基准 AC-18 16.6.9 要记录的事件 Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 1.0.0
访问控制和密码 NZISM 安全基准 AC-18 16.6.9 要记录的事件 Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 1.0.0
访问控制和密码 NZISM 安全基准 AC-18 16.6.9 要记录的事件 应启用虚拟机规模集中的资源日志 2.1.0
密码 NZISM 安全基准 CR-10 17.5.7 身份验证机制 对 Linux 虚拟机进行身份验证需要 SSH 密钥 3.0.0
密码 新西兰 ISM 安全基准 CR-15 17.9.25 KMP 的内容 应禁用虚拟机上的 IP 转发 3.0.0
密码 NZISM 安全基准 CR-3 17.1.53 降低存储和物理传输要求 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 2.0.3
密码 NZISM 安全基准 CR-8 17.4.16 使用 TLS 应将 Windows Web 服务器配置为使用安全通信协议 4.0.0
网关安全性 NZISM 安全基准 GS-2 19.1.11 使用网关 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
网关安全性 NZISM 安全基准 GS-2 19.1.11 使用网关 应使用网络安全组来保护非面向 Internet 的虚拟机 3.0.0
网关安全性 新西兰 ISM 安全基准 GS-3 19.1.12 网关配置 应限制在与虚拟机关联的网络安全组上使用所有网络端口 3.0.0
网关安全性 NZISM 安全基准 GS-5 19.1.23 网关测试 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
信息安全监视 NZISM 安全基准 ISM-3 6.2.5 执行漏洞评估 应在虚拟机上启用漏洞评估解决方案 3.0.0
信息安全监视 NZISM 安全基准 ISM-4 6.2.6 解决漏洞 计算机上的 SQL 服务器应已解决漏洞发现 1.0.0
信息安全监视 NZISM 安全基准 ISM-4 6.2.6 解决漏洞 应修正容器安全配置中的漏洞 3.0.0
信息安全监视 NZISM 安全基准 ISM-4 6.2.6 解决漏洞 应修复计算机上安全配置中的漏洞 3.0.0
信息安全监视 NZISM 安全基准 ISM-4 6.2.6 解决漏洞 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
信息安全监视 NZISM 安全基准 ISM-7 6.4.5 可用性要求 审核未配置灾难恢复的虚拟机 1.0.0
产品安全性 NZISM 安全基准 PRS-5 12.4.4 修补产品中的漏洞 应在虚拟机规模集上安装系统更新 3.0.0
产品安全性 NZISM 安全基准 PRS-5 12.4.4 修补产品中的漏洞 应在计算机上安装系统更新 4.0.0
软件安全性 新西兰 ISM 安全基准 SS-2 14.1.8 开发强化的 SOE 应关闭虚拟机上的管理端口 3.0.0
软件安全性 NZISM 安全基准 SS-3 14.1.9 维护强化的 SOE 应在计算机上解决 Endpoint Protection 运行状况问题 1.0.0
软件安全性 NZISM 安全基准 SS-3 14.1.9 维护强化的 SOE 应在计算机上安装 Endpoint Protection 1.0.0
软件安全性 NZISM 安全基准 SS-3 14.1.9 维护强化的 SOE 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
软件安全性 NZISM 安全基准 SS-3 14.1.9 维护强化的 SOE 应在计算机上安装来宾配置扩展 1.0.2
软件安全性 NZISM 安全基准 SS-3 14.1.9 维护强化的 SOE 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
软件安全性 NZISM 安全基准 SS-3 14.1.9 维护强化的 SOE 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
软件安全性 NZISM 安全基准 SS-3 14.1.9 维护强化的 SOE 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 1.0.1
软件安全性 NZISM 安全基准 SS-3 14.1.9 维护强化的 SOE 应在计算机上启用 Windows Defender 攻击防护 2.0.0
软件安全性 NZISM 安全基准 SS-5 14.2.4 应用程序允许列表 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
软件安全性 NZISM 安全基准 SS-5 14.2.4 应用程序允许列表 应更新自适应应用程序控制策略中的允许列表规则 3.0.0

PCI DSS 3.2.1

若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 PCI DSS 3.2.1。 有关此合规性标准的详细信息,请参阅 PCI DSS 3.2.1

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
要求 1 PCI DSS v3.2.1 1.3.2 PCI DSS 要求 1.3.2 应限制在与虚拟机关联的网络安全组上使用所有网络端口 3.0.0
要求 1 PCI DSS v3.2.1 1.3.4 PCI DSS 要求 1.3.4 应限制在与虚拟机关联的网络安全组上使用所有网络端口 3.0.0
要求 1 PCI DSS v3.2.1 1.3.4 PCI DSS 要求 1.3.4 应将虚拟机迁移到新的 Azure 资源管理器资源 1.0.0
要求 10 PCI DSS v3.2.1 10.5.4 PCI DSS 要求 10.5.4 应将虚拟机迁移到新的 Azure 资源管理器资源 1.0.0
要求 11 PCI DSS v3.2.1 11.2.1 PCI DSS 要求 11.2.1 应在虚拟机上启用漏洞评估解决方案 3.0.0
要求 11 PCI DSS v3.2.1 11.2.1 PCI DSS 要求 11.2.1 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
要求 11 PCI DSS v3.2.1 11.2.1 PCI DSS 要求 11.2.1 应在计算机上安装系统更新 4.0.0
要求 11 PCI DSS v3.2.1 11.2.1 PCI DSS 要求 11.2.1 应修复计算机上安全配置中的漏洞 3.0.0
要求 3 PCI DSS v3.2.1 3.4 PCI DSS 要求 3.4 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 2.0.3
要求 4 PCI DSS v3.2.1 4.1 PCI DSS 要求 4.1 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 2.0.3
要求 5 PCI DSS v3.2.1 5.1 PCI DSS 要求 5.1 应在虚拟机上启用漏洞评估解决方案 3.0.0
要求 5 PCI DSS v3.2.1 5.1 PCI DSS 要求 5.1 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
要求 5 PCI DSS v3.2.1 5.1 PCI DSS 要求 5.1 应在计算机上安装系统更新 4.0.0
要求 5 PCI DSS v3.2.1 5.1 PCI DSS 要求 5.1 应修复计算机上安全配置中的漏洞 3.0.0
要求 6 PCI DSS v3.2.1 6.2 PCI DSS 要求 6.2 应在虚拟机上启用漏洞评估解决方案 3.0.0
要求 6 PCI DSS v3.2.1 6.2 PCI DSS 要求 6.2 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
要求 6 PCI DSS v3.2.1 6.2 PCI DSS 要求 6.2 应在计算机上安装系统更新 4.0.0
要求 6 PCI DSS v3.2.1 6.2 PCI DSS 要求 6.2 应修复计算机上安全配置中的漏洞 3.0.0
要求 6 PCI DSS v3.2.1 6.5.3 PCI DSS 要求 6.5.3 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 2.0.3
要求 6 PCI DSS v3.2.1 6.6 PCI DSS 要求 6.6 应在虚拟机上启用漏洞评估解决方案 3.0.0
要求 6 PCI DSS v3.2.1 6.6 PCI DSS 要求 6.6 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
要求 6 PCI DSS v3.2.1 6.6 PCI DSS 要求 6.6 应在计算机上安装系统更新 4.0.0
要求 6 PCI DSS v3.2.1 6.6 PCI DSS 要求 6.6 应修复计算机上安全配置中的漏洞 3.0.0
要求 8 PCI DSS v3.2.1 8.2.3 PCI DSS 要求 8.2.3 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
要求 8 PCI DSS v3.2.1 8.2.3 PCI DSS 要求 8.2.3 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
要求 8 PCI DSS v3.2.1 8.2.3 PCI DSS 要求 8.2.3 审核允许重用之前的 24 个密码的 Windows 计算机 2.0.0
要求 8 PCI DSS v3.2.1 8.2.3 PCI DSS 要求 8.2.3 审核未将最长密码期限设为 70 天的 Windows 计算机 2.0.0
要求 8 PCI DSS v3.2.1 8.2.3 PCI DSS 要求 8.2.3 审核未将最短密码长度限制为 14 个字符的 Windows 计算机 2.0.0
要求 8 PCI DSS v3.2.1 8.2.3 PCI DSS 要求 8.2.3 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
要求 8 PCI DSS v3.2.1 8.2.5 PCI DSS 要求 8.2.5 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
要求 8 PCI DSS v3.2.1 8.2.5 PCI DSS 要求 8.2.5 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
要求 8 PCI DSS v3.2.1 8.2.5 PCI DSS 要求 8.2.5 审核允许重用之前的 24 个密码的 Windows 计算机 2.0.0
要求 8 PCI DSS v3.2.1 8.2.5 PCI DSS 要求 8.2.5 审核未将最长密码期限设为 70 天的 Windows 计算机 2.0.0
要求 8 PCI DSS v3.2.1 8.2.5 PCI DSS 要求 8.2.5 审核未将最短密码长度限制为 14 个字符的 Windows 计算机 2.0.0
要求 8 PCI DSS v3.2.1 8.2.5 PCI DSS 要求 8.2.5 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0

印度储备银行 - 面向 NBFC 的 IT 框架

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 印度储备银行 - 面向 NBFC 的 IT 框架。 有关此合规性标准的详细信息,请参阅印度储备银行 - 面向 NBFC 的 IT 框架

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
IT 治理 RBI IT 框架 1 IT 治理-1 应在虚拟机上启用漏洞评估解决方案 3.0.0
IT 治理 RBI IT 框架 1 IT 治理-1 计算机上的 SQL 服务器应已解决漏洞发现 1.0.0
IT 治理 RBI IT 框架 1 IT 治理-1 应在虚拟机规模集上安装系统更新 3.0.0
IT 治理 RBI IT 框架 1 IT 治理-1 应在计算机上安装系统更新 4.0.0
IT 治理 RBI IT 框架 1 IT 治理-1 应修正容器安全配置中的漏洞 3.0.0
IT 治理 RBI IT 框架 1 IT 治理-1 应修复计算机上安全配置中的漏洞 3.0.0
IT 治理 RBI IT 框架 1 IT 治理-1 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
IT 治理 RBI IT 框架 1.1 IT 治理-1.1 应禁用虚拟机上的 IP 转发 3.0.0
IT 治理 RBI IT 框架 1.1 IT 治理-1.1 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
IT 治理 RBI IT 框架 1.1 IT 治理-1.1 应关闭虚拟机上的管理端口 3.0.0
IT 策略 RBI IT 框架 2 IT 策略-2 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
IT 策略 RBI IT 框架 2 IT 策略-2 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
信息和网络安全 RBI IT 框架 3.1.b 功能分离-3.1 [预览版]:应在支持的 Windows 虚拟机上启用安全启动 3.0.0-preview
信息和网络安全 RBI IT 框架 3.1.b 功能分离-3.1 [预览版]:应在支持的虚拟机上启用 vTPM 2.0.0-preview
信息和网络安全 RBI IT 框架 3.1.b 功能分离-3.1 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 1.0.1
信息和网络安全 RBI IT 框架 3.1.c 基于角色的访问控制-3.1 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
信息和网络安全 RBI IT 框架 3.1.g Trails-3.1 [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1-preview
信息和网络安全 RBI IT 框架 3.1.g Trails-3.1 [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 1.0.2-preview
信息和网络安全 RBI IT 框架 3.1.g Trails-3.1 [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 1.0.2-preview
信息和网络安全 RBI IT 框架 3.1.g Trails-3.1 Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 1.0.0
信息和网络安全 RBI IT 框架 3.1.g Trails-3.1 Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 1.0.0
信息和网络安全 RBI IT 框架 3.1.g Trails-3.1 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1
信息和网络安全 RBI IT 框架 3.1.g Trails-3.1 应在虚拟机规模集上安装 Log Analytics 扩展 1.0.1
信息和网络安全 RBI IT 框架 3.1.g Trails-3.1 虚拟机应安装 Log Analytics 扩展 1.0.1
信息和网络安全 RBI IT 框架 3.1.h 公钥基础结构 (PKI)-3.1 托管磁盘应使用一组特定的磁盘加密集来进行客户管理的密钥加密 2.0.0
信息和网络安全 RBI IT 框架 3.1.h 公钥基础结构 (PKI)-3.1 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 2.0.3
信息和网络安全 RBI IT 框架 3.3 漏洞管理-3.3 应在虚拟机上启用漏洞评估解决方案 3.0.0
信息和网络安全 RBI IT 框架 3.3 漏洞管理-3.3 计算机上的 SQL 服务器应已解决漏洞发现 1.0.0
信息和网络安全 RBI IT 框架 3.3 漏洞管理-3.3 应在虚拟机规模集上安装系统更新 3.0.0
信息和网络安全 RBI IT 框架 3.3 漏洞管理-3.3 应在计算机上安装系统更新 4.0.0
信息和网络安全 RBI IT 框架 3.3 漏洞管理-3.3 应修正容器安全配置中的漏洞 3.0.0
信息和网络安全 RBI IT 框架 3.3 漏洞管理-3.3 应修复计算机上安全配置中的漏洞 3.0.0
信息和网络安全 RBI IT 框架 3.3 漏洞管理-3.3 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
IT 操作 RBI IT 框架 4.2 IT 运营-4.2 [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 1.0.2-preview
IT 操作 RBI IT 框架 4.4.a IT 运营-4.4 应在虚拟机上启用漏洞评估解决方案 3.0.0
IT 操作 RBI IT 框架 4.4.b 高级管理信息系统-4.4 应在虚拟机上启用漏洞评估解决方案 3.0.0
IS 审核 RBI IT 框架 5 信息系统审核策略(IS 审核)-5 应限制在与虚拟机关联的网络安全组上使用所有网络端口 3.0.0
IS 审核 RBI IT 框架 5 信息系统审核策略(IS 审核)-5 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
IS 审核 RBI IT 框架 5 信息系统审核策略(IS 审核)-5 应禁用虚拟机上的 IP 转发 3.0.0
IS 审核 RBI IT 框架 5 信息系统审核策略(IS 审核)-5 应使用网络安全组来保护非面向 Internet 的虚拟机 3.0.0
IS 审核 RBI IT 框架 5.2 覆盖率-5.2 应为虚拟机启用 Azure 备份 3.0.0
业务连续性规划 RBI IT 框架 6 业务连续性规划 (BCP) 和灾难恢复-6 审核未配置灾难恢复的虚拟机 1.0.0
业务连续性规划 RBI IT 框架 6 业务连续性规划 (BCP) 和灾难恢复-6 应为虚拟机启用 Azure 备份 3.0.0
业务连续性规划 RBI IT 框架 6.2 恢复策略/应变计划-6.2 审核未配置灾难恢复的虚拟机 1.0.0
业务连续性规划 RBI IT 框架 6.2 恢复策略/应变计划-6.2 应为虚拟机启用 Azure 备份 3.0.0
业务连续性规划 RBI IT 框架 6.3 恢复策略/应变计划-6.3 应为虚拟机启用 Azure 备份 3.0.0
业务连续性规划 RBI IT 框架 6.4 恢复策略/应变计划-6.4 审核未配置灾难恢复的虚拟机 1.0.0

马来西亚 RMIT

若要查看可供所有 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - 马来西亚 RMIT。 有关此合规性标准的详细信息,请参阅马来西亚 RMIT

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
数据中心运营 RMiT 10.27 数据中心运营 - 10.27 部署 - 将 Log Analytics 扩展配置为在 Windows 虚拟机规模集上启用 3.0.1
数据中心运营 RMiT 10.27 数据中心运营 - 10.27 应将虚拟机迁移到新的 Azure 资源管理器资源 1.0.0
数据中心运营 RMiT 10.30 数据中心运营 - 10.30 应为虚拟机启用 Azure 备份 3.0.0
网络复原能力 RMiT 10.33 网络复原能力 - 10.33 应限制在与虚拟机关联的网络安全组上使用所有网络端口 3.0.0
网络复原能力 RMiT 10.33 网络复原能力 - 10.33 将托管磁盘配置为禁用公用网络访问 2.0.0
网络复原能力 RMiT 10.33 网络复原能力 - 10.33 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
网络复原能力 RMiT 10.33 网络复原能力 - 10.33 应禁用虚拟机上的 IP 转发 3.0.0
网络复原能力 RMiT 10.33 网络复原能力 - 10.33 托管磁盘应禁用公用网络访问 2.0.0
网络复原能力 RMiT 10.33 网络复原能力 - 10.33 应使用网络安全组来保护非面向 Internet 的虚拟机 3.0.0
网络复原能力 RMiT 10.33 网络复原能力 - 10.33 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 2.0.3
网络复原能力 RMiT 10.35 网络复原能力 - 10.35 部署 - 将 Log Analytics 扩展配置为在 Windows 虚拟机规模集上启用 3.0.1
云服务 RMiT 10.49 云服务 - 10.49 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
云服务 RMiT 10.49 云服务 - 10.49 应关闭虚拟机上的管理端口 3.0.0
云服务 RMiT 10.51 云服务 - 10.51 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
云服务 RMiT 10.51 云服务 - 10.51 审核未配置灾难恢复的虚拟机 1.0.0
云服务 RMiT 10.53 云服务 - 10.53 托管磁盘应使用一组特定的磁盘加密集来进行客户管理的密钥加密 2.0.0
云服务 RMiT 10.53 云服务 - 10.53 应使用客户管理的密钥来加密 OS 和数据磁盘 3.0.0
访问控制 RMiT 10.54 访问控制 - 10.54 应在计算机上安装来宾配置扩展 1.0.2
访问控制 RMiT 10.54 访问控制 - 10.54 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
访问控制 RMiT 10.54 访问控制 - 10.54 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 1.0.1
访问控制 RMiT 10.61 访问控制 - 10.61 应在计算机上安装来宾配置扩展 1.0.2
访问控制 RMiT 10.61 访问控制 - 10.61 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
访问控制 RMiT 10.61 访问控制 - 10.61 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 1.0.1
补丁和生命周期终结系统管理 RMiT 10.63 补丁和生命周期终结系统管理 - 10.63 Microsoft Antimalware for Azure 应配置为自动更新保护签名 1.0.0
补丁和生命周期终结系统管理 RMiT 10.63 补丁和生命周期终结系统管理 - 10.63 应在虚拟机规模集上安装系统更新 3.0.0
补丁和生命周期终结系统管理 RMiT 10.65 补丁和生命周期终结系统管理 - 10.65 应在计算机上安装系统更新 4.0.0
补丁和生命周期终结系统管理 RMiT 10.65 补丁和生命周期终结系统管理 - 10.65 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
数字服务的安全性 RMiT 10.66 数字服务的安全性 - 10.66 部署 - 将 Log Analytics 扩展配置为在 Windows 虚拟机上启用 3.0.1
数字服务的安全性 RMiT 10.66 数字服务的安全性 - 10.66 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 2.0.1
数字服务的安全性 RMiT 10.66 数字服务的安全性 - 10.66 应在虚拟机规模集上安装 Log Analytics 扩展 1.0.1
数字服务的安全性 RMiT 10.66 数字服务的安全性 - 10.66 虚拟机应安装 Log Analytics 扩展 1.0.1
数据丢失防护 (DLP) RMiT 11.15 数据丢失防护 (DLP) - 11.15 将托管磁盘配置为禁用公用网络访问 2.0.0
数据丢失防护 (DLP) RMiT 11.15 数据丢失防护 (DLP) - 11.15 托管磁盘应禁用公用网络访问 2.0.0
数据丢失防护 (DLP) RMiT 11.15 数据丢失防护 (DLP) - 11.15 托管磁盘应使用一组特定的磁盘加密集来进行客户管理的密钥加密 2.0.0
安全运营中心 (SOC) RMiT 11.17 安全运营中心 (SOC) - 11.17 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
安全运营中心 (SOC) RMiT 11.17 安全运营中心 (SOC) - 11.17 应更新自适应应用程序控制策略中的允许列表规则 3.0.0
安全运营中心 (SOC) RMiT 11.17 安全运营中心 (SOC) - 11.17 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
安全运营中心 (SOC) RMiT 11.17 安全运营中心 (SOC) - 11.17 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
安全运营中心 (SOC) RMiT 11.18 安全运营中心 (SOC) - 11.18 Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 1.0.0
安全运营中心 (SOC) RMiT 11.18 安全运营中心 (SOC) - 11.18 Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 1.0.0
安全运营中心 (SOC) RMiT 11.18 安全运营中心 (SOC) - 11.18 Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 1.0.0
安全运营中心 (SOC) RMiT 11.18 安全运营中心 (SOC) - 11.18 Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 1.0.0
安全运营中心 (SOC) RMiT 11.18 安全运营中心 (SOC) - 11.18 应启用虚拟机规模集中的资源日志 2.1.0
安全运营中心 (SOC) RMiT 11.18 安全运营中心 (SOC) - 11.18 应启用虚拟机规模集中的资源日志 2.1.0
网络风险管理 RMiT 11.2 网络风险管理 - 11.2 虚拟机和虚拟机规模集应启用主机中加密 1.0.0
网络风险管理 RMiT 11.2 网络风险管理 - 11.2 虚拟机和虚拟机规模集应启用主机中加密 1.0.0
安全运营中心 (SOC) RMiT 11.20 安全运营中心 (SOC) - 11.20 虚拟机和虚拟机规模集应启用主机中加密 1.0.0
安全运营中心 (SOC) RMiT 11.20 安全运营中心 (SOC) - 11.20 虚拟机和虚拟机规模集应启用主机中加密 1.0.0
网络风险管理 RMiT 11.4 网络风险管理 - 11.4 配置将不带给定标记的虚拟机备份到同一位置中的现有恢复服务保管库 9.0.0
网络风险管理 RMiT 11.4 网络风险管理 - 11.4 配置将不带给定标记的虚拟机备份到同一位置中的现有恢复服务保管库 9.0.0
网络风险管理 RMiT 11.4 网络风险管理 - 11.4 应当仅安装已批准的 VM 扩展 1.0.0
网络风险管理 RMiT 11.4 网络风险管理 - 11.4 应当仅安装已批准的 VM 扩展 1.0.0
网络安全操作 RMiT 11.8 网络安全操作 - 11.8 应在虚拟机上启用漏洞评估解决方案 3.0.0
网络安全控制措施 RMiT 附录 5.2 网络安全控制措施 - 附录 5.2 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
网络安全控制措施 RMiT 附录 5.2 网络安全控制措施 - 附录 5.2 应修复计算机上安全配置中的漏洞 3.0.0
网络安全控制措施 RMiT 附录 5.7 网络安全控制措施 - 附录 5.7 应限制在与虚拟机关联的网络安全组上使用所有网络端口 3.0.0
网络安全控制措施 RMiT 附录 5.7 网络安全控制措施 - 附录 5.7 面向 Internet 的虚拟机应使用网络安全组进行保护 3.0.0
网络安全控制措施 RMiT 附录 5.7 网络安全控制措施 - 附录 5.7 应禁用虚拟机上的 IP 转发 3.0.0
网络安全控制措施 RMiT 附录 5.7 网络安全控制措施 - 附录 5.7 Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 1.0.0
网络安全控制措施 RMiT 附录 5.7 网络安全控制措施 - 附录 5.7 Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 1.0.0
网络安全控制措施 RMiT 附录 5.7 网络安全控制措施 - 附录 5.7 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 1.1.0
网络安全控制措施 RMiT 附录 5.7 网络安全控制措施 - 附录 5.7 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
网络安全控制措施 RMiT 附录 5.7 网络安全控制措施 - 附录 5.7 应使用网络安全组来保护非面向 Internet 的虚拟机 3.0.0
网络安全控制措施 RMiT 附录 5.7 网络安全控制措施 - 附录 5.7 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 2.0.3
网络安全控制措施 RMiT 附录 5.7 网络安全控制措施 - 附录 5.7 应修正容器安全配置中的漏洞 3.0.0

英国官方和英国 NHS

若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - UK OFFICIAL 和 UK NHS。 有关此合规性标准的详细信息,请参阅 UK OFFICIAL

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
传输中数据保护 1 传输中数据保护 应将 Windows Web 服务器配置为使用安全通信协议 4.0.0
标识和身份验证 10 标识和身份验证 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 4.0.0
标识和身份验证 10 标识和身份验证 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 4.0.0
标识和身份验证 10 标识和身份验证 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 3.0.0
标识和身份验证 10 标识和身份验证 审核未将密码文件权限设为 0644 的 Linux 计算机 3.0.0
标识和身份验证 10 标识和身份验证 审核具有不使用密码的帐户的 Linux 计算机 3.0.0
标识和身份验证 10 标识和身份验证 审核未使用托管磁盘的 VM 1.0.0
标识和身份验证 10 标识和身份验证 审核允许重用之前的 24 个密码的 Windows 计算机 2.0.0
标识和身份验证 10 标识和身份验证 审核未将最长密码期限设为 70 天的 Windows 计算机 2.0.0
标识和身份验证 10 标识和身份验证 审核未将最短密码期限设为 1 天的 Windows 计算机 2.0.0
标识和身份验证 10 标识和身份验证 审核未启用密码复杂性设置的 Windows 计算机 2.0.0
标识和身份验证 10 标识和身份验证 审核未将最短密码长度限制为 14 个字符的 Windows 计算机 2.0.0
标识和身份验证 10 标识和身份验证 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 3.0.0
标识和身份验证 10 标识和身份验证 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 1.2.0
标识和身份验证 10 标识和身份验证 应将虚拟机迁移到新的 Azure 资源管理器资源 1.0.0
外部接口保护 11 外部接口保护 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
外部接口保护 11 外部接口保护 应在面向 Internet 的虚拟机上应用自适应网络强化建议 3.0.0
外部接口保护 11 外部接口保护 应限制在与虚拟机关联的网络安全组上使用所有网络端口 3.0.0
外部接口保护 11 外部接口保护 应在虚拟机规模集上安装终结点保护解决方案 3.0.0
外部接口保护 11 外部接口保护 应通过即时网络访问控制来保护虚拟机的管理端口 3.0.0
资产保护和复原能力 2.3 静态数据保护 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 2.0.3
运营安全 5.2 漏洞管理 应在虚拟机上启用漏洞评估解决方案 3.0.0
运营安全 5.2 漏洞管理 监视 Azure 安全中心 Endpoint Protection 的缺失情况 3.0.0
运营安全 5.2 漏洞管理 应在虚拟机规模集上安装系统更新 3.0.0
运营安全 5.2 漏洞管理 应在计算机上安装系统更新 4.0.0
运营安全 5.2 漏洞管理 应修复计算机上安全配置中的漏洞 3.0.0
运营安全 5.2 漏洞管理 应修复虚拟机规模集上安全配置中的漏洞 3.0.0
运营安全 5.3 保护监视 应在计算机中启用自适应应用程序控制以定义安全应用程序 3.0.0
运营安全 5.3 保护监视 审核未配置灾难恢复的虚拟机 1.0.0

后续步骤