你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 虚拟机的 Azure Policy 法规遵从性控制措施
适用于:✔️ Linux VM ✔️ Windows VM ✔️ 灵活规模集 ✔️ 统一规模集
Azure Policy 中的法规遵从性为与不同合规性标准相关的“合规性域”和“安全控制”提供由 Microsoft 创建和管理的计划定义,称为“内置项” 。 此页列出 Azure 虚拟机的“符合域”和“安全控制措施” 。 可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
重要
每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的“符合”仅指策略本身。 这并不能确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 对于这些合规性标准,控件与 Azure Policy 法规合规性定义之间的关联可能会随时间的推移而发生变化。
澳大利亚政府 ISM PROTECTED
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 澳大利亚政府 ISM PROTECTED。 有关此合规性标准的详细信息,请参阅澳大利亚政府 ISM PROTECTED。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 人员安全性指导原则 - 对系统及其资源的访问 | 415 | 用户标识 - 415 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 415 | 用户标识 - 415 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 415 | 用户标识 - 415 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 415 | 用户标识 - 415 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 系统强化指导原则 - 身份验证强化 | 421 | 单因素身份验证 - 421 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 系统强化指导原则 - 身份验证强化 | 421 | 单因素身份验证 - 421 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 系统强化指导原则 - 身份验证强化 | 421 | 单因素身份验证 - 421 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 系统强化指导原则 - 身份验证强化 | 421 | 单因素身份验证 - 421 | Windows 计算机应符合“安全设置 - 帐户策略”的要求 | 3.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 445 | 对系统的特权访问 - 445 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 445 | 对系统的特权访问 - 445 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 445 | 对系统的特权访问 - 445 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 445 | 对系统的特权访问 - 445 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 加密指南 - 加密基本要求 | 459 | 加密静态数据 - 459 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 系统监视指导原则 - 事件日志记录和审核 | 582 | 要记录的事件 - 582 | 虚拟机应连接到指定的工作区 | 1.1.0 |
| 系统管理指导原则 - 系统修补 | 940 | 何时修补安全漏洞 - 940 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 940 | 何时修补安全漏洞 - 940 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 940 | 何时修补安全漏洞 - 940 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 系统管理指导原则 - 系统修补 | 940 | 何时修补安全漏洞 - 940 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 加密指南 - 传输层安全性 | 1139 | 使用传输层安全性 - 1139 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 加密指南 - 传输层安全性 | 1139 | 使用传输层安全性 - 1139 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 加密指南 - 传输层安全性 | 1139 | 使用传输层安全性 - 1139 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 加密指南 - 传输层安全性 | 1139 | 使用传输层安全性 - 1139 | 应将 Windows Web 服务器配置为使用安全通信协议 | 4.1.0 |
| 系统管理指导原则 - 系统修补 | 1144 | 何时修补安全漏洞 - 1144 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1144 | 何时修补安全漏洞 - 1144 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1144 | 何时修补安全漏洞 - 1144 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 系统管理指导原则 - 系统修补 | 1144 | 何时修补安全漏洞 - 1144 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 网络指南 - 网络设计和配置 | 1182 | 网络访问控制 - 1182 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 网络指南 - 网络设计和配置 | 1182 | 网络访问控制 - 1182 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 数据库系统指导原则 - 数据库服务器 | 1277 | 数据库服务器和 Web 服务器之间的通信 - 1277 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 数据库系统指南 - 数据库服务器 | 1277 | 数据库服务器和 Web 服务器之间的通信 - 1277 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 数据库系统指南 - 数据库服务器 | 1277 | 数据库服务器和 Web 服务器之间的通信 - 1277 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 数据库系统指导原则 - 数据库服务器 | 1277 | 数据库服务器和 Web 服务器之间的通信 - 1277 | 应将 Windows Web 服务器配置为使用安全通信协议 | 4.1.0 |
| 网关指南 - 内容筛选 | 1288 | 病毒扫描 - 1288 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 网关指南 - 内容筛选 | 1288 | 病毒扫描 - 1288 | 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 | 1.1.0 |
| 网关指南 - 内容筛选 | 1288 | 病毒扫描 - 1288 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 系统管理指导原则 - 系统管理 | 1386 | 管理流量流限制 - 1386 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 系统强化指导原则 - 操作系统强化 | 1407 | 操作系统版本 - 1407 | 应在虚拟机规模集上安装系统更新 | 3.0.0 |
| 系统强化指导原则 - 操作系统强化 | 1407 | 操作系统版本 - 1407 | 应在计算机上安装系统更新 | 4.0.0 |
| 系统强化指导原则 - 操作系统强化 | 1417 | 防病毒软件 - 1417 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 系统强化指导原则 - 操作系统强化 | 1417 | 防病毒软件 - 1417 | 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 | 1.1.0 |
| 系统强化指导原则 - 操作系统强化 | 1417 | 防病毒软件 - 1417 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 数据库系统指南 - 数据库服务器 | 1425 | 保护数据库服务器的内容 - 1425 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 系统管理指导原则 - 系统修补 | 1472 | 何时修补安全漏洞 - 1472 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1472 | 何时修补安全漏洞 - 1472 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1472 | 何时修补安全漏洞 - 1472 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 系统管理指导原则 - 系统修补 | 1472 | 何时修补安全漏洞 - 1472 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 系统强化指导原则 - 操作系统强化 | 1490 | 应用程序控制 - 1490 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1494 | 何时修补安全漏洞 - 1494 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1494 | 何时修补安全漏洞 - 1494 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1494 | 何时修补安全漏洞 - 1494 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 系统管理指导原则 - 系统修补 | 1494 | 何时修补安全漏洞 - 1494 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1495 | 何时修补安全漏洞 - 1495 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1495 | 何时修补安全漏洞 - 1495 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1495 | 何时修补安全漏洞 - 1495 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 系统管理指导原则 - 系统修补 | 1495 | 何时修补安全漏洞 - 1495 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1496 | 何时修补安全漏洞 - 1496 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1496 | 何时修补安全漏洞 - 1496 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1496 | 何时修补安全漏洞 - 1496 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 系统管理指导原则 - 系统修补 | 1496 | 何时修补安全漏洞 - 1496 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1503 | 对系统的标准访问 - 1503 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1503 | 对系统的标准访问 - 1503 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1503 | 对系统的标准访问 - 1503 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1503 | 对系统的标准访问 - 1503 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1507 | 对系统的特权访问 - 1507 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1507 | 对系统的特权访问 - 1507 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1507 | 对系统的特权访问 - 1507 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1507 | 对系统的特权访问 - 1507 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1508 | 对系统的特权访问 - 1508 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1508 | 对系统的特权访问 - 1508 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1508 | 对系统的特权访问 - 1508 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1508 | 对系统的特权访问 - 1508 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1508 | 对系统的特权访问 - 1508 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 系统管理指导原则 - 数据备份和还原 | 1511 | 执行备份 - 1511 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
| 系统强化指导原则 - 身份验证强化 | 1546 | 向系统进行身份验证 - 1546 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 系统强化指导原则 - 身份验证强化 | 1546 | 向系统进行身份验证 - 1546 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 系统强化指导原则 - 身份验证强化 | 1546 | 向系统进行身份验证 - 1546 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.0.0 |
| 系统强化指导原则 - 身份验证强化 | 1546 | 向系统进行身份验证 - 1546 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.0.0 |
| 系统强化指导原则 - 身份验证强化 | 1546 | 向系统进行身份验证 - 1546 | 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 3.0.0 |
Azure 安全基准 v1
Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Azure 安全基准,请参阅 Azure 安全基准映射文件。
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - Azure 安全基准。
加拿大联邦 PBMM
若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - 加拿大联邦 PBMM。 有关此合规性标准的详细信息,请参阅加拿大联邦 PBMM。
CIS Microsoft Azure 基础基准检验 1.1.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - CIS Microsoft Azure 基础基准 1.1.0。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 2 安全中心 | 2.10 | 确保 ASC 默认策略设置“监视漏洞评估”不是处于“已禁用”状态 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 2 安全中心 | 2.12 | 确保 ASC 默认策略设置“监视 JIT 网络访问”不是处于“已禁用”状态 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 2 安全中心 | 2.13 | 确保 ASC 默认策略设置“监视自适应应用程序允许列表”不是处于“已禁用”状态 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 2 安全中心 | 2.3 | 确保 ASC 默认策略设置“监视系统更新”不是处于“已禁用”状态 | 应在计算机上安装系统更新 | 4.0.0 |
| 2 安全中心 | 2.4 | 确保 ASC 默认策略设置“监视 OS 漏洞”不是处于“已禁用”状态 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 2 安全中心 | 2.5 | 确保 ASC 默认策略设置“监视 Endpoint Protection”不是处于“已禁用”状态 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 2 安全中心 | 2.6 | 确保 ASC 默认策略设置“监视磁盘加密”不是处于“已禁用”状态 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 2 安全中心 | 2.7 | 确保 ASC 默认策略设置“监视网络安全组”不是处于“已禁用”状态 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 2 安全中心 | 2.9 | 确保 ASC 默认策略设置“启用下一代防火墙(NGFW)监视”不是处于“已禁用”状态 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 7 虚拟机 | 7.1 | 确保“OS 磁盘”已加密 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 7 虚拟机 | 7.2 | 确保“数据磁盘”已加密 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 7 虚拟机 | 7.4 | 确保仅安装已批准的扩展 | 应当仅安装已批准的 VM 扩展 | 1.0.0 |
| 7 虚拟机 | 7.5 | 确保已应用适用于所有虚拟机的最新 OS 修补程序 | 应在计算机上安装系统更新 | 4.0.0 |
| 7 虚拟机 | 7.6 | 确保已安装适用于所有虚拟机的 Endpoint Protection | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
CIS Microsoft Azure 基础基准检验 1.3.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - CIS Microsoft Azure 基础基准 1.3.0。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 7 虚拟机 | 7.1 | 确保虚拟机使用托管磁盘 | 审核未使用托管磁盘的 VM | 1.0.0 |
| 7 虚拟机 | 7.2 | 确保“OS 和数据”磁盘已通过 CMK 进行加密 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 7 虚拟机 | 7.4 | 确保仅安装已批准的扩展 | 应当仅安装已批准的 VM 扩展 | 1.0.0 |
| 7 虚拟机 | 7.5 | 确保已应用适用于所有虚拟机的最新 OS 修补程序 | 应在计算机上安装系统更新 | 4.0.0 |
| 7 虚拟机 | 7.6 | 确保已安装适用于所有虚拟机的 Endpoint Protection | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
CIS Microsoft Azure 基础基准 1.4.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 CIS v1.4.0 的 Azure Policy 合规性详细信息。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 7 虚拟机 | 7.1 | 确保虚拟机使用托管磁盘 | 审核未使用托管磁盘的 VM | 1.0.0 |
| 7 虚拟机 | 7.2 | 确保使用客户管理的密钥 (CMK) 对“OS 和数据”磁盘进行加密 | 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 | 2.0.3 |
| 7 虚拟机 | 7.4 | 确保仅安装已批准的扩展 | 应当仅安装已批准的 VM 扩展 | 1.0.0 |
| 7 虚拟机 | 7.5 | 确保已应用适用于所有虚拟机的最新 OS 修补程序 | 应在计算机上安装系统更新 | 4.0.0 |
| 7 虚拟机 | 7.6 | 确保已安装适用于所有虚拟机的 Endpoint Protection | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
CIS Microsoft Azure 基础基准检验 2.0.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 CIS v2.0.0 的 Azure Policy 合规性详细信息。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 2.1 | 2.1.13 | 确保 Microsoft Defender 建议的“应用系统更新”状态为“已完成” | [预览版]:计算机应配置为定期检查,以确认缺少的系统更新 | 3.4.0-preview |
| 6 | 6.1 | 确保已评估和限制从 Internet 进行的 RDP 访问 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 6 | 6.2 | 确保已评估和限制从 Internet 进行的 SSH 访问 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 7 | 7.2 | 确保虚拟机使用托管磁盘 | 审核未使用托管磁盘的 VM | 1.0.0 |
| 7 | 7.3 | 确保使用客户管理的密钥 (CMK) 对“OS 和数据”磁盘进行加密 | 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 | 2.0.3 |
| 7 | 7.4 | 确保使用“客户管理的密钥”(CMK) 对“未附加的磁盘”进行加密 | 应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘 | 1.0.0 |
| 7 | 7.5 | 确保仅安装已批准的扩展 | 应当仅安装已批准的 VM 扩展 | 1.0.0 |
| 7 | 7.6 | 确保已安装适用于所有虚拟机的 Endpoint Protection | 应在计算机上安装 Endpoint Protection | 1.0.0 |
CMMC 级别 3
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - CMMC 级别 3。 有关此合规性标准的详细信息,请参阅网络安全成熟度模型认证 (CMMC)。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.0.0 |
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | Windows 计算机应符合“安全选项 - 网络访问”的要求 | 3.0.0 |
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.0.0 |
| 访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | Windows 计算机应符合“安全选项 - 网络访问”的要求 | 3.0.0 |
| 访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | 应将 Windows Web 服务器配置为使用安全通信协议 | 4.1.0 |
| 访问控制 | AC.1.003 | 验证和控制/限制外部信息系统的连接和使用。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 访问控制 | AC.1.003 | 验证和控制/限制外部信息系统的连接和使用。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 访问控制 | AC.2.007 | 对特定安全功能和特权帐户等内容采用最小特权原则。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 访问控制 | AC.2.008 | 访问非安全性函数时使用非特权帐户或角色。 | Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 | 3.0.0 |
| 访问控制 | AC.2.008 | 访问非安全性函数时使用非特权帐户或角色。 | Windows 计算机应符合“用户权限分配”的要求 | 3.0.0 |
| 访问控制 | AC.2.013 | 监视和控制远程访问会话。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 访问控制 | AC.2.013 | 监视和控制远程访问会话。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 访问控制 | AC.2.013 | 监视和控制远程访问会话。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.0.0 |
| 访问控制 | AC.2.013 | 监视和控制远程访问会话。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 访问控制 | AC.2.013 | 监视和控制远程访问会话。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 访问控制 | AC.2.013 | 监视和控制远程访问会话。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 访问控制 | AC.2.016 | 根据批准的授权控制 CUI 流。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 访问控制 | AC.2.016 | 根据批准的授权控制 CUI 流。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 访问控制 | AC.2.016 | 根据批准的授权控制 CUI 流。 | Windows 计算机应符合“安全选项 - 网络访问”的要求 | 3.0.0 |
| 访问控制 | AC.3.017 | 区分个体的责任,减少无串谋的恶意活动的风险。 | 审核缺少管理员组中任何指定成员的 Windows 计算机 | 2.0.0 |
| 访问控制 | AC.3.017 | 区分个体的责任,减少无串谋的恶意活动的风险。 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 访问控制 | AC.3.018 | 阻止非特权用户执行特权函数,并在审核日志中捕获此类函数的执行情况。 | Windows 计算机应符合“系统审核策略 - 特权使用”的要求 | 3.0.0 |
| 访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 3.0.0 |
| 访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | 应在计算机上安装来宾配置扩展 | 1.0.3 |
| 访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 1.0.1 |
| 访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 | 3.0.0 |
| 访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | Windows 计算机应符合“用户权限分配”的要求 | 3.0.0 |
| 审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1-preview |
| 审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1 |
| 审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | 应在虚拟机规模集上安装 Log Analytics 扩展 | 1.0.1 |
| 审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | 虚拟机应连接到指定的工作区 | 1.1.0 |
| 审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | 虚拟机应安装 Log Analytics 扩展 | 1.0.1 |
| 审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1-preview |
| 审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1 |
| 审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 应在虚拟机规模集上安装 Log Analytics 扩展 | 1.0.1 |
| 审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 虚拟机应连接到指定的工作区 | 1.1.0 |
| 审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 虚拟机应安装 Log Analytics 扩展 | 1.0.1 |
| 审核和责任 | AU.3.046 | 审核日志记录过程失败时发出警报。 | [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1-preview |
| 审核和责任 | AU.3.046 | 审核日志记录过程失败时发出警报。 | 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1 |
| 审核和责任 | AU.3.046 | 审核日志记录过程失败时发出警报。 | 虚拟机应连接到指定的工作区 | 1.1.0 |
| 审核和责任 | AU.3.048 | 将审核信息(例如日志)集中收集到一个或多个存储库中。 | [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1-preview |
| 审核和责任 | AU.3.048 | 将审核信息(例如日志)集中收集到一个或多个存储库中。 | 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1 |
| 审核和责任 | AU.3.048 | 将审核信息(例如日志)集中收集到一个或多个存储库中。 | 应在虚拟机规模集上安装 Log Analytics 扩展 | 1.0.1 |
| 审核和责任 | AU.3.048 | 将审核信息(例如日志)集中收集到一个或多个存储库中。 | 虚拟机应连接到指定的工作区 | 1.1.0 |
| 审核和责任 | AU.3.048 | 将审核信息(例如日志)集中收集到一个或多个存储库中。 | 虚拟机应安装 Log Analytics 扩展 | 1.0.1 |
| 安全评估 | CA.2.158 | 定期评估组织系统中的安全控制措施,以确定这些措施在其应用中是否有效。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 安全评估 | CA.2.158 | 定期评估组织系统中的安全控制措施,以确定这些措施在其应用中是否有效。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 安全评估 | CA.2.158 | 定期评估组织系统中的安全控制措施,以确定这些措施在其应用中是否有效。 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
| 安全评估 | CA.2.158 | 定期评估组织系统中的安全控制措施,以确定这些措施在其应用中是否有效。 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 安全评估 | CA.2.158 | 定期评估组织系统中的安全控制措施,以确定这些措施在其应用中是否有效。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 安全评估 | CA.3.161 | 持续监视安全控制措施,确保措施持续有效。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 安全评估 | CA.3.161 | 持续监视安全控制措施,确保措施持续有效。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 安全评估 | CA.3.161 | 持续监视安全控制措施,确保措施持续有效。 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
| 安全评估 | CA.3.161 | 持续监视安全控制措施,确保措施持续有效。 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 安全评估 | CA.3.161 | 持续监视安全控制措施,确保措施持续有效。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 配置管理 | CM.2.061 | 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 配置管理 | CM.2.061 | 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 | Linux 计算机应符合 Azure 计算安全基线的要求 | 2.1.0 |
| 配置管理 | CM.2.062 | 采用最少功能原则,将组织系统配置为仅提供基本功能。 | Windows 计算机应符合“系统审核策略 - 特权使用”的要求 | 3.0.0 |
| 配置管理 | CM.2.063 | 控制和监视用户安装的软件。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 配置管理 | CM.2.063 | 控制和监视用户安装的软件。 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
| 配置管理 | CM.2.063 | 控制和监视用户安装的软件。 | Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 | 3.0.0 |
| 配置管理 | CM.2.064 | 为组织系统中使用的信息技术产品建立和实施安全配置设置。 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 配置管理 | CM.2.064 | 为组织系统中使用的信息技术产品建立和实施安全配置设置。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 配置管理 | CM.2.065 | 跟踪、评审、批准/拒绝并记录对组织系统的更改。 | Windows 计算机应符合“系统审核策略 - 策略更改”的要求 | 3.0.0 |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 配置管理 | CM.3.069 | 应用 deny-by-exception(阻止列表)策略来防止使用未经授权的软件,或应用 deny-all 和 permit-by-exception(允许列表)策略来允许执行授权的软件。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 识别和身份验证 | IA.1.077 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 识别和身份验证 | IA.1.077 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 识别和身份验证 | IA.1.077 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 | 审核未将密码文件权限设为 0644 的 Linux 计算机 | 3.0.0 |
| 识别和身份验证 | IA.1.077 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.0.0 |
| 识别和身份验证 | IA.1.077 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 识别和身份验证 | IA.1.077 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 识别和身份验证 | IA.2.078 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 识别和身份验证 | IA.2.078 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 识别和身份验证 | IA.2.078 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.0.0 |
| 识别和身份验证 | IA.2.078 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 审核未启用密码复杂性设置的 Windows 计算机 | 2.0.0 |
| 识别和身份验证 | IA.2.078 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 2.1.0 |
| 识别和身份验证 | IA.2.078 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 识别和身份验证 | IA.2.078 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 识别和身份验证 | IA.2.079 | 禁止对指定数量的生成操作重复使用密码。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 识别和身份验证 | IA.2.079 | 禁止对指定数量的生成操作重复使用密码。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 识别和身份验证 | IA.2.079 | 禁止对指定数量的生成操作重复使用密码。 | 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 2.1.0 |
| 识别和身份验证 | IA.2.079 | 禁止对指定数量的生成操作重复使用密码。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 识别和身份验证 | IA.2.079 | 禁止对指定数量的生成操作重复使用密码。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 识别和身份验证 | IA.2.081 | 仅存储和传输受加密保护的密码。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 识别和身份验证 | IA.2.081 | 仅存储和传输受加密保护的密码。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 识别和身份验证 | IA.2.081 | 仅存储和传输受加密保护的密码。 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
| 识别和身份验证 | IA.2.081 | 仅存储和传输受加密保护的密码。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 识别和身份验证 | IA.2.081 | 仅存储和传输受加密保护的密码。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 识别和身份验证 | IA.3.084 | 针对到特权帐户和非特权帐户的网络访问采用防重播身份验证机制。 | 应将 Windows Web 服务器配置为使用安全通信协议 | 4.1.0 |
| 事件响应 | IR.2.093 | 检测和报告事件。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 恢复 | RE.2.137 | 定期执行和测试数据备份。 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
| 恢复 | RE.2.137 | 定期执行和测试数据备份。 | 应为虚拟机启用 Azure 备份 | 3.0.0 |
| 恢复 | RE.3.139 | 根据组织规定定期执行完整、全面且可复原的数据备份。 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
| 恢复 | RE.3.139 | 根据组织规定定期执行完整、全面且可复原的数据备份。 | 应为虚拟机启用 Azure 备份 | 3.0.0 |
| 风险评估 | RM.2.141 | 定期评估组织操作(包括任务、功能、映像或信誉)、组织资产和个人因组织系统的操作和相关的 CUI 处理、存储或传输而产生的风险。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 风险评估 | RM.2.142 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 风险评估 | RM.2.143 | 根据风险评估修正漏洞。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 风险评估 | RM.2.143 | 根据风险评估修正漏洞。 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 风险评估 | RM.2.143 | 根据风险评估修正漏洞。 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 风险评估 | RM.2.143 | 根据风险评估修正漏洞。 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应在与虚拟机关联的网络安全组上限制所有网络端口 | 3.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | Windows 计算机应符合“安全选项 - 网络访问”的要求 | 3.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应将 Windows Web 服务器配置为使用安全通信协议 | 4.1.0 |
| 系统和通信保护 | SC.1.176 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 系统和通信保护 | SC.1.176 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应在与虚拟机关联的网络安全组上限制所有网络端口 | 3.0.0 |
| 系统和通信保护 | SC.1.176 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 系统和通信保护 | SC.2.179 | 使用加密会话管理网络设备。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 系统和通信保护 | SC.3.177 | 采用经 FIPS 验证的加密系统来保护 CUI 的机密性。 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
| 系统和通信保护 | SC.3.177 | 采用经 FIPS 验证的加密模块来保护 CUI 的机密性。 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 系统和通信保护 | SC.3.181 | 将用户功能与系统管理功能分开。 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | Windows 计算机应符合“安全选项 - 网络访问”的要求 | 3.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 系统和通信保护 | SC.3.185 | 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 | 应将 Windows Web 服务器配置为使用安全通信协议 | 4.1.0 |
| 系统和通信保护 | SC.3.190 | 保护通信会话的真实性。 | 应将 Windows Web 服务器配置为使用安全通信协议 | 4.1.0 |
| 系统和通信保护 | SC.3.191 | 保护静态 CUI 的机密性。 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 系统和信息完整性 | SI.1.210 | 及时识别、报告和更正信息及信息系统缺陷。 | Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 1.0.0 |
| 系统和信息完整性 | SI.1.210 | 及时识别、报告和更正信息及信息系统缺陷。 | 应在虚拟机规模集上安装系统更新 | 3.0.0 |
| 系统和信息完整性 | SI.1.210 | 及时识别、报告和更正信息及信息系统缺陷。 | 应在计算机上安装系统更新 | 4.0.0 |
| 系统和信息完整性 | SI.1.210 | 及时识别、报告和更正信息及信息系统缺陷。 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 系统和信息完整性 | SI.1.210 | 及时识别、报告和更正信息及信息系统缺陷。 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 系统和信息完整性 | SI.1.211 | 在组织信息系统的适当位置提供针对恶意代码的防护。 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 系统和信息完整性 | SI.1.211 | 在组织信息系统的适当位置提供针对恶意代码的防护。 | Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 1.0.0 |
| 系统和信息完整性 | SI.1.211 | 在组织信息系统的适当位置提供针对恶意代码的防护。 | 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 | 1.1.0 |
| 系统和信息完整性 | SI.1.211 | 在组织信息系统的适当位置提供针对恶意代码的防护。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 系统和信息完整性 | SI.1.212 | 在有新版本可用时更新恶意代码防护机制。 | Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 1.0.0 |
| 系统和信息完整性 | SI.1.213 | 在下载、打开或执行文件时,对信息系统执行定期扫描,并对来自外部源的文件进行实时扫描。 | Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 1.0.0 |
| 系统和信息完整性 | SI.1.213 | 在下载、打开或执行文件时,对信息系统执行定期扫描,并对来自外部源的文件进行实时扫描。 | 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 | 1.1.0 |
| 系统和信息完整性 | SI.1.213 | 在下载、打开或执行文件时,对信息系统执行定期扫描,并对来自外部源的文件进行实时扫描。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
FedRAMP 高
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP High。 有关此合规性标准的详细信息,请参阅 FedRAMP High。
FedRAMP 中等
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP Moderate。 有关此合规性标准的详细信息,请参阅 FedRAMP Moderate。
HIPAA HITRUST 9.2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - HIPAA HITRUST 9.2。 有关此合规性标准的详细信息,请参阅 HIPAA HITRUST 9.2。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 用户识别和身份验证 | 11210.01q2Organizational.10 - 01.q | 电子记录上的电子签名和手写签名应与各自的电子记录关联。 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 用户识别和身份验证 | 11211.01q2Organizational.11 - 01.q | 已签名的电子记录应包含与以用户可读格式签名关联的信息。 | 审核缺少管理员组中任何指定成员的 Windows 计算机 | 2.0.0 |
| 02 终结点保护 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 防范恶意和移动代码 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 02 终结点保护 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 防范恶意和移动代码 | 为 Windows Server 部署默认 Microsoft IaaSAntimalware 扩展 | 1.1.0 |
| 02 终结点保护 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 防范恶意和移动代码 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 02 终结点保护 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 防范恶意和移动代码 | Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 1.0.0 |
| 02 终结点保护 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 防范恶意和移动代码 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 02 终结点保护 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 防范恶意和移动代码 | 应在计算机上安装系统更新 | 4.0.0 |
| 03 可移植媒体安全性 | 0302.09o2Organizational.1-09.o | 0302.09o2Organizational.1-09.o 09.07 介质处理 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 06 配置管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 系统文件的安全性 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 06 配置管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 系统文件的安全性 | Windows 计算机应符合“安全选项 - 审核”的要求 | 3.0.0 |
| 06 配置管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 系统文件的安全性 | Windows 计算机应符合“系统审核策略 - 帐户管理”的要求 | 3.0.0 |
| 06 配置管理 | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 07 漏洞管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技术漏洞管理 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 07 漏洞管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技术漏洞管理 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 07 漏洞管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技术漏洞管理 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 07 漏洞管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技术漏洞管理 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 07 漏洞管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技术漏洞管理 | Windows 计算机应符合“安全选项 - Microsoft 网络服务器”的要求 | 3.0.0 |
| 07 漏洞管理 | 0711.10m2Organizational.23-10.m | 0711.10m2Organizational.23-10.m 10.06 技术漏洞管理 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 07 漏洞管理 | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 技术漏洞管理 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 07 漏洞管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技术漏洞管理 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 07 漏洞管理 | 0715.10m2Organizational.8-10.m | 0715.10m2Organizational.8-10.m 10.06 技术漏洞管理 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 07 漏洞管理 | 0717.10m3Organizational.2-10.m | 0717.10m3Organizational.2-10.m 10.06 技术漏洞管理 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 07 漏洞管理 | 0718.10m3Organizational.34-10.m | 0718.10m3Organizational.34-10.m 10.06 技术漏洞管理 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 08 网络保护 | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 网络访问控制 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 08 网络保护 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 网络访问控制 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 08 网络保护 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 网络访问控制 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 08 网络保护 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 网络访问控制 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 08 网络保护 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 网络访问控制 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 08 网络保护 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 网络访问控制 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 08 网络保护 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 网络访问控制 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 08 网络保护 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 网络访问控制 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 08 网络保护 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 网络访问控制 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 08 网络保护 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 网络访问控制 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 08 网络保护 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 网络访问控制 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 08 网络保护 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 网络访问控制 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 08 网络保护 | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 网络安全管理 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 08 网络保护 | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 网络安全管理 | 应将虚拟机迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| 08 网络保护 | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 网络安全管理 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 08 网络保护 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 网络安全管理 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 08 网络保护 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 网络安全管理 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 08 网络保护 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 网络安全管理 | Windows 计算机应符合“Windows 防火墙属性”的要求 | 3.0.0 |
| 08 网络保护 | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 网络安全管理 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 08 网络保护 | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 网络安全管理 | Windows 计算机应符合“安全选项 - 网络访问”的要求 | 3.0.0 |
| 08 网络保护 | 0885.09n2Organizational.3-09.n | 0885.09n2Organizational.3-09.n 09.06 网络安全管理 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 08 网络保护 | 0887.09n2Organizational.5-09.n | 0887.09n2Organizational.5-09.n 09.06 网络安全管理 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 08 网络保护 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 网络访问控制 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 备份 | 1699.09l1Organizational.10 - 09.l | 确定工作人员在数据备份过程中的角色和职责并告知工作团队;特别是,要求自带设备办公 (BYOD) 的用户在其设备上对组织和/或客户端数据进行备份。 | 应为虚拟机启用 Azure 备份 | 3.0.0 |
| 09 传输保护 | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 电子商务服务 | 审核在受信任的根中不包含指定证书的 Windows 计算机 | 3.0.0 |
| 操作软件控制 | 0606.10h2System.1 - 10.h | 在生产之前,应用程序和操作系统已成功进行可用性、安全性和影响测试。 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 操作软件控制 | 0607.10h2System.23 - 10.h | 组织使用其配置控制程序来保持对所有已实现软件及其系统文档的控制,并将已实现软件和相关系统文档的历史版本存档。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 操作软件控制 | 0607.10h2System.23 - 10.h | 组织使用其配置控制程序来保持对所有已实现软件及其系统文档的控制,并将已实现软件和相关系统文档的历史版本存档。 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 11 访问控制 | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 对信息系统的授权访问 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 11 访问控制 | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 网络访问控制 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 11 访问控制 | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 操作系统访问控制 | 审核管理员组中具有额外帐户的 Windows 计算机 | 2.0.0 |
| 11 访问控制 | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 操作系统访问控制 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 11 访问控制 | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 操作系统访问控制 | 审核缺少管理员组中任何指定成员的 Windows 计算机 | 2.0.0 |
| 11 访问控制 | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 对信息系统的授权访问 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 11 访问控制 | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 对信息系统的授权访问 | Windows 计算机应符合“安全选项 - 帐户”的要求 | 3.0.0 |
| 11 访问控制 | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 对信息系统的授权访问 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 11 访问控制 | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 网络访问控制 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 11 访问控制 | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 网络访问控制 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 11 访问控制 | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 网络访问控制 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 11 访问控制 | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 网络访问控制 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 11 访问控制 | 1197.01l3Organizational.3-01.l | 1197.01l3Organizational.3-01.l 01.04 网络访问控制 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 12 审计日志记录和监视 | 1202.09aa1System.1-09.aa | 1202.09aa1System.1-09.aa 09.10 监视 | 应在虚拟机规模集上安装系统更新 | 3.0.0 |
| 12 审计日志记录和监视 | 12100.09ab2System.15-09.ab | 12100.09ab2System.15-09.ab 09.10 监视 | 虚拟机应安装 Log Analytics 扩展 | 1.0.1 |
| 12 审计日志记录和监视 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 监视 | 应在虚拟机规模集上安装 Log Analytics 扩展 | 1.0.1 |
| 12 审计日志记录和监视 | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 监视 | 审核其 Log Analytics 代理未按预期连接的 Windows 计算机 | 2.0.0 |
| 12 审计日志记录和监视 | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 监视 | 虚拟机应安装 Log Analytics 扩展 | 1.0.1 |
| 12 审计日志记录和监视 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 监视 | 应在虚拟机规模集上安装 Log Analytics 扩展 | 1.0.1 |
| 12 审计日志记录和监视 | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 监视 | 审核其 Log Analytics 代理未按预期连接的 Windows 计算机 | 2.0.0 |
| 12 审计日志记录和监视 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 记录的操作程序 | Windows 计算机应符合“用户权限分配”的要求 | 3.0.0 |
| 12 审计日志记录和监视 | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 记录的操作程序 | Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 | 3.0.0 |
| 16 业务连续性和灾难恢复 | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 信息备份 | 应为虚拟机启用 Azure 备份 | 3.0.0 |
| 16 业务连续性和灾难恢复 | 1625.09l3Organizational.34-09.l | 1625.09l3Organizational.34-09.l 09.05 信息备份 | 应为虚拟机启用 Azure 备份 | 3.0.0 |
| 16 业务连续性和灾难恢复 | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 业务连续性管理的信息安全方面 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
| 16 业务连续性和灾难恢复 | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 业务连续性管理的信息安全方面 | Windows 计算机应符合“安全选项 - 恢复控制台”的要求 | 3.0.0 |
| 16 业务连续性和灾难恢复 | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 业务连续性管理的信息安全方面 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
IRS 1075 2016 年 9 月
若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - IRS 1075 2016 年 9 月版。 有关此合规性标准的详细信息,请参阅 IRS 1075 2016 年 9 月版。
ISO 27001:2013
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - ISO 27001:2013。 有关此合规性标准的详细信息,请参阅 ISO 27001:2013。
Microsoft 云安全基准
Microsoft Cloud 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Microsoft Cloud 安全基准,请参阅 Azure 安全基准映射文件。
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - Microsoft Cloud 安全基准。
限制性的新西兰 ISM
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 限制性的新西兰 ISM。 有关此合规性标准的详细信息,请参阅限制性的新西兰 ISM。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 信息安全监视 | ISM-3 | 6.2.5 执行漏洞评估 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 信息安全监视 | ISM-4 | 6.2.6 解决漏洞 | 计算机上的 SQL 服务器应已解决漏洞发现 | 1.0.0 |
| 信息安全监视 | ISM-4 | 6.2.6 解决漏洞 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 信息安全监视 | ISM-4 | 6.2.6 解决漏洞 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 信息安全监视 | ISM-4 | 6.2.6 解决漏洞 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 信息安全监视 | ISM-7 | 6.4.5 可用性要求 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
| 产品安全性 | PRS-5 | 12.4.4 修补产品中的漏洞 | 应在虚拟机规模集上安装系统更新 | 3.0.0 |
| 产品安全性 | PRS-5 | 12.4.4 修补产品中的漏洞 | 应在计算机上安装系统更新 | 4.0.0 |
| 软件安全性 | SS-2 | 14.1.8 开发强化的 SOE | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 软件安全性 | SS-3 | 14.1.9 维护强化的 SOE | 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 3.0.0 |
| 软件安全性 | SS-3 | 14.1.9 维护强化的 SOE | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 软件安全性 | SS-3 | 14.1.9 维护强化的 SOE | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 软件安全性 | SS-3 | 14.1.9 维护强化的 SOE | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 软件安全性 | SS-3 | 14.1.9 维护强化的 SOE | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 软件安全性 | SS-5 | 14.2.4 应用程序允许列表 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 软件安全性 | SS-5 | 14.2.4 应用程序允许列表 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
| 访问控制和密码 | AC-4 | 16.1.40 密码选择策略 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.0.0 |
| 访问控制和密码 | AC-4 | 16.1.40 密码选择策略 | Windows 计算机应符合“安全设置 - 帐户策略”的要求 | 3.0.0 |
| 访问控制和密码 | AC-11 | 16.4.30 Privileged Access Management | 审核缺少管理员组中任何指定成员的 Windows 计算机 | 2.0.0 |
| 访问控制和密码 | AC-11 | 16.4.30 Privileged Access Management | 审核管理员组中具有额外帐户的 Windows 计算机 | 2.0.0 |
| 访问控制和密码 | AC-11 | 16.4.30 Privileged Access Management | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 访问控制和密码 | AC-13 | 16.5.10 身份验证 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.0.0 |
| 访问控制和密码 | AC-17 | 16.6.9 要记录的事件 | 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1 |
| 密码 | CR-3 | 17.1.46 降低存储和物理传输要求 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 密码 | CR-7 | 17.4.16 使用 TLS | 应将 Windows Web 服务器配置为使用安全通信协议 | 4.1.0 |
| 密码 | CR-9 | 17.5.7 身份验证机制 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.1.0 |
| 密码 | CR-14 | 17.9.25 KMP 的内容 | 应禁用虚拟机上的 IP 转发 | 3.0.0 |
| 网关安全性 | GS-2 | 19.1.11 使用网关 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 网关安全性 | GS-3 | 19.1.12 网关配置 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 网关安全性 | GS-5 | 19.1.23 网关测试 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
NIST SP 800-171 R2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-171 R2。 有关此符合性标准的详细信息,请参阅 NIST SP 800-171 R2。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.0.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.0.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.1.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 3.0.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 磁盘访问资源应使用专用链接 | 1.0.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 应将虚拟机迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| 访问控制 | 3.1.12 | 监视和控制远程访问会话。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 访问控制 | 3.1.12 | 监视和控制远程访问会话。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 访问控制 | 3.1.12 | 监视和控制远程访问会话。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.0.0 |
| 访问控制 | 3.1.12 | 监视和控制远程访问会话。 | 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 3.0.0 |
| 访问控制 | 3.1.12 | 监视和控制远程访问会话。 | 磁盘访问资源应使用专用链接 | 1.0.0 |
| 访问控制 | 3.1.13 | 采用加密机制来保护远程访问会话的机密性。 | 磁盘访问资源应使用专用链接 | 1.0.0 |
| 访问控制 | 3.1.14 | 通过托管的访问控制点路由远程访问。 | 磁盘访问资源应使用专用链接 | 1.0.0 |
| 访问控制 | 3.1.2 | 仅限授权用户有权执行的事务和函数类型进行系统访问。 | 应将虚拟机迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 磁盘访问资源应使用专用链接 | 1.0.0 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 应禁用虚拟机上的 IP 转发 | 3.0.0 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 访问控制 | 3.1.4 | 区分个体的责任,减少无串谋的恶意活动的风险。 | 审核缺少管理员组中任何指定成员的 Windows 计算机 | 2.0.0 |
| 访问控制 | 3.1.4 | 区分个体的责任,减少无串谋的恶意活动的风险。 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 风险评估 | 3.11.2 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 风险评估 | 3.11.2 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 计算机上的 SQL 服务器应已解决漏洞发现 | 1.0.0 |
| 风险评估 | 3.11.2 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 风险评估 | 3.11.2 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 风险评估 | 3.11.2 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 风险评估 | 3.11.3 | 根据风险评估修正漏洞。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 风险评估 | 3.11.3 | 根据风险评估修正漏洞。 | 计算机上的 SQL 服务器应已解决漏洞发现 | 1.0.0 |
| 风险评估 | 3.11.3 | 根据风险评估修正漏洞。 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 风险评估 | 3.11.3 | 根据风险评估修正漏洞。 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 风险评估 | 3.11.3 | 根据风险评估修正漏洞。 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应在与虚拟机关联的网络安全组上限制所有网络端口 | 3.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 磁盘访问资源应使用专用链接 | 1.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应禁用虚拟机上的 IP 转发 | 3.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 系统和通信保护 | 3.13.10 | 为组织系统中使用的加密技术建立加密密钥并进行管理。 | 应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘 | 1.0.0 |
| 系统和通信保护 | 3.13.10 | 为组织系统中使用的加密技术建立加密密钥并进行管理。 | 应使用客户管理的密钥来加密 OS 和数据磁盘 | 3.0.0 |
| 系统和通信保护 | 3.13.16 | 保护静态 CUI 的机密性。 | 虚拟机和虚拟机规模集应启用主机中加密 | 1.0.0 |
| 系统和通信保护 | 3.13.16 | 保护静态 CUI 的机密性。 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 磁盘访问资源应使用专用链接 | 1.0.0 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 应禁用虚拟机上的 IP 转发 | 3.0.0 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应在与虚拟机关联的网络安全组上限制所有网络端口 | 3.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 磁盘访问资源应使用专用链接 | 1.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应禁用虚拟机上的 IP 转发 | 3.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 系统和通信保护 | 3.13.8 | 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 | 应将 Windows Web 服务器配置为使用安全通信协议 | 4.1.0 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 应在虚拟机规模集上安装系统更新 | 3.0.0 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 应在计算机上安装系统更新 | 4.0.0 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| 系统和信息完整性 | 3.14.2 | 在组织系统中的指定位置提供针对恶意代码的防护。 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 系统和信息完整性 | 3.14.2 | 在组织系统中的指定位置提供针对恶意代码的防护。 | Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 1.0.0 |
| 系统和信息完整性 | 3.14.2 | 在组织系统中的指定位置提供针对恶意代码的防护。 | 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 | 1.1.0 |
| 系统和信息完整性 | 3.14.2 | 在组织系统中的指定位置提供针对恶意代码的防护。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 系统和信息完整性 | 3.14.2 | 在组织系统中的指定位置提供针对恶意代码的防护。 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| 系统和信息完整性 | 3.14.3 | 监视系统安全警报和公告,并采取响应措施。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 系统和信息完整性 | 3.14.4 | 在有新版本可用时更新恶意代码防护机制。 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 系统和信息完整性 | 3.14.4 | 在有新版本可用时更新恶意代码防护机制。 | Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 1.0.0 |
| 系统和信息完整性 | 3.14.4 | 在有新版本可用时更新恶意代码防护机制。 | 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 | 1.1.0 |
| 系统和信息完整性 | 3.14.4 | 在有新版本可用时更新恶意代码防护机制。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 系统和信息完整性 | 3.14.4 | 在有新版本可用时更新恶意代码防护机制。 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| 系统和信息完整性 | 3.14.5 | 在下载、打开或执行文件时,对组织系统执行定期扫描,并对来自外部源的文件进行实时扫描。 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 系统和信息完整性 | 3.14.5 | 在下载、打开或执行文件时,对组织系统执行定期扫描,并对来自外部源的文件进行实时扫描。 | Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 1.0.0 |
| 系统和信息完整性 | 3.14.5 | 在下载、打开或执行文件时,对组织系统执行定期扫描,并对来自外部源的文件进行实时扫描。 | 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 | 1.1.0 |
| 系统和信息完整性 | 3.14.5 | 在下载、打开或执行文件时,对组织系统执行定期扫描,并对来自外部源的文件进行实时扫描。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 系统和信息完整性 | 3.14.5 | 在下载、打开或执行文件时,对组织系统执行定期扫描,并对来自外部源的文件进行实时扫描。 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| 系统和信息完整性 | 3.14.6 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 系统和信息完整性 | 3.14.6 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 系统和信息完整性 | 3.14.6 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 应在计算机上安装来宾配置扩展 | 1.0.3 |
| 系统和信息完整性 | 3.14.6 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 | 1.0.0 |
| 系统和信息完整性 | 3.14.6 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 | 1.0.0 |
| 系统和信息完整性 | 3.14.6 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 1.0.1 |
| 系统和信息完整性 | 3.14.7 | 识别未经授权使用组织系统的情况。 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 系统和信息完整性 | 3.14.7 | 识别未经授权使用组织系统的情况。 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 系统和信息完整性 | 3.14.7 | 识别未经授权使用组织系统的情况。 | 应在计算机上安装来宾配置扩展 | 1.0.3 |
| 系统和信息完整性 | 3.14.7 | 识别未经授权使用组织系统的情况。 | Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 | 1.0.0 |
| 系统和信息完整性 | 3.14.7 | 识别未经授权使用组织系统的情况。 | Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 | 1.0.0 |
| 系统和信息完整性 | 3.14.7 | 识别未经授权使用组织系统的情况。 | 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 1.0.1 |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | 应在计算机上安装来宾配置扩展 | 1.0.3 |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 | 1.0.0 |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 | 1.0.0 |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | 应在虚拟机规模集上安装 Log Analytics 扩展 | 1.0.1 |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | 虚拟机应连接到指定的工作区 | 1.1.0 |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | 虚拟机应安装 Log Analytics 扩展 | 1.0.1 |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 1.0.1 |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 应在计算机上安装来宾配置扩展 | 1.0.3 |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 | 1.0.0 |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 | 1.0.0 |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 应在虚拟机规模集上安装 Log Analytics 扩展 | 1.0.1 |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 虚拟机应连接到指定的工作区 | 1.1.0 |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 虚拟机应安装 Log Analytics 扩展 | 1.0.1 |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 1.0.1 |
| 配置管理 | 3.4.1 | 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 | Linux 计算机应符合 Azure 计算安全基线的要求 | 2.1.0 |
| 配置管理 | 3.4.1 | 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 | Windows 计算机应符合 Azure 计算安全基线的要求 | 2.0.0 |
| 配置管理 | 3.4.2 | 为组织系统中使用的信息技术产品建立和实施安全配置设置。 | Linux 计算机应符合 Azure 计算安全基线的要求 | 2.1.0 |
| 配置管理 | 3.4.2 | 为组织系统中使用的信息技术产品建立和实施安全配置设置。 | Windows 计算机应符合 Azure 计算安全基线的要求 | 2.0.0 |
| 配置管理 | 3.4.6 | 采用最少功能原则,将组织系统配置为仅提供基本功能。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 配置管理 | 3.4.6 | 采用最少功能原则,将组织系统配置为仅提供基本功能。 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
| 配置管理 | 3.4.7 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 配置管理 | 3.4.7 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
| 配置管理 | 3.4.8 | 应用 deny-by-exception(阻止列表)策略来防止使用未经授权的软件,或应用 deny-all 和 permit-by-exception(允许列表)策略来允许执行授权的软件。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 配置管理 | 3.4.8 | 应用 deny-by-exception(阻止列表)策略来防止使用未经授权的软件,或应用 deny-all 和 permit-by-exception(允许列表)策略来允许执行授权的软件。 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
| 配置管理 | 3.4.9 | 控制和监视用户安装的软件。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 配置管理 | 3.4.9 | 控制和监视用户安装的软件。 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
| 识别和身份验证 | 3.5.10 | 仅存储和传输受加密保护的密码。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 识别和身份验证 | 3.5.10 | 仅存储和传输受加密保护的密码。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 识别和身份验证 | 3.5.10 | 仅存储和传输受加密保护的密码。 | 审核未将密码文件权限设为 0644 的 Linux 计算机 | 3.0.0 |
| 识别和身份验证 | 3.5.10 | 仅存储和传输受加密保护的密码。 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
| 识别和身份验证 | 3.5.10 | 仅存储和传输受加密保护的密码。 | 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 3.0.0 |
| 识别和身份验证 | 3.5.10 | 仅存储和传输受加密保护的密码。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 识别和身份验证 | 3.5.10 | 仅存储和传输受加密保护的密码。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 审核未将密码文件权限设为 0644 的 Linux 计算机 | 3.0.0 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.1.0 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 3.0.0 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 识别和身份验证 | 3.5.4 | 利用抗重播的身份验证机制,对特权和非特权帐户进行网络访问。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 识别和身份验证 | 3.5.7 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 识别和身份验证 | 3.5.7 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 识别和身份验证 | 3.5.7 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 审核未启用密码复杂性设置的 Windows 计算机 | 2.0.0 |
| 识别和身份验证 | 3.5.7 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 2.1.0 |
| 识别和身份验证 | 3.5.7 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 识别和身份验证 | 3.5.8 | 禁止对指定数量的生成操作重复使用密码。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 识别和身份验证 | 3.5.8 | 禁止对指定数量的生成操作重复使用密码。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 识别和身份验证 | 3.5.8 | 禁止对指定数量的生成操作重复使用密码。 | 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 2.1.0 |
| 识别和身份验证 | 3.5.8 | 禁止对指定数量的生成操作重复使用密码。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 媒体保护 | 3.8.9 | 保护位于存储位置的备份 CUI 的机密性。 | 应为虚拟机启用 Azure 备份 | 3.0.0 |
NIST SP 800-53 修订版 4
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-53 Rev. 4。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 4。
NIST SP 800-53 Rev. 5
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-53 Rev. 5。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 5。
限制性的新西兰 ISM v3.5
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 新西兰 ISM 受限制 v3.5。 有关此合规性标准的详细信息,请参阅限制性的新西兰 ISM v3.5。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制和密码 | AC-13 | 16.5.10 身份验证 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.0.0 |
| 访问控制和密码 | AC-18 | 16.6.9 要记录的事件 | Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 | 1.0.0 |
| 访问控制和密码 | AC-18 | 16.6.9 要记录的事件 | Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 | 1.0.0 |
| 密码 | CR-10 | 17.5.7 身份验证机制 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.1.0 |
| 密码 | CR-15 | 17.9.25 KMP 的内容 | 应禁用虚拟机上的 IP 转发 | 3.0.0 |
| 加密 | CR-3 | 17.1.53 降低存储和物理传输要求 | 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 | 2.0.3 |
| 密码 | CR-8 | 17.4.16 使用 TLS | 应将 Windows Web 服务器配置为使用安全通信协议 | 4.1.0 |
| 网关安全性 | GS-2 | 19.1.11 使用网关 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 网关安全性 | GS-2 | 19.1.11 使用网关 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 网关安全性 | GS-3 | 19.1.12 网关配置 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 网关安全性 | GS-5 | 19.1.23 网关测试 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 信息安全监视 | ISM-3 | 6.2.5 执行漏洞评估 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 信息安全监视 | ISM-4 | 6.2.6 解决漏洞 | 计算机上的 SQL 服务器应已解决漏洞发现 | 1.0.0 |
| 信息安全监视 | ISM-4 | 6.2.6 解决漏洞 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 信息安全监视 | ISM-4 | 6.2.6 解决漏洞 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 信息安全监视 | ISM-4 | 6.2.6 解决漏洞 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 信息安全监视 | ISM-7 | 6.4.5 可用性要求 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
| 产品安全性 | PRS-5 | 12.4.4 修补产品中的漏洞 | 应在虚拟机规模集上安装系统更新 | 3.0.0 |
| 产品安全性 | PRS-5 | 12.4.4 修补产品中的漏洞 | 应在计算机上安装系统更新 | 4.0.0 |
| 软件安全性 | SS-2 | 14.1.8 开发强化的 SOE | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 软件安全性 | SS-3 | 14.1.9 维护强化的 SOE | 应在计算机上解决 Endpoint Protection 运行状况问题 | 1.0.0 |
| 软件安全性 | SS-3 | 14.1.9 维护强化的 SOE | 应在计算机上安装 Endpoint Protection | 1.0.0 |
| 软件安全性 | SS-3 | 14.1.9 维护强化的 SOE | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 软件安全性 | SS-3 | 14.1.9 维护强化的 SOE | 应在计算机上安装来宾配置扩展 | 1.0.3 |
| 软件安全性 | SS-3 | 14.1.9 维护强化的 SOE | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 软件安全性 | SS-3 | 14.1.9 维护强化的 SOE | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 软件安全性 | SS-3 | 14.1.9 维护强化的 SOE | 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 1.0.1 |
| 软件安全性 | SS-3 | 14.1.9 维护强化的 SOE | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| 软件安全性 | SS-5 | 14.2.4 应用程序允许列表 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 软件安全性 | SS-5 | 14.2.4 应用程序允许列表 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
PCI DSS 3.2.1
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 PCI DSS 3.2.1。 有关此合规性标准的详细信息,请参阅 PCI DSS 3.2.1。
PCI DSS v4.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 PCI DSS v4.0 的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅 PCI DSS v4.0。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 要求 01:安装和维护网络安全控制 | 1.3.2 | 限制进出持卡人数据环境的网络访问 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 要求 01:安装和维护网络安全控制 | 1.4.2 | 控制受信任网络和不受信任网络之间的网络连接 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 要求 10:记录和监视对系统组件和持卡人数据的所有访问 | 10.2.2 | 实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析 | 应将虚拟机迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| 要求 10:记录和监视对系统组件和持卡人数据的所有访问 | 10.3.3 | 保护审核日志,以免遭破坏和未经授权的修改 | 应将虚拟机迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| 要求 11:定期测试系统和网络的安全性 | 11.3.1 | 定期标识、确定外部和内部漏洞的优先级并加以解决 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 要求 11:定期测试系统和网络的安全性 | 11.3.1 | 定期标识、确定外部和内部漏洞的优先级并加以解决 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 要求 11:定期测试系统和网络的安全性 | 11.3.1 | 定期标识、确定外部和内部漏洞的优先级并加以解决 | 应在计算机上安装系统更新 | 4.0.0 |
| 要求 11:定期测试系统和网络的安全性 | 11.3.1 | 定期标识、确定外部和内部漏洞的优先级并加以解决 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 要求 03:保护存储的帐户数据 | 3.5.1 | 无论主帐号 (PAN) 存储在何处,都对其进行保护 | 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 | 2.0.3 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.1 | 阻止或检测和解决恶意软件 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.1 | 阻止或检测和解决恶意软件 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.1 | 阻止或检测和解决恶意软件 | 应在计算机上安装系统更新 | 4.0.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.1 | 阻止或检测和解决恶意软件 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.2 | 阻止或检测和解决恶意软件 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.2 | 阻止或检测和解决恶意软件 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.2 | 阻止或检测和解决恶意软件 | 应在计算机上安装系统更新 | 4.0.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.2 | 阻止或检测和解决恶意软件 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.3 | 阻止或检测和解决恶意软件 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.3 | 阻止或检测和解决恶意软件 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.3 | 阻止或检测和解决恶意软件 | 应在计算机上安装系统更新 | 4.0.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.3 | 阻止或检测和解决恶意软件 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 要求 06:开发和维护安全系统及软件 | 6.2.4 | 以安全方式开发 Bespoke 和自定义软件 | 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 | 2.0.3 |
| 要求 06:开发和维护安全系统及软件 | 6.3.3 | 识别并解决安全漏洞 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 要求 06:开发和维护安全系统及软件 | 6.3.3 | 识别并解决安全漏洞 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 要求 06:开发和维护安全系统及软件 | 6.3.3 | 识别并解决安全漏洞 | 应在计算机上安装系统更新 | 4.0.0 |
| 要求 06:开发和维护安全系统及软件 | 6.3.3 | 识别并解决安全漏洞 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 要求 06:开发和维护安全系统及软件 | 6.4.1 | 保护面向公众的 Web 应用程序免受攻击 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 要求 06:开发和维护安全系统及软件 | 6.4.1 | 保护面向公众的 Web 应用程序免受攻击 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 要求 06:开发和维护安全系统及软件 | 6.4.1 | 保护面向公众的 Web 应用程序免受攻击 | 应在计算机上安装系统更新 | 4.0.0 |
| 要求 06:开发和维护安全系统及软件 | 6.4.1 | 保护面向公众的 Web 应用程序免受攻击 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 要求 08:标识用户并对系统组件的访问进行身份验证 | 8.3.6 | 建立和管理对用户和管理员的强身份验证 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.0.0 |
| 要求 08:标识用户并对系统组件的访问进行身份验证 | 8.3.6 | 建立和管理对用户和管理员的强身份验证 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.0.0 |
| 要求 08:标识用户并对系统组件的访问进行身份验证 | 8.3.6 | 建立和管理对用户和管理员的强身份验证 | 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 2.1.0 |
| 要求 08:标识用户并对系统组件的访问进行身份验证 | 8.3.6 | 建立和管理对用户和管理员的强身份验证 | 审核未将最长密码期限设置为指定天数的 Windows 计算机 | 2.1.0 |
| 要求 08:标识用户并对系统组件的访问进行身份验证 | 8.3.6 | 建立和管理对用户和管理员的强身份验证 | 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 2.1.0 |
| 要求 08:标识用户并对系统组件的访问进行身份验证 | 8.3.6 | 建立和管理对用户和管理员的强身份验证 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
印度储备银行 - 面向 NBFC 的 IT 框架
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 印度储备银行 - 面向 NBFC 的 IT 框架。 有关此合规性标准的详细信息,请参阅印度储备银行 - 面向 NBFC 的 IT 框架。
印度储备银行面向银行的 IT 框架 v2016
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - RBI ITF Banks v2016。 有关此合规性标准的详细信息,请参阅 RBI ITF Banks v2016 (PDF)。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 高级实时威胁防御和管理 | 高级实时威胁防御和管理-13.1 | [预览版]:应在支持的 Linux 虚拟机上安装来宾证明扩展 | 6.0.0-preview | |
| 高级实时威胁防御和管理 | 高级实时威胁防御和管理-13.1 | [预览版]:应在支持的 Linux 虚拟机规模集上安装来宾证明扩展 | 5.1.0-preview | |
| 高级实时威胁防御和管理 | 高级实时威胁防御和管理-13.1 | [预览版]:应在支持的 Windows 虚拟机上安装来宾证明扩展 | 4.0.0-preview | |
| 高级实时威胁防御和管理 | 高级实时威胁防御和管理-13.1 | [预览版]:应在支持的 Windows 虚拟机规模集上安装来宾证明扩展 | 3.1.0-preview | |
| 审核日志的维护、监视和分析 | 审核日志的维护、监视和分析-16.3 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview | |
| 网络管理和安全性 | 网络清单-4.2 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview | |
| 审核日志的维护、监视和分析 | 审核日志的维护、监视和分析-16.3 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview | |
| 审核日志设置 | 审核日志设置-17.1 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview | |
| 审核日志的维护、监视和分析 | 审核日志的维护、监视和分析-16.3 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview | |
| 审核日志的维护、监视和分析 | 审核日志的维护、监视和分析-16.3 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview | |
| 审核日志的维护、监视和分析 | 审核日志的维护、监视和分析-16.3 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview | |
| 审核日志设置 | 审核日志设置-17.1 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview | |
| 网络管理和安全性 | 网络清单-4.2 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview | |
| 审核日志的维护、监视和分析 | 审核日志的维护、监视和分析-16.3 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview | |
| 高级实时威胁防御和管理 | 高级实时威胁防御和管理-13.1 | [预览版]:应在支持的 Windows 虚拟机上启用安全启动 | 4.0.0-preview | |
| 网络管理和安全性 | 网络设备配置管理-4.3 | [预览版]:应在支持的虚拟机上启用 vTPM | 2.0.0-preview | |
| 高级 Real-Timethreat Defenceand 管理 | 高级实时威胁防御和管理-13.1 | [预览版]:应在支持的虚拟机上启用 vTPM | 2.0.0-preview | |
| 漏洞评估和渗透测试和红队演习 | 漏洞评估和渗透测试和红队演习-18.1 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 | |
| 补丁/漏洞和更改管理 | 补丁/漏洞和变更管理-7.2 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 | |
| 漏洞评估和渗透测试和红队演习 | 漏洞评估和渗透测试和红队演习-18.2 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 | |
| 基于风险的交易监控 | 基于风险的交易监视-20.1 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 | |
| 漏洞评估和渗透测试和红队演习 | 漏洞评估和渗透测试和红队演习-18.2 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 | |
| 漏洞评估和渗透测试和红队演习 | 漏洞评估和渗透测试和红队演习-18.1 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 | |
| 补丁/漏洞和更改管理 | 补丁/漏洞和变更管理-7.2 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 | |
| 补丁/漏洞和更改管理 | 补丁/漏洞和变更管理-7.1 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 | |
| 高级实时威胁防御和管理 | 高级实时威胁防御和管理-13.2 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 | |
| 补丁/漏洞和更改管理 | 补丁/漏洞和变更管理-7.1 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 | |
| 漏洞评估和渗透测试和红队演习 | 漏洞评估和渗透测试和红队演习-18.2 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 | |
| 漏洞评估和渗透测试和红队演习 | 漏洞评估和渗透测试和红队演习-18.1 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 | |
| 高级实时威胁防御和管理 | 高级实时威胁防御和管理-13.4 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 | |
| 防止执行未经授权的软件 | 软件清单-2.1 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 | |
| 防止执行未经授权的软件 | 已授权的软件安装-2.2 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 | |
| 高级实时威胁防御和管理 | 高级实时威胁防御和管理-13.3 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 | |
| 网络管理和安全性 | 网络清单-4.2 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 | |
| 防网络钓鱼 | 防网络钓鱼-14.1 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 | |
| 高级 Real-Timethreat Defenceand 管理 | 高级实时威胁防御和管理-13.1 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 | |
| 网络管理和安全性 | 外围保护和检测-4.10 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 | |
| 保护邮件和邮件系统 | 保护邮件和消息传递系统-10.1 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 | |
| 保护邮件和邮件系统 | 保护邮件和消息传递系统-10.2 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 | |
| 网络管理和安全性 | 网络设备配置管理-4.3 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 | |
| 高级 Real-Timethreat Defenceand 管理 | 高级实时威胁防御和管理-13.4 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 | |
| 网络管理和安全性 | 异常检测-4.7 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 | |
| 高级 Real-Timethreat Defenceand 管理 | 高级实时威胁防御和管理-13.3 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 | |
| 数据泄露防护策略 | 数据泄露防护策略-15.1 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 | |
| 网络管理和安全性 | 异常检测-4.7 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 | |
| 网络管理和安全性 | 外围保护和检测-4.10 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 | |
| 保护邮件和邮件系统 | 保护邮件和消息传递系统-10.1 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 | |
| 高级 Real-Timethreat Defenceand 管理 | 高级实时威胁防御和管理-13.3 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 | |
| 网络管理和安全性 | 网络设备配置管理-4.3 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 | |
| 数据泄露防护策略 | 数据泄露防护策略-15.1 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 | |
| 保护邮件和邮件系统 | 保护邮件和消息传递系统-10.2 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 | |
| 高级 Real-Timethreat Defenceand 管理 | 高级实时威胁防御和管理-13.4 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 | |
| 防止执行未经授权的软件 | 软件清单-2.1 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 | |
| 高级 Real-Timethreat Defenceand 管理 | 高级实时威胁防御和管理-13.3 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 | |
| 防网络钓鱼 | 防网络钓鱼-14.1 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 | |
| 高级实时威胁防御和管理 | 高级实时威胁防御和管理-13.1 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 | |
| 网络管理和安全性 | 网络清单-4.2 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 | |
| 防止执行未经授权的软件 | 已授权的软件安装-2.2 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 | |
| 事件响应和管理 | 从网络恢复 - 事件-19.4 | 审核未配置灾难恢复的虚拟机 | 1.0.0 | |
| 面向客户的身份验证框架 | 面向客户的身份验证框架-9.1 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.1.0 | |
| 补丁/漏洞和更改管理 | 补丁/漏洞和变更管理-7.7 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.1.0 | |
| 面向客户的身份验证框架 | 面向客户的身份验证框架-9.3 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.1.0 | |
| 高级实时威胁防御和管理 | 高级实时威胁防御和管理-13.4 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.1.0 | |
| 面向客户的身份验证框架 | 面向客户的身份验证框架-9.1 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.1.0 | |
| 补丁/漏洞和更改管理 | 补丁/漏洞和变更管理-7.7 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.1.0 | |
| 面向客户的身份验证框架 | 面向客户的身份验证框架-9.3 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.1.0 | |
| 高级实时威胁防御和管理 | 高级实时威胁防御和管理-13.3 | 应为虚拟机启用 Azure 备份 | 3.0.0 | |
| 事件响应和管理 | 从网络恢复 - 事件-19.5 | 应为虚拟机启用 Azure 备份 | 3.0.0 | |
| 高级实时威胁防御和管理 | 高级实时威胁防御和管理-13.1 | 应在计算机上解决 Endpoint Protection 运行状况问题 | 1.0.0 | |
| 数据泄露防护策略 | 数据泄露防护策略-15.1 | 应在计算机上解决 Endpoint Protection 运行状况问题 | 1.0.0 | |
| 数据泄露防护策略 | 数据泄露防护策略-15.3 | 应在计算机上解决 Endpoint Protection 运行状况问题 | 1.0.0 | |
| 高级实时威胁防御和管理 | 高级实时威胁防御和管理-13.2 | 应在计算机上解决 Endpoint Protection 运行状况问题 | 1.0.0 | |
| 数据泄露防护策略 | 数据泄露防护策略-15.3 | 应在计算机上解决 Endpoint Protection 运行状况问题 | 1.0.0 | |
| 数据泄露防护策略 | 数据泄露防护策略-15.1 | 应在计算机上解决 Endpoint Protection 运行状况问题 | 1.0.0 | |
| 数据泄露防护策略 | 数据泄露防护策略-15.3 | 应在计算机上安装 Endpoint Protection | 1.0.0 | |
| 数据泄露防护策略 | 数据泄露防护策略-15.3 | 应在计算机上安装 Endpoint Protection | 1.0.0 | |
| 数据泄露防护策略 | 数据泄露防护策略-15.1 | 应在计算机上安装 Endpoint Protection | 1.0.0 | |
| 高级实时威胁防御和管理 | 高级实时威胁防御和管理-13.2 | 应在计算机上安装 Endpoint Protection | 1.0.0 | |
| 数据泄露防护策略 | 数据泄露防护策略-15.1 | 应在计算机上安装 Endpoint Protection | 1.0.0 | |
| 高级 Real-Timethreat Defenceand 管理 | 高级实时威胁防御和管理-13.1 | 应在计算机上安装 Endpoint Protection | 1.0.0 | |
| 数据泄露防护策略 | 数据泄露防护策略-15.3 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 | |
| 数据泄露防护策略 | 数据泄露防护策略-15.3 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 | |
| 高级实时威胁防御和管理 | 高级实时威胁防御和管理-13.2 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 | |
| 高级实时威胁防御和管理 | 高级实时威胁防御和管理-13.1 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 | |
| 数据泄露防护策略 | 数据泄露防护策略-15.1 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 | |
| 数据泄露防护策略 | 数据泄露防护策略-15.1 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 | |
| 审核日志设置 | 审核日志设置-17.1 | 应在计算机上安装来宾配置扩展 | 1.0.3 | |
| 高级 Real-Timethreat Defenceand 管理 | 高级实时威胁防御和管理-13.1 | 应在计算机上安装来宾配置扩展 | 1.0.3 | |
| 安全配置 | 安全配置-5.2 | 应为 Windows Server Azure Edition VM 启用热补丁 | 1.0.0 | |
| 指标 | 指标-21.2 | 应为 Windows Server Azure Edition VM 启用热补丁 | 1.0.0 | |
| 指标 | 指标-21.2 | 应为 Windows Server Azure Edition VM 启用热补丁 | 1.0.0 | |
| 保护邮件和邮件系统 | 保护邮件和消息传递系统-10.1 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 | |
| 网络管理和安全性 | 异常检测-4.7 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 | |
| 高级 Real-Timethreat Defenceand 管理 | 高级实时威胁防御和管理-13.3 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 | |
| 保护邮件和邮件系统 | 保护邮件和消息传递系统-10.2 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 | |
| 高级 Real-Timethreat Defenceand 管理 | 高级实时威胁防御和管理-13.4 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 | |
| 网络管理和安全性 | 外围保护和检测-4.10 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 | |
| 网络管理和安全性 | 网络设备配置管理-4.3 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 | |
| 网络管理和安全性 | 网络设备配置管理-4.3 | 应禁用虚拟机上的 IP 转发 | 3.0.0 | |
| 高级实时威胁防御和管理 | 高级实时威胁防御和管理-13.4 | 应禁用虚拟机上的 IP 转发 | 3.0.0 | |
| 网络管理和安全性 | 外围保护和检测-4.10 | 应禁用虚拟机上的 IP 转发 | 3.0.0 | |
| 网络管理和安全性 | 异常检测-4.7 | 应禁用虚拟机上的 IP 转发 | 3.0.0 | |
| 高级 Real-Timethreat Defenceand 管理 | 高级实时威胁防御和管理-13.3 | 应禁用虚拟机上的 IP 转发 | 3.0.0 | |
| 审核日志设置 | 审核日志设置-17.1 | Linux 计算机应符合 Azure 计算安全基线的要求 | 2.1.0 | |
| 高级实时威胁防御和管理 | 高级实时威胁防御和管理-13.1 | Linux 计算机应符合 Azure 计算安全基线的要求 | 2.1.0 | |
| 审核日志的维护、监视和分析 | 审核日志的维护、监视和分析-16.3 | Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 | 1.0.0 | |
| 审核日志的维护、监视和分析 | 审核日志的维护、监视和分析-16.3 | Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 | 1.0.0 | |
| 审核日志的维护、监视和分析 | 审核日志的维护、监视和分析-16.3 | Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 | 1.0.0 | |
| 高级 Real-Timethreat Defenceand 管理 | 高级实时威胁防御和管理-13.3 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 | |
| 高级 Real-Timethreat Defenceand 管理 | 高级实时威胁防御和管理-13.4 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 | |
| 网络管理和安全性 | 异常检测-4.7 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 | |
| 网络管理和安全性 | 外围保护和检测-4.10 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 | |
| 网络管理和安全性 | 网络设备配置管理-4.3 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 | |
| 用户访问控制/管理 | 用户访问控制/管理-8.5 | 应通过即时网络访问控制来保护虚拟机的管理端口 |