安全性建議

本文列出您可能會在 適用於雲端的 Microsoft Defender 中看到的所有安全性建議。 您環境中顯示的建議是以您要保護的資源和自訂設定為基礎。

適用於雲端的 Defender 中的 建議 是以 Microsoft 雲端安全性效能評定為基礎。 Microsoft 雲端安全性基準檢驗是 Microsoft 撰寫的一組安全性與合規性最佳做法指導方針。 這種廣受尊敬的基準以互聯網安全中心（CIS）和國家標準技術研究所（NIST）的控制為基礎，專注於以雲端為中心的安全性。

若要瞭解您可以採取以回應這些建議的動作，請參閱補救 適用於雲端的 Defender 中的建議。

您的安全分數是根據您完成的安全性建議數目。 若要先決定要解決的建議，請查看每個建議的嚴重性，以及其對安全分數的潛在影響。

提示

如果建議的描述顯示 [沒有相關原則]，通常是因為該建議相依於不同的建議及其原則。

例如，應該補救端點保護健康情況失敗的建議取決於檢查是否已安裝 Endpoint Protection 解決方案的建議（應安裝 Endpoint Protection 解決方案）。 基礎建議 確實 有原則。 將原則限制為僅限基礎建議可簡化原則管理。

AppServices 建議

API 應用程式應只可經由 HTTPS 存取

描述：使用 HTTPS 可確保伺服器 / 服務驗證，並保護傳輸中的數據免於網路層竊聽攻擊。 （相關原則： API 應用程式應該只能透過 HTTPS 存取。

嚴重性：中

CORS 不應允許每個資源存取 API 應用程式

描述：跨原始來源資源分享 （CORS） 不應允許所有網域存取您的 API 應用程式。 請只允許必要網域與您的 API 應用程式互動。 （相關原則： CORS 不應允許每個資源存取您的 API 應用程式。

嚴重性：低

CORS 不應允許每個資源存取函式應用程式

描述：跨原始來源資源分享 （CORS） 不應允許所有網域存取您的函式應用程式。 請只允許必要網域與您的函式應用程式互動。 （相關原則： CORS 不應允許每個資源存取函式應用程式）。

嚴重性：低

CORS 不應允許每個資源存取 Web 應用程式

描述：跨原始來源資源分享 （CORS） 不應允許所有網域存取您的 Web 應用程式。 請只允許必要網域與您的 Web 應用程式互動。 （相關原則： CORS 不應允許每個資源存取您的 Web 應用程式。

嚴重性：低

應啟用 App Service 中的診斷記錄

描述：稽核在應用程式上啟用診斷記錄。 這可讓您在發生安全性事件或網路遭到入侵時，重新建立活動線索以供調查之用（沒有相關原則）。

嚴重性：中

確定 API 應用程式已將用戶端憑證傳入用戶端憑證設定為 [開啟]

描述：客戶端憑證允許應用程式要求傳入要求的憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 （相關原則： 確定 API 應用程式已將 [用戶端憑證（傳入用戶端憑證）] 設定為 [開啟]。

嚴重性：中

API 應用程式中應該需要 FTPS

描述：為增強式安全性啟用 FTPS 強制功能（相關原則： API 應用程式中只應需要 FTPS）。

嚴重性：高

函式應用程式中應該需要 FTPS

描述：啟用增強式安全性的 FTPS 強制功能（相關原則： 函式應用程式中只應需要 FTPS）。

嚴重性：高

Web 應用程式中應該需要 FTPS

描述：啟用增強式安全性的 FTPS 強制功能（相關原則： Web 應用程式中應該需要 FTPS）。

嚴重性：高

函式應用程式應只可經由 HTTPS 存取

描述：使用 HTTPS 可確保伺服器 / 服務驗證，並保護傳輸中的數據免於網路層竊聽攻擊。 （相關原則： 函式應用程式應該只能透過 HTTPS 存取。

嚴重性：中

函數應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」

描述：客戶端憑證允許應用程式要求傳入要求的憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 （相關原則： 函式應用程式應已啟用「用戶端憑證」（傳入用戶端憑證）。」

嚴重性：中

Java 應該更新為 API 應用程式的最新版本

描述：由於安全性缺陷或包含其他功能，會定期發行適用於Java的較新版本。 建議針對 API 應用程式使用最新的 Python 版本，以受益於安全性修正，如果有的話，以及/或最新版本的新功能。 （相關原則： 確定 'Java 版本' 是最新的，如果作為 API 應用程式的一部分使用。

嚴重性：中

應在 API 應用程式中使用受控識別

描述：若要增強驗證安全性，請使用受控識別。 在 Azure 上，受控識別不需要開發人員必須管理認證，方法是在 Azure AD 中提供 Azure 資源的身分識別，並使用它來取得 Azure Active Directory（Azure AD） 令牌。 （相關原則： 受控識別應該在您的 API 應用程式中使用。

嚴重性：中

函式應用程式中應該使用受控識別

描述：若要增強驗證安全性，請使用受控識別。 在 Azure 上，受控識別不需要開發人員必須管理認證，方法是在 Azure AD 中提供 Azure 資源的身分識別，並使用它來取得 Azure Active Directory（Azure AD） 令牌。 （相關原則： 受控識別應該在您的函式應用程式中使用。

嚴重性：中

應該在 Web 應用程式中使用受控識別

描述：若要增強驗證安全性，請使用受控識別。 在 Azure 上，受控識別不需要開發人員必須管理認證，方法是在 Azure AD 中提供 Azure 資源的身分識別，並使用它來取得 Azure Active Directory（Azure AD） 令牌。 （相關原則： 受控識別應該在您的 Web 應用程式中使用。

嚴重性：中

應啟用適用於 App Service 的 Microsoft Defender

描述：適用於 App Service 的 Microsoft Defender 會利用雲端的規模，以及 Azure 作為雲端提供者的可見度，來監視常見的 Web 應用程式攻擊。 適用於 App Service 的 Microsoft Defender 可以探索應用程式的攻擊，並識別新興攻擊。

重要事項：補救此建議會導致保護App Service方案的費用。 如果您在此訂用帳戶中沒有任何 App Service 方案，則不會產生任何費用。 如果您在未來在此訂用帳戶上建立任何 App Service 方案，這些方案將會自動受到保護，且費用會從該時間開始。 若要深入瞭解，請參閱 保護您的 Web 應用程式和 API。 （相關原則： 應啟用適用於 App Service 的 Azure Defender。

嚴重性：高

PHP 應更新為 API 應用程式的最新版本

描述：由於安全性缺陷或包含其他功能，PHP 軟體會定期發行較新版本。 建議針對 API 應用程式使用最新的 PHP 版本，以受益於安全性修正，如果有的話，以及/或最新版本的新功能。 （相關原則： 確定 'PHP version' 是最新的，如果使用作為 API 應用程式的一部分。

嚴重性：中

Python 應更新為 API 應用程式的最新版本

描述：由於安全性缺陷或包含其他功能，因此會定期發行適用於 Python 軟體的較新版本。 建議針對 API 應用程式使用最新的 Python 版本，以受益於安全性修正，如果有的話，以及/或最新版本的新功能。 （相關原則： 確定 'Python 版本' 是最新的，如果使用作為 API 應用程式的一部分）。

嚴重性：中

API 應用程式應關閉遠端偵錯

描述：遠端偵錯需要在 API 應用程式上開啟輸入埠。 應關閉遠端偵錯。 （相關原則： API Apps 應關閉遠端偵錯。

嚴重性：低

函式應用程式應關閉遠端偵錯

描述：遠端偵錯需要在 Azure 函式應用程式上開啟輸入埠。 應關閉遠端偵錯。 （相關原則： 函式應用程式應關閉遠端偵錯。

嚴重性：低

應關閉 Web 應用程式的遠端偵錯

描述：遠端偵錯需要在 Web 應用程式上開啟輸入埠。 遠端偵錯目前已啟用。 如果您不再需要使用遠端偵錯，應該關閉它。 （相關原則： Web 應用程式應關閉遠端偵錯。

嚴重性：低

TLS 應更新為 API 應用程式的最新版本

描述：升級至最新的 TLS 版本。 （相關原則： 您的 API 應用程式應該使用最新的 TLS 版本。

嚴重性：高

函式應用程式的 TLS 應更新為最新版本

描述：升級至最新的 TLS 版本。 （相關原則： 函式應用程式中應該使用最新的 TLS 版本。

嚴重性：高

TLS 應更新為 Web 應用程式的最新版本

描述：升級至最新的 TLS 版本。 （相關原則： 最新的 TLS 版本應該在您的 Web 應用程式中使用。

嚴重性：高

Web 應用程式應只可經由 HTTPS 存取

描述：使用 HTTPS 可確保伺服器 / 服務驗證，並保護傳輸中的數據免於網路層竊聽攻擊。 （相關原則： Web 應用程式應該只能透過 HTTPS 存取。

嚴重性：中

Web 應用程式應針對所有傳入要求要求要求 SSL 憑證

描述：客戶端憑證允許應用程式要求傳入要求的憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 （相關原則： 確定 WEB 應用程式已將 [用戶端憑證（傳入用戶端憑證）] 設定為 [開啟]。

嚴重性：中

計算建議

您的電腦應啟用自適性應用程式控制，以定義安全應用程式

描述：啟用應用程控來定義計算機上執行的已知安全應用程式清單，並在其他應用程式執行時發出警示。 這有助於強化機器，以防範惡意程式碼的攻擊。 為了簡化設定和維護規則的程式，適用於雲端的 Defender 使用機器學習來分析每部計算機上執行的應用程式，並建議已知安全應用程式清單。 （相關原則： 應在您的機器上啟用定義安全應用程式的調適型應用程控）。

嚴重性：高

必須更新自適性應用程式控制原則中的允許清單規則

描述：監視 適用於雲端的 Defender 自適性應用程控所設定機器群組上的行為變更。 適用於雲端的 Defender 會使用機器學習來分析計算機上執行中的進程，並建議已知安全的應用程式清單。 這些清單會顯示為自適性應用程式控制原則中允許的建議應用程式。 （相關原則： 應更新調適型應用程控原則中的Allowlist規則。

嚴重性：高

對 Linux 電腦進行驗證需要 SSH 金鑰

描述：雖然 SSH 本身提供加密連線，但搭配 SSH 使用密碼仍會使 VM 容易受到暴力密碼破解攻擊。 透過 SSH 向 Azure Linux 虛擬機器進行驗證的最安全選項是使用公開-私密金鑰組，也稱為 SSH 金鑰。 如需詳細資訊，請參閱 詳細步驟：建立和管理 SSH 金鑰，以向 Azure 中的 Linux VM 進行驗證。 （相關原則： 稽核未使用 SSH 金鑰進行驗證的 Linux 機器。

嚴重性：中

應加密自動化帳戶變數

描述：儲存敏感數據時，請務必啟用自動化帳戶變數資產的加密。 （相關原則： 應該加密自動化帳戶變數。

嚴重性：高

應為虛擬機啟用 Azure 備份

描述：使用 Azure 備份 保護 Azure 虛擬機上的數據。 Azure 備份 是 Azure 原生、符合成本效益的數據保護解決方案。 它會建立儲存在異地備援復原保存庫中的恢復點。 當您從恢復點還原時，可以還原整個 VM 或特定檔案。 （相關原則： 應針對 虛擬機器 啟用 Azure 備份）。

嚴重性：低

容器主機應安全地設定

描述：補救已安裝 Docker 的機器上安全性設定中的弱點，以保護它們免於遭受攻擊。 （相關原則： 應補救容器安全性設定中的弱點。

嚴重性：高

應啟用 Azure 串流分析中的診斷記錄

描述：啟用記錄並保留最多一年。 這可讓您在發生安全性事件或網路遭到入侵時，重新建立活動線索以供調查之用。 （相關原則： 應啟用 Azure 串流分析中的診斷記錄。

嚴重性：低

應啟用 Batch 帳戶中的診斷記錄

描述：啟用記錄並保留最多一年。 這可讓您在發生安全性事件或網路遭到入侵時，重新建立活動線索以供調查之用。 （相關原則： 應啟用 Batch 帳戶中的診斷記錄。

嚴重性：低

應啟用事件中樞中的診斷記錄

描述：啟用記錄並保留最多一年。 這可讓您在發生安全性事件或網路遭到入侵時，重新建立活動線索以供調查之用。 （相關原則： 應啟用事件中樞中的診斷記錄。

嚴重性：低

應啟用Logic Apps中的診斷記錄

描述：為了確保您可以在發生安全性事件或網路遭到入侵時，重新建立活動線索以供調查之用，請啟用記錄。 如果您的診斷記錄未傳送至 Log Analytics 工作區、Azure 儲存體 帳戶或 Azure 事件中樞，請確定您已設定診斷設定，將平臺計量和平台記錄傳送至相關目的地。 深入瞭解建立診斷設定，以將平台記錄和計量傳送至不同的目的地。 （相關原則： 應啟用Logic Apps中的診斷記錄。

嚴重性：低

應啟用 搜尋服務 中的診斷記錄

描述：啟用記錄並保留最多一年。 這可讓您在發生安全性事件或網路遭到入侵時，重新建立活動線索以供調查之用。 （相關原則： 應啟用 搜尋服務 中的診斷記錄）。

嚴重性：低

應啟用 服務匯流排 中的診斷記錄

描述：啟用記錄並保留最多一年。 這可讓您在發生安全性事件或網路遭到入侵時，重新建立活動線索以供調查之用。 （相關原則： 應啟用 服務匯流排 中的診斷記錄）。

嚴重性：低

應啟用 虛擬機器擴展集 中的診斷記錄

描述：啟用記錄並保留最多一年。 這可讓您在發生安全性事件或網路遭到入侵時，重新建立活動線索以供調查之用。 （相關原則： 應啟用 虛擬機器擴展集 中的診斷記錄）。

嚴重性：高

應在虛擬機上解決 EDR 設定問題

描述：若要保護虛擬機免於最新的威脅和弱點，請解決已安裝端點偵測和回應 （EDR） 解決方案的所有已識別組態問題。
注意：目前，這項建議僅適用於已啟用 適用於端點的 Microsoft Defender （MDE） 的資源。

嚴重性：低

EDR 解決方案應該安裝在 虛擬機器

描述：在虛擬機上安裝端點偵測和回應 （EDR） 解決方案對於防範進階威脅很重要。 EDR 有助於防止、偵測、調查及回應這些威脅。 適用於伺服器的 Microsoft Defender 可用來部署 適用於端點的 Microsoft Defender。 如果資源分類為「狀況不良」，表示沒有支援的 EDR 解決方案。 如果已安裝 EDR 解決方案，但無法透過此建議探索，則可以予以豁免。 如果沒有 EDR 解決方案，虛擬機就面臨進階威脅的風險。

嚴重性：高

應解決虛擬機擴展集上的端點保護健康情況問題

描述：補救虛擬機擴展集上的端點保護健康情況失敗，以保護它們免於威脅和弱點。 （相關原則： 端點保護解決方案應該安裝在虛擬機擴展集上。

嚴重性：低

應在虛擬機擴展集上安裝 Endpoint Protection

描述：在您的虛擬機擴展集上安裝 Endpoint Protection 解決方案，以保護它們免於威脅和弱點。 （相關原則： 端點保護解決方案應該安裝在虛擬機擴展集上。

嚴重性：高

應該在機器上啟用檔案完整性監視

描述：適用於雲端的 Defender 識別出缺少檔案完整性監視解決方案的計算機。 若要監視伺服器上重要檔案、登錄機碼等的變更，請啟用檔案完整性監視。 啟用檔案完整性監視解決方案時，請建立數據收集規則來定義要監視的檔案。 若要定義規則，或查看具有現有規則的計算機上變更的檔案，請移至檔案 完整性監視管理頁面。 （無相關政策）

嚴重性：高

客體證明擴充功能應該安裝在支援的Linux虛擬機擴展集上

描述：在支援的Linux虛擬機擴展集上安裝客體證明擴充功能，以允許 適用於雲端的 Microsoft Defender 主動證明及監視開機完整性。 安裝之後，將會透過遠端證明來證明開機完整性。 此評量僅適用於已啟用受信任啟動的Linux虛擬機擴展集。

重要事項：受信任的啟動需要建立新的虛擬機。 您無法在一開始建立且沒有它的現有虛擬機上啟用受信任的啟動。 深入瞭解 Azure 虛擬機的受信任啟動。 （無相關政策）

嚴重性：低

客體證明擴充功能應該安裝在支援的Linux虛擬機上

描述：在支援的Linux虛擬機上安裝客體證明擴充功能，以允許 適用於雲端的 Microsoft Defender主動證明及監視開機完整性。 安裝之後，將會透過遠端證明來證明開機完整性。 此評量僅適用於已啟用受信任啟動的Linux虛擬機。

重要事項：受信任的啟動需要建立新的虛擬機。 您無法在一開始建立且沒有它的現有虛擬機上啟用受信任的啟動。 深入瞭解 Azure 虛擬機的受信任啟動。 （無相關政策）

嚴重性：低

客體證明擴充功能應該安裝在支援的 Windows 虛擬機擴展集上

描述：在支援的虛擬機擴展集上安裝客體證明擴充功能，以允許 適用於雲端的 Microsoft Defender 主動證明及監視開機完整性。 安裝之後，將會透過遠端證明來證明開機完整性。 此評估僅適用於已啟用受信任啟動的虛擬機擴展集。

重要事項：受信任的啟動需要建立新的虛擬機。 您無法在一開始建立且沒有它的現有虛擬機上啟用受信任的啟動。 深入瞭解 Azure 虛擬機的受信任啟動。 （無相關政策）

嚴重性：低

客體證明擴充功能應該安裝在支援的 Windows 虛擬機上

描述：在支持的虛擬機上安裝客體證明擴充功能，以允許 適用於雲端的 Microsoft Defender 主動證明及監視開機完整性。 安裝之後，將會透過遠端證明來證明開機完整性。 此評量僅適用於已啟用可信啟動的虛擬機器。

重要事項：受信任的啟動需要建立新的虛擬機。 您無法在一開始建立且沒有它的現有虛擬機上啟用受信任的啟動。 深入瞭解 Azure 虛擬機的受信任啟動。 （無相關政策）

嚴重性：低

客體設定擴充功能應該安裝在機器上

描述：若要確保機器內客體設定的安全設定，請安裝客體設定延伸模組。 延伸模組會監視的客體內設定包括作業系統的設定、應用程式設定或目前狀態，以及環境設定。 安裝之後，應該啟用客體內部原則，例如 Windows 惡意探索防護。 （相關原則： 虛擬機應具有客體設定擴充功能。

嚴重性：中

在虛擬機上安裝 Endpoint Protection 解決方案

描述：在您的虛擬機上安裝 Endpoint Protection 解決方案，以保護它們免於威脅和弱點。 （相關原則： 在 Azure 資訊安全中心 中監視遺漏的 Endpoint Protection）。

嚴重性：高

Linux 虛擬機應強制執行核心模組簽章驗證

描述：為了協助緩解核心模式中惡意或未經授權的程式代碼執行，請在支援的Linux虛擬機上強制執行核心模組簽章驗證。 核心模組簽章驗證可確保只允許受信任的核心模組執行。 此評量僅適用於已安裝 Azure 監視器代理程式的 Linux 虛擬機器。 （無相關政策）

嚴重性：低

Linux 虛擬機應該只使用已簽署且受信任的開機組件

描述：啟用安全開機后，所有OS開機組件（開機載入器、核心、核心驅動程式）都必須由受信任的發行者簽署。 適用於雲端的 Defender 已在一或多部 Linux 電腦上識別出不受信任的作業系統開機元件。 若要保護您的機器免於潛在的惡意元件，請將它們新增至您的allowlist或移除已識別的元件。 （無相關政策）

嚴重性：低

Linux 虛擬機應該使用安全開機

描述：若要防止安裝惡意代碼型 Rootkit 和開機套件，請在支援的 Linux 虛擬機上啟用安全開機。 安全開機可確保只允許執行已簽署的作業系統和驅動程式。 此評量僅適用於已安裝 Azure 監視器代理程式的 Linux 虛擬機器。 （無相關政策）

嚴重性：低

Log Analytics 代理程式應該安裝在已啟用 Linux 的 Azure Arc 機器上

描述：適用於雲端的 Defender 使用Log Analytics代理程式（也稱為 OMS）從 Azure Arc 機器收集安全性事件。 若要在所有 Azure Arc 機器上部署代理程式，請遵循補救步驟。 （無相關政策）

嚴重性：高

Log Analytics 代理程式應該安裝在虛擬機擴展集上

描述：適用於雲端的 Defender 從 Azure 虛擬機 （VM） 收集數據，以監視安全性弱點和威脅。 數據是使用 Log Analytics 代理程式收集的，先前稱為 Microsoft Monitoring Agent （MMA），它會從電腦讀取各種安全性相關設定和事件記錄，並將數據複製到您的工作區進行分析。 如果您的 VM 是由 Azure 受控服務使用，例如 Azure Kubernetes Service 或 Azure Service Fabric，您也必須遵循該程式。 您無法為 Azure 虛擬機擴展集設定代理程式的自動布建。 若要在虛擬機擴展集上部署代理程式（包括 Azure Kubernetes Service 和 Azure Service Fabric 等 Azure 受控服務所使用的代理程式），請遵循補救步驟中的程式。 （相關原則： Log Analytics 代理程式應該安裝在虛擬機擴展集上，以 Azure 資訊安全中心 監視）。

嚴重性：高

Log Analytics 代理程式應該安裝在虛擬機上

描述：適用於雲端的 Defender 從 Azure 虛擬機 （VM） 收集數據，以監視安全性弱點和威脅。 數據是使用 Log Analytics 代理程式收集的，先前稱為 Microsoft Monitoring Agent （MMA），它會從電腦讀取各種安全性相關組態和事件記錄，並將數據複製到 Log Analytics 工作區進行分析。 如果您的 VM 是由 Azure 受控服務使用，例如 Azure Kubernetes Service 或 Azure Service Fabric，也需要此代理程式。 建議您設定 自動布建 來自動部署代理程式。 如果您選擇不使用自動布建，請使用補救步驟中的指示，手動將代理程式部署至 VM。 （相關原則： Log Analytics 代理程式應該安裝在虛擬機上，以進行 Azure 資訊安全中心 監視）。

嚴重性：高

Log Analytics 代理程式應該安裝在已啟用 Windows 的 Azure Arc 機器上

描述：適用於雲端的 Defender 會使用Log Analytics代理程式（也稱為 MMA）從 Azure Arc 機器收集安全性事件。 若要在所有 Azure Arc 機器上部署代理程式，請遵循補救步驟。 （無相關政策）

嚴重性：高

應安全地設定機器

描述：補救機器上安全性設定中的弱點，以防止攻擊。 （相關原則： 應補救機器上安全性設定中的弱點。

嚴重性：低

計算機應重新啟動以套用安全性設定更新

描述：若要套用安全性設定更新並防範弱點，請重新啟動計算機。 此評量僅適用於已安裝 Azure 監視器代理程式的 Linux 虛擬機器。 （無相關政策）

嚴重性：低

機器應該有弱點評估解決方案

描述：適用於雲端的 Defender 定期檢查連線的計算機，以確保它們正在執行弱點評估工具。 使用此建議來部署弱點評估解決方案。 （相關原則： 應在虛擬機上啟用弱點評估解決方案。

嚴重性：中

機器應該已解決發現的弱點

描述：解決虛擬機上弱點評估解決方案的結果。 （相關原則： 應在虛擬機上啟用弱點評估解決方案。

嚴重性：低

應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠

描述：適用於雲端的 Defender 已識別出網路安全組中管理埠的一些過於寬鬆的輸入規則。 啟用 Just-In-Time 訪問控制，以保護您的 VM 免於遭受以因特網為基礎的暴力密碼破解攻擊。 深入了解 瞭解 Just-In-Time （JIT） VM 存取。 （相關原則： 應使用 Just-In-Time 網路存取控制來保護虛擬機的管理埠。

嚴重性：高

應啟用適用於伺服器的 Microsoft Defender

描述：適用於伺服器的 Microsoft Defender 為您的伺服器工作負載提供即時威脅防護，併產生強化建議，以及可疑活動的警示。 您可以使用這項資訊來快速補救安全性問題，並改善伺服器的安全性。

重要事項：補救此建議會導致保護伺服器的費用。 如果您沒有此訂用帳戶中的任何伺服器，則不會產生任何費用。 如果您在未來在此訂用帳戶上建立任何伺服器，這些伺服器將會自動受到保護，且費用會從該時間開始。 深入瞭解 適用於伺服器的 Microsoft Defender 簡介。 （相關原則： 應啟用適用於伺服器的 Azure Defender。

嚴重性：高

適用於伺服器的 Microsoft Defender 應該在工作區上啟用

描述：適用於伺服器的 Microsoft Defender 為您的 Windows 和 Linux 機器帶來威脅偵測和進階防禦。 在訂用帳戶上啟用此 Defender 方案，但未在您的工作區上啟用，您需支付適用於伺服器的 Microsoft Defender 完整功能，但缺少部分權益。 當您在工作區上啟用適用於伺服器的 Microsoft Defender 時，向該工作區報告的所有計算機都會針對適用於伺服器的 Microsoft Defender 計費，即使它們位於未啟用 Defender 方案的訂用帳戶中也一樣。 除非您在訂用帳戶上啟用適用於伺服器的 Microsoft Defender，否則這些機器將無法利用 Just-In-Time VM 存取、自適性應用程控，以及 Azure 資源的網路偵測。 深入瞭解 適用於伺服器的 Microsoft Defender 簡介。 （無相關政策）

嚴重性：中

應在支援的 Windows 虛擬機上啟用安全開機

描述：在支援的 Windows 虛擬機上啟用安全開機，以減少對開機鏈的惡意和未經授權的變更。 啟用之後，將只允許受信任的開機載入器、核心和核心驅動程序執行。 此評量僅適用於啟用信任啟動的 Windows 虛擬機。

重要事項：受信任的啟動需要建立新的虛擬機。 您無法在一開始建立且沒有它的現有虛擬機上啟用受信任的啟動。 深入瞭解 Azure 虛擬機的受信任啟動。 （無相關政策）

嚴重性：低

Service Fabric 叢集應將 ClusterProtectionLevel 屬性設定為 EncryptAndSign

描述：Service Fabric 針對使用主要叢集憑證的節點對節點通訊提供三種保護層級（None、Sign 和 EncryptAndSign）。 設定保護層級，以確保所有節點對節點訊息都經過加密，並以數位方式簽署。 （相關原則： Service Fabric 叢集應將 ClusterProtectionLevel 屬性設定為 EncryptAndSign。

嚴重性：高

Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證

描述：僅透過 Service Fabric 中的 Azure Active Directory 執行客戶端驗證（相關原則： Service Fabric 叢集只應使用 Azure Active Directory 進行客戶端驗證）。

嚴重性：高

應在虛擬機器擴展集上安裝系統更新

描述：安裝遺漏的系統安全性和重大更新，以保護您的 Windows 和 Linux 虛擬機擴展集。 （相關原則： 應安裝虛擬機擴展集上的系統更新。

嚴重性：高

您應在機器上安裝系統更新

描述：安裝遺漏的系統安全性和重大更新，以保護 Windows 和 Linux 虛擬機和電腦的安全（相關原則： 應該在您的電腦上安裝系統更新）。

嚴重性：高

系統更新應該安裝在您的電腦上（由更新中心提供電源）

描述：您的電腦遺失系統、安全性和重大更新。 軟體更新通常包含安全性漏洞的重大修補檔。 這類漏洞經常遭到惡意程式碼攻擊，因此請務必讓軟體保持更新。 若要安裝所有未安裝的修補檔並保護您的機器，請遵循補救步驟。 （無相關政策）

嚴重性：高

應安全地設定虛擬機擴展集

描述：補救虛擬機擴展集上安全性設定中的弱點，以保護它們免於遭受攻擊。 （相關原則： 應補救虛擬機擴展集上安全性設定中的弱點。

嚴重性：高

虛擬機客體證明狀態應狀況良好

描述：客體證明是藉由將信任的記錄檔 （TCGLog） 傳送至證明伺服器來執行。 伺服器會使用這些記錄來判斷開機元件是否值得信任。 此評估旨在偵測開機鏈結的危害，這可能是bootkit或rootkit感染的結果。 此評量僅適用於已安裝客體證明延伸模組的信任啟動已啟用虛擬機。 （無相關政策）

嚴重性：中

應使用系統指派的受控識別，部署虛擬機器的來賓設定延伸模組

描述：客體設定擴充功能需要系統指派的受控識別。 安裝客體設定延伸模組但是沒有系統指派受控識別時，此原則範圍內的 Azure 虛擬機器將會不符合規範。 深入瞭解 （相關原則： 客體設定擴充功能應部署至具有系統指派受控識別的 Azure 虛擬機。

嚴重性：中

虛擬機器應遷移到新的 Azure Resource Manager 資源

描述：虛擬機器（傳統版）已被取代，而且這些 VM 應該移轉至 Azure Resource Manager。 因為 Azure Resource Manager 現在具有完整的 IaaS 功能和其他進階功能，所以我們已在 2020 年 2 月 28 日淘汰透過 Azure Service Manager (ASM) 執行的 IaaS 虛擬機器 (VM) 管理。 此功能將於 2023 年 3 月 1 日完全淘汰。

若要檢視所有受影響的傳統 VM，請務必選取 [目錄 + 訂用帳戶] 索引標籤下的所有 Azure 訂用帳戶。

此工具和移轉的可用資源和資訊： 虛擬機（傳統）淘汰概觀、移轉和可用 Microsoft 資源的逐步程式。移轉至 Azure Resource Manager 移轉工具的詳細數據。使用 PowerShell 移轉至 Azure Resource Manager 移轉工具。 （相關原則： 虛擬機應該移轉至新的 Azure Resource Manager 資源。

嚴重性：高

虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程

描述：根據預設，虛擬機的OS和數據磁碟會使用平臺管理的密鑰進行待用加密;暫存磁碟和數據快取不會加密，而且在計算和記憶體資源之間流動時不會加密數據。 如需 Azure 中不同磁碟加密技術的比較，請參閱 https://aka.ms/diskencryptioncomparison。 使用 Azure 磁碟加密 來加密所有這些數據。 如果下列事項，請忽略此建議：

1. 您使用的是主機加密功能，或 2。 受控磁碟 上的伺服器端加密符合您的安全性需求。 深入瞭解 Azure 磁碟 儲存體 的伺服器端加密。 （相關原則： 應在虛擬機器上套用磁碟加密）

嚴重性：高

應在支持的虛擬機上啟用 vTPM

描述：在支援的虛擬機上啟用虛擬 TPM 裝置，以協助測量開機和其他需要 TPM 的 OS 安全性功能。 啟用之後，vTPM 即可用於證明開機完整性。 此評量僅適用於已啟用可信啟動的虛擬機器。

重要事項：受信任的啟動需要建立新的虛擬機。 您無法在一開始建立且沒有它的現有虛擬機上啟用受信任的啟動。 深入瞭解 Azure 虛擬機的受信任啟動。 （無相關政策）

嚴重性：低

應補救 Linux 機器上安全性設定中的弱點（由客體設定所提供）

描述：補救 Linux 機器上安全性設定中的弱點，以保護它們免於遭受攻擊。 （相關原則： Linux 機器應符合 Azure 安全性基準的需求。

嚴重性：低

應補救 Windows 機器上安全性設定中的弱點（由客體設定提供電源）

描述：補救 Windows 機器上安全性設定中的弱點，以防止攻擊。 （無相關政策）

嚴重性：低

應在機器上啟用 Windows Defender 惡意探索防護

描述：Windows Defender 惡意探索防護會使用 Azure 原則 客體設定代理程式。 「惡意探索防護」有四個元件，設計用來鎖定裝置，使其免於遭受惡意程式碼攻擊的各種攻擊和封鎖行為，同時讓企業能夠平衡本身的安全性風險和生產力需求 (僅限 Windows)。 （相關原則： 稽核未啟用 Windows Defender 惡意探索防護的 Windows 機器。

嚴重性：中

Windows 網頁伺服器應設定為使用安全通訊協定

描述：為了保護透過因特網通訊的資訊隱私權，您的網頁伺服器應該使用最新版的業界標準密碼編譯通訊協定傳輸層安全性（TLS）。 TLS 會使用安全性憑證來保護透過網路的通訊，以加密電腦之間的連線。 （相關原則： 稽核未使用安全通訊協定的 Windows 網頁伺服器。

嚴重性：高

[預覽]： Linux 虛擬機應該啟用 Azure 磁碟加密 或 EncryptionAtHost

描述：根據預設，虛擬機的OS和數據磁碟會使用平臺管理的密鑰進行待用加密;暫存磁碟和數據快取不會加密，而且在計算和記憶體資源之間流動時不會加密數據。 使用 Azure 磁碟加密 或 EncryptionAtHost 來加密所有這些數據。 請造訪 https://aka.ms/diskencryptioncomparison 以比較加密供應專案。 此原則需要兩個必要條件才能部署至原則指派範圍。 如需詳細資料，請前往 https://aka.ms/gcpol 。 （相關原則： [預覽]：Linux 虛擬機應該啟用 Azure 磁碟加密 或 EncryptionAtHost）。

嚴重性：高

[預覽]：Windows 虛擬機應該啟用 Azure 磁碟加密 或 EncryptionAtHost

描述：根據預設，虛擬機的OS和數據磁碟會使用平臺管理的密鑰進行待用加密;暫存磁碟和數據快取不會加密，而且在計算和記憶體資源之間流動時不會加密數據。 使用 Azure 磁碟加密 或 EncryptionAtHost 來加密所有這些數據。 請造訪 https://aka.ms/diskencryptioncomparison 以比較加密供應專案。 此原則需要兩個必要條件才能部署至原則指派範圍。 如需詳細資料，請前往 https://aka.ms/gcpol 。 （相關原則： [預覽]：Windows 虛擬機應該啟用 Azure 磁碟加密 或 EncryptionAtHost）。

嚴重性：高

虛擬機器和虛擬機器擴展集應啟用主機上的加密

描述：在主機使用加密來取得虛擬機和虛擬機擴展集數據的端對端加密。 主機上的加密可讓您對暫存磁碟和 OS/資料磁碟快取進行待用加密。 啟用主機上的加密時，暫存和暫時性 OS 磁碟會使用平台代控金鑰進行加密。 視磁碟上選取的加密類型而定，OS/資料磁碟快取會使用客戶自控金鑰或平台代控金鑰進行待用加密。 若要深入瞭解，請參閱使用 Azure 入口網站 在主機上使用加密來啟用端對端加密。 (相關原則：虛擬機器和虛擬機器擴展集應啟用主機上的加密)。

嚴重性：中

(預覽) Azure Stack HCI 伺服器應符合安全核心需求

描述：確定所有 Azure Stack HCI 伺服器都符合安全核心需求。 （相關原則： 客體設定擴充功能應該安裝在機器上 - Microsoft Azure。

嚴重性：低

(預覽) Azure Stack HCI 伺服器應該一致地強制執行應用程式控制原則

描述：在所有 Azure Stack HCI 伺服器上，至少以強制模式套用 Microsoft WDAC 基底原則。 套用的 Windows Defender 應用程式控制 (WDAC) 原則必須在相同叢集中的所有伺服器之間保持一致。 （相關原則： 客體設定擴充功能應該安裝在機器上 - Microsoft Azure。

嚴重性：高

(預覽) Azure Stack HCI 系統應具有加密磁碟區

描述：使用 BitLocker 來加密 Azure Stack HCI 系統上的 OS 和數據磁碟區。 （相關原則： 客體設定擴充功能應該安裝在機器上 - Microsoft Azure。

嚴重性：高

(預覽) 應在 Azure Stack HCI 系統上保護主機和 VM 網路

描述：保護 Azure Stack HCI 主機網路和虛擬機網路連線上的數據。 （相關原則： 客體設定擴充功能應該安裝在機器上 - Microsoft Azure。

嚴重性：低

容器建議

[預覽]Azure 登錄中的容器映像應該已解決弱點結果

描述：適用於雲端的 Defender 掃描您的登錄映像是否有已知的弱點（CVE），並提供每個掃描影像的詳細結果。 掃描和補救登錄中容器映射的弱點有助於維護安全且可靠的軟體供應鏈、降低安全性事件的風險，並確保符合業界標準。

嚴重性：高

類型：弱點評估

[預覽]在 Azure 中執行的容器應該已解決弱點結果

描述：適用於雲端的 Defender 會建立 Kubernetes 叢集中目前執行的所有容器工作負載清查，並比對所使用的映射和針對登錄映像建立的弱點報告，為這些工作負載提供弱點報告。 掃描和補救容器工作負載的弱點，對於確保健全且安全的軟體供應鏈、降低安全性事件的風險，並確保符合業界標準至關重要。

嚴重性：高

類型：弱點評估

（必要時開啟）容器登錄應使用客戶管理的金鑰加密 （CMK）

描述：預設不會評估使用客戶自控密鑰加密待用數據的 建議，但可用於適用案例。 數據會使用平臺管理的密鑰自動加密，因此只有在合規性或限制性原則需求強制時，才應套用客戶管理的密鑰。 若要啟用此建議，請流覽至適用範圍的安全策略，並更新 對應原則的 Effect 參數，以稽核或使用客戶管理的密鑰。 若要深入瞭解，請參閱 管理安全策略。 使用客戶自控金鑰來管理登錄內容的待用加密。 根據預設，數據會以服務管理的密鑰進行待用加密，但客戶管理的密鑰 （CMK） 通常需要符合法規合規性標準。 CMK 可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。 在 https://aka.ms/acr/CMK 深入了解 CMK 加密。 （相關原則： 容器登錄應使用客戶管理的金鑰 （CMK） 加密。

嚴重性：低

類型：控制平面

已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Azure 原則延伸模組

描述：Azure 原則 Kubernetes 擴充網關守衛 v3，這是開放原則代理程式 （OPA） 的許可控制器 Webhook，以集中且一致的方式在您的叢集上套用大規模強制執行和保護。 （無相關政策）

嚴重性：高

類型：控制平面

已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Defender 延伸模組

描述：適用於 Azure Arc 的 Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。 延伸模組會從叢集中的所有控制平面（主要）節點收集數據，並將其傳送至 雲端中適用於 Kubernetes 的 Microsoft Defender 後端 ，以進行進一步分析。 （無相關政策）

嚴重性：高

類型：控制平面

Azure Kubernetes Service 叢集應已啟用 Defender 設定檔

描述：適用於容器的 Microsoft Defender 提供雲端原生 Kubernetes 安全性功能，包括環境強化、工作負載保護和運行時間保護。 當您在 Azure Kubernetes Service 叢集上啟用 SecurityProfile.AzureDefender 配置檔時，會將代理程式部署至叢集以收集安全性事件數據。 深入瞭解 適用於容器的 Microsoft Defender 簡介。 （無相關政策）

嚴重性：高

類型：控制平面

Azure Kubernetes Service 叢集應該已安裝 kubernetes 的 Azure 原則 附加元件

描述：Azure 原則 Kubernetes 附加元件擴充 Gatekeeper v3，這是開放原則代理程式 （OPA） 的許可控制器 Webhook，以集中且一致的方式在您的叢集上套用大規模強制執行和保護。 適用於雲端的 Defender 需要附加元件來稽核並強制執行叢集內的安全性功能和合規性。 深入了解。 需要 Kubernetes v1.14.0 或更新版本。 （相關原則： Azure 原則 Kubernetes Service 的附加元件 （AKS） 應該安裝在叢集上並加以啟用。

嚴重性：高

類型：控制平面

不應允許不受限制的網路存取

描述：根據預設，Azure 容器登錄會接受來自任何網路上主機的因特網連線。 為了保護登錄不受潛在威脅的影響，請只允許來自特定公用 IP 位址或位址範圍的存取。 如果登錄沒有 IP/防火牆規則或已設定的虛擬網路，其會出現在狀況不良的資源中。 在以下位置深入了解 Container Registry 網路規則：https://aka.ms/acr/portal/public-network和https://aka.ms/acr/vnet。 （相關原則： 容器登錄不應允許不受限制的網路存取。

嚴重性：中

類型：控制平面

容器登錄應使用私人連結

描述：Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應到您的容器登錄，而不是整個服務，您也會受到保護，以免數據外泄風險。 深入了解：https://aka.ms/acr/private-link。 （相關原則： 容器登錄應該使用私人連結。

嚴重性：中

類型：控制平面

應啟用 Kubernetes 服務中的診斷記錄

描述：在您的 Kubernetes 服務中啟用診斷記錄，並保留最多一年。 這可讓您在發生安全性事件時，重新建立活動線索以供調查之用。 （無相關政策）

嚴重性：低

類型：控制平面

Kubernetes API 伺服器應設定為受限存取

描述：若要確保只有來自允許網路、機器或子網的應用程式可以存取您的叢集，請限制對 Kubernetes API 伺服器的存取。 您可以定義授權的IP範圍，或將API伺服器設定為私人叢集，以限制存取，如建立私人 Azure Kubernetes Service 叢集中所述。 （相關原則： 授權的IP範圍應在 Kubernetes Services 上定義。

嚴重性：高

類型：控制平面

角色型 存取控制 應該在 Kubernetes Services 上使用

描述：若要針對使用者可以執行的動作提供細微篩選，請使用角色型 存取控制 （RBAC） 來管理 Kubernetes Service 叢集中的許可權，並設定相關的授權原則。 （相關原則： 角色型 存取控制 （RBAC） 應該用於 Kubernetes Services 上。

嚴重性：高

類型：控制平面

應啟用適用於容器的 Microsoft Defender

描述：適用於容器的 Microsoft Defender 為您的 Azure、混合式和多重雲端 Kubernetes 環境提供強化、弱點評量和運行時間保護。 您可以使用這些資訊快速修復安全性問題並改善容器的安全性。

重要事項：補救此建議會導致保護 Kubernetes 叢集的費用。 如果您沒有此訂用帳戶中的任何 Kubernetes 叢集，則不會產生任何費用。 如果您在未來在此訂用帳戶上建立任何 Kubernetes 叢集，這些叢集將會自動受到保護，且費用會從該時間開始。 深入瞭解 適用於容器的 Microsoft Defender 簡介。 （無相關政策）

嚴重性：高

類型：控制平面

應強制執行容器 CPU 和記憶體限制

描述：強制執行 CPU 和記憶體限制可防止資源耗盡攻擊（阻斷服務攻擊的形式）。

我們建議設定容器的限制，以確保運行時間可防止容器使用超過設定的資源限制。

（相關原則： 請確定容器 CPU 和記憶體資源限制未超過 Kubernetes 叢集中的指定限制。

嚴重性：中

類型：Kubernetes 數據平面

只有信任的登錄才能部署容器映像

描述：在 Kubernetes 叢集上執行的映像應該來自已知和受監視的容器映像登錄。 信任的登錄會藉由限制引入未知弱點、安全性問題和惡意映像的可能性，降低叢集的暴露風險。

（相關原則： 請確定 Kubernetes 叢集中只允許的容器映像。

嚴重性：高

類型：Kubernetes 數據平面

應避免許可權提升的容器

描述：容器不應該以許可權提升為 Kubernetes 叢集中的根目錄來執行。 AllowPrivilegeEscalation 屬性可控制進程是否可取得比其父進程更多的許可權。 （相關原則： Kubernetes 叢集不應允許容器許可權提升）。

嚴重性：中

類型：Kubernetes 數據平面

應避免共用敏感性主機命名空間的容器

描述：若要防止容器外部的許可權提升，請避免 Pod 存取 Kubernetes 叢集中的敏感性主機命名空間（主機進程標識碼和主機 IPC）。 （相關原則： Kubernetes 叢集容器不應共用主機進程標識碼或主機 IPC 命名空間。

嚴重性：中

類型：Kubernetes 數據平面

容器應該只使用允許的AppArmor配置檔

描述：在 Kubernetes 叢集上執行的容器應該僅限於允許的 AppArmor 配置檔。 ;AppArmor （Application Armor） 是 Linux 安全性模組，可保護作業系統及其應用程式免於安全性威脅。 若要使用它，系統管理員會將AppArmor安全性配置檔與每個程式建立關聯。 （相關原則： Kubernetes 叢集容器應該只使用允許的 AppArmor 配置檔）。

嚴重性：高

類型：Kubernetes 數據平面

容器應強制執行不可變 （只讀） 根檔系統

描述：容器應該使用 Kubernetes 叢集中的唯讀根文件系統來執行。 不可變的文件系統可保護容器免於在運行時間變更，而惡意二進位檔會新增至PATH。 （相關原則： Kubernetes 叢集容器應該使用唯讀根文件系統執行。

嚴重性：中

類型：Kubernetes 數據平面

Kubernetes 叢集應只能經由 HTTPS 存取

描述：使用 HTTPS 可確保驗證和保護傳輸中的數據不受網路層竊聽攻擊。 這項功能目前已正式推出給 Kubernetes Service （AKS），並預覽 AKS 引擎和已啟用 Azure Arc 的 Kubernetes。 如需詳細資訊，請流覽 https://aka.ms/kubepolicydoc （相關原則： 在 Kubernetes 叢集中強制執行 HTTPS 輸入）。

嚴重性：高

類型：Kubernetes 數據平面

Kubernetes 叢集應停用自動掛接 API 認證

描述：停用自動掛接 API 認證，以防止可能遭入侵的 Pod 資源對 Kubernetes 叢集執行 API 命令。 如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。 （相關原則： Kubernetes 叢集應該停用自動掛接 API 認證。

嚴重性：高

類型：Kubernetes 數據平面

Kubernetes 叢集不應授與 CAPSYSADMIN 安全性功能

描述：若要減少容器的攻擊面，請限制CAP_SYS_ADMIN Linux 功能。 如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。 （無相關政策）

嚴重性：高

類型：Kubernetes 數據平面

Kubernetes 叢集不應使用預設命名空間

描述：防止使用 Kubernetes 叢集中的預設命名空間，以防止 ConfigMap、Pod、Secret、Service 和 ServiceAccount 資源類型的未經授權存取。 如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。 （相關原則： Kubernetes 叢集不應該使用預設命名空間。

嚴重性：低

類型：Kubernetes 數據平面

應針對容器強制執行最低許可權 Linux 功能

描述：若要減少容器的攻擊面，請限制Linux功能，並將特定許可權授與容器，而不授與根使用者的所有許可權。 建議您卸除所有功能，然後新增所需的功能（相關原則： Kubernetes 叢集容器應該只使用允許的功能）。

嚴重性：中

類型：Kubernetes 數據平面

應避免特殊許可權容器

描述：若要防止不受限制的主機存取，請盡可能避免具有特殊許可權的容器。

特殊許可權容器具有主計算機的所有根功能。 它們可用來作為攻擊的進入點，並將惡意代碼或惡意代碼傳播至遭入侵的應用程式、主機和網路。 （相關原則： 不允許 Kubernetes 叢集中的特殊許可權容器。

嚴重性：中

類型：Kubernetes 數據平面

應避免以根使用者身分執行容器

描述：容器不應該以 Kubernetes 叢集中的根使用者身分執行。 當容器內的根使用者以根目錄身分在主機上執行進程。 如果遭到入侵，攻擊者就會在容器中根目錄，而且任何設定錯誤會更容易惡意探索。 （相關原則： Kubernetes 叢集 Pod 和容器應該只使用已核准的使用者和群組標識符來執行。

嚴重性：高

類型：Kubernetes 數據平面

服務應該只接聽允許的埠

描述：若要減少 Kubernetes 叢集的攻擊面，請藉由限制服務存取已設定的埠來限制對叢集的存取。 （相關原則： 確定服務只會接聽 Kubernetes 叢集中允許的埠。

嚴重性：中

類型：Kubernetes 數據平面

應限制主機網路和埠的使用

描述：限制 Pod 存取 Kubernetes 叢集中的主機網路和允許的主機埠範圍。 已啟用hostNetwork屬性建立的Pod將會共享節點的網路空間。 為了避免遭入侵的容器無法探查網路流量，建議您不要將Pod放在主機網路上。 如果您需要在節點的網路上公開容器埠，並使用 Kubernetes Service 節點埠不符合您的需求，另一個可能性是在 Pod 規格中指定容器的 hostPort。（相關原則： Kubernetes 叢集 Pod 應該只使用已核准的主機網路和埠範圍）。

嚴重性：中

類型：Kubernetes 數據平面

Pod HostPath 磁碟區掛接的使用應限制為已知清單，以限制來自遭入侵容器的節點存取

描述：建議您將 Kubernetes 叢集中的 Pod HostPath 磁碟區掛接限制為已設定的允許主機路徑。 如果遭到入侵，應該限制來自容器的容器節點存取。 （相關原則： Kubernetes 叢集 Pod hostPath 磁碟區應該只使用允許的主機路徑。

嚴重性：中

類型：Kubernetes 數據平面

Azure 登錄容器映像應已解決弱點 (由 Qualys 提供)

描述：容器映像弱點評估會掃描登錄是否有安全性弱點，並公開每個映像的詳細結果。 解決這些弱點可以大幅改善容器的安全性狀態，並保護容器免於遭受攻擊。 （相關原則： 應補救 Azure Container Registry 映射中的弱點。

嚴重性：高

類型：弱點評估

Azure 登錄容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援)

重要

這項建議位於淘汰路徑上。 Azure 登錄中的容器映射建議 [[預覽] 容器映射應該已解決弱點結果]（#preview-container-images-in-azure-registry-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey33422d8f-ab1e-42be-bc9a-38685bb567b9）。

描述：容器映像弱點評估會掃描登錄中常見的弱點 （CVE），並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢，並在部署前確保映像可安全使用。 （相關原則： 應補救 Azure Container Registry 映射中的弱點。

嚴重性：高

類型：弱點評估

Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援)

重要

這項建議位於淘汰路徑上。 它正由在 Azure 中執行的建議 [[預覽] 容器取代，其弱點結果應已解決]（#preview-containers-running-in-azure-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkeye9acaf48-d2cf-45a3-a6e7-3caa2ef769e0）。

描述：容器映像弱點評估會掃描登錄中常見的弱點 （CVE），並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵，可大幅降低容器化工作負載的受攻擊面。

嚴重性：高

類型：弱點評估

數據建議

（必要時開啟）Azure Cosmos DB 帳戶應使用客戶管理的密鑰來加密待用數據

描述：預設不會評估 建議 使用客戶管理的密鑰來加密待用數據，但可用於適用案例。 數據會使用平臺管理的密鑰自動加密，因此只有在合規性或限制性原則需求強制時，才應套用客戶管理的密鑰。 若要啟用此建議，請流覽至適用範圍的安全策略，並更新 對應原則的 Effect 參數，以稽核或使用客戶管理的密鑰。 若要深入瞭解，請參閱 管理安全策略。 使用客戶自控金鑰來管理 Azure Cosmos DB 的待用加密。 根據預設，數據會以服務管理的密鑰進行待用加密，但客戶管理的密鑰 （CMK） 通常需要符合法規合規性標準。 CMK 可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。 在 https://aka.ms/cosmosdb-cmk 深入了解 CMK 加密。 （相關原則： Azure Cosmos DB 帳戶應使用客戶自控密鑰來加密待用數據。

嚴重性：低

（必要時開啟）Azure 機器學習 工作區應使用客戶管理的金鑰加密 （CMK）

描述：預設不會評估 建議 使用客戶管理的密鑰來加密待用數據，但可用於適用案例。 數據會使用平臺管理的密鑰自動加密，因此只有在合規性或限制性原則需求強制時，才應套用客戶管理的密鑰。 若要啟用此建議，請流覽至適用範圍的安全策略，並更新 對應原則的 Effect 參數，以稽核或使用客戶管理的密鑰。 若要深入瞭解，請參閱 管理安全策略。 使用客戶管理的金鑰管理 Azure 機器學習 工作區數據的其餘部分加密。 根據預設，客戶資料會使用服務管理的金鑰進行加密，但通常需要有 CMK 才能符合法規合規性標準。 CMK 可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。 在 https://aka.ms/azureml-workspaces-cmk 深入了解 CMK 加密。 （相關原則： Azure 機器學習 工作區應使用客戶管理的金鑰 （CMK） 加密。

嚴重性：低

（必要時開啟）認知服務帳戶應使用客戶管理的金鑰來啟用資料加密 （CMK）

描述：預設不會評估使用客戶自控密鑰加密待用數據的 建議，但可用於適用案例。 數據會使用平臺管理的密鑰自動加密，因此只有在合規性或限制性原則需求強制時，才應套用客戶管理的密鑰。 若要啟用此建議，請流覽至適用範圍的安全策略，並更新 對應原則的 Effect 參數，以稽核或使用客戶管理的密鑰。 若要深入瞭解，請參閱 管理安全策略。 客戶管理的金鑰 （CMK） 通常需要符合法規合規性標準。 CMK 可讓儲存在認知服務中的數據使用由您建立和擁有的 Azure 金鑰保存庫 金鑰來加密。 您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。 在 https://aka.ms/cosmosdb-cmk 深入了解 CMK 加密。 （相關原則： 認知服務帳戶應該使用客戶管理的金鑰來啟用數據加密？（CMK））

嚴重性：低

（必要時開啟）MySQL 伺服器應該使用客戶管理的金鑰來加密待用數據

描述：建議 依預設不會評估客戶自控密鑰來加密待用數據，但可用於適用案例。 數據會使用平臺管理的密鑰自動加密，因此只有在合規性或限制性原則需求強制時，才應套用客戶管理的密鑰。 若要啟用此建議，請流覽至適用範圍的安全策略，並更新 對應原則的 Effect 參數，以稽核或使用客戶管理的密鑰。 若要深入瞭解，請參閱 管理安全策略。 使用客戶自控金鑰來管理 MySQL 伺服器的待用加密。 根據預設，數據會以服務管理的密鑰進行待用加密，但客戶管理的密鑰 （CMK） 通常需要符合法規合規性標準。 CMK 可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。 （相關原則： 應該為 MySQL 伺服器啟用您自己的金鑰資料保護。

嚴重性：低

（必要時開啟）PostgreSQL 伺服器應使用客戶自控密鑰來加密待用數據

描述：預設不會評估 建議 使用客戶自控密鑰來加密待用數據，但可用於適用案例。 數據會使用平臺管理的密鑰自動加密，因此只有在合規性或限制性原則需求強制時，才應套用客戶管理的密鑰。 若要啟用此建議，請流覽至適用範圍的安全策略，並更新 對應原則的 Effect 參數，以稽核或使用客戶管理的密鑰。 若要深入瞭解，請參閱 管理安全策略。 使用客戶自控金鑰來管理 PostgreSQL 伺服器的待用加密。 根據預設，數據會以服務管理的密鑰進行待用加密，但客戶管理的密鑰 （CMK） 通常需要符合法規合規性標準。 CMK 可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。 （相關原則： 應該為 PostgreSQL 伺服器啟用您自己的金鑰數據保護。

嚴重性：低

（必要時開啟）SQL 受控實例應該使用客戶管理的金鑰來加密待用數據

描述：建議 預設不會評估使用客戶管理的密鑰來加密待用數據，但可用於適用案例。 數據會使用平臺管理的密鑰自動加密，因此只有在合規性或限制性原則需求強制時，才應套用客戶管理的密鑰。 若要啟用此建議，請流覽至適用範圍的安全策略，並更新 對應原則的 Effect 參數，以稽核或使用客戶管理的密鑰。 若要深入瞭解，請參閱 管理安全策略。 實作具有自備金鑰的透明資料加密 (TDE)，能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性，以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 （相關原則： SQL 受控實例應使用客戶管理的金鑰來加密待用數據。

嚴重性：低

（必要時開啟）SQL 伺服器應使用客戶管理的金鑰來加密待用數據

描述：預設不會評估 建議 使用客戶管理的密鑰來加密待用數據，但可用於適用案例。 數據會使用平臺管理的密鑰自動加密，因此只有在合規性或限制性原則需求強制時，才應套用客戶管理的密鑰。 若要啟用此建議，請流覽至適用範圍的安全策略，並更新 對應原則的 Effect 參數，以稽核或使用客戶管理的密鑰。 若要深入瞭解，請參閱 管理安全策略。 實作具有自備金鑰的透明資料加密 (TDE)，能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性，以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 （相關原則： SQL 伺服器應使用客戶管理的金鑰來加密待用數據。

嚴重性：低

（必要時開啟）儲存體 帳戶應使用客戶管理的金鑰 （CMK） 進行加密

描述：預設不會評估使用客戶自控密鑰加密待用數據的 建議，但可用於適用案例。 數據會使用平臺管理的密鑰自動加密，因此只有在合規性或限制性原則需求強制時，才應套用客戶管理的密鑰。 若要啟用此建議，請流覽至適用範圍的安全策略，並更新 對應原則的 Effect 參數，以稽核或使用客戶管理的密鑰。 若要深入瞭解，請參閱 管理安全策略。 使用客戶自控金鑰 （CMK） 以更大的彈性保護您的記憶體帳戶。 當您指定 CMK 時，該金鑰會用來保護和控制加密資料的密鑰存取。 使用 CMK 可提供其他功能來控制金鑰加密金鑰的輪替，或以密碼編譯方式清除數據。 （相關原則： 儲存體 帳戶應使用客戶管理的金鑰 （CMK） 進行加密）。

嚴重性：低

所有進階威脅防護類型都應該在 SQL 受控實例進階數據安全性設定中啟用

描述：建議您在 SQL 受控實例上啟用所有進階威脅防護類型。 啟用所有類型可防範 SQL 插入、資料庫弱點，以及任何其他異常活動。 （無相關政策）

嚴重性：中

所有進階威脅防護類型都應該在 SQL Server 進階資料安全性設定中啟用

描述：建議您在 SQL 伺服器上啟用所有進階威脅防護類型。 啟用所有類型可防範 SQL 插入、資料庫弱點，以及任何其他異常活動。 （無相關政策）

嚴重性：中

API 管理服務應使用虛擬網路

描述：Azure 虛擬網絡 部署提供增強的安全性、隔離，並可讓您將 API 管理 服務放在可控制存取的非因特網路中。 這些網路接著可以使用各種 VPN 技術連線到您的內部部署網路，以存取網路和/或內部部署內的後端服務。 開發人員入口網站和 API 閘道可以設定為可從因特網存取，或只能在虛擬網路記憶體取。 （相關原則： API 管理 服務應該使用虛擬網路）。

嚴重性：中

應用程式設定應使用私人連結

描述：Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至應用程式組態而非整個服務，您也會受到保護，而免於遭受資料洩漏風險。 深入了解：https://aka.ms/appconfig/private-endpoint。 （相關原則： 應用程式組態 應該使用私人連結）。

嚴重性：中

SQL 伺服器的稽核保留期應設定為至少 90 天

描述：稽核稽核保留期間少於90天的SQL伺服器。 （相關原則： SQL 伺服器應設定為 90 天的稽核保留期或更新版本。

嚴重性：低

應啟用 SQL 伺服器上的稽核

描述：在您的 SQL Server 上啟用稽核，以追蹤伺服器上所有資料庫的資料庫活動，並將其儲存在稽核記錄中。 （相關原則： 應啟用 SQL Server 上的稽核。

嚴重性：低

應在訂用帳戶上啟用Log Analytics代理程式的自動布建

描述：若要監視安全性弱點和威脅，適用於雲端的 Microsoft Defender 從 Azure 虛擬機收集數據。 資料會由 Log Analytics 代理程式 (先前稱為 Microsoft Monitoring Agent (MMA)) 進行收集，收集的方式是讀取機器的各種安全性相關組態和事件記錄，並將資料複製到 Log Analytics 工作區進行分析。 建議您啟用自動佈建，以將代理程式自動部署到所有受支援的 Azure VM 和任何新建立的 VM。 （相關原則： 應該在您的訂用帳戶上啟用Log Analytics代理程式的自動布建。

嚴重性：低

Azure Cache for Redis 應位於虛擬網路內

描述：Azure 虛擬網絡 （VNet） 部署為您的 Azure Cache for Redis 以及子網、訪問控制原則和其他功能提供增強的安全性和隔離，以進一步限制存取。 當 Azure Cache for Redis 實例設定為 VNet 時，它無法公開尋址，而且只能從 VNet 內的虛擬機和應用程式存取。 （相關原則： Azure Cache for Redis 應該位於虛擬網路內。

嚴重性：中

適用於 MySQL 的 Azure 資料庫 應布建 Azure Active Directory 系統管理員

描述：為您的 適用於 MySQL 的 Azure 資料庫 布建 Azure AD 系統管理員，以啟用 Azure AD 驗證。 Azure AD 驗證可簡化資料庫使用者和其他 Microsoft 服務 的許可權管理和集中式身分識別管理（相關原則：應為 MySQL 伺服器布建 Azure Active Directory 系統管理員）。

嚴重性：中

適用於 PostgreSQL 的 Azure 資料庫 應布建 Azure Active Directory 系統管理員

描述：為您的 適用於 PostgreSQL 的 Azure 資料庫 布建 Azure AD 系統管理員，以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務，簡化權限管理及集中管理身分識別
（相關原則： 應為 PostgreSQL 伺服器布建 Azure Active Directory 系統管理員。

嚴重性：中

Azure Cosmos DB 帳戶應具有防火牆規則

描述：應在 Azure Cosmos DB 帳戶上定義防火牆規則，以防止來自未經授權的來源的流量。 若帳戶至少有一個已啟用虛擬網路篩選器定義之 IP 規則，系統會將其視為符合規範。 停用公用存取的帳戶也會視為符合規範。 （相關原則： Azure Cosmos DB 帳戶應具有防火牆規則）。

嚴重性：中

Azure 事件方格網域應使用私人連結

描述：Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至事件方格網域，而不是整個服務，您也會受到保護，免於數據外泄風險。 深入了解：https://aka.ms/privateendpoints。 （相關原則： Azure 事件方格 網域應該使用私人連結）。

嚴重性：中

Azure 事件方格主題應使用私人連結

描述：Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應到您的主題，而不是整個服務，您也會受到保護，免於數據外泄風險。 深入了解：https://aka.ms/privateendpoints。 （相關原則： Azure 事件方格 主題應該使用私人連結）。

嚴重性：中

Azure Machine Learning 工作區應使用私人連結

描述：Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure 機器學習 工作區，而不是整個服務，您也會受到保護，以免數據外泄風險。 深入了解：https://aka.ms/azureml-workspaces-privatelink。 （相關原則： Azure 機器學習 工作區應使用私人連結）。

嚴重性：中

Azure SignalR Service 應使用私人連結

描述：Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應到您的 SignalR 資源，而不是整個服務，您也會受到保護，免於數據外泄風險。 深入了解：https://aka.ms/asrs/privatelink。 （相關原則： Azure SignalR Service 應使用私人連結。

嚴重性：中

Azure Spring Cloud 應使用網路插入

描述：Azure Spring Cloud 實例應針對下列用途使用虛擬網路插入：1。 將 Azure Spring Cloud 與網際網路隔離。 2. 讓 Azure Spring Cloud 能夠與內部部署資料中心或其他虛擬網路中 Azure 服務內的系統進行互動。 3. 讓客戶得以控制 Azure Spring Cloud 的輸入和輸出網路通訊 （相關原則： Azure Spring Cloud 應該使用網路插入。

嚴重性：中

SQL Server 應該已布建 Azure Active Directory 系統管理員

描述：為您的 SQL Server 布建 Azure AD 系統管理員，以啟用 Azure AD 驗證。 Azure AD 驗證可簡化資料庫使用者和其他 Microsoft 服務 的許可權管理和集中式身分識別管理。 （相關原則： 應為 SQL Server 布建 Azure Active Directory 系統管理員。

嚴重性：高

Azure Synapse 工作區驗證模式應為僅限 Azure Active Directory

描述：Azure Synapse 工作區驗證模式應為僅限 Azure Active Directory 的 Azure Active Directory 驗證方法，藉由確保 Synapse 工作區完全需要 Azure AD 身分識別進行驗證，來改善安全性。 深入了解。 （相關原則： Synapse 工作區應該只使用 Azure Active Directory 身分識別進行驗證。

嚴重性：中

認知服務帳戶應啟用數據加密

描述：此原則會稽核任何不使用數據加密的認知服務帳戶。 針對具有記憶體的每個認知服務帳戶，應該使用客戶管理的或 Microsoft 受控密鑰來啟用數據加密。 （相關原則： 認知服務帳戶應啟用數據加密。

嚴重性：低

認知服務帳戶應使用客戶擁有的記憶體或啟用數據加密

描述：此原則會稽核未使用客戶擁有的記憶體和數據加密的任何認知服務帳戶。 針對具有記憶體的每個認知服務帳戶，請使用客戶擁有的記憶體或啟用數據加密。 （相關原則： 認知服務帳戶應使用客戶擁有的記憶體或啟用數據加密。

嚴重性：低

應啟用 Azure Data Lake Store 中的診斷記錄

描述：啟用記錄並保留最多一年。 這可讓您在發生安全性事件或網路遭到入侵時，重新建立活動線索以供調查之用。 （相關原則： 應啟用 Azure Data Lake Store 中的診斷記錄。

嚴重性：低

應該啟用Data Lake Analytics中的診斷記錄

描述：啟用記錄並保留最多一年。 這可讓您在發生安全性事件或網路遭到入侵時，重新建立活動線索以供調查之用。 （相關原則： 應該啟用Data Lake Analytics中的診斷記錄。

嚴重性：低

應針對高嚴重性警示啟用電子郵件通知

描述：若要確保組織中相關人員在其中一個訂用帳戶中有潛在的安全性缺口時收到通知，請在 適用於雲端的 Defender 中啟用高嚴重性警示的電子郵件通知。 （相關原則： 應啟用高嚴重性警示的電子郵件通知。

嚴重性：低

應已針對高嚴重性警示啟用傳送給訂用帳戶擁有者的電子郵件通知

描述：為了確保訂用帳戶擁有者在其訂用帳戶中有潛在的安全性缺口時收到通知，請將電子郵件通知設定為訂用帳戶擁有者，以取得 適用於雲端的 Defender 中高嚴重性警示。 （相關原則： 應啟用高嚴重性警示的訂用帳戶擁有者的電子郵件通知。

嚴重性：中

應為 MySQL 資料庫伺服器啟用 [強制執行 SSL 連線]

描述：適用於 MySQL 的 Azure 資料庫 支援使用安全套接字層 （SSL） 將 適用於 MySQL 的 Azure 資料庫 伺服器連線到用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線，可將兩者之間的資料流加密，有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL，以存取您的資料庫伺服器。 （相關原則： 應為 MySQL 資料庫伺服器啟用強制 SSL 連線。

嚴重性：中

應為 PostgreSQL 資料庫伺服器啟用 [強制執行 SSL 連線]

描述：適用於 PostgreSQL 的 Azure 資料庫 支援使用安全套接字層 （SSL） 將 適用於 PostgreSQL 的 Azure 資料庫 伺服器連線到客戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線，可將兩者之間的資料流加密，有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL，以存取您的資料庫伺服器。 （相關原則： 應為 PostgreSQL 資料庫伺服器啟用強制 SSL 連線。

嚴重性：中

函式應用程式應已解決弱點結果

描述：函式的運行時間弱點掃描會掃描函式應用程式是否有安全性弱點，並公開詳細的結果。 解決弱點可以大幅改善無伺服器應用程式的安全性狀態，並保護它們免於遭受攻擊。 （無相關政策）

嚴重性：高

應為適用於 MariaDB 的 Azure 資料庫啟用異地備援備份

描述：適用於 MariaDB 的 Azure 資料庫 可讓您選擇資料庫伺服器的備援選項。 它可以設定為異地備援備份記憶體，其中數據不僅儲存在伺服器裝載所在的區域內，也會復寫到配對的區域，以在發生區域失敗時提供復原選項。 只有在建立伺服器時，才允許設定備份的異地備援記憶體。 （相關原則： 應針對 適用於 MariaDB 的 Azure 資料庫 啟用異地備援備份）。

嚴重性：低

應為適用於 MySQL 的 Azure 資料庫啟用異地備援備份

描述：適用於 MySQL 的 Azure 資料庫 可讓您選擇資料庫伺服器的備援選項。 它可以設定為異地備援備份記憶體，其中數據不僅儲存在伺服器裝載所在的區域內，也會復寫到配對的區域，以在發生區域失敗時提供復原選項。 只有在建立伺服器時，才允許設定備份的異地備援記憶體。 （相關原則： 應針對 適用於 MySQL 的 Azure 資料庫 啟用異地備援備份）。

嚴重性：低

應為適用於 PostgreSQL 的 Azure 資料庫啟用異地備援備份

描述：適用於 PostgreSQL 的 Azure 資料庫 可讓您選擇資料庫伺服器的備援選項。 它可以設定為異地備援備份記憶體，其中數據不僅儲存在伺服器裝載所在的區域內，也會復寫到配對的區域，以在發生區域失敗時提供復原選項。 只有在建立伺服器時，才允許設定備份的異地備援記憶體。 （相關原則： 應針對 適用於 PostgreSQL 的 Azure 資料庫 啟用異地備援備份）。

嚴重性：低

GitHub 存放庫應該已啟用程式代碼掃描

描述：GitHub 會使用程式代碼掃描來分析程序代碼，以尋找程式代碼中的安全性弱點和錯誤。 程式代碼掃描可用來尋找、分級和排定程式代碼中現有問題的修正程式。 程式代碼掃描也可以防止開發人員引入新的問題。 掃描可以排程特定天數和時間，或在存放庫中發生特定事件時觸發掃描，例如推送。 如果程式代碼掃描在程式代碼中發現潛在的弱點或錯誤，GitHub 會在存放庫中顯示警示。 弱點是專案程序代碼中可能會遭到惡意探索的問題，以損害專案的機密性、完整性或可用性。 （無相關政策）

嚴重性：中

GitHub 存放庫應該已啟用 Dependabot 掃描

描述：GitHub 會在偵測到影響存放庫的程式代碼相依性弱點時傳送 Dependabot 警示。 弱點是專案程序代碼中可能會遭到惡意探索的問題，以損害專案的機密性、完整性或可用性，或使用其程序代碼的其他專案。 弱點的類型、嚴重性和攻擊方法會有所不同。 當程式代碼相依於有安全性弱點的套件時，此易受攻擊的相依性可能會導致一系列問題。 （無相關政策）

嚴重性：中

GitHub 存放庫應該已啟用秘密掃描

描述：GitHub 會掃描存放庫是否有已知類型的秘密，以防止意外認可至存放庫的秘密遭到詐騙。 秘密掃描會在 GitHub 存放庫中所有分支上掃描整個 Git 歷程記錄，以取得任何秘密。 秘密的範例包括服務提供者可以簽發的令牌和私鑰來進行驗證。 如果秘密簽入存放庫，任何具有存放庫讀取許可權的人都可以使用秘密來存取具有這些許可權的外部服務。 秘密應該儲存在專案的存放庫外部的專用安全位置。 （無相關政策）

嚴重性：高

應啟用適用於 Azure 的 Microsoft Defender SQL 資料庫 伺服器

描述：適用於 SQL 的 Microsoft Defender 是提供進階 SQL 安全性功能的整合套件。 它包含顯示和緩和潛在資料庫弱點的功能、偵測可能表示資料庫威脅的異常活動，以及探索和分類敏感數據。 重要事項：此方案的保護會依 [Defender 方案] 頁面上所示收費。 如果您沒有此訂用帳戶中的任何 Azure SQL 資料庫 伺服器，則不會向您收費。 如果您稍後在此訂用帳戶上建立 Azure SQL 資料庫 伺服器，系統會自動加以保護，並開始收費。 瞭解 每個區域的定價詳細數據。 深入了解 適用於 SQL 的 Microsoft Defender 簡介。 （相關原則： 應啟用適用於 Azure SQL 資料庫 伺服器的 Azure Defender）。

嚴重性：高

應啟用適用於 DNS 的 Microsoft Defender

描述：適用於 DNS 的 Microsoft Defender 會持續監視來自 Azure 資源的所有 DNS 查詢，為您的雲端資源提供額外的保護層。 適用於 DNS 的 Defender 會針對 DNS 層的可疑活動發出警示。 深入瞭解 適用於 DNS 的 Microsoft Defender 簡介。 啟用此 Defender 方案會產生費用。 瞭解 適用於雲端的 Defender 定價頁面上每個區域的定價詳細數據：適用於雲端的 Defender 定價。 （無相關政策）

嚴重性：高

應啟用適用於開放原始碼關係資料庫的 Microsoft Defender

描述：適用於開放原始碼關係資料庫的 Microsoft Defender 會偵測異常活動，指出存取或惡意探索資料庫時發生異常且可能有害的嘗試。 深入瞭解 適用於開放原始碼關係資料庫的 Microsoft Defender 簡介。

重要：啟用此方案保護您的開放原始碼關係資料庫將會產生費用。 如果您沒有此訂用帳戶中的任何開放原始碼關係資料庫，則不會產生任何費用。 如果您在未來在此訂用帳戶上建立任何開放原始碼關係資料庫，這些資料庫將會自動受到保護，而且費用會從該時間開始。 （無相關政策）

嚴重性：高

應啟用適用於 Resource Manager 的 Microsoft Defender

描述：適用於 Resource Manager 的 Microsoft Defender 會自動監視組織中的資源管理作業。 適用於雲端的 Defender 偵測到有關可疑活動的威脅和警示。 深入瞭解 適用於 Resource Manager 的 Microsoft Defender 簡介。 啟用此 Defender 方案會產生費用。 瞭解 適用於雲端的 Defender 定價頁面上每個區域的定價詳細數據：適用於雲端的 Defender 定價。 （無相關政策）

嚴重性：高

應在工作區上啟用適用於 SQL 的 Microsoft Defender

描述：適用於伺服器的 Microsoft Defender 為您的 Windows 和 Linux 機器帶來威脅偵測和進階防禦。 在訂用帳戶上啟用此 Defender 方案，但未在您的工作區上啟用，您需支付適用於伺服器的 Microsoft Defender 完整功能，但缺少部分權益。 當您在工作區上啟用適用於伺服器的 Microsoft Defender 時，向該工作區報告的所有計算機都會針對適用於伺服器的 Microsoft Defender 計費，即使它們位於未啟用 Defender 方案的訂用帳戶中也一樣。 除非您在訂用帳戶上啟用適用於伺服器的 Microsoft Defender，否則這些機器將無法利用 Just-In-Time VM 存取、自適性應用程控，以及 Azure 資源的網路偵測。 深入瞭解 適用於伺服器的 Microsoft Defender 簡介。 （無相關政策）

嚴重性：中

應啟用電腦上適用於 SQL 伺服器的 Microsoft Defender

描述：適用於 SQL 的 Microsoft Defender 是提供進階 SQL 安全性功能的整合套件。 它包含顯示和緩和潛在資料庫弱點的功能、偵測可能表示資料庫威脅的異常活動，以及探索和分類敏感數據。

重要事項：補救此建議會導致在機器上保護您的 SQL 伺服器產生費用。 如果您在此訂用帳戶的機器上沒有任何 SQL 伺服器，則不會產生任何費用。 如果您在未來在此訂用帳戶的計算機上建立任何 SQL 伺服器，這些伺服器將會自動受到保護，而且費用會從該時間開始。 深入了解電腦上適用於 SQL 伺服器的 Microsoft Defender。 （相關原則： 應啟用適用於機器上的適用於 SQL 伺服器的 Azure Defender。

嚴重性：高

應針對未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Microsoft Defender

描述：適用於 SQL 的 Microsoft Defender 是提供進階 SQL 安全性功能的整合套件。 它浮出水面並減輕潛在的資料庫弱點，並偵測可能表示資料庫威脅的異常活動。 適用於 SQL 的 Microsoft Defender 會依每個區域的定價詳細數據來計費。 （相關原則： 應在 SQL 伺服器上啟用進階資料安全性。

嚴重性：高

應針對未受保護的 SQL 受管理執行個體 啟用適用於 SQL 的 Microsoft Defender

描述：適用於 SQL 的 Microsoft Defender 是提供進階 SQL 安全性功能的整合套件。 它浮出水面並減輕潛在的資料庫弱點，並偵測可能表示資料庫威脅的異常活動。 適用於 SQL 的 Microsoft Defender 會依每個區域的定價詳細數據來計費。 （相關原則： 應在 SQL 受管理執行個體 上啟用進階數據安全性）。

嚴重性：高

應啟用適用於儲存體的 Microsoft Defender

描述：適用於記憶體的 Microsoft Defender 偵測到存取或惡意探索記憶體帳戶的異常和潛在有害嘗試。 重要事項：此方案的保護會依 [Defender 方案] 頁面上所示收費。 如果您沒有此訂用帳戶中的任何 Azure 儲存體 帳戶，則不會向您收費。 如果您稍後在此訂用帳戶上建立 Azure 儲存體 帳戶，系統會自動保護帳戶，並開始收費。 瞭解 每個區域的定價詳細數據。 深入瞭解適用於 儲存體 的 Microsoft Defender 簡介。 （相關原則： 應啟用適用於 儲存體 的 Azure Defender）。

嚴重性：高

應啟用網路監看員

描述：網路監看員 是一項區域服務，可讓您在 Azure 的網路案例層級監視和診斷條件。 情節層級監視可讓您以端對端網路層級的觀點來診斷問題。 網路監看員所提供的網路診斷和視覺效果工具可協助您了解、診斷及取得 Azure 中網路的見解。 （相關原則： 應啟用 網路監看員）。

嚴重性：低

應對 Azure SQL Database 啟用私人端點連線

描述：私人端點聯機會啟用 Azure SQL 資料庫 的私人連線，以強制執行安全通訊。 （相關原則： 應啟用 Azure SQL 資料庫 上的私人端點連線。

嚴重性：中

MariaDB 伺服器應啟用私人端點

描述：私人端點聯機會啟用 適用於 MariaDB 的 Azure 資料庫 的私人連線，以強制執行安全通訊。 設定私人端點連線，僅存取來自已知網路的流量，並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 （相關原則： 應為 MariaDB 伺服器啟用私人端點。

嚴重性：中

MySQL 伺服器應啟用私人端點

描述：私人端點聯機會啟用 適用於 MySQL 的 Azure 資料庫 的私人連線，以強制執行安全通訊。 設定私人端點連線，僅存取來自已知網路的流量，並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 （相關原則： 應為 MySQL 伺服器啟用私人端點。

嚴重性：中

PostgreSQL 伺服器應啟用私人端點

描述：私人端點聯機會啟用 適用於 PostgreSQL 的 Azure 資料庫 的私人連線，以強制執行安全通訊。 設定私人端點連線，僅存取來自已知網路的流量，並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 （相關原則： 應該為 PostgreSQL 伺服器啟用私人端點。

嚴重性：中

應對 Azure SQL Database 停用公用網路存取

描述：停用公用網路存取屬性可藉由確保您的 Azure SQL 資料庫 只能從私人端點存取，以改善安全性。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 （相關原則： 應停用 Azure SQL 資料庫 上的公用網路存取。

嚴重性：中

應為 MariaDB 伺服器停用公用網路存取

描述：停用公用網路存取屬性以改善安全性，並確保只能從私人端點存取您的 適用於 MariaDB 的 Azure 資料庫。 此設定會嚴格停用從 Azure IP 範圍外任何公用位址空間進行的存取，並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 （相關原則： 應停用 MariaDB 伺服器的公用網路存取。

嚴重性：中

應為 MySQL 伺服器停用公用網路存取

描述：停用公用網路存取屬性以改善安全性，並確保只能從私人端點存取您的 適用於 MySQL 的 Azure 資料庫。 此設定會嚴格停用從 Azure IP 範圍外任何公用位址空間進行的存取，並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 （相關原則： MySQL 伺服器應停用公用網路存取。

嚴重性：中

應為 PostgreSQL 伺服器停用公用網路存取

描述：停用公用網路存取屬性以改善安全性，並確保只能從私人端點存取您的 適用於 PostgreSQL 的 Azure 資料庫。 此設定會停用從 Azure IP 範圍外任何公用位址空間進行的存取，並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 （相關原則： PostgreSQL 伺服器應停用公用網路存取。

嚴重性：中

Redis 快取應該只允許透過SSL存取

描述：僅透過 SSL 與 Redis 快取啟用連線。 使用安全連線可確保伺服器與服務之間的驗證，並保護傳輸中的數據不受網路層攻擊，例如中間人、竊聽和會話劫持。 （相關原則： 應該只啟用與 Azure Cache for Redis 的安全連線。

嚴重性：高

SQL 資料庫應已解決發現的弱點

描述：SQL 弱點評估會掃描您的資料庫是否有安全性弱點，並公開任何與最佳做法的偏差，例如設定錯誤、過度許可權和未受保護的敏感數據。 解決找到的弱點可以大幅改進資料庫的安全性態勢。 深入瞭解 （相關原則： 應補救 SQL 資料庫上的弱點）。

嚴重性：高

SQL 受控實例應該已設定弱點評估

描述：弱點評估可以探索、追蹤及協助您補救潛在的資料庫弱點。 （相關原則： 應在 SQL 受管理執行個體 上啟用弱點評估）。

嚴重性：高

機器上的 SQL Server 應已解決發現的弱點

描述：SQL 弱點評估會掃描您的資料庫是否有安全性弱點，並公開任何與最佳做法的偏差，例如設定錯誤、過度許可權和未受保護的敏感數據。 解決找到的弱點可以大幅改進資料庫的安全性態勢。 深入瞭解 （相關原則： 應補救計算機上 SQL Server 上的弱點）。

嚴重性：高

SQL Server 應該已布建 Azure Active Directory 系統管理員

描述：為您的 SQL Server 布建 Azure AD 系統管理員，以啟用 Azure AD 驗證。 Azure AD 驗證可簡化許可權管理和集中式身分識別管理資料庫使用者和其他 Microsoft 服務。 （相關原則： 應為 SQL Server 布建 Azure Active Directory 系統管理員。

嚴重性：高

SQL Server 應該已設定弱點評估

描述：弱點評估可以探索、追蹤及協助您補救潛在的資料庫弱點。 （相關原則： 應在 SQL 伺服器上啟用弱點評估。

嚴重性：高

儲存體 帳戶應使用私人連結連線

描述：私人鏈接會藉由提供記憶體帳戶的私人連線來強制執行安全通訊（相關原則：儲存體 帳戶應使用私人連結連線）。

嚴重性：中

儲存體帳戶應移轉至新的 Azure Resource Manager 資源

描述：若要受益於 Azure Resource Manager 中的新功能，您可以從傳統部署模型移轉現有的部署。 Resource Manager 可啟用安全性增強功能，例如：更強大的訪問控制 （RBAC）、更好的稽核、ARM 型部署和治理、受控識別的存取、秘密的密鑰保存庫存取、Azure AD 型驗證的支援，以及標籤和資源群組的支援，以方便安全性管理。 深入瞭解 （相關原則：儲存體 帳戶應移轉至新的 Azure Resource Manager 資源。

嚴重性：低

儲存體帳戶應使用虛擬網路規則來限制網路存取

描述：使用虛擬網路規則作為慣用方法，而不是以IP為基礎的篩選，保護您的記憶體帳戶免於潛在的威脅。 停用 IP 型篩選可防止公用 IP 存取您的儲存體帳戶。 （相關原則： 儲存體 帳戶應使用虛擬網路規則來限制網路存取。

嚴重性：中

訂用帳戶應具有連絡人電子郵件地址以處理安全性問題

描述：若要確保組織中相關人員在其中一個訂用帳戶中有潛在的安全性缺口時收到通知，請設定安全性聯繫人，以接收來自 適用於雲端的 Defender 的電子郵件通知。 （相關原則： 訂用帳戶應有安全性問題的聯絡人電子郵件位址）

嚴重性：低

應在 SQL 資料庫上啟用透明資料加密

描述：啟用透明數據加密以保護待用數據並符合合規性需求（相關原則：應啟用 SQL 資料庫上的 透明資料加密）。

嚴重性：低

VM 映像產生器範本應使用私人連結

描述：稽核未設定虛擬網路的 VM 映射產生器範本。 未設定虛擬網路時，會改為建立及使用公用IP，這可能會直接向因特網公開資源，並增加潛在的攻擊面。 （相關原則： VM 映像產生器範本應使用私人連結）。

嚴重性：中

應為應用程式閘道啟用 Web 應用程式防火牆 (WAF)

描述：在公開的 Web 應用程式前面部署 Azure Web 應用程式防火牆 （WAF），以進一步檢查連入流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式，使其免於遭受常見惡意探索和弱點的攻擊，例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則，來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 （相關原則： 應為 應用程式閘道 啟用 Web 應用程式防火牆（WAF）。

嚴重性：低

應針對 Azure Front Door Service 啟用 Web 應用程式防火牆 （WAF）

描述：在公開的 Web 應用程式前部署 Azure Web 應用程式防火牆 （WAF），以進一步檢查連入流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式，使其免於遭受常見惡意探索和弱點的攻擊，例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則，來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 （相關原則： 應為 Azure Front Door Service 啟用 Web 應用程式防火牆 （WAF？service）

嚴重性：低

認知服務應使用私人連結

描述：Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 透過將私人端點對應至認知服務，您可以降低資料洩漏的可能性。 深入了解私人連結。 (相關原則：認知服務應使用私人連結)。

嚴重性：中

Azure Cosmos DB 應停用公用網路存取

描述：停用公用網路存取可藉由確保您的 Cosmos DB 帳戶不會公開在公用因特網上來改善安全性。 建立私人端點可限制您 Cosmos DB 帳戶的曝光。 深入了解。 (相關原則：Azure Cosmos DB 應停用公用網路存取)。

嚴重性：中

Cosmos DB 帳戶應使用私人連結

描述：Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的 Cosmos DB 帳戶，資料外洩風險就會降低。 深入了解私人連結。 (相關原則：Cosmos DB 帳戶應該使用私人連結)。

嚴重性：中

Azure SQL Database 應執行 TLS 1.2 版或更新版本

描述：將 TLS 版本設定為 1.2 或更新版本，藉由確保您的 Azure SQL 資料庫 只能從使用 TLS 1.2 或更新版本的用戶端存取，藉此改善安全性。 不建議使用低於 1.2 的 TLS 版本，因為那些版本有已知的資訊安全性弱點。 (相關原則：Azure SQL Database 應執行 TLS 1.2 版或更新版本)。

嚴重性：中

Azure SQL 受控執行個體應停用公用網路存取

描述：停用 Azure SQL 受控執行個體 上的公用網路存取（公用端點）可改善安全性，方法是確保只能從虛擬網路內部或透過私人端點存取它們。 深入了解公用網路存取。 (相關原則：Azure SQL 受控執行個體應停用公用網路存取)。

嚴重性：中

儲存體帳戶應防止共用金鑰存取

描述：稽核 Azure Active Directory （Azure AD） 授權記憶體帳戶要求的需求。 根據預設，您可以使用 Azure Active Directory 認證或使用共用金鑰授權的帳戶存取金鑰來授權要求。 在這兩種類型的授權中，Azure AD 可提供優於共用金鑰的絕佳安全性且容易使用，因此 Microsoft 建議使用此方法。 （相關政策： 原則）

嚴重性：中

身分識別與存取建議

應為訂用帳戶指定最多3個擁有者

描述：若要減少遭入侵擁有者帳戶入侵的可能性，建議將擁有者帳戶的數目限制為最多 3 個（相關原則： 應為您的訂用帳戶指定最多 3 個擁有者）。

嚴重性：高

具有 Azure 資源擁有者權限的帳戶應啟用 MFA

描述：如果您只使用密碼來驗證使用者，則會將攻擊向量開啟。 使用者通常會對多個服務使用弱式密碼。 藉由啟用 多重要素驗證 （MFA），您可以為您的帳戶提供更好的安全性，同時仍允許使用者使用單一登錄 （SSO） 向幾乎任何應用程式進行驗證。 多重要素驗證是在登入過程中提示用戶進行另一種識別形式的程式。 例如，程式代碼可能會傳送到手機，或者可能會要求進行指紋掃描。 建議您為所有擁有 Azure 資源擁有者許可權 的帳戶啟用 MFA，以防止外洩和攻擊。 您可以在這裡取得更多詳細數據和常見問題： 管理訂 用帳戶上的多重要素驗證 （MFA） 強制執行 （沒有相關原則）。

嚴重性：高

具有 Azure 資源讀取權限的帳戶應啟用 MFA

描述：如果您只使用密碼來驗證使用者，則會將攻擊向量開啟。 使用者通常會對多個服務使用弱式密碼。 藉由啟用 多重要素驗證 （MFA），您可以為您的帳戶提供更好的安全性，同時仍允許使用者使用單一登錄 （SSO） 向幾乎任何應用程式進行驗證。 多重要素驗證是一個程式，會在登入過程中提示使用者，以取得額外的識別形式。 例如，程式代碼可能會傳送到手機，或者可能會要求進行指紋掃描。 建議您為所有具有 Azure 資源讀取許可權 的帳戶啟用 MFA，以防止外洩和攻擊。 如需詳細資訊和常見問題，請參閱 這裡。 （無相關政策）

嚴重性：高

具有 Azure 資源寫入權限的帳戶應啟用 MFA

描述：如果您只使用密碼來驗證使用者，則會將攻擊向量開啟。 使用者通常會對多個服務使用弱式密碼。 藉由啟用 多重要素驗證 （MFA），您可以為您的帳戶提供更好的安全性，同時仍允許使用者使用單一登錄 （SSO） 向幾乎任何應用程式進行驗證。 多重要素驗證是一個程式，會在登入過程中提示使用者，以取得額外的識別形式。 例如，程式代碼可能會傳送到手機，或者可能會要求進行指紋掃描。 建議您為所有具有 Azure 資源寫入許可權 的帳戶啟用 MFA，以防止外洩和攻擊。 您可以在這裡取得更多詳細數據和常見問題： 管理訂 用帳戶上的多重要素驗證 （MFA） 強制執行 （沒有相關原則）。

嚴重性：高

Azure Cosmos DB 帳戶應使用 Azure Active Directory 作為唯一的驗證方法

描述：向 Azure 服務驗證的最佳方式是使用角色型 存取控制 （RBAC）。 RBAC 可讓您維持最低許可權原則，並支援在遭入侵時撤銷許可權作為有效回應方法的能力。 您可以設定 Azure Cosmos DB 帳戶，以強制執行 RBAC 作為唯一的驗證方法。 設定強制時，將會拒絕所有其他存取方法（主要/次要金鑰和存取令牌）。 （無相關政策）

嚴重性：中

具有 Azure 資源擁有者權限的已封鎖帳戶應移除

描述：已封鎖無法登入 Active Directory 的帳戶，應該從您的 Azure 資源中移除。 這些帳戶可以是攻擊者的目標，他們想要尋找存取數據的方法，而不需注意。 （無相關政策）

嚴重性：高

應移除具有 Azure 資源讀取和寫入許可權的封鎖帳戶

描述：已封鎖無法登入 Active Directory 的帳戶，應該從您的 Azure 資源中移除。 這些帳戶可以是攻擊者的目標，他們想要尋找存取數據的方法，而不需注意。 （無相關政策）

嚴重性：高

已淘汰的帳戶應該從訂用帳戶中移除

描述：已封鎖無法登入的用戶帳戶，應該從您的訂用帳戶中移除。 這些帳戶可以是攻擊者的目標，他們想要尋找存取數據的方法，而不需注意。 （相關原則： 已淘汰的帳戶應該從您的訂用帳戶中移除。

嚴重性：高

具有擁有者許可權的已淘汰帳戶應該從訂用帳戶中移除

描述：已封鎖無法登入的用戶帳戶，應該從您的訂用帳戶中移除。 這些帳戶可以是攻擊者的目標，他們想要尋找存取數據的方法，而不需注意。 （相關原則： 具有擁有者許可權的已淘汰帳戶應該從您的訂用帳戶中移除。

嚴重性：高

應啟用 金鑰保存庫 中的診斷記錄

描述：啟用記錄並保留最多一年。 這可讓您在發生安全性事件或網路遭到入侵時，重新建立活動線索以供調查之用。 （相關原則： 應啟用 金鑰保存庫 中的診斷記錄）。

嚴重性：低

應從訂用帳戶中移除具有擁有者許可權的外部帳戶

描述：具有不同功能變數名稱（外部帳戶）擁有者許可權的帳戶應該從您的訂用帳戶中移除。 這可防止未受監視的存取。 這些帳戶可以是攻擊者的目標，他們想要尋找存取數據的方法，而不需注意。 （相關原則： 應從您的訂用帳戶中移除具有擁有者許可權的外部帳戶。

嚴重性：高

應從訂用帳戶中移除具有讀取許可權的外部帳戶

描述：具有不同功能變數名稱（外部帳戶）讀取許可權的帳戶應該從您的訂用帳戶中移除。 這可防止未受監視的存取。 這些帳戶可以是攻擊者的目標，他們想要尋找存取數據的方法，而不需注意。 （相關原則： 應從您的訂用帳戶中移除具有讀取許可權的外部帳戶。

嚴重性：高

應從訂用帳戶中移除具有寫入許可權的外部帳戶

描述：具有不同功能變數名稱（外部帳戶）寫入許可權的帳戶應該從您的訂用帳戶中移除。 這可防止未受監視的存取。 這些帳戶可以是攻擊者的目標，他們想要尋找存取數據的方法，而不需注意。 （相關原則： 應從您的訂用帳戶中移除具有寫入許可權的外部帳戶。

嚴重性：高

應該在 金鑰保存庫 上啟用防火牆

描述：金鑰保存庫的防火牆可防止未經授權的流量到達您的密鑰保存庫，併為秘密提供額外的保護層。 啟用防火牆，以確保只有來自允許網路的流量才能存取您的密鑰保存庫。 （相關原則： 防火牆應在 金鑰保存庫 上啟用）。

嚴重性：中

應移除具有 Azure 資源擁有者權限的來賓帳戶

描述：應從您的 Azure 資源中移除具有 Azure Active Directory 租使用者外部布建擁有者許可權的帳戶（不同的功能變數名稱）。 來賓帳戶不受與企業租使用者身分識別相同的標準管理。 這些帳戶可以是攻擊者的目標，他們想要尋找存取數據的方法，而不需注意。 （無相關政策）

嚴重性：高

具有 Azure 資源讀取權限的來賓帳戶應移除

描述：應從您的 Azure 資源中移除已布建在 Azure Active Directory 租使用者外部的讀取許可權帳戶（不同的功能變數名稱）。 來賓帳戶不受與企業租使用者身分識別相同的標準管理。 這些帳戶可以是攻擊者的目標，他們想要尋找存取數據的方法，而不需注意。 （無相關政策）

嚴重性：高

具有 Azure 資源寫入權限的來賓帳戶應移除

描述：應從 Azure 資源中移除已布建在 Azure Active Directory 租使用者外部的寫入許可權帳戶（不同的功能變數名稱）。 來賓帳戶不受與企業租使用者身分識別相同的標準管理。 這些帳戶可以是攻擊者的目標，他們想要尋找存取數據的方法，而不需注意。 （無相關政策）

嚴重性：高

Key Vault 金鑰應具有到期日

描述：密碼編譯密鑰應該有定義的到期日，而不是永久的。 永久有效的金鑰會讓潛在攻擊者有更多的時間來危害金鑰。 建議的安全性做法是設定密碼編譯密鑰的到期日。 （相關原則： 金鑰保存庫 金鑰應該有到期日）。

嚴重性：高

Key Vault 祕密應設定到期日

描述：秘密應該有定義的到期日，而不是永久的。 永久有效的祕密會讓潛在攻擊者有更多的時間來危害祕密。 建議的安全性做法是設定秘密的到期日。 （相關原則： 金鑰保存庫 秘密應該有到期日）。

嚴重性：高

金鑰保存庫應啟用清除保護

描述：惡意刪除金鑰保存庫可能會導致永久資料遺失。 您組織中可能有惡意的內部人員能夠刪除和清除金鑰保存庫。 清除保護可對虛刪除的金鑰保存庫強制執行必要的保留期間，以保護您免於遭受內部攻擊。 您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的金鑰保存庫。 （相關原則： 金鑰保存庫應該已啟用清除保護）。

嚴重性：中

金鑰保存庫應已啟用虛刪除

描述：刪除未啟用虛刪除的密鑰保存庫會永久刪除儲存在金鑰保存庫中的所有秘密、金鑰和憑證。 意外刪除金鑰保存庫可能會導致永久的資料遺失。 虛刪除可讓您在可設定的保留期間內復原意外刪除的金鑰保存庫。 （相關原則： 金鑰保存庫應該已啟用虛刪除）。

嚴重性：高

應該在具有訂用帳戶擁有者許可權的帳戶上啟用 MFA

描述：應針對具有擁有者許可權的所有訂用帳戶帳戶啟用多重要素驗證 （MFA），以防止帳戶或資源遭到入侵。 （相關原則： 應在您的訂用帳戶上具有擁有者許可權的帳戶上啟用 MFA。

嚴重性：高

應該在具有訂用帳戶讀取許可權的帳戶上啟用 MFA

描述：應針對具有讀取許可權的所有訂用帳戶帳戶啟用多重要素驗證 （MFA），以防止帳戶或資源遭到入侵。 （相關原則： 應在您的訂用帳戶上具有讀取許可權的帳戶上啟用 MFA。

嚴重性：高

應該在訂用帳戶上具有寫入許可權的帳戶上啟用 MFA

描述：應針對具有寫入許可權的所有訂用帳戶帳戶啟用多重要素驗證 （MFA），以防止帳戶或資源遭到入侵。 （相關原則： 應啟用您訂用帳戶上具有寫入許可權的 MFA 帳戶。

嚴重性：高

應啟用適用於 金鑰保存庫 的 Microsoft Defender

描述：適用於雲端的 Microsoft Defender 包含適用於 金鑰保存庫 的 Microsoft Defender，可提供額外的安全性情報層。 適用於 Key Vault 的 Microsoft Defender 會偵測是否有人試圖以不尋常且可能有害的方式存取或惡意探索 Key Vault 帳戶。 重要事項：此方案的保護會依 [Defender 方案] 頁面上所示收費。 如果您沒有此訂用帳戶中的任何密鑰保存庫，則不會向您收費。 如果您稍後在此訂用帳戶上建立密鑰保存庫，系統會自動加以保護，並開始收費。 瞭解 每個區域的定價詳細數據。 深入瞭解適用於 金鑰保存庫 的 Microsoft Defender 簡介。 （相關原則： 應啟用適用於 金鑰保存庫的 Azure Defender）。

嚴重性：高

應針對 金鑰保存庫 設定私人端點

描述：私人連結可讓您將 金鑰保存庫 連線到您的 Azure 資源，而不需透過公用因特網傳送流量。 私人連結提供深層防禦保護，以防止資料外流。 （相關原則： 應針對 金鑰保存庫 設定私人端點）。

嚴重性：中

應該不允許 儲存體 帳戶公用存取

描述：Azure 儲存體 中容器和 Blob 的匿名公用讀取許可權是共用數據的便利方式，但可能會造成安全性風險。 為了防止不想要的匿名存取所造成的資料缺口，Microsoft 建議除非您的案例需要，否則避免公開存取儲存體帳戶。 （相關原則： 應該不允許 儲存體 帳戶公用存取權）。

嚴重性：中

應有一個以上的擁有者指派給訂用帳戶

描述：指定多個訂用帳戶擁有者，以擁有系統管理員存取備援。 （相關原則： 應有一個以上的擁有者指派給您的訂用帳戶。

嚴重性：高

Azure 金鑰保存庫 中所儲存憑證的有效期間不應超過 12 個月

描述：請確定您的憑證沒有超過12個月的有效期間。 （相關原則： 憑證應具有指定的有效期間上限。

嚴重性：中

Azure 過度布建的身分識別應該只有必要的許可權 （預覽）

描述：過度布建的身分識別，或過度許可權的身分識別，不會使用其已授與的許多許可權。 定期正確調整這些身分識別的許可權大小，以降低許可權誤用的風險，無論是意外還是惡意。 此動作會在安全性事件期間減少潛在的爆炸半徑。

嚴重性：中

Azure 環境中的超級身分識別應移除 （預覽）

描述：超級身分識別是任何人類或工作負載身分識別，例如具有系統管理員許可權的使用者、服務主體和無伺服器函式，而且可以在基礎結構的任何資源上執行任何動作。 超級身分識別的風險極高，因為任何惡意或意外許可權誤用都可能導致災難性的服務中斷、服務降低或數據外洩。 超級身分識別對雲端基礎結構構成巨大威脅。 太多超級身分識別可能會造成過多的風險，並在缺口期間增加爆炸半徑。

嚴重性：中

應移除 Azure 環境中的未使用身分識別 （預覽）

描述：非使用中身分識別是過去90天內未對任何基礎結構資源執行任何動作的身分識別。 非使用中身分識別會對組織造成重大風險，因為攻擊者可以使用這些身分識別來取得環境中的存取和執行工作。

嚴重性：中

IoT 建議

預設IP篩選原則應該是拒絕

描述：IP 篩選組態應定義允許流量的規則，且預設應拒絕所有其他流量（沒有相關原則）。

嚴重性：中

應啟用 IoT 中樞 中的診斷記錄

描述：啟用記錄並保留最多一年。 這可讓您在發生安全性事件或網路遭到入侵時，重新建立活動線索以供調查之用。 （相關原則： 應啟用 IoT 中樞 中的診斷記錄）。

嚴重性：低

相同的驗證認證

描述：與多個裝置所使用的 IoT 中樞 相同的驗證認證。 這可能表示冒充合法裝置的非法裝置。 它也會公開攻擊者模擬裝置的風險（沒有相關原則）。

嚴重性：高

IP 篩選規則大型IP範圍

描述：允許IP篩選規則的來源IP範圍太大。 過度寬鬆的規則可能會向惡意意圖者公開您的IoT中樞（沒有相關原則）。

嚴重性：中

網路功能的建議

應限制對具有防火牆和虛擬網路組態的記憶體帳戶存取

描述：檢閱記憶體帳戶防火牆設定中的網路存取設定。 建議設定網路規則，讓只有來自允許網路的應用程式才能存取記憶體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線，可將存取權授與來自特定 Azure 虛擬網路的流量，或授與公用網際網路 IP 位址範圍。 （相關原則： 儲存體 帳戶應限制網路存取）。

嚴重性：低

應在網際網路對應的虛擬機器上套用自適性網路強化建議

描述：適用於雲端的 Defender 已分析下列虛擬機的因特網流量通訊模式，並判斷與其相關聯的 NSG 中現有的規則過於寬鬆，導致潛在的攻擊面增加。 此 IP 位址不會定期與此資源通訊時，通常會發生這種情況。 或者，#D6D7B7E910DB948CF87E00DB096CF0B38 的威脅情報來源已將IP位址標示為惡意。 若要深入瞭解，請參閱 使用自適性網路強化改善網路安全性狀態。 （相關原則： 應在因特網對向虛擬機上套用自適性網路強化建議。

嚴重性：高

所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組

描述：適用於雲端的 Defender 識別出一些網路安全組的輸入規則太寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 （相關原則： 所有網路埠都應該限制在與虛擬機相關聯的網路安全組上。

嚴重性：高

應啟用 Azure DDoS 保護標準

描述：適用於雲端的 Defender 探索到具有 DDoS 保護服務未保護 應用程式閘道 資源的虛擬網路。 這些資源包含公用IP。 啟用網路數量和通訊協定攻擊的風險降低。 （相關原則： 應啟用 Azure DDoS 保護標準）。

嚴重性：中

應使用網路安全性群組保護網際網路對應的虛擬機器

描述：使用網路安全組限制 VM 的存取權，以防止潛在的威脅。 NSG 包含一份 存取控制 清單 （ACL） 規則清單，允許或拒絕來自相同子網內或外部其他實例到 VM 的網路流量。 若要盡可能保護您的電腦安全，必須限制對因特網的 VM 存取，且應在子網上啟用 NSG。 具有「高」嚴重性 VM 的 VM 是因特網對向的 VM。 （相關原則： 因特網對向虛擬機應受到網路安全組的保護。

嚴重性：高

應停用虛擬機上的IP轉送

描述：適用於雲端的 Defender 發現某些虛擬機上已啟用IP轉送。 在虛擬機器的 NIC 上啟用 IP 轉送可讓機器接收傳送到其他目的地的流量。 IP 轉送是極少需要的功能 (例如，當將 VM 作為網路虛擬設備使用時)，因此，這應經過網路安全性小組檢閱。 （相關原則： 應停用虛擬機上的IP轉送。

嚴重性：中

機器應該關閉可能會公開攻擊媒介的埠

描述： Azure 的使用規定 禁止使用 Azure 服務的方式可能會損毀、停用、過度負擔或損害任何 Microsoft 伺服器或網路。 此建議會列出需要關閉才能繼續安全性的公開埠。 它也說明每個埠的潛在威脅。 （無相關政策）

嚴重性：高

應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠

描述：適用於雲端的 Defender 識別出網路安全組中管理埠的一些過於寬鬆的輸入規則。 啟用 Just-In-Time 訪問控制，以保護您的 VM 免於遭受以因特網為基礎的暴力密碼破解攻擊。 深入了解 瞭解 Just-In-Time （JIT） VM 存取。 （相關原則： 應使用 Just-In-Time 網路存取控制來保護虛擬機的管理埠。

嚴重性：高

應關閉虛擬機器上的管理連接埠

描述：開啟的遠端管理埠會讓您的 VM 暴露在因特網型攻擊的高層級風險。 這些攻擊會嘗試對認證發動暴力密碼破解攻擊，來取得機器的系統管理員存取權。 （相關原則： 您的虛擬機上應該關閉管理埠。

嚴重性：中

應使用網路安全性群組保護非網際網路對應的虛擬機器

描述：藉由限制網路安全組 （NSG） 的存取，保護您的非因特網對向虛擬機免於潛在威脅。 NSG 包含 存取控制 清單 （ACL） 規則清單，允許或拒絕來自其他實例的網路流量，無論它們是否位於相同的子網上。 請注意，若要盡可能保護您的計算機安全，必須限制 VM 對因特網的存取，且應在子網上啟用 NSG。 （相關原則： 非因特網對向虛擬機應受到網路安全組的保護。

嚴重性：低

應啟用儲存體帳戶的安全傳輸

描述：安全傳輸是一個選項，可強制記憶體帳戶只接受來自安全連線的要求（HTTPS）。 使用 HTTPS 可確保伺服器與服務之間的驗證，並保護傳輸中的數據不受網路層攻擊，例如中間人、竊聽和會話劫持。 （相關原則： 應啟用對記憶體帳戶的安全傳輸。

嚴重性：高

子網應該與網路安全組相關聯

描述：藉由限制網路安全組 （NSG） 的存取，保護您的子網免於潛在威脅。 NSG 包含存取控制清單 (ACL) 規則的清單，可允許或拒絕子網路的網路流量。 當 NSG 與子網相關聯時，ACL 規則會套用至該子網中的所有 VM 實例和整合服務，但不適用於子網內部的內部流量。 若要保護相同子網中的資源，請直接在資源上啟用NSG。 請注意，下列子網類型將列為不適用：GatewaySubnet、AzureFirewallSubnet、AzureBastionSubnet。 （相關原則： 子網應該與網路安全組相關聯。

嚴重性：低

虛擬網路應受到 Azure 防火牆保護

描述：某些虛擬網路未受到防火牆保護。 使用 Azure 防火牆 來限制對虛擬網路的存取，並防止潛在的威脅。 （相關原則： 所有因特網流量都應該透過您部署的 Azure 防火牆 路由傳送）。

嚴重性：低

API 建議

應啟用適用於 API 的 Microsoft Defender

描述與相關原則：啟用適用於 API 的 Defender 計劃，以探索及保護 API 資源免於遭受攻擊和安全性設定錯誤。 深入了解

嚴重性：高

Azure API 管理 API 應上線至適用於 API 的 Defender

描述與相關原則：將 API 上線至適用於 API 的 Defender 需要 Azure API 管理 服務的計算和記憶體使用率。 在上線 API 時監視 Azure API 管理 服務的效能，並視需要相應放大 Azure API 管理 資源。

嚴重性：高

應停用或從 Azure APIM 服務中移除未使用的 API 端點

描述與相關原則：作為安全性最佳做法，未接收流量 30 天的 API 端點會被視為未使用，且應該從 Azure API 管理 服務中移除。 保留未使用的 API 端點可能會造成安全性風險。 這些可能是應該已從 Azure API 管理服務中淘汰，卻可能不小心還保持作用中狀態的 API。 這類 API 通常不會收到最新的安全性涵蓋範圍。

嚴重性：低

Azure APIM 中的 API 端點應經過驗證

描述與相關原則：在 Azure API 管理 內發佈的 API 端點應該強制執行驗證，以協助將安全性風險降到最低。 驗證機制的實作有時會不正確或遺失。 這會讓攻擊者能夠利用實作缺陷以及存取資料。 針對在 Azure API 管理 中發佈的 API，此建議會透過驗證需要訂用帳戶之 API 或產品的 Azure API 管理 訂用帳戶密鑰是否存在，以及驗證 JWT、用戶端憑證和 Microsoft Entra 令牌的原則執行來評估驗證。 如果在 API 呼叫期間未執行這些驗證機制，則 API 將會收到此建議。

嚴重性：高

API 管理建議

APIM 訂用帳戶不應將範圍設定為所有 API

描述與相關原則：API 管理 訂用帳戶的範圍應設定為產品或個別 API，而不是所有 API，這可能會導致數據過度暴露。

嚴重性：中

APIM 呼叫 API 後端時，不應略過憑證指紋或名稱驗證

描述與相關原則：API 管理 應驗證所有 API 呼叫的後端伺服器證書。 啟用 SSL 憑證指紋和名稱驗證，以改善 API 安全性。

嚴重性：中

不應啟用 APIM 直接管理端點

描述與相關原則：Azure 中的直接管理 REST API API 管理 會略過 Azure Resource Manager 角色型訪問控制、授權和節流機制，進而增加服務的弱點。

嚴重性：低

APIM API 應一律只使用加密通訊協定

描述與相關原則：API 只能透過 HTTPS 或 WSS 等加密通訊協定來使用。 避免使用不安全的通訊協定，例如 HTTP 或 WS，以確保傳輸中的數據安全性。

嚴重性：高

APIM 祕密的具名值應儲存在 Azure Key Vault 中

描述與相關原則：具名值是每個 API 管理 服務中名稱和值組的集合。 祕密值可以儲存為 APIM 中的加密文字 (自訂祕密)，或藉由參考 Azure Key Vault 中的祕密來儲存。 參考來自 Azure 金鑰保存庫 的秘密具名值，以改善 API 管理 和秘密的安全性。 Azure Key Vault 支援細微的存取管理和祕密輪替原則。

嚴重性：中

APIM 應停用服務組態端點的公用網路存取

描述與相關原則：若要改善 API 管理 服務的安全性，請限制服務組態端點的連線，例如直接存取管理 API、Git 組態管理端點或自我裝載網關組態端點。

嚴重性：中

APIM 的最低 API 版本應設定為 2019-12-01 或更新版本

描述與相關原則：若要防止服務秘密與只讀用戶共用，最低 API 版本應設定為 2019-12-01 或更高版本。

嚴重性：中

應驗證 APIM 對 API 後端的呼叫

描述與相關原則：從 API 管理 到後端的呼叫應該使用某種形式的驗證，無論是透過憑證還是認證。 不適用於 Service Fabric 後端。

嚴重性：中

AI 建議

應啟用 Azure 機器學習 工作區中的資源記錄 （預覽）

描述與相關原則：資源記錄可讓您在發生安全性事件或網路遭到入侵時，重新建立活動線索以用於調查目的。

嚴重性：中

Azure 機器學習 工作區應停用公用網路存取 （預覽）

描述與相關原則：停用公用網路存取可藉由確保公用因特網上不會公開 機器學習 工作區來改善安全性。 您可改為建立私人端點，以控制工作區的曝光狀況。 如需詳細資訊，請參閱設定 Azure 機器學習 工作區的私人端點。

嚴重性：中

Azure 機器學習 計算應位於虛擬網路中 （預覽）

描述與相關原則：Azure 虛擬網絡 為您的 Azure 機器學習 計算叢集和實例，以及子網、訪問控制原則和其他功能提供增強的安全性和隔離，以進一步限制存取。 當計算是以虛擬網路設定時，將不會是公開定址，且只能從虛擬網路中的虛擬機器和應用程式存取。

嚴重性：中

Azure 機器學習 計算應停用本機驗證方法 （預覽）

描述與相關原則：停用本機驗證方法可藉由確保 機器學習 Computes 僅需要 Azure Active Directory 身分識別進行驗證，以改善安全性。 如需詳細資訊，請參閱 azure 機器學習 的 Azure 原則 法規合規性控制。

嚴重性：中

應重新建立 Azure 機器學習 計算實例以取得最新的軟體更新 （預覽）

描述與相關原則：確定 Azure 機器學習 計算實例在最新的可用操作系統上執行。 藉由使用最新的安全性修補檔來執行，可改善安全性並減少弱點。 如需詳細資訊，請參閱 Azure 機器學習 的弱點管理。

嚴重性：中

應啟用 Azure Databricks 工作區中的資源記錄 （預覽）

描述與相關原則：資源記錄可讓您在發生安全性事件或網路遭到入侵時，重新建立活動線索以用於調查目的。

嚴重性：中

Azure Databricks 工作區應停用公用網络存取 （預覽）

描述與相關原則：停用公用網路存取可藉由確保資源不會公開在公用因特網上來改善安全性。 您可改為建立私人端點，以控制資源的曝光狀況。 如需詳細資訊，請參閱 啟用 Azure Private Link。

嚴重性：中

Azure Databricks 叢集應停用公用 IP （預覽）

描述與相關原則：在 Azure Databricks 工作區中停用叢集的公用 IP 可藉由確保叢集不會公開在公用因特網上來改善安全性。 如需詳細資訊，請參閱 保護叢集連線能力。

嚴重性：中

Azure Databricks 工作區應位於虛擬網路中 （預覽）

描述與相關原則：Azure 虛擬網絡 為您的 Azure Databricks 工作區以及子網、訪問控制原則和其他功能提供增強的安全性和隔離，以進一步限制存取。 如需詳細資訊，請參閱 在 Azure 虛擬網路中部署 Azure Databricks。

嚴重性：中

Azure Databricks 工作區應使用私人連結 （預覽）

描述與相關原則：Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 您可以將私人端點對應至 Azure Databricks 工作區，藉此降低資料洩漏風險。 如需詳細資訊，請參閱在 Azure 入口網站 UI 中建立工作區和私人端點。

嚴重性：中

Azure AI 服務資源應限制網路存取

描述：藉由限制網路存取，您可以確保只有允許的網路可以存取服務。 您可以藉由設定網路規則來達成此目的，因此只有來自允許網路的應用程式可以存取 Azure AI 服務資源。

嚴重性：中

Azure AI 服務資源應停用金鑰存取 (停用本機驗證)

描述：建議停用密鑰存取（本機驗證），以確保安全性。 通常用於開發/測試的 Azure OpenAI Studio 需要密鑰存取，而且如果密鑰存取已停用，將無法運作。 停用之後，Microsoft Entra ID 會成為唯一的存取方法，允許維護最低許可權原則和細微的控制。 深入了解。

嚴重性：中

已被取代的建議

應調查訂用帳戶中過度布建的身分識別，以減少許可權爬行索引 （PCI）

描述：應調查訂用帳戶中過度布建的身分識別，以減少許可權爬行索引 （PCI） 並保護您的基礎結構。 藉由移除未使用的高風險許可權指派來減少PCI。 高PCI反映與身分識別相關的風險，其許可權超過其一般或必要使用量（沒有相關原則）。

嚴重性：中

應調查帳戶中過度布建的身分識別，以減少許可權爬行索引 （PCI）

描述：應調查帳戶中過度布建的身分識別，以減少許可權爬行索引 （PCI） 並保護您的基礎結構。 藉由移除未使用的高風險許可權指派來減少PCI。 高PCI反映與身分識別相關聯的風險，其許可權超過其一般或必要使用量。

嚴重性：中

應限制對 App Services 的存取

描述與相關原則：藉由變更網路設定來限制對App Services的存取，以拒絕來自範圍太廣的輸入流量。 （相關原則：[預覽]：應限制對 App Services 的存取。

嚴重性：高

應強化 IaaS NSG 上 Web 應用程式的規則

描述與相關原則：強化您執行 Web 應用程式的虛擬機網路安全組 （NSG），以及對於 Web 應用程式埠過於寬鬆的 NSG 規則。 （相關原則：應強化 IaaS 上 Web 應用程式的 NSG 規則。

嚴重性：高

應定義 Pod 安全策略，藉由移除不必要的應用程式許可權來減少攻擊媒介 （預覽）

描述與相關原則：定義 Pod 安全策略，藉由移除不必要的應用程式許可權來減少攻擊媒介。 建議設定 Pod 安全策略，讓 Pod 只能存取允許其存取的資源。 （相關原則：[預覽]:P od 安全策略應在 Kubernetes Services 上定義。

嚴重性：中

安裝適用於IoT安全性模組的 Azure 資訊安全中心，以深入瞭解IoT裝置

描述與相關原則：安裝適用於IoT安全性模組的 Azure 資訊安全中心，以深入瞭解您的IoT裝置。

嚴重性：低

應重新啟動機器以套用系統更新

描述與相關原則：重新啟動計算機以套用系統更新，並保護計算機免於弱點。 （相關原則：應該在您的計算機上安裝系統更新）。

嚴重性：中

監視代理程式應該安裝在您的電腦上

描述與相關原則：此動作會在選取的虛擬機上安裝監視代理程式。 選取要回報之代理程式的工作區。 （無相關政策）

嚴重性：高

Java 應該更新為 Web 應用程式的最新版本

描述與相關原則：由於安全性缺陷或包含其他功能，Java 軟體會定期發行較新版本。 建議針對 Web 應用程式使用最新的 Java 版本，以受益於安全性修正，如果有的話，以及 /或最新版本的新功能。 （相關原則：確定 'Java 版本' 是最新的，如果作為 Web 應用程式的一部分使用）。

嚴重性：中

Python 應該更新為函式應用程式的最新版本

描述與相關原則：由於安全性缺陷或包含其他功能，會定期發行適用於 Python 軟體的較新版本。 建議針對函式應用程式使用最新的 Python 版本，以受益於安全性修正，如果有的話，以及/或最新版本的新功能。 （相關原則：確定 'Python 版本' 是最新的，如果作為函式應用程式的一部分使用）。

嚴重性：中

Python 應更新為 Web 應用程式的最新版本

描述與相關原則：由於安全性缺陷或包含其他功能，會定期發行適用於 Python 軟體的較新版本。 建議針對 Web 應用程式使用最新的 Python 版本，以受益於安全性修正，如果有的話，以及/或最新版本的新功能。 （相關原則：確定 'Python 版本' 是最新的，如果作為Web 應用程式的一部分使用）。

嚴重性：中

Java 應該更新為函式應用程式的最新版本

描述與相關原則：由於安全性缺陷或包含其他功能，Java 軟體會定期發行較新版本。 建議針對函式應用程式使用最新的 Java 版本，以受益於安全性修正，如果有的話，以及/或最新版本的新功能。 （相關原則：確定 'Java 版本' 是最新的，如果作為函式應用程式的一部分使用）。

嚴重性：中

PHP 應更新為 Web 應用程式的最新版本

描述與相關原則：由於安全性缺陷或包含其他功能，PHP 軟體會定期發行較新版本。 建議針對 Web 應用程式使用最新的 PHP 版本，以受益於安全性修正，如果有的話，以及/或最新版本的新功能。 （相關原則：確定 'PHP version' 是最新的，如果作為 WEB 應用程式的一部分使用）。

嚴重性：中

應該解決機器上的端點保護健康情況問題

描述：解決虛擬機上的端點保護健康情況問題，以防範最新的威脅和弱點。 請參閱 適用於雲端的 Defender和端點保護評量所支援之端點保護解決方案的檔。 （無相關政策）

嚴重性：中

端點保護應該安裝在機器上

描述：若要保護機器免於威脅和弱點，請安裝支援的 Endpoint Protection 解決方案。 深入瞭解如何在端點保護評定中評估機器的 Endpoint Protection，以及 適用於雲端的 Microsoft Defender 中的建議。 （無相關政策）

嚴重性：高

認知服務帳戶應停用公用網路存取

描述：此原則會稽核環境中已啟用公用網路存取權的任何認知服務帳戶。 應停用公用網路存取，只允許來自私人端點的連線。 （相關原則： 認知服務帳戶應停用公用網路存取。

嚴重性：中

相關內容

• 什麼是安全性原則、方案及建議？
• 檢閱安全性建議