適用於 Azure 虛擬機器的 Azure 原則法規合規性控制

適用於: ✔️ Linux VM ✔️ Windows VM ✔️ 彈性擴展集 ✔️ 統一擴展集

Azure 原則中的法規合規性可針對與不同合規性標準相關的合規性網域安全性控制,提供 Microsoft 建立和管理的方案定義 (稱為「內建項目」)。 此頁面會列出適用於 Azure 虛擬機器的合規性網域安全性控制。 您可以針對安全性控制個別指派內建項目,以協助讓您的 Azure 資源符合特定標準的規範。

每個內建原則定義的標題都會連結到 Azure 入口網站中的原則定義。 使用 [原則版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。

重要

每個控制項都與一或多個 Azure 原則定義建立關聯。 這些原則可協助您評估控制項的合規性。 然而,控制項與一或多個原則之間通常不是一對一相符或完全相符。 因此,Azure 原則中的符合規範僅指原則本身。 這不保證您完全符合控制項的所有要求。 另外,合規性標準包括此次不經由任何 Azure 原則定義所處理的控制項。 因此,Azure 原則中的合規性僅能部分檢視整體合規性狀態。 這些合規性標準的控制與 Azure 原則法規合規性定義之間的關聯,可能會隨著時間而改變。

澳大利亞政府受保護的 ISM

若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - 澳洲政府 ISM 保護藍圖。 如需此合規性標準的詳細資訊,請參閱澳洲政府 ISM 保護藍圖

網域 控制識別碼 控制標題 原則
(Azure 入口網站)
原則版本
(GitHub)
人員安全性指導方針 - 對系統及其資源的存取 415 使用者身分識別 - 415 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
人員安全性指導方針 - 對系統及其資源的存取 415 使用者身分識別 - 415 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
人員安全性指導方針 - 對系統及其資源的存取 415 使用者身分識別 - 415 稽核具有 Administrators 群組中指定成員的 Windows 電腦 2.0.0
人員安全性指導方針 - 對系統及其資源的存取 415 使用者身分識別 - 415 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
系統強化指導方針 - 驗證強化 421 單一要素驗證 - 421 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
系統強化指導方針 - 驗證強化 421 單一要素驗證 - 421 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
系統強化指導方針 - 驗證強化 421 單一要素驗證 - 421 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
系統強化指導方針 - 驗證強化 421 單一要素驗證 - 421 Windows 電腦應符合「安全性設定 - 帳戶原則」的需求 3.0.0
人員安全性指導方針 - 對系統及其資源的存取 445 特殊權限存取系統 - 445 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
人員安全性指導方針 - 對系統及其資源的存取 445 特殊權限存取系統 - 445 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
人員安全性指導方針 - 對系統及其資源的存取 445 特殊權限存取系統 - 445 稽核具有 Administrators 群組中指定成員的 Windows 電腦 2.0.0
人員安全性指導方針 - 對系統及其資源的存取 445 特殊權限存取系統 - 445 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
密碼編譯指導方針 - 密碼編譯基礎 459 加密待用資料 - 459 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
系統監視指導方針 - 事件記錄檔和稽核 582 要記錄的事件 - 582 虛擬機器應連線到指定的工作區 1.1.0
系統管理指導方針 - 系統修補 940 何時修補安全性弱點 - 940 虛擬機器上應啟用弱點評估解決方案 3.0.0
系統管理指導方針 - 系統修補 940 何時修補安全性弱點 - 940 應補救容器安全性設定中的弱點 3.0.0
系統管理指導方針 - 系統修補 940 何時修補安全性弱點 - 940 您應在機器上修復安全性組態的弱點 3.0.0
系統管理指導方針 - 系統修補 940 何時修補安全性弱點 - 940 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
密碼編譯指導方針 - 傳輸層安全性 1139 使用傳輸層安全性 - 1139 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
密碼編譯指導方針 - 傳輸層安全性 1139 使用傳輸層安全性 - 1139 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
密碼編譯指導方針 - 傳輸層安全性 1139 使用傳輸層安全性 - 1139 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
密碼編譯指導方針 - 傳輸層安全性 1139 使用傳輸層安全性 - 1139 Windows 網頁伺服器應設定為使用安全通訊協定 4.0.0
系統管理指導方針 - 系統修補 1144 何時修補安全性弱點 - 1144 虛擬機器上應啟用弱點評估解決方案 3.0.0
系統管理指導方針 - 系統修補 1144 何時修補安全性弱點 - 1144 應補救容器安全性設定中的弱點 3.0.0
系統管理指導方針 - 系統修補 1144 何時修補安全性弱點 - 1144 您應在機器上修復安全性組態的弱點 3.0.0
系統管理指導方針 - 系統修補 1144 何時修補安全性弱點 - 1144 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
網路指導方針 - 網路設計和設定 1182 網路存取控制 - 1182 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
網路指導方針 - 網路設計和設定 1182 網路存取控制 - 1182 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
資料庫系統指導方針 - 資料庫伺服器 1277 資料庫伺服器和網頁伺服器之間的通訊 - 1277 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
資料庫系統指導方針 - 資料庫伺服器 1277 資料庫伺服器和網頁伺服器之間的通訊 - 1277 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
資料庫系統指導方針 - 資料庫伺服器 1277 資料庫伺服器和網頁伺服器之間的通訊 - 1277 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
資料庫系統指導方針 - 資料庫伺服器 1277 資料庫伺服器和網頁伺服器之間的通訊 - 1277 Windows 網頁伺服器應設定為使用安全通訊協定 4.0.0
閘道指導方針 - 內容篩選 1288 防毒軟體掃描 - 1288 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
閘道指導方針 - 內容篩選 1288 防毒軟體掃描 - 1288 Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上 1.1.0
閘道指導方針 - 內容篩選 1288 防毒軟體掃描 - 1288 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
系統管理指導方針 - 系統管理 1386 管理流量的限制 - 1386 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
系統強化指導方針 - 作業系統強化 1407 作業系統版本 - 1407 應在虛擬機器擴展集上安裝系統更新 3.0.0
系統強化指導方針 - 作業系統強化 1407 作業系統版本 - 1407 您應在機器上安裝系統更新 4.0.0
系統強化指導方針 - 作業系統強化 1417 防毒軟體 - 1417 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
系統強化指導方針 - 作業系統強化 1417 防毒軟體 - 1417 Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上 1.1.0
系統強化指導方針 - 作業系統強化 1417 防毒軟體 - 1417 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
資料庫系統指導方針 - 資料庫伺服器 1425 保護資料庫伺服器內容 - 1425 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
系統管理指導方針 - 系統修補 1472 何時修補安全性弱點 - 1472 虛擬機器上應啟用弱點評估解決方案 3.0.0
系統管理指導方針 - 系統修補 1472 何時修補安全性弱點 - 1472 應補救容器安全性設定中的弱點 3.0.0
系統管理指導方針 - 系統修補 1472 何時修補安全性弱點 - 1472 您應在機器上修復安全性組態的弱點 3.0.0
系統管理指導方針 - 系統修補 1472 何時修補安全性弱點 - 1472 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
系統強化指導方針 - 作業系統強化 1490 應用程式控制 - 1490 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
系統管理指導方針 - 系統修補 1494 何時修補安全性弱點 - 1494 虛擬機器上應啟用弱點評估解決方案 3.0.0
系統管理指導方針 - 系統修補 1494 何時修補安全性弱點 - 1494 應補救容器安全性設定中的弱點 3.0.0
系統管理指導方針 - 系統修補 1494 何時修補安全性弱點 - 1494 您應在機器上修復安全性組態的弱點 3.0.0
系統管理指導方針 - 系統修補 1494 何時修補安全性弱點 - 1494 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
系統管理指導方針 - 系統修補 1495 何時修補安全性弱點 - 1495 虛擬機器上應啟用弱點評估解決方案 3.0.0
系統管理指導方針 - 系統修補 1495 何時修補安全性弱點 - 1495 應補救容器安全性設定中的弱點 3.0.0
系統管理指導方針 - 系統修補 1495 何時修補安全性弱點 - 1495 您應在機器上修復安全性組態的弱點 3.0.0
系統管理指導方針 - 系統修補 1495 何時修補安全性弱點 - 1495 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
系統管理指導方針 - 系統修補 1496 何時修補安全性弱點 - 1496 虛擬機器上應啟用弱點評估解決方案 3.0.0
系統管理指導方針 - 系統修補 1496 何時修補安全性弱點 - 1496 應補救容器安全性設定中的弱點 3.0.0
系統管理指導方針 - 系統修補 1496 何時修補安全性弱點 - 1496 您應在機器上修復安全性組態的弱點 3.0.0
系統管理指導方針 - 系統修補 1496 何時修補安全性弱點 - 1496 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
人員安全性指導方針 - 對系統及其資源的存取 1503 標準存取系統 - 1503 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
人員安全性指導方針 - 對系統及其資源的存取 1503 標準存取系統 - 1503 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
人員安全性指導方針 - 對系統及其資源的存取 1503 標準存取系統 - 1503 稽核具有 Administrators 群組中指定成員的 Windows 電腦 2.0.0
人員安全性指導方針 - 對系統及其資源的存取 1503 標準存取系統 - 1503 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
人員安全性指導方針 - 對系統及其資源的存取 1507 特殊權限存取系統 - 1507 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
人員安全性指導方針 - 對系統及其資源的存取 1507 特殊權限存取系統 - 1507 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
人員安全性指導方針 - 對系統及其資源的存取 1507 特殊權限存取系統 - 1507 稽核具有 Administrators 群組中指定成員的 Windows 電腦 2.0.0
人員安全性指導方針 - 對系統及其資源的存取 1507 特殊權限存取系統 - 1507 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
人員安全性指導方針 - 對系統及其資源的存取 1508 特殊權限存取系統 - 1508 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
人員安全性指導方針 - 對系統及其資源的存取 1508 特殊權限存取系統 - 1508 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
人員安全性指導方針 - 對系統及其資源的存取 1508 特殊權限存取系統 - 1508 稽核具有 Administrators 群組中指定成員的 Windows 電腦 2.0.0
人員安全性指導方針 - 對系統及其資源的存取 1508 特殊權限存取系統 - 1508 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
人員安全性指導方針 - 對系統及其資源的存取 1508 特殊權限存取系統 - 1508 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
系統管理指導方針 - 資料備份和還原 1511 執行備份 - 1511 稽核未設定災害復原的虛擬機器 1.0.0
系統強化指導方針 - 驗證強化 1546 驗證系統 - 1546 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
系統強化指導方針 - 驗證強化 1546 驗證系統 - 1546 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
系統強化指導方針 - 驗證強化 1546 驗證系統 - 1546 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 3.0.0
系統強化指導方針 - 驗證強化 1546 驗證系統 - 1546 稽核有不需要密碼之帳戶的 Linux 電腦 3.0.0
系統強化指導方針 - 驗證強化 1546 驗證系統 - 1546 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0

Azure 安全性效能評定

Azure 安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 若要查看此服務如何完全對應到 Azure 安全性基準,請參閱 Azure 安全性基準對應檔案

若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - Azure 安全性基準

網域 控制識別碼 控制標題 原則
(Azure 入口網站)
原則版本
(GitHub)
網路安全性 NS-1 建立網路分割界限 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
網路安全性 NS-1 建立網路分割界限 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
網路安全性 NS-1 建立網路分割界限 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
網路安全性 NS-1 建立網路分割界限 應使用網路安全性群組保護非網際網路對應的虛擬機器 3.0.0
網路安全性 NS-3 在企業網路邊緣部署防火牆 應停用虛擬機器上的 IP 轉送 3.0.0
網路安全性 NS-3 在企業網路邊緣部署防火牆 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
網路安全性 NS-3 在企業網路邊緣部署防火牆 應關閉虛擬機器上的管理連接埠 3.0.0
網路安全性 NS-7 簡化網路安全性設定 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
身分識別管理 IM-3 以安全且自動的方式管理應用程式身分識別 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 1.0.1
身分識別管理 IM-6 使用增強式驗證控制項 對 Linux 電腦進行驗證需要 SSH 金鑰 3.0.0
特殊權限存取 PA-2 避免帳戶和權限的常設存取權 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
資料保護 DP-3 加密傳輸中的敏感性資料 Windows 網頁伺服器應設定為使用安全通訊協定 4.0.0
資料保護 DP-4 預設啟用待用資料加密 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
資產管理 AM-2 僅使用核准的服務
虛擬機器應遷移到新的 Azure Resource Manager 資源 1.0.0
資產管理 AM-5 僅在虛擬機器中使用核准的應用程式 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
資產管理 AM-5 僅在虛擬機器中使用核准的應用程式 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
記錄與威脅偵測 LT-1 啟用威脅偵測功能 應在您的機器上啟用 Windows Defender 惡意探索防護 2.0.0
記錄與威脅偵測 LT-2 啟用適用於身分識別與存取管理的威脅偵測 應在您的機器上啟用 Windows Defender 惡意探索防護 2.0.0
記錄與威脅偵測 LT-3 啟用安全性調查的記錄 應啟用虛擬機器擴展集中的資源記錄 2.1.0
記錄與威脅偵測 LT-4 啟用安全性調查的網路記錄
[預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
記錄與威脅偵測 LT-4 啟用安全性調查的網路記錄
[預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
記錄與威脅偵測 LT-5 集中化安全性記錄管理與分析 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
記錄與威脅偵測 LT-5 集中化安全性記錄管理與分析 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
狀況和弱點管理 PV-4 稽核和強制執行計算資源的安全設定 [預覽]:應在受支援的 Linux 虛擬機器上安裝來賓證明延伸模組 5.0.0-preview
狀況和弱點管理 PV-4 稽核和強制執行計算資源的安全設定 [預覽]:應在受支援的 Linux 虛擬機器擴展集上安裝來賓證明延伸模組 4.0.0-preview
狀況和弱點管理 PV-4 稽核和強制執行計算資源的安全設定 [預覽]:應在受支援的 Windows 虛擬機器上安裝來賓證明延伸模組 3.0.0-preview
狀況和弱點管理 PV-4 稽核和強制執行計算資源的安全設定 [預覽]:應在受支援的 Windows 虛擬機器擴展集上安裝來賓證明延伸模組 2.0.0-preview
狀況和弱點管理 PV-4 稽核和強制執行計算資源的安全設定 [預覽]:應在受支援的 Windows 虛擬機器上啟用安全開機 3.0.0-preview
狀況和弱點管理 PV-4 稽核和強制執行計算資源的安全設定 [預覽]:應在受支援的虛擬機器上啟用 vTPM 2.0.0-preview
狀況和弱點管理 PV-4 稽核和強制執行計算資源的安全設定 應在您的電腦上安裝來賓設定延伸模組 1.0.2
狀況和弱點管理 PV-4 稽核和強制執行計算資源的安全設定 Linux 機器應符合 Azure 計算安全性基準的需求 2.0.0
狀況和弱點管理 PV-4 稽核和強制執行計算資源的安全設定 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 1.0.1
狀況和弱點管理 PV-4 稽核和強制執行計算資源的安全設定 Windows 機器應符合 Azure 計算安全性基準的需求 2.0.0
狀況和弱點管理 PV-5 執行弱點評估 虛擬機器上應啟用弱點評估解決方案 3.0.0
狀況和弱點管理 PV-6 快速且自動地補救弱點 [預覽]:應該設定機器定期檢查是否有遺漏的系統更新 1.0.0-preview
狀況和弱點管理 PV-6 快速且自動地補救弱點 [預覽]:您的機器上應該安裝系統更新 (由更新中心提供) 1.0.0-preview
狀況和弱點管理 PV-6 快速且自動地補救弱點 機器上的 SQL Server 應已解決發現的弱點 1.0.0
狀況和弱點管理 PV-6 快速且自動地補救弱點 應在虛擬機器擴展集上安裝系統更新 3.0.0
狀況和弱點管理 PV-6 快速且自動地補救弱點 您應在機器上安裝系統更新 4.0.0
狀況和弱點管理 PV-6 快速且自動地補救弱點 應補救容器安全性設定中的弱點 3.0.0
狀況和弱點管理 PV-6 快速且自動地補救弱點 您應在機器上修復安全性組態的弱點 3.0.0
狀況和弱點管理 PV-6 快速且自動地補救弱點 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
端點安全性 ES-2 使用新式反惡意程式碼軟體 應解決您機器上端點保護健康情況的問題 1.0.0
端點安全性 ES-2 使用新式反惡意程式碼軟體 您的機器上應安裝端點保護 1.0.0
端點安全性 ES-2 使用新式反惡意程式碼軟體 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
端點安全性 ES-2 使用新式反惡意程式碼軟體 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
端點安全性 ES-2 使用新式反惡意程式碼軟體 應在您的機器上啟用 Windows Defender 惡意探索防護 2.0.0
端點安全性 ES-3 確保更新反惡意程式碼軟體和簽章 應解決您機器上端點保護健康情況的問題 1.0.0
備份及修復 BR-1 確保會定期自動備份 應該為虛擬機器啟用 Azure 備份 3.0.0
備份及修復 BR-2 保護備份和復原資料 應該為虛擬機器啟用 Azure 備份 3.0.0
DevOps 安全性 DS-6 在整個 DevOps 生命週期強制執行工作負載安全性 應補救容器安全性設定中的弱點 3.0.0

Azure 安全性效能評定 v1

Azure 安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 若要查看此服務如何完全對應到 Azure 安全性基準,請參閱 Azure 安全性基準對應檔案

若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - Azure 安全性基準

網域 控制識別碼 控制標題 原則
(Azure 入口網站)
原則版本
(GitHub)
網路安全性 1.1 在虛擬網路上使用網路安全性群組或 Azure 防火牆來保護資源 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
網路安全性 1.1 在虛擬網路上使用網路安全性群組或 Azure 防火牆來保護資源 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
網路安全性 1.1 在虛擬網路上使用網路安全性群組或 Azure 防火牆來保護資源 應停用虛擬機器上的 IP 轉送 3.0.0
網路安全性 1.1 在虛擬網路上使用網路安全性群組或 Azure 防火牆來保護資源 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
網路安全性 1.1 在虛擬網路上使用網路安全性群組或 Azure 防火牆來保護資源 應關閉虛擬機器上的管理連接埠 3.0.0
網路安全性 1.11 使用自動化工具來監視網路資源設定並偵測變更 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
網路安全性 1.11 使用自動化工具來監視網路資源設定並偵測變更 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
網路安全性 1.11 使用自動化工具來監視網路資源設定並偵測變更 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
網路安全性 1.11 使用自動化工具來監視網路資源設定並偵測變更 Windows 電腦應符合「系統管理範本 - 網路」的需求 3.0.0
網路安全性 1.11 使用自動化工具來監視網路資源設定並偵測變更 Windows 電腦應符合「安全性選項 - Microsoft 網路伺服器」的需求 3.0.0
網路安全性 1.11 使用自動化工具來監視網路資源設定並偵測變更 Windows 電腦應符合「安全性選項 - 網路存取」的需求 3.0.0
網路安全性 1.11 使用自動化工具來監視網路資源設定並偵測變更 Windows 電腦應符合「安全性選項 - 網路安全性」的需求 3.0.0
網路安全性 1.4 拒絕與已知惡意 IP 位址通訊 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
網路安全性 1.4 拒絕與已知惡意 IP 位址通訊 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
記錄和監視 2.2 設定中央安全性記錄管理 稽核 Log Analytics 代理程式未如預期般連線的 Windows 電腦 2.0.0
記錄和監視 2.2 設定中央安全性記錄管理 Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 1.0.1
記錄和監視 2.2 設定中央安全性記錄管理 虛擬機器應已安裝 Log Analytics 延伸模組 1.0.1
記錄和監視 2.3 啟用 Azure 資源的稽核記錄 應啟用虛擬機器擴展集中的資源記錄 2.1.0
記錄和監視 2.4 從作業系統收集安全性記錄 稽核 Log Analytics 代理程式未如預期般連線的 Windows 電腦 2.0.0
記錄和監視 2.4 從作業系統收集安全性記錄 Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 1.0.1
記錄和監視 2.4 從作業系統收集安全性記錄 虛擬機器應已安裝 Log Analytics 延伸模組 1.0.1
記錄和監視 2.8 集中化反惡意程式碼記錄 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
記錄和監視 2.8 集中化反惡意程式碼記錄 Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 1.0.0
記錄和監視 2.8 集中化反惡意程式碼記錄 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
身分識別與存取控制 3.3 使用專用的系統管理帳戶 稽核遺漏 Administrators 群組中任一指定成員的 Windows 電腦 2.0.0
身分識別與存取控制 3.3 使用專用的系統管理帳戶 在 Administrators 群組中審查具有額外帳戶的 Windows 電腦 2.0.0
身分識別與存取控制 3.3 使用專用的系統管理帳戶 稽核具有 Administrators 群組中指定成員的 Windows 電腦 2.0.0
資料保護 4.8 加密待用的敏感性資訊 [取代]:未連結的磁碟應加密 1.0.0-deprecated
資料保護 4.8 加密待用的敏感性資訊 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
弱點管理 5.1 執行自動化弱點掃描工具 虛擬機器上應啟用弱點評估解決方案 3.0.0
弱點管理 5.2 部署自動化的作業系統修補程式管理解決方案 應在虛擬機器擴展集上安裝系統更新 3.0.0
弱點管理 5.2 部署自動化的作業系統修補程式管理解決方案 您應在機器上安裝系統更新 4.0.0
弱點管理 5.5 使用風險評等程序來排定所發現弱點的補救優先順序 應補救容器安全性設定中的弱點 3.0.0
弱點管理 5.5 使用風險評等程序來排定所發現弱點的補救優先順序 您應在機器上修復安全性組態的弱點 3.0.0
弱點管理 5.5 使用風險評等程序來排定所發現弱點的補救優先順序 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
清查和資產管理 6.10 實作已核准的應用程式清單 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
清查和資產管理 6.8 僅使用已核准的應用程式 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
清查和資產管理 6.9 僅使用已核准的 Azure 服務 虛擬機器應遷移到新的 Azure Resource Manager 資源 1.0.0
安全設定 7.10 為作業系統實作自動化的設定監視 應補救容器安全性設定中的弱點 3.0.0
安全設定 7.10 為作業系統實作自動化的設定監視 您應在機器上修復安全性組態的弱點 3.0.0
安全設定 7.10 為作業系統實作自動化的設定監視 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
安全設定 7.4 維護安全的作業系統設定 應補救容器安全性設定中的弱點 3.0.0
安全設定 7.4 維護安全的作業系統設定 您應在機器上修復安全性組態的弱點 3.0.0
安全設定 7.4 維護安全的作業系統設定 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
惡意程式碼防禦 8.1 使用集中管理的反惡意程式碼軟體 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
惡意程式碼防禦 8.1 使用集中管理的反惡意程式碼軟體 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
惡意程式碼防禦 8.3 確保更新反惡意程式碼軟體和簽章 Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 1.0.0
資料復原 9.1 確保會定期自動備份 應該為虛擬機器啟用 Azure 備份 3.0.0
資料復原 9.2 執行完整的系統備份,並備份任何客戶管理的金鑰 應該為虛擬機器啟用 Azure 備份 3.0.0

加拿大聯邦 PBMM

若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - 加拿大聯邦 PBMM。 如需此合規性標準的詳細資訊,請參閱加拿大聯邦 PBMM

網域 控制識別碼 控制標題 原則
(Azure 入口網站)
原則版本
(GitHub)
存取控制 AC-5 職責區分 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-5 職責區分 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-5 職責區分 稽核遺漏 Administrators 群組中任一指定成員的 Windows 電腦 2.0.0
存取控制 AC-5 職責區分 稽核具有 Administrators 群組中指定成員的 Windows 電腦 2.0.0
存取控制 AC-5 職責區分 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
存取控制 AC-6 最小特殊權限 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-6 最小特殊權限 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-6 最小特殊權限 稽核遺漏 Administrators 群組中任一指定成員的 Windows 電腦 2.0.0
存取控制 AC-6 最小特殊權限 稽核具有 Administrators 群組中指定成員的 Windows 電腦 2.0.0
存取控制 AC-6 最小特殊權限 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
存取控制 AC-17(1) 遠端存取 | 自動化監視 / 控制 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-17(1) 遠端存取 | 自動化監視 / 控制 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-17(1) 遠端存取 | 自動化監視 / 控制 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 3.0.0
存取控制 AC-17(1) 遠端存取 | 自動化監視 / 控制 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
稽核和責任 AU-3 稽核記錄的內容 [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 2.0.1-preview
稽核和責任 AU-3 稽核記錄的內容 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 2.0.1
稽核和責任 AU-3 稽核記錄的內容 虛擬機器應連線到指定的工作區 1.1.0
稽核和責任 AU-12 稽核產生 [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 2.0.1-preview
稽核和責任 AU-12 稽核產生 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 2.0.1
稽核和責任 AU-12 稽核產生 虛擬機器應連線到指定的工作區 1.1.0
組態管理 CM-7(5) 最少的功能 | 已授權的軟體/加入允許清單 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
組態管理 CM-11 使用者安裝的軟體 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
應變計劃 CP-7 備用處理網站 稽核未設定災害復原的虛擬機器 1.0.0
驗證與授權 IA-5 驗證器管理 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA-5 驗證器管理 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA-5 驗證器管理 稽核密碼檔權限未設為 0644 的 Linux 電腦 3.0.0
驗證與授權 IA-5 驗證器管理 稽核有不需要密碼之帳戶的 Linux 電腦 3.0.0
驗證與授權 IA-5 驗證器管理 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
驗證與授權 IA-5(1) 驗證器管理 | 密碼型驗證 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA-5(1) 驗證器管理 | 密碼型驗證 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA-5(1) 驗證器管理 | 密碼型驗證 稽核允許重複使用前 24 個舊密碼的 Windows 電腦 2.0.0
驗證與授權 IA-5(1) 驗證器管理 | 密碼型驗證 稽核密碼最長有效期非 70 天的 Windows 電腦 2.0.0
驗證與授權 IA-5(1) 驗證器管理 | 密碼型驗證 稽核密碼最短有效期非 1 天的 Windows 電腦 2.0.0
驗證與授權 IA-5(1) 驗證器管理 | 密碼型驗證 稽核未啟用密碼複雜度設定的 Windows 電腦 2.0.0
驗證與授權 IA-5(1) 驗證器管理 | 密碼型驗證 稽核未將密碼最短長度限制為 14 個字元的 Windows 電腦 2.0.0
驗證與授權 IA-5(1) 驗證器管理 | 密碼型驗證 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
風險評估 RA-5 弱點掃描 虛擬機器上應啟用弱點評估解決方案 3.0.0
風險評估 RA-5 弱點掃描 您應在機器上修復安全性組態的弱點 3.0.0
風險評估 RA-5 弱點掃描 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
系統與通訊保護 SC-7 界限保護 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
系統與通訊保護 SC-7 界限保護 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
系統與通訊保護 SC-7(3) 界限保護 | 存取點 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
系統與通訊保護 SC-7(4) 界限保護 | 外部電信服務 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
系統與通訊保護 SC-8(1) 傳輸機密性和完整性 | 密碼編譯或替代實體保護 Windows 網頁伺服器應設定為使用安全通訊協定 4.0.0
系統與通訊保護 SC-28 待用資訊的保護 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
系統和資訊完整性 SI-2 瑕疵補救 應在虛擬機器擴展集上安裝系統更新 3.0.0
系統和資訊完整性 SI-2 瑕疵補救 您應在機器上安裝系統更新 4.0.0
系統和資訊完整性 SI-2 瑕疵補救 您應在機器上修復安全性組態的弱點 3.0.0
系統和資訊完整性 SI-2 瑕疵補救 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
系統和資訊完整性 SI-3 惡意程式碼防護 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
系統和資訊完整性 SI-3 惡意程式碼防護 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
系統和資訊完整性 SI-3(1) 惡意程式碼防護 | 集中管理 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
系統和資訊完整性 SI-3(1) 惡意程式碼防護 | 集中管理 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
系統和資訊完整性 SI-4 資訊系統監視 [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 2.0.1-preview
系統和資訊完整性 SI-4 資訊系統監視 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 2.0.1
系統和資訊完整性 SI-4 資訊系統監視 虛擬機器應連線到指定的工作區 1.1.0

CIS Microsoft Azure Foundations Benchmark 1.1.0

若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - CIS Microsoft Azure 基礎基準測試 1.1.0。 如需關於此合規性標準的詳細資訊,請參閱 CIS Microsoft Azure基礎基準測試

網域 控制識別碼 控制標題 原則
(Azure 入口網站)
原則版本
(GitHub)
資訊安全中心 CIS Microsoft Azure 基礎效能評定建議 2.10 確定 ASC 預設原則設定 [監視弱點評估] 不是 [已停用] 虛擬機器上應啟用弱點評估解決方案 3.0.0
資訊安全中心 CIS Microsoft Azure 基礎效能評定建議 2.12 確定 ASC 預設原則設定 [監視 JIT 網路存取] 不是 [已停用] 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
資訊安全中心 CIS Microsoft Azure Foundations Benchmark 建議 2.13 確定 ASC 預設原則設定 [監視自適性應用程式允許清單] 不是 [已停用] 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
資訊安全中心 CIS Microsoft Azure Foundations Benchmark 建議 2.3 確定 ASC 預設原則設定 [監視系統更新] 不是 [已停用] 您應在機器上安裝系統更新 4.0.0
資訊安全中心 CIS Microsoft Azure Foundations Benchmark 建議 2.4 確定 ASC 預設原則設定 [監視 OS 弱點] 不是 [已停用] 您應在機器上修復安全性組態的弱點 3.0.0
資訊安全中心 CIS Microsoft Azure Foundations Benchmark 建議 2.5 確定 ASC 預設原則設定 [監視端點保護] 不是 [已停用] 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
資訊安全中心 CIS Microsoft Azure Foundations Benchmark 建議 2.6 確定 ASC 預設原則設定 [監視磁碟加密] 不是 [已停用] 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
資訊安全中心 CIS Microsoft Azure Foundations Benchmark 建議 2.7 確定 ASC 預設原則設定 [監視網路安全性群組] 不是 [已停用] 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
資訊安全中心 CIS Microsoft Azure Foundations Benchmark 建議 2.9 確定 ASC 預設原則設定 [啟用新一代防火牆 (NGFW) 監視] 不是 [已停用] 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
虛擬機器 CIS Microsoft Azure 基礎效能評定建議 7.1 確定 [OS 磁碟] 已加密 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
虛擬機器 CIS Microsoft Azure 基礎效能評定建議 7.2 確定 [資料磁碟] 已加密 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
虛擬機器 CIS Microsoft Azure 基礎效能評定建議 7.4 確定只安裝核准的擴充功能 僅應安裝已核准的 VM 擴充功能 1.0.0
虛擬機器 CIS Microsoft Azure 基礎效能評定建議 7.5 確定已為所有虛擬機器套用最新 OS 修補程式 您應在機器上安裝系統更新 4.0.0
虛擬機器 CIS Microsoft Azure 基礎效能評定建議 7.6 確定已為所有虛擬機器安裝端點 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0

CIS Microsoft Azure Foundations Benchmark 1.3.0

若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - CIS Microsoft Azure 基礎基準測試 1.3.0。 如需關於此合規性標準的詳細資訊,請參閱 CIS Microsoft Azure基礎基準測試

網域 控制識別碼 控制標題 原則
(Azure 入口網站)
原則版本
(GitHub)
5 記錄和監視 CIS Microsoft Azure Foundations Benchmark 建議 5.3 確定支援診斷記錄的所有服務都已啟用診斷記錄。 應啟用虛擬機器擴展集中的資源記錄 2.1.0
7 虛擬機器 CIS Microsoft Azure 基礎效能評定建議 7.1 確保虛擬機器使用受控磁碟 稽核不是使用受控磁碟的 VM 1.0.0
7 虛擬機器 CIS Microsoft Azure 基礎效能評定建議 7.2 確保「作業系統與資料」磁碟已透過 CMK 加密 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
7 虛擬機器 CIS Microsoft Azure 基礎效能評定建議 7.4 確定只安裝核准的擴充功能 僅應安裝已核准的 VM 擴充功能 1.0.0
7 虛擬機器 CIS Microsoft Azure 基礎效能評定建議 7.5 確定已為所有虛擬機器套用最新 OS 修補程式 您應在機器上安裝系統更新 4.0.0
7 虛擬機器 CIS Microsoft Azure 基礎效能評定建議 7.6 確定已為所有虛擬機器安裝端點 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0

CMMC 第 3 級

若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - CMMC 第 3 級。 如需此合規性標準的詳細資訊,請參閱網路安全性成熟度模型認證 (CMMC)

網域 控制識別碼 控制標題 原則
(Azure 入口網站)
原則版本
(GitHub)
存取控制 AC.1.001 限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
存取控制 AC.1.001 限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
存取控制 AC.1.001 限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 3.0.0
存取控制 AC.1.001 限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
存取控制 AC.1.001 限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
存取控制 AC.1.001 限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。 Windows 電腦應符合「安全性選項 - 網路存取」的需求 3.0.0
存取控制 AC.1.001 限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。 Windows 電腦應符合「安全性選項 - 網路安全性」的需求 3.0.0
存取控制 AC.1.002 限制資訊系統存取允許授權使用者執行的交易類型和功能。 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 3.0.0
存取控制 AC.1.002 限制資訊系統存取允許授權使用者執行的交易類型和功能。 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
存取控制 AC.1.002 限制資訊系統存取允許授權使用者執行的交易類型和功能。 Windows 電腦應符合「安全性選項 - 網路存取」的需求 3.0.0
存取控制 AC.1.002 限制資訊系統存取允許授權使用者執行的交易類型和功能。 Windows 網頁伺服器應設定為使用安全通訊協定 4.0.0
存取控制 AC.1.003 驗證及控制/限制外部資訊系統的連接和使用。 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
存取控制 AC.1.003 驗證及控制/限制外部資訊系統的連接和使用。 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
存取控制 AC.2.007 採用最低權限準則,包括特定安全性功能和特殊權限帳戶。 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
存取控制 AC.2.008 存取非安全性功能時,請使用非權限帳戶或角色。 Windows 電腦應符合「安全性選項 - 使用者帳戶控制」的需求 3.0.0
存取控制 AC.2.008 存取非安全性功能時,請使用非權限帳戶或角色。 Windows 電腦應符合「使用者權限指派」的需求 3.0.0
存取控制 AC.2.013 監視及控制遠端存取工作階段。 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
存取控制 AC.2.013 監視及控制遠端存取工作階段。 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
存取控制 AC.2.013 監視及控制遠端存取工作階段。 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 3.0.0
存取控制 AC.2.013 監視及控制遠端存取工作階段。 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
存取控制 AC.2.013 監視及控制遠端存取工作階段。 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
存取控制 AC.2.013 監視及控制遠端存取工作階段。 Windows 電腦應符合「安全性選項 - 網路安全性」的需求 3.0.0
存取控制 AC.2.016 根據已核准的授權來控制 CUI 流程。 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
存取控制 AC.2.016 根據已核准的授權來控制 CUI 流程。 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
存取控制 AC.2.016 根據已核准的授權來控制 CUI 流程。 Windows 電腦應符合「安全性選項 - 網路存取」的需求 3.0.0
存取控制 AC.3.017 區隔個人責任,以降低未經共謀的惡意活動風險。 稽核遺漏 Administrators 群組中任一指定成員的 Windows 電腦 2.0.0
存取控制 AC.3.017 區隔個人責任,以降低未經共謀的惡意活動風險。 稽核具有 Administrators 群組中指定成員的 Windows 電腦 2.0.0
存取控制 AC.3.018 防止不具權限的使用者執行需具有權限的功能,並在稽核記錄中擷取此類功能的執行。 Windows 電腦應符合「系統稽核原則 - 特殊權限使用」的需求 3.0.0
存取控制 AC.3.021 授權遠端執行權限命令,以及遠端存取安全性相關資訊。 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
存取控制 AC.3.021 授權遠端執行權限命令,以及遠端存取安全性相關資訊。 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
存取控制 AC.3.021 授權遠端執行權限命令,以及遠端存取安全性相關資訊。 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
存取控制 AC.3.021 授權遠端執行權限命令,以及遠端存取安全性相關資訊。 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
存取控制 AC.3.021 授權遠端執行權限命令,以及遠端存取安全性相關資訊。 應在您的電腦上安裝來賓設定延伸模組 1.0.2
存取控制 AC.3.021 授權遠端執行權限命令,以及遠端存取安全性相關資訊。 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 1.0.1
存取控制 AC.3.021 授權遠端執行權限命令,以及遠端存取安全性相關資訊。 Windows 電腦應符合「安全性選項 - 使用者帳戶控制」的需求 3.0.0
存取控制 AC.3.021 授權遠端執行權限命令,以及遠端存取安全性相關資訊。 Windows 電腦應符合「使用者權限指派」的需求 3.0.0
稽核和責任 AU.2.041 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,以便使用者對其動作負責。 [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 2.0.1-preview
稽核和責任 AU.2.041 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,以便使用者對其動作負責。 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 2.0.1
稽核和責任 AU.2.041 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,以便使用者對其動作負責。 Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 1.0.1
稽核和責任 AU.2.041 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,以便使用者對其動作負責。 虛擬機器應連線到指定的工作區 1.1.0
稽核和責任 AU.2.041 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,以便使用者對其動作負責。 虛擬機器應已安裝 Log Analytics 延伸模組 1.0.1
稽核和責任 AU.2.042 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動。 [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 2.0.1-preview
稽核和責任 AU.2.042 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動。 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 2.0.1
稽核和責任 AU.2.042 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動。 Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 1.0.1
稽核和責任 AU.2.042 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動。 虛擬機器應連線到指定的工作區 1.1.0
稽核和責任 AU.2.042 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動。 虛擬機器應已安裝 Log Analytics 延伸模組 1.0.1
稽核和責任 AU.3.046 發生稽核記錄處理失敗時發出警示。 [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 2.0.1-preview
稽核和責任 AU.3.046 發生稽核記錄處理失敗時發出警示。 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 2.0.1
稽核和責任 AU.3.046 發生稽核記錄處理失敗時發出警示。 虛擬機器應連線到指定的工作區 1.1.0
稽核和責任 AU.3.048 收集稽核資訊 (例如記錄) 到一個或多個中央存放庫。 [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 2.0.1-preview
稽核和責任 AU.3.048 收集稽核資訊 (例如記錄) 到一個或多個中央存放庫。 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 2.0.1
稽核和責任 AU.3.048 收集稽核資訊 (例如記錄) 到一個或多個中央存放庫。 Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 1.0.1
稽核和責任 AU.3.048 收集稽核資訊 (例如記錄) 到一個或多個中央存放庫。 虛擬機器應連線到指定的工作區 1.1.0
稽核和責任 AU.3.048 收集稽核資訊 (例如記錄) 到一個或多個中央存放庫。 虛擬機器應已安裝 Log Analytics 延伸模組 1.0.1
安全性評量 CA.2.158 定期評估組織性系統中的安全性控制項,以判斷控制措施在其應用程式中是否有效。 虛擬機器上應啟用弱點評估解決方案 3.0.0
安全性評量 CA.2.158 定期評估組織性系統中的安全性控制項,以判斷控制措施在其應用程式中是否有效。 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
安全性評量 CA.2.158 定期評估組織性系統中的安全性控制項,以判斷控制措施在其應用程式中是否有效。 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
安全性評量 CA.2.158 定期評估組織性系統中的安全性控制項,以判斷控制措施在其應用程式中是否有效。 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
安全性評量 CA.2.158 定期評估組織性系統中的安全性控制項,以判斷控制措施在其應用程式中是否有效。 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
安全性評量 CA.3.161 持續監視安全性控制項,以確保控制措施的持續有效性。 虛擬機器上應啟用弱點評估解決方案 3.0.0
安全性評量 CA.3.161 持續監視安全性控制項,以確保控制措施的持續有效性。 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
安全性評量 CA.3.161 持續監視安全性控制項,以確保控制措施的持續有效性。 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
安全性評量 CA.3.161 持續監視安全性控制項,以確保控制措施的持續有效性。 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
安全性評量 CA.3.161 持續監視安全性控制項,以確保控制措施的持續有效性。 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
組態管理 CM.2.061 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
組態管理 CM.2.061 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 Linux 機器應符合 Azure 計算安全性基準的需求 2.0.0
組態管理 CM.2.062 將組織系統設為只提供基本功能,即可採用最少功能的原則。 Windows 電腦應符合「系統稽核原則 - 特殊權限使用」的需求 3.0.0
組態管理 CM.2.063 控制及監視使用者安裝的軟體。 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
組態管理 CM.2.063 控制及監視使用者安裝的軟體。 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
組態管理 CM.2.063 控制及監視使用者安裝的軟體。 Windows 電腦應符合「安全性選項 - 使用者帳戶控制」的需求 3.0.0
組態管理 CM.2.064 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
組態管理 CM.2.064 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 Windows 電腦應符合「安全性選項 - 網路安全性」的需求 3.0.0
組態管理 CM.2.065 追蹤、檢閱、核准或不核准,以及記錄對於組織性系統的變更。 Windows 電腦應符合「系統稽核原則 - 原則變更」的需求 3.0.0
組態管理 CM.3.068 限制、停用或防止使用不必要的程式、函式、連接埠、通訊協定和服務。 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
組態管理 CM.3.068 限制、停用或防止使用不必要的程式、函式、連接埠、通訊協定和服務。 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
組態管理 CM.3.068 限制、停用或防止使用不必要的程式、函式、連接埠、通訊協定和服務。 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
組態管理 CM.3.068 限制、停用或防止使用不必要的程式、函式、連接埠、通訊協定和服務。 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
組態管理 CM.3.068 限制、停用或防止使用不必要的程式、函式、連接埠、通訊協定和服務。 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
組態管理 CM.3.068 限制、停用或防止使用不必要的程式、函式、連接埠、通訊協定和服務。 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
組態管理 CM.3.068 限制、停用或防止使用不必要的程式、函式、連接埠、通訊協定和服務。 應使用網路安全性群組保護非網際網路對應的虛擬機器 3.0.0
組態管理 CM.3.069 套用拒絕例外 (列入封鎖清單) 原則,以防止使用未經授權的軟體,或是全部拒絕、允許例外 (列入允許清單) 原則,以允許執行獲授權的軟體。 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
驗證與授權 IA.1.077 驗證或確認這些使用者、流程或裝置的身分識別,做為允許存取組織性資訊系統的必要條件。 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA.1.077 驗證或確認這些使用者、流程或裝置的身分識別,做為允許存取組織性資訊系統的必要條件。 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA.1.077 驗證或確認這些使用者、流程或裝置的身分識別,做為允許存取組織性資訊系統的必要條件。 稽核密碼檔權限未設為 0644 的 Linux 電腦 3.0.0
驗證與授權 IA.1.077 驗證或確認這些使用者、流程或裝置的身分識別,做為允許存取組織性資訊系統的必要條件。 稽核有不需要密碼之帳戶的 Linux 電腦 3.0.0
驗證與授權 IA.1.077 驗證或確認這些使用者、流程或裝置的身分識別,做為允許存取組織性資訊系統的必要條件。 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
驗證與授權 IA.1.077 驗證或確認這些使用者、流程或裝置的身分識別,做為允許存取組織性資訊系統的必要條件。 Windows 電腦應符合「安全性選項 - 網路安全性」的需求 3.0.0
驗證與授權 IA.2.078 在建立新密碼時,強制執行最小的密碼複雜性和字元變更。 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA.2.078 在建立新密碼時,強制執行最小的密碼複雜性和字元變更。 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA.2.078 在建立新密碼時,強制執行最小的密碼複雜性和字元變更。 稽核有不需要密碼之帳戶的 Linux 電腦 3.0.0
驗證與授權 IA.2.078 在建立新密碼時,強制執行最小的密碼複雜性和字元變更。 稽核未啟用密碼複雜度設定的 Windows 電腦 2.0.0
驗證與授權 IA.2.078 在建立新密碼時,強制執行最小的密碼複雜性和字元變更。 稽核未將密碼最短長度限制為 14 個字元的 Windows 電腦 2.0.0
驗證與授權 IA.2.078 在建立新密碼時,強制執行最小的密碼複雜性和字元變更。 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
驗證與授權 IA.2.078 在建立新密碼時,強制執行最小的密碼複雜性和字元變更。 Windows 電腦應符合「安全性選項 - 網路安全性」的需求 3.0.0
驗證與授權 IA.2.079 禁止重複使用密碼達指定數量的層代。 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA.2.079 禁止重複使用密碼達指定數量的層代。 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA.2.079 禁止重複使用密碼達指定數量的層代。 稽核允許重複使用前 24 個舊密碼的 Windows 電腦 2.0.0
驗證與授權 IA.2.079 禁止重複使用密碼達指定數量的層代。 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
驗證與授權 IA.2.079 禁止重複使用密碼達指定數量的層代。 Windows 電腦應符合「安全性選項 - 網路安全性」的需求 3.0.0
驗證與授權 IA.2.081 僅儲存和傳輸使用密碼編譯保護的密碼。 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA.2.081 僅儲存和傳輸使用密碼編譯保護的密碼。 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA.2.081 僅儲存和傳輸使用密碼編譯保護的密碼。 稽核未使用可逆加密來儲存密碼的 Windows 電腦 2.0.0
驗證與授權 IA.2.081 僅儲存和傳輸使用密碼編譯保護的密碼。 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
驗證與授權 IA.2.081 僅儲存和傳輸使用密碼編譯保護的密碼。 Windows 電腦應符合「安全性選項 - 網路安全性」的需求 3.0.0
驗證與授權 IA.3.084 針對特殊權限和非特殊權限帳戶的網路存取,採用防重新執行驗證機制。 Windows 網頁伺服器應設定為使用安全通訊協定 4.0.0
事件回應 IR.2.093 偵測並報告事件。 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
復原 RE.2.137 定期執行並測試資料備份。 稽核未設定災害復原的虛擬機器 1.0.0
復原 RE.2.137 定期執行並測試資料備份。 應該為虛擬機器啟用 Azure 備份 3.0.0
復原 RE.3.139 定期以組織定義的方式執行完整、全面且具復原性的資料備份。 稽核未設定災害復原的虛擬機器 1.0.0
復原 RE.3.139 定期以組織定義的方式執行完整、全面且具復原性的資料備份。 應該為虛擬機器啟用 Azure 備份 3.0.0
風險評估 RM.2.141 定期評估由於組織系統作業以及關聯 CUI 的處理、儲存或傳輸,對組織營運 (包括任務、功能、形象或信譽)、組織資產及個人帶來的風險。 虛擬機器上應啟用弱點評估解決方案 3.0.0
風險評估 RM.2.142 定期以及在發現會影響這些系統和應用程式的新弱點時,掃描組織系統和應用程式中的弱點。 虛擬機器上應啟用弱點評估解決方案 3.0.0
風險評估 RM.2.143 根據風險評量補救弱點。 虛擬機器上應啟用弱點評估解決方案 3.0.0
風險評估 RM.2.143 根據風險評量補救弱點。 應補救容器安全性設定中的弱點 3.0.0
風險評估 RM.2.143 根據風險評量補救弱點。 您應在機器上修復安全性組態的弱點 3.0.0
風險評估 RM.2.143 根據風險評量補救弱點。 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
系統與通訊保護 SC.1.175 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
系統與通訊保護 SC.1.175 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
系統與通訊保護 SC.1.175 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
系統與通訊保護 SC.1.175 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
系統與通訊保護 SC.1.175 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 應使用網路安全性群組保護非網際網路對應的虛擬機器 3.0.0
系統與通訊保護 SC.1.175 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 Windows 電腦應符合「安全性選項 - 網路存取」的需求 3.0.0
系統與通訊保護 SC.1.175 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 Windows 電腦應符合「安全性選項 - 網路安全性」的需求 3.0.0
系統與通訊保護 SC.1.175 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 Windows 網頁伺服器應設定為使用安全通訊協定 4.0.0
系統與通訊保護 SC.1.176 針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
系統與通訊保護 SC.1.176 針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
系統與通訊保護 SC.1.176 針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
系統與通訊保護 SC.2.179 使用加密工作階段管理網路裝置。 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
系統與通訊保護 SC.3.177 採用 FIPS 驗證的加密來保護 CUI 的機密性。 稽核未使用可逆加密來儲存密碼的 Windows 電腦 2.0.0
系統與通訊保護 SC.3.177 採用 FIPS 驗證的加密來保護 CUI 的機密性。 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
系統與通訊保護 SC.3.181 將使用者功能與系統管理功能加以區分。 稽核具有 Administrators 群組中指定成員的 Windows 電腦 2.0.0
系統與通訊保護 SC.3.183 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
系統與通訊保護 SC.3.183 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
系統與通訊保護 SC.3.183 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
系統與通訊保護 SC.3.183 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
系統與通訊保護 SC.3.183 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 應使用網路安全性群組保護非網際網路對應的虛擬機器 3.0.0
系統與通訊保護 SC.3.183 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 Windows 電腦應符合「安全性選項 - 網路存取」的需求 3.0.0
系統與通訊保護 SC.3.183 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 Windows 電腦應符合「安全性選項 - 網路安全性」的需求 3.0.0
系統與通訊保護 SC.3.185 實作密碼編譯機制,以防止在傳輸期間未經授權洩漏 CUI,除非受到其他實體保護。 Windows 網頁伺服器應設定為使用安全通訊協定 4.0.0
系統與通訊保護 SC.3.190 保護通訊工作階段的真確性。 Windows 網頁伺服器應設定為使用安全通訊協定 4.0.0
系統與通訊保護 SC.3.191 保護待用 CUI 的機密性。 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
系統和資訊完整性 SI.1.210 及時識別、報告及修正資訊和資訊系統缺陷。 Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 1.0.0
系統和資訊完整性 SI.1.210 及時識別、報告及修正資訊和資訊系統缺陷。 應在虛擬機器擴展集上安裝系統更新 3.0.0
系統和資訊完整性 SI.1.210 及時識別、報告及修正資訊和資訊系統缺陷。 您應在機器上安裝系統更新 4.0.0
系統和資訊完整性 SI.1.210 及時識別、報告及修正資訊和資訊系統缺陷。 您應在機器上修復安全性組態的弱點 3.0.0
系統和資訊完整性 SI.1.210 及時識別、報告及修正資訊和資訊系統缺陷。 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
系統和資訊完整性 SI.1.211 在組織資訊系統適當的位置提供保護,防止惡意程式碼。 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
系統和資訊完整性 SI.1.211 在組織資訊系統適當的位置提供保護,防止惡意程式碼。 Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 1.0.0
系統和資訊完整性 SI.1.211 在組織資訊系統適當的位置提供保護,防止惡意程式碼。 Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上 1.1.0
系統和資訊完整性 SI.1.211 在組織資訊系統適當的位置提供保護,防止惡意程式碼。 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
系統和資訊完整性 SI.1.212 在提供新版本時,立即更新惡意程式碼保護機制。 Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 1.0.0
系統和資訊完整性 SI.1.213 在下載、開啟或執行檔案時,定期掃描資訊系統,並即時掃描來自外部來源的檔案。 Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 1.0.0
系統和資訊完整性 SI.1.213 在下載、開啟或執行檔案時,定期掃描資訊系統,並即時掃描來自外部來源的檔案。 Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上 1.1.0
系統和資訊完整性 SI.1.213 在下載、開啟或執行檔案時,定期掃描資訊系統,並即時掃描來自外部來源的檔案。 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0

FedRAMP High

若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - FedRAMP High。 如需此合規性標準的詳細資訊,請參閱 FedRAMP High

網域 控制識別碼 控制標題 原則
(Azure 入口網站)
原則版本
(GitHub)
存取控制 AC-2 (12) 帳戶監視/非典型使用方式 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
存取控制 AC-3 強制存取 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-3 強制存取 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-3 強制存取 稽核有不需要密碼之帳戶的 Linux 電腦 3.0.0
存取控制 AC-3 強制存取 對 Linux 電腦進行驗證需要 SSH 金鑰 3.0.0
存取控制 AC-3 強制存取 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
存取控制 AC-3 強制存取 虛擬機器應遷移到新的 Azure Resource Manager 資源 1.0.0
存取控制 AC-4 資訊流程強制 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
存取控制 AC-4 資訊流程強制 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
存取控制 AC-4 資訊流程強制 磁碟存取資源應使用私人連結 1.0.0
存取控制 AC-4 資訊流程強制 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
存取控制 AC-4 資訊流程強制 應停用虛擬機器上的 IP 轉送 3.0.0
存取控制 AC-4 資訊流程強制 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
存取控制 AC-4 資訊流程強制 應關閉虛擬機器上的管理連接埠 3.0.0
存取控制 AC-4 資訊流程強制 應使用網路安全性群組保護非網際網路對應的虛擬機器 3.0.0
存取控制 AC-17 遠端存取 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-17 遠端存取 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-17 遠端存取 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 3.0.0
存取控制 AC-17 遠端存取 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
存取控制 AC-17 遠端存取 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
存取控制 AC-17 遠端存取 磁碟存取資源應使用私人連結 1.0.0
存取控制 AC-17 (1) 自動化監視/控制 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-17 (1) 自動化監視/控制 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-17 (1) 自動化監視/控制 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 3.0.0
存取控制 AC-17 (1) 自動化監視/控制 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
存取控制 AC-17 (1) 自動化監視/控制 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
存取控制 AC-17 (1) 自動化監視/控制 磁碟存取資源應使用私人連結 1.0.0
稽核和責任 AU-6 稽核檢閱、分析和報告 [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-6 稽核檢閱、分析和報告 [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-6 (4) 集中式檢閱與分析 [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-6 (4) 集中式檢閱與分析 [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-6 (4) 集中式檢閱與分析 應在您的電腦上安裝來賓設定延伸模組 1.0.2
稽核和責任 AU-6 (4) 集中式檢閱與分析 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
稽核和責任 AU-6 (4) 集中式檢閱與分析 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
稽核和責任 AU-6 (4) 集中式檢閱與分析 應啟用虛擬機器擴展集中的資源記錄 2.1.0
稽核和責任 AU-6 (4) 集中式檢閱與分析 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 1.0.1
稽核和責任 AU-6 (5) 整合/掃描及監視功能 [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-6 (5) 整合/掃描及監視功能 [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-6 (5) 整合/掃描及監視功能 應在您的電腦上安裝來賓設定延伸模組 1.0.2
稽核和責任 AU-6 (5) 整合/掃描及監視功能 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
稽核和責任 AU-6 (5) 整合/掃描及監視功能 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
稽核和責任 AU-6 (5) 整合/掃描及監視功能 應啟用虛擬機器擴展集中的資源記錄 2.1.0
稽核和責任 AU-6 (5) 整合/掃描及監視功能 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 1.0.1
稽核和責任 AU-12 稽核產生 [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-12 稽核產生 [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-12 稽核產生 應在您的電腦上安裝來賓設定延伸模組 1.0.2
稽核和責任 AU-12 稽核產生 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
稽核和責任 AU-12 稽核產生 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
稽核和責任 AU-12 稽核產生 應啟用虛擬機器擴展集中的資源記錄 2.1.0
稽核和責任 AU-12 稽核產生 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 1.0.1
稽核和責任 AU-12 (1) 全系統/時間相互關聯的稽核線索 [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-12 (1) 全系統/時間相互關聯的稽核線索 [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-12 (1) 全系統/時間相互關聯的稽核線索 應在您的電腦上安裝來賓設定延伸模組 1.0.2
稽核和責任 AU-12 (1) 全系統/時間相互關聯的稽核線索 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
稽核和責任 AU-12 (1) 全系統/時間相互關聯的稽核線索 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
稽核和責任 AU-12 (1) 全系統/時間相互關聯的稽核線索 應啟用虛擬機器擴展集中的資源記錄 2.1.0
稽核和責任 AU-12 (1) 全系統/時間相互關聯的稽核線索 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 1.0.1
組態管理 CM-6 組態設定 Linux 機器應符合 Azure 計算安全性基準的需求 2.0.0
組態管理 CM-6 組態設定 Windows 機器應符合 Azure 計算安全性基準的需求 2.0.0
組態管理 CM-7 最少的功能 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
組態管理 CM-7 最少的功能 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
組態管理 CM-7 (2) 防止程式執行 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
組態管理 CM-7 (2) 防止程式執行 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
組態管理 CM-7 (5) 授權軟體/允許清單 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
組態管理 CM-7 (5) 授權軟體/允許清單 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
組態管理 CM-10 軟體使用限制 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
組態管理 CM-10 軟體使用限制 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
組態管理 CM-11 使用者安裝的軟體 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
組態管理 CM-11 使用者安裝的軟體 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
應變計劃 CP-7 替代處理地點 稽核未設定災害復原的虛擬機器 1.0.0
應變計劃 CP-9 資訊系統備份 應該為虛擬機器啟用 Azure 備份 3.0.0
驗證與授權 IA-5 驗證器管理 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA-5 驗證器管理 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA-5 驗證器管理 稽核密碼檔權限未設為 0644 的 Linux 電腦 3.0.0
驗證與授權 IA-5 驗證器管理 稽核未使用可逆加密來儲存密碼的 Windows 電腦 2.0.0
驗證與授權 IA-5 驗證器管理 對 Linux 電腦進行驗證需要 SSH 金鑰 3.0.0
驗證與授權 IA-5 驗證器管理 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
驗證與授權 IA-5 驗證器管理 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
驗證與授權 IA-5 (1) 密碼式驗證 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA-5 (1) 密碼式驗證 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA-5 (1) 密碼式驗證 稽核密碼檔權限未設為 0644 的 Linux 電腦 3.0.0
驗證與授權 IA-5 (1) 密碼式驗證 稽核允許重複使用前 24 個舊密碼的 Windows 電腦 2.0.0
驗證與授權 IA-5 (1) 密碼式驗證 稽核密碼最長有效期非 70 天的 Windows 電腦 2.0.0
驗證與授權 IA-5 (1) 密碼式驗證 稽核密碼最短有效期非 1 天的 Windows 電腦 2.0.0
驗證與授權 IA-5 (1) 密碼式驗證 稽核未啟用密碼複雜度設定的 Windows 電腦 2.0.0
驗證與授權 IA-5 (1) 密碼式驗證 稽核未將密碼最短長度限制為 14 個字元的 Windows 電腦 2.0.0
驗證與授權 IA-5 (1) 密碼式驗證 稽核未使用可逆加密來儲存密碼的 Windows 電腦 2.0.0
驗證與授權 IA-5 (1) 密碼式驗證 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
驗證與授權 IA-5 (1) 密碼式驗證 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
風險評估 RA-5 弱點掃描 虛擬機器上應啟用弱點評估解決方案 3.0.0
風險評估 RA-5 弱點掃描 機器上的 SQL Server 應已解決發現的弱點 1.0.0
風險評估 RA-5 弱點掃描 應補救容器安全性設定中的弱點 3.0.0
風險評估 RA-5 弱點掃描 您應在機器上修復安全性組態的弱點 3.0.0
風險評估 RA-5 弱點掃描 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
系統與通訊保護 SC-3 安全性功能隔離 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
系統與通訊保護 SC-3 安全性功能隔離 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
系統與通訊保護 SC-3 安全性功能隔離 應在您的機器上啟用 Windows Defender 惡意探索防護 2.0.0
系統與通訊保護 SC-5 阻斷服務保護 應停用虛擬機器上的 IP 轉送 3.0.0
系統與通訊保護 SC-7 界限保護 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
系統與通訊保護 SC-7 界限保護 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
系統與通訊保護 SC-7 界限保護 磁碟存取資源應使用私人連結 1.0.0
系統與通訊保護 SC-7 界限保護 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
系統與通訊保護 SC-7 界限保護 應停用虛擬機器上的 IP 轉送 3.0.0
系統與通訊保護 SC-7 界限保護 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
系統與通訊保護 SC-7 界限保護 應關閉虛擬機器上的管理連接埠 3.0.0
系統與通訊保護 SC-7 界限保護 應使用網路安全性群組保護非網際網路對應的虛擬機器 3.0.0
系統與通訊保護 SC-7 (3) 存取點 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
系統與通訊保護 SC-7 (3) 存取點 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
系統與通訊保護 SC-7 (3) 存取點 磁碟存取資源應使用私人連結 1.0.0
系統與通訊保護 SC-7 (3) 存取點 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
系統與通訊保護 SC-7 (3) 存取點 應停用虛擬機器上的 IP 轉送 3.0.0
系統與通訊保護 SC-7 (3) 存取點 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
系統與通訊保護 SC-7 (3) 存取點 應關閉虛擬機器上的管理連接埠 3.0.0
系統與通訊保護 SC-7 (3) 存取點 應使用網路安全性群組保護非網際網路對應的虛擬機器 3.0.0
系統與通訊保護 SC-8 傳輸機密性和完整性 Windows 網頁伺服器應設定為使用安全通訊協定 4.0.0
系統與通訊保護 SC-8 (1) 密碼加密或替代實體保護 Windows 網頁伺服器應設定為使用安全通訊協定 4.0.0
系統與通訊保護 SC-12 密碼編譯金鑰的建立和管理 受控磁碟應同時使用平台管理的金鑰和客戶自控金鑰進行雙重加密 1.0.0
系統與通訊保護 SC-12 密碼編譯金鑰的建立和管理 OS 和資料磁碟應使用客戶自控金鑰進行加密 3.0.0
系統與通訊保護 SC-28 待用資訊的保護 虛擬機器和虛擬機器擴展集應啟用主機上的加密 1.0.0
系統與通訊保護 SC-28 待用資訊的保護 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
系統與通訊保護 SC-28 (1) 密碼編譯保護 虛擬機器和虛擬機器擴展集應啟用主機上的加密 1.0.0
系統與通訊保護 SC-28 (1) 密碼編譯保護 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
系統和資訊完整性 SI-2 瑕疵補救 虛擬機器上應啟用弱點評估解決方案 3.0.0
系統和資訊完整性 SI-2 瑕疵補救 應在虛擬機器擴展集上安裝系統更新 3.0.0
系統和資訊完整性 SI-2 瑕疵補救 您應在機器上安裝系統更新 4.0.0
系統和資訊完整性 SI-2 瑕疵補救 您應在機器上修復安全性組態的弱點 3.0.0
系統和資訊完整性 SI-2 瑕疵補救 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
系統和資訊完整性 SI-3 惡意程式碼防護 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
系統和資訊完整性 SI-3 惡意程式碼防護 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
系統和資訊完整性 SI-3 惡意程式碼防護 應在您的機器上啟用 Windows Defender 惡意探索防護 2.0.0
系統和資訊完整性 SI-3 (1) 中央管理 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
系統和資訊完整性 SI-3 (1) 中央管理 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
系統和資訊完整性 SI-3 (1) 中央管理 應在您的機器上啟用 Windows Defender 惡意探索防護 2.0.0
系統和資訊完整性 SI-4 資訊系統監視 [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
系統和資訊完整性 SI-4 資訊系統監視 [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
系統和資訊完整性 SI-4 資訊系統監視 應在您的電腦上安裝來賓設定延伸模組 1.0.2
系統和資訊完整性 SI-4 資訊系統監視 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
系統和資訊完整性 SI-4 資訊系統監視 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
系統和資訊完整性 SI-4 資訊系統監視 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 1.0.1
系統和資訊完整性 SI-16 記憶體保護 應在您的機器上啟用 Windows Defender 惡意探索防護 2.0.0

FedRAMP Moderate

若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - FedRAMP Moderate。 如需此合規性標準的詳細資訊,請參閱 FedRAMP Moderate

網域 控制識別碼 控制標題 原則
(Azure 入口網站)
原則版本
(GitHub)
存取控制 AC-2 (12) 帳戶監視/非典型使用方式 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
存取控制 AC-3 強制存取 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-3 強制存取 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-3 強制存取 稽核有不需要密碼之帳戶的 Linux 電腦 3.0.0
存取控制 AC-3 強制存取 對 Linux 電腦進行驗證需要 SSH 金鑰 3.0.0
存取控制 AC-3 強制存取 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
存取控制 AC-3 強制存取 虛擬機器應遷移到新的 Azure Resource Manager 資源 1.0.0
存取控制 AC-4 資訊流程強制 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
存取控制 AC-4 資訊流程強制 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
存取控制 AC-4 資訊流程強制 磁碟存取資源應使用私人連結 1.0.0
存取控制 AC-4 資訊流程強制 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
存取控制 AC-4 資訊流程強制 應停用虛擬機器上的 IP 轉送 3.0.0
存取控制 AC-4 資訊流程強制 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
存取控制 AC-4 資訊流程強制 應關閉虛擬機器上的管理連接埠 3.0.0
存取控制 AC-4 資訊流程強制 應使用網路安全性群組保護非網際網路對應的虛擬機器 3.0.0
存取控制 AC-17 遠端存取 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-17 遠端存取 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-17 遠端存取 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 3.0.0
存取控制 AC-17 遠端存取 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
存取控制 AC-17 遠端存取 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
存取控制 AC-17 遠端存取 磁碟存取資源應使用私人連結 1.0.0
存取控制 AC-17 (1) 自動化監視/控制 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-17 (1) 自動化監視/控制 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-17 (1) 自動化監視/控制 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 3.0.0
存取控制 AC-17 (1) 自動化監視/控制 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
存取控制 AC-17 (1) 自動化監視/控制 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
存取控制 AC-17 (1) 自動化監視/控制 磁碟存取資源應使用私人連結 1.0.0
稽核和責任 AU-6 稽核檢閱、分析和報告 [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-6 稽核檢閱、分析和報告 [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-12 稽核產生 [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-12 稽核產生 [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-12 稽核產生 應在您的電腦上安裝來賓設定延伸模組 1.0.2
稽核和責任 AU-12 稽核產生 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
稽核和責任 AU-12 稽核產生 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
稽核和責任 AU-12 稽核產生 應啟用虛擬機器擴展集中的資源記錄 2.1.0
稽核和責任 AU-12 稽核產生 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 1.0.1
組態管理 CM-6 組態設定 Linux 機器應符合 Azure 計算安全性基準的需求 2.0.0
組態管理 CM-6 組態設定 Windows 機器應符合 Azure 計算安全性基準的需求 2.0.0
組態管理 CM-7 最少的功能 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
組態管理 CM-7 最少的功能 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
組態管理 CM-7 (2) 防止程式執行 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
組態管理 CM-7 (2) 防止程式執行 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
組態管理 CM-7 (5) 授權軟體/允許清單 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
組態管理 CM-7 (5) 授權軟體/允許清單 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
組態管理 CM-10 軟體使用限制 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
組態管理 CM-10 軟體使用限制 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
組態管理 CM-11 使用者安裝的軟體 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
組態管理 CM-11 使用者安裝的軟體 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
應變計劃 CP-7 替代處理地點 稽核未設定災害復原的虛擬機器 1.0.0
應變計劃 CP-9 資訊系統備份 應該為虛擬機器啟用 Azure 備份 3.0.0
驗證與授權 IA-5 驗證器管理 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA-5 驗證器管理 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA-5 驗證器管理 稽核密碼檔權限未設為 0644 的 Linux 電腦 3.0.0
驗證與授權 IA-5 驗證器管理 稽核未使用可逆加密來儲存密碼的 Windows 電腦 2.0.0
驗證與授權 IA-5 驗證器管理 對 Linux 電腦進行驗證需要 SSH 金鑰 3.0.0
驗證與授權 IA-5 驗證器管理 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
驗證與授權 IA-5 驗證器管理 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
驗證與授權 IA-5 (1) 密碼式驗證 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA-5 (1) 密碼式驗證 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA-5 (1) 密碼式驗證 稽核密碼檔權限未設為 0644 的 Linux 電腦 3.0.0
驗證與授權 IA-5 (1) 密碼式驗證 稽核允許重複使用前 24 個舊密碼的 Windows 電腦 2.0.0
驗證與授權 IA-5 (1) 密碼式驗證 稽核密碼最長有效期非 70 天的 Windows 電腦 2.0.0
驗證與授權 IA-5 (1) 密碼式驗證 稽核密碼最短有效期非 1 天的 Windows 電腦 2.0.0
驗證與授權 IA-5 (1) 密碼式驗證 稽核未啟用密碼複雜度設定的 Windows 電腦 2.0.0
驗證與授權 IA-5 (1) 密碼式驗證 稽核未將密碼最短長度限制為 14 個字元的 Windows 電腦 2.0.0
驗證與授權 IA-5 (1) 密碼式驗證 稽核未使用可逆加密來儲存密碼的 Windows 電腦 2.0.0
驗證與授權 IA-5 (1) 密碼式驗證 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
驗證與授權 IA-5 (1) 密碼式驗證 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
風險評估 RA-5 弱點掃描 虛擬機器上應啟用弱點評估解決方案 3.0.0
風險評估 RA-5 弱點掃描 機器上的 SQL Server 應已解決發現的弱點 1.0.0
風險評估 RA-5 弱點掃描 應補救容器安全性設定中的弱點 3.0.0
風險評估 RA-5 弱點掃描 您應在機器上修復安全性組態的弱點 3.0.0
風險評估 RA-5 弱點掃描 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
系統與通訊保護 SC-5 阻斷服務保護 應停用虛擬機器上的 IP 轉送 3.0.0
系統與通訊保護 SC-7 界限保護 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
系統與通訊保護 SC-7 界限保護 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
系統與通訊保護 SC-7 界限保護 磁碟存取資源應使用私人連結 1.0.0
系統與通訊保護 SC-7 界限保護 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
系統與通訊保護 SC-7 界限保護 應停用虛擬機器上的 IP 轉送 3.0.0
系統與通訊保護 SC-7 界限保護 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
系統與通訊保護 SC-7 界限保護 應關閉虛擬機器上的管理連接埠 3.0.0
系統與通訊保護 SC-7 界限保護 應使用網路安全性群組保護非網際網路對應的虛擬機器 3.0.0
系統與通訊保護 SC-7 (3) 存取點 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
系統與通訊保護 SC-7 (3) 存取點 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
系統與通訊保護 SC-7 (3) 存取點 磁碟存取資源應使用私人連結 1.0.0
系統與通訊保護 SC-7 (3) 存取點 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
系統與通訊保護 SC-7 (3) 存取點 應停用虛擬機器上的 IP 轉送 3.0.0
系統與通訊保護 SC-7 (3) 存取點 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
系統與通訊保護 SC-7 (3) 存取點 應關閉虛擬機器上的管理連接埠 3.0.0
系統與通訊保護 SC-7 (3) 存取點 應使用網路安全性群組保護非網際網路對應的虛擬機器 3.0.0
系統與通訊保護 SC-8 傳輸機密性和完整性 Windows 網頁伺服器應設定為使用安全通訊協定 4.0.0
系統與通訊保護 SC-8 (1) 密碼加密或替代實體保護 Windows 網頁伺服器應設定為使用安全通訊協定 4.0.0
系統與通訊保護 SC-12 密碼編譯金鑰的建立和管理 受控磁碟應同時使用平台管理的金鑰和客戶自控金鑰進行雙重加密 1.0.0
系統與通訊保護 SC-12 密碼編譯金鑰的建立和管理 OS 和資料磁碟應使用客戶自控金鑰進行加密 3.0.0
系統與通訊保護 SC-28 待用資訊的保護 虛擬機器和虛擬機器擴展集應啟用主機上的加密 1.0.0
系統與通訊保護 SC-28 待用資訊的保護 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
系統與通訊保護 SC-28 (1) 密碼編譯保護 虛擬機器和虛擬機器擴展集應啟用主機上的加密 1.0.0
系統與通訊保護 SC-28 (1) 密碼編譯保護 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
系統和資訊完整性 SI-2 瑕疵補救 虛擬機器上應啟用弱點評估解決方案 3.0.0
系統和資訊完整性 SI-2 瑕疵補救 應在虛擬機器擴展集上安裝系統更新 3.0.0
系統和資訊完整性 SI-2 瑕疵補救 您應在機器上安裝系統更新 4.0.0
系統和資訊完整性 SI-2 瑕疵補救 您應在機器上修復安全性組態的弱點 3.0.0
系統和資訊完整性 SI-2 瑕疵補救 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
系統和資訊完整性 SI-3 惡意程式碼防護 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
系統和資訊完整性 SI-3 惡意程式碼防護 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
系統和資訊完整性 SI-3 惡意程式碼防護 應在您的機器上啟用 Windows Defender 惡意探索防護 2.0.0
系統和資訊完整性 SI-3 (1) 中央管理 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
系統和資訊完整性 SI-3 (1) 中央管理 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
系統和資訊完整性 SI-3 (1) 中央管理 應在您的機器上啟用 Windows Defender 惡意探索防護 2.0.0
系統和資訊完整性 SI-4 資訊系統監視 [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
系統和資訊完整性 SI-4 資訊系統監視 [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
系統和資訊完整性 SI-4 資訊系統監視 應在您的電腦上安裝來賓設定延伸模組 1.0.2
系統和資訊完整性 SI-4 資訊系統監視 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
系統和資訊完整性 SI-4 資訊系統監視 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
系統和資訊完整性 SI-4 資訊系統監視 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 1.0.1
系統和資訊完整性 SI-16 記憶體保護 應在您的機器上啟用 Windows Defender 惡意探索防護 2.0.0

HIPAA HITRUST 9.2

若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - HIPAA HITRUST 9.2。 如需此合規性標準的詳細資訊,請參閱 HIPAA HITRUST 9.2

網域 控制識別碼 控制標題 原則
(Azure 入口網站)
原則版本
(GitHub)
權限管理 11180.01c3System.6 - 01.c 針對裝載虛擬化系統的系統,其管理功能或管理主控台的存取權會依據最低權限原則來有限制地提供給個人,並透過技術控制項提供支援。 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
權限管理 1143.01c1System.123 - 01.c 權限會經過正式授權和控制,並根據使用者功能角色 (例如使用者或系統管理員) 的使用需求及個別事件,將權限配置給使用者,然後針對每個系統產品/元素加以記錄。 應關閉虛擬機器上的管理連接埠 3.0.0
權限管理 1148.01c2System.78 - 01.c 組織會限制特殊權限功能和所有安全性相關資訊的存取。 Windows 電腦應符合「安全性選項 - 帳戶」的需求 3.0.0
權限管理 1150.01c2System.10 - 01.c 使用預設的 "deny-all" 設定來為儲存、處理或傳輸涵蓋資訊的系統元件設定存取控制系統。 應關閉虛擬機器上的管理連接埠 3.0.0
用於外部連線的使用者驗證 1119.01j2Organizational.3 - 01.j 檢查網路設備是否有非預期的撥號功能。 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
用於外部連線的使用者驗證 1175.01j1Organizational.8 - 01.j 只有在成功識別和驗證之後,才能在公用網路上遠端存取商務資訊。 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
用於外部連線的使用者驗證 1179.01j3Organizational.1 - 01.j 資訊系統會監視並控制遠端存取方法。 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
遠端診斷和設定連接埠保護 1192.01l1Organizational.1 - 01.l 對網路設備的存取會受到實際保護。 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
遠端診斷和設定連接埠保護 1193.01l2Organizational.13 - 01.l 存取診斷和設定連接埠的控制措施包括使用鍵盤鎖定,以及實作可控制連接埠實際存取權的支援程序。 應關閉虛擬機器上的管理連接埠 3.0.0
遠端診斷和設定連接埠保護 1197.01l3Organizational.3 - 01.l 組織會停用資訊系統內判斷為不必要或不安全的藍牙和對等網路通訊協定。 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
網路中的隔離 0805.01m1Organizational.12 - 01.m 組織的安全性閘道 (例如防火牆) 會強制執行安全性原則,並且會設定為可篩選網域之間的流量、封鎖未經授權的存取,以及用來維護內部有線、內部無線和外部網路部分 (例如網際網路) 之間的隔離 (包括 DMZ),並且強制執行每個網域的存取控制原則。 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
網路中的隔離 0806.01m2Organizational.12356 - 01.m 組織網路會透過定義的安全界限和一組分級的控制項,在邏輯及實體上進行分割,例如,可公開存取的系統元件子網路會根據組織需求,以邏輯方式與內部網路區隔;而流量則是根據風險評估及其各自的安全性需求,以所需的功能和資料/系統的分類為基礎來進行控制。 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
網路中的隔離 0894.01m2Organizational.7 - 01.m 將實體伺服器、應用程式或資料遷移至虛擬化伺服器時,網路會與生產層級的網路隔離。 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
網路連線控制 0809.01n2Organizational.1234 - 01.n 網路流量會根據組織的存取控制原則,透過每個網路存取點的防火牆和其他網路相關限制,或外部電信服務的受控介面來加以控制。 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
網路連線控制 0809.01n2Organizational.1234 - 01.n 網路流量會根據組織的存取控制原則,透過每個網路存取點的防火牆和其他網路相關限制,或外部電信服務的受控介面來加以控制。 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
網路連線控制 0810.01n2Organizational.5 - 01.n 資訊會在透過開放的公用網路傳輸時受到保護及進行最低程度的加密。 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
網路連線控制 0810.01n2Organizational.5 - 01.n 資訊會在透過開放的公用網路傳輸時受到保護及進行最低程度的加密。 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
網路連線控制 0811.01n2Organizational.6 - 01.n 流量原則的例外狀況中會記載支援的任務/商務需求及例外狀況的持續時間,並至少每年檢查一次;當明確的任務/商務需求不再支援流量原則例外狀況時,則會將例外狀況移除。 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
網路連線控制 0811.01n2Organizational.6 - 01.n 流量原則的例外狀況中會記載支援的任務/商務需求及例外狀況的持續時間,並至少每年檢查一次;當明確的任務/商務需求不再支援流量原則例外狀況時,則會將例外狀況移除。 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
網路連線控制 0812.01n2Organizational.8 - 01.n 建立非遠端連線的遠端裝置不得與外部 (遠端) 資源進行通訊。 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
網路連線控制 0812.01n2Organizational.8 - 01.n 建立非遠端連線的遠端裝置不得與外部 (遠端) 資源進行通訊。 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
網路連線控制 0814.01n1Organizational.12 - 01.n 根據存取控制原則和臨床和商務應用程式的需求,在受控介面上使用預設拒絕和允許例外的原則來限制使用者連線到內部網路的能力。 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
網路連線控制 0814.01n1Organizational.12 - 01.n 根據存取控制原則和臨床和商務應用程式的需求,在受控介面上使用預設拒絕和允許例外的原則來限制使用者連線到內部網路的能力。 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
使用者識別與授權 11210.01q2Organizational.10 - 01.q 針對電子記錄執行的電子簽章和手寫簽名,都應連結到其各自的電子記錄。 稽核具有 Administrators 群組中指定成員的 Windows 電腦 2.0.0
使用者識別與授權 11211.01q2Organizational.11 - 01.q 簽署的電子記錄應該包含人類可讀格式的簽署相關資訊。 稽核遺漏 Administrators 群組中任一指定成員的 Windows 電腦 2.0.0
使用者識別與授權 1123.01q1System.2 - 01.q 執行特殊權限功能 (例如系統管理) 的使用者會在執行這些特殊權限功能時,使用不同的帳戶。 在 Administrators 群組中審查具有額外帳戶的 Windows 電腦 2.0.0
使用者識別與授權 1125.01q2System.1 - 01.q 多重要素驗證方法會根據組織原則 (例如遠端網路存取) 來使用。 稽核具有 Administrators 群組中指定成員的 Windows 電腦 2.0.0
使用者識別與授權 1127.01q2System.3 - 01.q 為多重要素驗證提供權杖時,授與存取權之前需要對使用者本人進行驗證。 稽核遺漏 Administrators 群組中任一指定成員的 Windows 電腦 2.0.0
稽核記錄 1202.09aa1System.1 - 09.aa 為系統上所有與涵蓋資訊相關的活動 (建立、讀取、更新、刪除) 建立安全的稽核記錄。 應在虛擬機器擴展集上安裝系統更新 3.0.0
稽核記錄 1206.09aa2System.23 - 09.aa 當系統處於作用中狀態時,一律會提供稽核功能,並追蹤關鍵事件、成功/失敗的資料存取、系統安全性設定變更、特殊權限或公用程式的使用、產生的任何警示、保護系統(例如 A/V 和 IDS) 的啟用和停用、識別和驗證機制的啟用和停用,以及系統層級物件的建立和刪除。 應啟用虛擬機器擴展集中的資源記錄 2.1.0
監視系統使用 12100.09ab2System.15 - 09.ab 組織會監視資訊系統,以識別可能是系統故障或危害指標的不當行為或異常狀況,並協助確認系統是否以最佳、可復原且安全的狀態運作。 虛擬機器應已安裝 Log Analytics 延伸模組 1.0.1
監視系統使用 12101.09ab1Organizational.3 - 09.ab 組織會指定稽核記錄的檢查頻率、檢查的記錄方式,以及檢查執行人員的特定角色和責任,包括專業認證或其他必要的資格。 Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 1.0.1
監視系統使用 12102.09ab1Organizational.4 - 09.ab 組織應定期測試其監視和偵測程式、補救缺點及改善其處理程序。 稽核 Log Analytics 代理程式未如預期般連線的 Windows 電腦 2.0.0
監視系統使用 1215.09ab2System.7 - 09.ab 組織所採用的稽核和監視系統可簡化稽核和產生報告。 虛擬機器應已安裝 Log Analytics 延伸模組 1.0.1
監視系統使用 1216.09ab3System.12 - 09.ab 自動化系統會每天檢查安全性系統的監視活動 (例如 IPS/IDS) 和系統記錄,並找出及記載異常狀況。 Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 1.0.1
監視系統使用 1217.09ab3System.3 - 09.ab 產生警示以供技術人員分析和調查可疑活動或可疑違規行為。 稽核 Log Analytics 代理程式未如預期般連線的 Windows 電腦 2.0.0
權責區分 1232.09c3Organizational.12 - 09.c 對於負責系統管理存取控制的個人,其存取權會限制在每個使用者角色和責任所需的最低權限,而這些人員無法存取與這些控制項相關的稽核功能。 Windows 電腦應符合「使用者權限指派」的需求 3.0.0
權責區分 1277.09c2Organizational.4 - 09.c 事件的起始會與其授權分開,以降低共謀的可能性。 Windows 電腦應符合「安全性選項 - 使用者帳戶控制」的需求 3.0.0
控制惡意程式碼 0201.09j1Organizational.124 - 09.j 防毒軟體和防間諜軟體會在所有使用者裝置上安裝、操作及更新,以定期掃描系統來找出並移除未經授權的軟體。 伺服器軟體開發人員特別建議不要在其中安裝主機型防毒軟體和反間諜軟體的伺服器環境,可以透過網路型惡意程式碼偵測 (NBMD) 解決方案來滿足需求。 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
控制惡意程式碼 0201.09j1Organizational.124 - 09.j 防毒軟體和防間諜軟體會在所有使用者裝置上安裝、操作及更新,以定期掃描系統來找出並移除未經授權的軟體。 伺服器軟體開發人員特別建議不要在其中安裝主機型防毒軟體和反間諜軟體的伺服器環境,可以透過網路型惡意程式碼偵測 (NBMD) 解決方案來滿足需求。 為 Windows Server 部署預設的 Microsoft IaaSAntimalware 延伸模組 1.1.0
控制惡意程式碼 0201.09j1Organizational.124 - 09.j 防毒軟體和防間諜軟體會在所有使用者裝置上安裝、操作及更新,以定期掃描系統來找出並移除未經授權的軟體。 伺服器軟體開發人員特別建議不要在其中安裝主機型防毒軟體和反間諜軟體的伺服器環境,可以透過網路型惡意程式碼偵測 (NBMD) 解決方案來滿足需求。 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
控制惡意程式碼 0201.09j1Organizational.124 - 09.j 防毒軟體和防間諜軟體會在所有使用者裝置上安裝、操作及更新,以定期掃描系統來找出並移除未經授權的軟體。 伺服器軟體開發人員特別建議不要在其中安裝主機型防毒軟體和反間諜軟體的伺服器環境,可以透過網路型惡意程式碼偵測 (NBMD) 解決方案來滿足需求。 Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 1.0.0
控制惡意程式碼 0201.09j1Organizational.124 - 09.j 防毒軟體和防間諜軟體會在所有使用者裝置上安裝、操作及更新,以定期掃描系統來找出並移除未經授權的軟體。 伺服器軟體開發人員特別建議不要在其中安裝主機型防毒軟體和反間諜軟體的伺服器環境,可以透過網路型惡意程式碼偵測 (NBMD) 解決方案來滿足需求。 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
控制惡意程式碼 0201.09j1Organizational.124 - 09.j 防毒軟體和防間諜軟體會在所有使用者裝置上安裝、操作及更新,以定期掃描系統來找出並移除未經授權的軟體。 伺服器軟體開發人員特別建議不要在其中安裝主機型防毒軟體和反間諜軟體的伺服器環境,可以透過網路型惡意程式碼偵測 (NBMD) 解決方案來滿足需求。 您應在機器上安裝系統更新 4.0.0
備份 1620.09l1Organizational.8 - 09.l 由協力廠商提供備份服務時,服務等級協定會包含詳細的保護項目,以控制備份資訊的機密性、完整性和可用性。 應該為虛擬機器啟用 Azure 備份 3.0.0
備份 1625.09l3Organizational.34 - 09.l 三 (3) 個備份世代 (完整備份加上所有相關的增量或差異備份) 會儲存為異地備份,而本地和異地備份的記錄都會包含名稱、日期、時間和動作。 應該為虛擬機器啟用 Azure 備份 3.0.0
備份 1699.09l1Organizational.10 - 09.l 識別資料備份程序中的員工成員角色和責任並傳達給員工;特別是,自行攜帶裝置 (BYOD) 使用者必須在其裝置上執行組織和/或用戶端資料的備份。 應該為虛擬機器啟用 Azure 備份 3.0.0
網路控制 0858.09m1Organizational.4 - 09.m 除非是由 CIO 或其指定代表撰寫的明確授權,否則組織會監視資訊系統的所有已授權和未授權無線存取,並禁止安裝無線存取點 (WAP)。 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
網路控制 0858.09m1Organizational.4 - 09.m 除非是由 CIO 或其指定代表撰寫的明確授權,否則組織會監視資訊系統的所有已授權和未授權無線存取,並禁止安裝無線存取點 (WAP)。 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
網路控制 0858.09m1Organizational.4 - 09.m 除非是由 CIO 或其指定代表撰寫的明確授權,否則組織會監視資訊系統的所有已授權和未授權無線存取,並禁止安裝無線存取點 (WAP)。 Windows 電腦應符合「Windows 防火牆屬性」的需求 3.0.0
網路控制 0859.09m1Organizational.78 - 09.m 組織會確保網路中的資訊安全性、使用網路的網路服務和資訊服務具有可用性,以及避免已連線的服務遭到未授權的存取。 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
網路控制 0861.09m2Organizational.67 - 09.m 若要在本機和 (或) 廣域網路 (包括無線網路) 上識別及驗證裝置,資訊系統會使用(i) 共用的已知資訊解決方案或 (ii) 組織驗證解決方案,其確切的選擇和強度取決於資訊系統的安全性分類。 Windows 電腦應符合「安全性選項 - 網路存取」的需求 3.0.0
網絡服務的安全性 0835.09n1Organizational.1 - 09.n 網路服務提供者/管理員所提供的已同意服務會正式地受到管理及監視,以確保能安全地供人使用。 [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
網絡服務的安全性 0835.09n1Organizational.1 - 09.n 網路服務提供者/管理員所提供的已同意服務會正式地受到管理及監視,以確保能安全地供人使用。 虛擬機器應遷移到新的 Azure Resource Manager 資源 1.0.0
網絡服務的安全性 0836.09.n2Organizational.1 - 09.n 針對每個從資訊系統到組織外其他資訊系統的連線,組織都會正式授權並記載其特性。 [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
網絡服務的安全性 0885.09n2Organizational.3 - 09.n 組織會持續檢查並更新互相連線的安全性協定,以確認是否已強制執行安全性需求。 [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
網絡服務的安全性 0887.09n2Organizational.5 - 09.n 組織需要外部/外包服務提供者來識別外部/外包服務佈建時所使用的特定功能、連接埠及通訊協定。 [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
卸載式媒體的管理 0302.09o2Organizational.1 - 09.o 組織會在受控制區域外的傳輸期間,保護及控制包含敏感性資訊的媒體。 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
線上交易 0945.09y1Organizational.3 - 09.y 所有相關合作夥伴之間進行通訊所用的通訊協定都會使用加密技術 (例如 SSL) 來保護。 稽核其受信任的根中未包含指定憑證的 Windows 電腦 3.0.0
作業軟體的控制 0605.10h1System.12 - 10.h 只有授權的管理員可以根據版本的商務需求和安全性影響,對軟體、應用程式和程式庫實作核准的升級。 您應在機器上修復安全性組態的弱點 3.0.0
作業軟體的控制 0605.10h1System.12 - 10.h 只有授權的管理員可以根據版本的商務需求和安全性影響,對軟體、應用程式和程式庫實作核准的升級。 Windows 電腦應符合「安全性選項 - 稽核」的需求 3.0.0
作業軟體的控制 0605.10h1System.12 - 10.h 只有授權的管理員可以根據版本的商務需求和安全性影響,對軟體、應用程式和程式庫實作核准的升級。 Windows 電腦應符合「系統稽核原則 - 帳戶管理」的需求 3.0.0
作業軟體的控制 0606.10h2System.1 - 10.h 進入生產環境之前,應用程式和作業系統的可用性、安全性及影響都會成功通過測試。 應補救容器安全性設定中的弱點 3.0.0
作業軟體的控制 0607.10h2System.23 - 10.h 組織會使用其封存設定控制程式來維持所有已實作軟體及其系統文件的控制,並封存已實作軟體的先前版本和相關系統文件。 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
作業軟體的控制 0607.10h2System.23 - 10.h 組織會使用其封存設定控制程式來維持所有已實作軟體及其系統文件的控制,並封存已實作軟體的先前版本和相關系統文件。 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
變更控制程序 0635.10k1Organizational.12 - 10.k 負責應用程式系統的管理員也會負責專案或支援環境的嚴格控制 (安全性),並確保所有提議的系統變更都會經過審查,以確認其不會危害系統或作業環境的安全性。 Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 3.0.0
變更控制程序 0636.10k2Organizational.1 - 10.k 組織會正式制定組態管理的目的、範圍、角色、責任、管理承諾、組織實體之間的協調及合規性 (例如透過原則、標準、程序)。 Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 3.0.0
變更控制程序 0637.10k2Organizational.2 - 10.k 組織已針對資訊系統開發、記載及實作組態管理計畫。 Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 3.0.0
變更控制程序 0638.10k2Organizational.34569 - 10.k 正式控制、記載及強制執行變更,以將資訊系統的損毀降至最低。 Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 3.0.0
變更控制程序 0639.10k2Organizational.78 - 10.k 使用安裝檢查清單和弱點掃描來驗證伺服器、工作站、裝置和設備的設定,並確保設定符合最低標準。 Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 3.0.0
變更控制程序 0640.10k2Organizational.1012 - 10.k 將開發工作外包時,合約中會包含因應安全性的變更控制程序,並特別要求開發人員追蹤系統、元件或服務內的安全性瑕疵和瑕疵解析,並向組織定義的人員或角色報告結果。 Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 3.0.0
變更控制程序 0641.10k2Organizational.11 - 10.k 組織不會在重要系統上使用自動更新。 Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 3.0.0
變更控制程序 0642.10k3Organizational.12 - 10.k 組織會在組態控制措施下,開發、記載及維護資訊系統的目前基準組態,以及視需要檢閱和更新基準。 Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 3.0.0
變更控制程序 0643.10k3Organizational.3 - 10.k 組織會 (i) 使用最新的安全性設定基準,針對資訊系統內所採用的資訊技術產品,建立並記載強制性設定;(ii) 根據明確的操作需求,識別、記載及核准為個別元件強制建立的組態設定例外;以及 (iii) 根據組織原則和程序來監視和控制組態設定的變更。 Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 3.0.0
變更控制程序 0644.10k3Organizational.4 - 10.k 組織會採用自動化機制來 (i) 集中管理、套用及驗證組態設定;(ii) 回應網路和系統安全性相關設定的未經授權變更;以及 (iii) 強制執行存取限制和強制動作的稽核。 Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 3.0.0
技術弱點的控制 0709.10m1Organizational.1 - 10.m 系統會識別技術弱點,針對風險進行評估,且及時進行更正。 虛擬機器上應啟用弱點評估解決方案 3.0.0
技術弱點的控制 0709.10m1Organizational.1 - 10.m 系統會識別技術弱點,針對風險進行評估,且及時進行更正。 應補救容器安全性設定中的弱點 3.0.0
技術弱點的控制 0709.10m1Organizational.1 - 10.m 系統會識別技術弱點,針對風險進行評估,且及時進行更正。 您應在機器上修復安全性組態的弱點 3.0.0
技術弱點的控制 0709.10m1Organizational.1 - 10.m 系統會識別技術弱點,針對風險進行評估,且及時進行更正。 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
技術弱點的控制 0709.10m1Organizational.1 - 10.m 系統會識別技術弱點,針對風險進行評估,且及時進行更正。 Windows 電腦應符合「安全性選項 - Microsoft 網路伺服器」的需求 3.0.0
技術弱點的控制 0711.10m2Organizational.23 - 10.m 技術弱點管理計畫已準備好監視、評估、排名及補救系統中所識別的弱點。 虛擬機器上應啟用弱點評估解決方案 3.0.0
技術弱點的控制 0713.10m2Organizational.5 - 10.m 修補程式會在安裝之前進行測試和評估。 您應在機器上修復安全性組態的弱點 3.0.0
技術弱點的控制 0714.10m2Organizational.7 - 10.m 技術弱點管理計畫會每季評估一次。 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
技術弱點的控制 0715.10m2Organizational.8 - 10.m 系統會適當地強化 (例如,只設定必要和安全的服務、連接埠和通訊協定)。 應補救容器安全性設定中的弱點 3.0.0
技術弱點的控制 0717.10m3Organizational.2 - 10.m 弱點掃描工具的功能包括可立即更新掃描到的資訊系統弱點。 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
技術弱點的控制 0718.10m3Organizational.34 - 10.m 組織會每月 (自動) 掃描資訊系統和託管應用程式中的弱點,以判斷瑕疵補救的狀態,並在識別和回報可能影響系統和網路環境的新弱點時,重新掃描一次 (手動或自動)。 您應在機器上修復安全性組態的弱點 3.0.0
商務持續性和風險評量 1634.12b1Organizational.1 - 12.b 組織會識別需要商務持續性的重要商務流程。 稽核未設定災害復原的虛擬機器 1.0.0
商務持續性和風險評量 1637.12b2Organizational.2 - 12.b 業務影響分析是用來評估災害、安全性失敗、服務中斷和服務可用性的後果。 Windows 電腦應符合「安全性選項 - 修復主控台」的需求 3.0.0
商務持續性和風險評量 1638.12b2Organizational.345 - 12.b 商務持續性風險評估 (i) 每年都會執行,並會讓商務資源和程序的擁有者完全參與;(ii) 會考慮所有商務程序,而不限於資訊資產,但包含資訊安全性特有的結果;以及 (iii) 針對與組織相關的主要商業目標和準則,識別、量化風險並排定優先順序,包括重要的資源、中斷的影響、允許的停機時間及復原優先順序。 稽核未設定災害復原的虛擬機器 1.0.0

IRS 1075 2016 年 9 月

若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - 2016 年 9 月 IRS 1075。 如需此合規性標準的詳細資訊,請參閱 2016 年 9 月 IRS 1075

網域 控制識別碼 控制標題 原則
(Azure 入口網站)
原則版本
(GitHub)
存取控制 9.3.1.12 遠端存取 (AC-17) 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
存取控制 9.3.1.12 遠端存取 (AC-17) 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
存取控制 9.3.1.12 遠端存取 (AC-17) 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 3.0.0
存取控制 9.3.1.12 遠端存取 (AC-17) 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
存取控制 9.3.1.2 帳戶管理 (AC-2) 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
存取控制 9.3.1.5 職責區分 (AC-5) 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
存取控制 9.3.1.5 職責區分 (AC-5) 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
存取控制 9.3.1.5 職責區分 (AC-5) 稽核遺漏 Administrators 群組中任一指定成員的 Windows 電腦 2.0.0
存取控制 9.3.1.5 職責區分 (AC-5) 稽核具有 Administrators 群組中指定成員的 Windows 電腦 2.0.0
存取控制 9.3.1.5 職責區分 (AC-5) 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
存取控制 9.3.1.6 最低特殊權限 (AC-6) 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
存取控制 9.3.1.6 最低特殊權限 (AC-6) 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
存取控制 9.3.1.6 最低特殊權限 (AC-6) 稽核遺漏 Administrators 群組中任一指定成員的 Windows 電腦 2.0.0
存取控制 9.3.1.6 最低特殊權限 (AC-6) 稽核具有 Administrators 群組中指定成員的 Windows 電腦 2.0.0
存取控制 9.3.1.6 最低特殊權限 (AC-6) 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
風險評估 9.3.14.3 弱點掃描 (RA-5) 虛擬機器上應啟用弱點評估解決方案 3.0.0
風險評估 9.3.14.3 弱點掃描 (RA-5) 您應在機器上修復安全性組態的弱點 3.0.0
風險評估 9.3.14.3 弱點掃描 (RA-5) 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
系統與通訊保護 9.3.16.15 待用資訊的保護 (SC-28) 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
系統與通訊保護 9.3.16.5 界限保護 (SC-7) 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
系統與通訊保護 9.3.16.5 界限保護 (SC-7) 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
系統與通訊保護 9.3.16.5 界限保護 (SC-7) 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
系統與通訊保護 9.3.16.6 傳輸機密性和完整性 (SC-8) 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
系統與通訊保護 9.3.16.6 傳輸機密性和完整性 (SC-8) 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
系統與通訊保護 9.3.16.6 傳輸機密性和完整性 (SC-8) 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
系統與通訊保護 9.3.16.6 傳輸機密性和完整性 (SC-8) Windows 網頁伺服器應設定為使用安全通訊協定 4.0.0
系統和資訊完整性 9.3.17.2 瑕疵補救 (SI-2) 虛擬機器上應啟用弱點評估解決方案 3.0.0
系統和資訊完整性 9.3.17.2 瑕疵補救 (SI-2) 應在虛擬機器擴展集上安裝系統更新 3.0.0
系統和資訊完整性 9.3.17.2 瑕疵補救 (SI-2) 您應在機器上安裝系統更新 4.0.0
系統和資訊完整性 9.3.17.2 瑕疵補救 (SI-2) 您應在機器上修復安全性組態的弱點 3.0.0
系統和資訊完整性 9.3.17.2 瑕疵補救 (SI-2) 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
系統和資訊完整性 9.3.17.3 惡意程式碼保護 (SI-3) 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
系統和資訊完整性 9.3.17.3 惡意程式碼保護 (SI-3) 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
系統和資訊完整性 9.3.17.4 資訊系統監視 (SI-4) [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 2.0.1-preview
系統和資訊完整性 9.3.17.4 資訊系統監視 (SI-4) 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 2.0.1
系統和資訊完整性 9.3.17.4 資訊系統監視 (SI-4) 虛擬機器應連線到指定的工作區 1.1.0
認知和訓練 9.3.3.11 稽核產生 (AU-12) [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 2.0.1-preview
認知和訓練 9.3.3.11 稽核產生 (AU-12) 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 2.0.1
認知和訓練 9.3.3.11 稽核產生 (AU-12) 虛擬機器應連線到指定的工作區 1.1.0
認知和訓練 9.3.3.3 稽核記錄的內容 (AU-3) [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 2.0.1-preview
認知和訓練 9.3.3.3 稽核記錄的內容 (AU-3) 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 2.0.1
認知和訓練 9.3.3.3 稽核記錄的內容 (AU-3) 虛擬機器應連線到指定的工作區 1.1.0
認知和訓練 9.3.3.6 稽核檢閱、分析和報告 (AU-6) [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 2.0.1-preview
認知和訓練 9.3.3.6 稽核檢閱、分析和報告 (AU-6) 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 2.0.1
認知和訓練 9.3.3.6 稽核檢閱、分析和報告 (AU-6) 虛擬機器應連線到指定的工作區 1.1.0
組態管理 9.3.5.11 使用者安裝的軟體 (CM-11) 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
組態管理 9.3.5.7 最少的功能 (CM-7) 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
應變計劃 9.3.6.6 備用處理網站 (CP-7) 稽核未設定災害復原的虛擬機器 1.0.0
驗證與授權 9.3.7.5 驗證器管理 (IA-5) 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
驗證與授權 9.3.7.5 驗證器管理 (IA-5) 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
驗證與授權 9.3.7.5 驗證器管理 (IA-5) 稽核密碼檔權限未設為 0644 的 Linux 電腦 3.0.0
驗證與授權 9.3.7.5 驗證器管理 (IA-5) 稽核有不需要密碼之帳戶的 Linux 電腦 3.0.0
驗證與授權 9.3.7.5 驗證器管理 (IA-5) 稽核允許重複使用前 24 個舊密碼的 Windows 電腦 2.0.0
驗證與授權 9.3.7.5 驗證器管理 (IA-5) 稽核密碼最長有效期非 70 天的 Windows 電腦 2.0.0
驗證與授權 9.3.7.5 驗證器管理 (IA-5) 稽核密碼最短有效期非 1 天的 Windows 電腦 2.0.0
驗證與授權 9.3.7.5 驗證器管理 (IA-5) 稽核未啟用密碼複雜度設定的 Windows 電腦 2.0.0
驗證與授權 9.3.7.5 驗證器管理 (IA-5) 稽核未將密碼最短長度限制為 14 個字元的 Windows 電腦 2.0.0
驗證與授權 9.3.7.5 驗證器管理 (IA-5) 稽核未使用可逆加密來儲存密碼的 Windows 電腦 2.0.0
驗證與授權 9.3.7.5 驗證器管理 (IA-5) 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
驗證與授權 9.3.7.5 驗證器管理 (IA-5) 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0

ISO 27001:2013

若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - ISO 27001:2013。 如需此合規性標準的詳細資訊,請參閱 ISO 27001:2013

網域 控制識別碼 控制標題 原則
(Azure 入口網站)
原則版本
(GitHub)
密碼編譯 10.1.1 使用密碼加密控制的原則 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
密碼編譯 10.1.1 使用密碼加密控制的原則 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
密碼編譯 10.1.1 使用密碼加密控制的原則 稽核未使用可逆加密來儲存密碼的 Windows 電腦 2.0.0
密碼編譯 10.1.1 使用密碼加密控制的原則 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
密碼編譯 10.1.1 使用密碼加密控制的原則 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
作業安全性 12.4.1 事件記錄 [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 2.0.1-preview
作業安全性 12.4.1 事件記錄 應為列出的虛擬機器映像啟用 Dependency Agent 2.0.0
作業安全性 12.4.1 事件記錄 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Dependency Agent 2.0.0
作業安全性 12.4.1 事件記錄 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 2.0.1
作業安全性 12.4.3 系統管理員與操作員的記錄 [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 2.0.1-preview
作業安全性 12.4.3 系統管理員與操作員的記錄 應為列出的虛擬機器映像啟用 Dependency Agent 2.0.0
作業安全性 12.4.3 系統管理員與操作員的記錄 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Dependency Agent 2.0.0
作業安全性 12.4.3 系統管理員與操作員的記錄 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 2.0.1
作業安全性 12.4.4 時鐘同步處理 [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 2.0.1-preview
作業安全性 12.4.4 時鐘同步處理 應為列出的虛擬機器映像啟用 Dependency Agent 2.0.0
作業安全性 12.4.4 時鐘同步處理 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Dependency Agent 2.0.0
作業安全性 12.4.4 時鐘同步處理 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 2.0.1
作業安全性 12.5.1 在作業系統上安裝軟體 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
作業安全性 12.6.1 管理技術弱點 虛擬機器上應啟用弱點評估解決方案 3.0.0
作業安全性 12.6.1 管理技術弱點 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
作業安全性 12.6.1 管理技術弱點 您應在機器上安裝系統更新 4.0.0
作業安全性 12.6.1 管理技術弱點 您應在機器上修復安全性組態的弱點 3.0.0
作業安全性 12.6.2 軟體安裝的限制 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
通訊安全性 13.1.1 網路控制措施 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
存取控制 9.1.2 存取網路與網路服務 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
存取控制 9.1.2 存取網路與網路服務 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
存取控制 9.1.2 存取網路與網路服務 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 3.0.0
存取控制 9.1.2 存取網路與網路服務 稽核有不需要密碼之帳戶的 Linux 電腦 3.0.0
存取控制 9.1.2 存取網路與網路服務 稽核不是使用受控磁碟的 VM 1.0.0
存取控制 9.1.2 存取網路與網路服務 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
存取控制 9.1.2 存取網路與網路服務 虛擬機器應遷移到新的 Azure Resource Manager 資源 1.0.0
存取控制 9.2.4 管理使用者的秘密驗證資訊 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
存取控制 9.2.4 管理使用者的秘密驗證資訊 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
存取控制 9.2.4 管理使用者的秘密驗證資訊 稽核密碼檔權限未設為 0644 的 Linux 電腦 3.0.0
存取控制 9.2.4 管理使用者的秘密驗證資訊 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
存取控制 9.4.3 密碼管理系統 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
存取控制 9.4.3 密碼管理系統 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
存取控制 9.4.3 密碼管理系統 稽核允許重複使用前 24 個舊密碼的 Windows 電腦 2.0.0
存取控制 9.4.3 密碼管理系統 稽核密碼最長有效期非 70 天的 Windows 電腦 2.0.0
存取控制 9.4.3 密碼管理系統 稽核密碼最短有效期非 1 天的 Windows 電腦 2.0.0
存取控制 9.4.3 密碼管理系統 稽核未啟用密碼複雜度設定的 Windows 電腦 2.0.0
存取控制 9.4.3 密碼管理系統 稽核未將密碼最短長度限制為 14 個字元的 Windows 電腦 2.0.0
存取控制 9.4.3 密碼管理系統 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0

紐西蘭 ISM 受限

若要檢閱所有 Azure 服務可用的 Azure 原則內建項目如何對應到此合規性標準,請參閱 Azure 原則法規合規性 - New Zealand ISM Restricted。 如需此合規性標準的詳細資訊,請參閱 New Zealand ISM Restricted

網域 控制識別碼 控制標題 原則
(Azure 入口網站)
原則版本
(GitHub)
資訊安全性監視 ISM-3 6.2.5 執行弱點評估 虛擬機器上應啟用弱點評估解決方案 3.0.0
資訊安全性監視 ISM-4 6.2.6 解決弱點 機器上的 SQL Server 應已解決發現的弱點 1.0.0
資訊安全性監視 ISM-4 6.2.6 解決弱點 應補救容器安全性設定中的弱點 3.0.0
資訊安全性監視 ISM-4 6.2.6 解決弱點 您應在機器上修復安全性組態的弱點 3.0.0
資訊安全性監視 ISM-4 6.2.6 解決弱點 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
資訊安全性監視 ISM-7 6.4.5 可用性需求 稽核未設定災害復原的虛擬機器 1.0.0
產品安全性 PRS-5 12.4.4 修補產品中的弱點 應在虛擬機器擴展集上安裝系統更新 3.0.0
產品安全性 PRS-5 12.4.4 修補產品中的弱點 您應在機器上安裝系統更新 4.0.0
軟體安全性 SS-2 14.1.8 正在開發強化的 SOE 應關閉虛擬機器上的管理連接埠 3.0.0
軟體安全性 SS-3 14.1.9 維護已強化的 SOE 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
軟體安全性 SS-3 14.1.9 維護已強化的 SOE 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
軟體安全性 SS-3 14.1.9 維護已強化的 SOE 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
軟體安全性 SS-3 14.1.9 維護已強化的 SOE 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
軟體安全性 SS-3 14.1.9 維護已強化的 SOE 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
軟體安全性 SS-5 14.2.4 應用程式允許清單 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
軟體安全性 SS-5 14.2.4 應用程式允許清單 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
存取控制項和密碼 AC-4 16.1.40 密碼選取原則 稽核有不需要密碼之帳戶的 Linux 電腦 3.0.0
存取控制項和密碼 AC-4 16.1.40 密碼選取原則 Windows 電腦應符合「安全性設定 - 帳戶原則」的需求 3.0.0
存取控制項和密碼 AC-11 16.4.30 Privileged Access Management 稽核遺漏 Administrators 群組中任一指定成員的 Windows 電腦 2.0.0
存取控制項和密碼 AC-11 16.4.30 Privileged Access Management 在 Administrators 群組中審查具有額外帳戶的 Windows 電腦 2.0.0
存取控制項和密碼 AC-11 16.4.30 Privileged Access Management 稽核具有 Administrators 群組中指定成員的 Windows 電腦 2.0.0
存取控制項和密碼 AC-13 16.5.10 驗證 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 3.0.0
存取控制和密碼 AC-17 16.6.9 要記錄的事件 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 2.0.1
存取控制和密碼 AC-17 16.6.9 要記錄的事件 應啟用虛擬機器擴展集中的資源記錄 2.1.0
密碼編譯 CR-3 17.1.46 降低儲存體及實體傳輸需求 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
密碼編譯 CR-7 17.4.16 使用 TLS Windows 網頁伺服器應設定為使用安全通訊協定 4.0.0
密碼編譯 CR-9 17.5.7 驗證機制 對 Linux 電腦進行驗證需要 SSH 金鑰 3.0.0
密碼編譯 CR-14 17.9.25 KMP 的內容 應停用虛擬機器上的 IP 轉送 3.0.0
閘道安全性 GS-2 19.1.11 使用閘道 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
閘道安全性 GS-3 19.1.12 閘道設定 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
閘道安全性 GS-5 19.1.23 閘道測試 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0

NIST SP 800-53 Rev. 5

若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-53 Rev. 5。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-53 Rev. 5

網域 控制識別碼 控制標題 原則
(Azure 入口網站)
原則版本
(GitHub)
存取控制 AC-2 (12) 非典型使用方式的帳戶監視 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
存取控制 AC-3 強制存取 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-3 強制存取 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-3 強制存取 稽核有不需要密碼之帳戶的 Linux 電腦 3.0.0
存取控制 AC-3 強制存取 對 Linux 電腦進行驗證需要 SSH 金鑰 3.0.0
存取控制 AC-3 強制存取 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
存取控制 AC-3 強制存取 虛擬機器應遷移到新的 Azure Resource Manager 資源 1.0.0
存取控制 AC-4 資訊流程強制 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
存取控制 AC-4 資訊流程強制 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
存取控制 AC-4 資訊流程強制 磁碟存取資源應使用私人連結 1.0.0
存取控制 AC-4 資訊流程強制 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
存取控制 AC-4 資訊流程強制 應停用虛擬機器上的 IP 轉送 3.0.0
存取控制 AC-4 資訊流程強制 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
存取控制 AC-4 資訊流程強制 應關閉虛擬機器上的管理連接埠 3.0.0
存取控制 AC-4 資訊流程強制 應使用網路安全性群組保護非網際網路對應的虛擬機器 3.0.0
存取控制 AC-4 (3) 動態資訊流量控制 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
存取控制 AC-4 (3) 動態資訊流量控制 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
存取控制 AC-17 遠端存取 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-17 遠端存取 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-17 遠端存取 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 3.0.0
存取控制 AC-17 遠端存取 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
存取控制 AC-17 遠端存取 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
存取控制 AC-17 遠端存取 磁碟存取資源應使用私人連結 1.0.0
存取控制 AC-17 (1) 監視和控制 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-17 (1) 監視和控制 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
存取控制 AC-17 (1) 監視和控制 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 3.0.0
存取控制 AC-17 (1) 監視和控制 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
存取控制 AC-17 (1) 監視和控制 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
存取控制 AC-17 (1) 監視和控制 磁碟存取資源應使用私人連結 1.0.0
稽核和責任 AU-6 稽核記錄檢閱、分析及報告 [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-6 稽核記錄檢閱、分析及報告 [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-6 (4) 集中式檢閱與分析 [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-6 (4) 集中式檢閱與分析 [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-6 (4) 集中式檢閱與分析 應在您的電腦上安裝來賓設定延伸模組 1.0.2
稽核和責任 AU-6 (4) 集中式檢閱與分析 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
稽核和責任 AU-6 (4) 集中式檢閱與分析 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
稽核和責任 AU-6 (4) 集中式檢閱與分析 應啟用虛擬機器擴展集中的資源記錄 2.1.0
稽核和責任 AU-6 (4) 集中式檢閱與分析 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 1.0.1
稽核和責任 AU-6 (5) 稽核記錄的整合式分析 [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-6 (5) 稽核記錄的整合式分析 [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-6 (5) 稽核記錄的整合式分析 應在您的電腦上安裝來賓設定延伸模組 1.0.2
稽核和責任 AU-6 (5) 稽核記錄的整合式分析 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
稽核和責任 AU-6 (5) 稽核記錄的整合式分析 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
稽核和責任 AU-6 (5) 稽核記錄的整合式分析 應啟用虛擬機器擴展集中的資源記錄 2.1.0
稽核和責任 AU-6 (5) 稽核記錄的整合式分析 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 1.0.1
稽核和責任 AU-12 稽核記錄產生 [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-12 稽核記錄產生 [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-12 稽核記錄產生 應在您的電腦上安裝來賓設定延伸模組 1.0.2
稽核和責任 AU-12 稽核記錄產生 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
稽核和責任 AU-12 稽核記錄產生 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
稽核和責任 AU-12 稽核記錄產生 應啟用虛擬機器擴展集中的資源記錄 2.1.0
稽核和責任 AU-12 稽核記錄產生 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 1.0.1
稽核和責任 AU-12 (1) 全系統及時間相互關聯的稽核線索 [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-12 (1) 全系統及時間相互關聯的稽核線索 [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
稽核和責任 AU-12 (1) 全系統及時間相互關聯的稽核線索 應在您的電腦上安裝來賓設定延伸模組 1.0.2
稽核和責任 AU-12 (1) 全系統及時間相互關聯的稽核線索 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
稽核和責任 AU-12 (1) 全系統及時間相互關聯的稽核線索 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
稽核和責任 AU-12 (1) 全系統及時間相互關聯的稽核線索 應啟用虛擬機器擴展集中的資源記錄 2.1.0
稽核和責任 AU-12 (1) 全系統及時間相互關聯的稽核線索 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 1.0.1
組態管理 CM-6 組態設定 Linux 機器應符合 Azure 計算安全性基準的需求 2.0.0
組態管理 CM-6 組態設定 Windows 機器應符合 Azure 計算安全性基準的需求 2.0.0
組態管理 CM-7 最少的功能 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
組態管理 CM-7 最少的功能 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
組態管理 CM-7 (2) 防止程式執行 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
組態管理 CM-7 (2) 防止程式執行 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
組態管理 CM-7 (5) 授權的軟體 例外狀況時允許 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
組態管理 CM-7 (5) 授權的軟體 例外狀況時允許 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
組態管理 CM-10 軟體使用限制 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
組態管理 CM-10 軟體使用限制 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
組態管理 CM-11 使用者安裝的軟體 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
組態管理 CM-11 使用者安裝的軟體 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
應變計劃 CP-7 替代處理地點 稽核未設定災害復原的虛擬機器 1.0.0
應變計劃 CP-9 系統備份 應該為虛擬機器啟用 Azure 備份 3.0.0
驗證與授權 IA-5 驗證器管理 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA-5 驗證器管理 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA-5 驗證器管理 稽核密碼檔權限未設為 0644 的 Linux 電腦 3.0.0
驗證與授權 IA-5 驗證器管理 稽核未使用可逆加密來儲存密碼的 Windows 電腦 2.0.0
驗證與授權 IA-5 驗證器管理 對 Linux 電腦進行驗證需要 SSH 金鑰 3.0.0
驗證與授權 IA-5 驗證器管理 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
驗證與授權 IA-5 驗證器管理 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
驗證與授權 IA-5 (1) 密碼式驗證 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA-5 (1) 密碼式驗證 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
驗證與授權 IA-5 (1) 密碼式驗證 稽核密碼檔權限未設為 0644 的 Linux 電腦 3.0.0
驗證與授權 IA-5 (1) 密碼式驗證 稽核允許重複使用前 24 個舊密碼的 Windows 電腦 2.0.0
驗證與授權 IA-5 (1) 密碼式驗證 稽核密碼最長有效期非 70 天的 Windows 電腦 2.0.0
驗證與授權 IA-5 (1) 密碼式驗證 稽核密碼最短有效期非 1 天的 Windows 電腦 2.0.0
驗證與授權 IA-5 (1) 密碼式驗證 稽核未啟用密碼複雜度設定的 Windows 電腦 2.0.0
驗證與授權 IA-5 (1) 密碼式驗證 稽核未將密碼最短長度限制為 14 個字元的 Windows 電腦 2.0.0
驗證與授權 IA-5 (1) 密碼式驗證 稽核未使用可逆加密來儲存密碼的 Windows 電腦 2.0.0
驗證與授權 IA-5 (1) 密碼式驗證 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
驗證與授權 IA-5 (1) 密碼式驗證 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
風險評估 RA-5 弱點監視和掃描 虛擬機器上應啟用弱點評估解決方案 3.0.0
風險評估 RA-5 弱點監視和掃描 機器上的 SQL Server 應已解決發現的弱點 1.0.0
風險評估 RA-5 弱點監視和掃描 應補救容器安全性設定中的弱點 3.0.0
風險評估 RA-5 弱點監視和掃描 您應在機器上修復安全性組態的弱點 3.0.0
風險評估 RA-5 弱點監視和掃描 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
系統與通訊保護 SC-3 安全性功能隔離 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
系統與通訊保護 SC-3 安全性功能隔離 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
系統與通訊保護 SC-3 安全性功能隔離 應在您的機器上啟用 Windows Defender 惡意探索防護 2.0.0
系統與通訊保護 SC-5 阻斷服務保護 應停用虛擬機器上的 IP 轉送 3.0.0
系統與通訊保護 SC-7 界限保護 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
系統與通訊保護 SC-7 界限保護 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
系統與通訊保護 SC-7 界限保護 磁碟存取資源應使用私人連結 1.0.0
系統與通訊保護 SC-7 界限保護 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
系統與通訊保護 SC-7 界限保護 應停用虛擬機器上的 IP 轉送 3.0.0
系統與通訊保護 SC-7 界限保護 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
系統與通訊保護 SC-7 界限保護 應關閉虛擬機器上的管理連接埠 3.0.0
系統與通訊保護 SC-7 界限保護 應使用網路安全性群組保護非網際網路對應的虛擬機器 3.0.0
系統與通訊保護 SC-7 (3) 存取點 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
系統與通訊保護 SC-7 (3) 存取點 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
系統與通訊保護 SC-7 (3) 存取點 磁碟存取資源應使用私人連結 1.0.0
系統與通訊保護 SC-7 (3) 存取點 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
系統與通訊保護 SC-7 (3) 存取點 應停用虛擬機器上的 IP 轉送 3.0.0
系統與通訊保護 SC-7 (3) 存取點 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
系統與通訊保護 SC-7 (3) 存取點 應關閉虛擬機器上的管理連接埠 3.0.0
系統與通訊保護 SC-7 (3) 存取點 應使用網路安全性群組保護非網際網路對應的虛擬機器 3.0.0
系統與通訊保護 SC-8 傳輸機密性和完整性 Windows 網頁伺服器應設定為使用安全通訊協定 4.0.0
系統與通訊保護 SC-8 (1) 密碼編譯保護 Windows 網頁伺服器應設定為使用安全通訊協定 4.0.0
系統與通訊保護 SC-12 密碼編譯金鑰的建立和管理 受控磁碟應同時使用平台管理的金鑰和客戶自控金鑰進行雙重加密 1.0.0
系統與通訊保護 SC-12 密碼編譯金鑰的建立和管理 OS 和資料磁碟應使用客戶自控金鑰進行加密 3.0.0
系統與通訊保護 SC-28 待用資訊的保護 虛擬機器和虛擬機器擴展集應啟用主機上的加密 1.0.0
系統與通訊保護 SC-28 待用資訊的保護 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
系統與通訊保護 SC-28 (1) 密碼編譯保護 虛擬機器和虛擬機器擴展集應啟用主機上的加密 1.0.0
系統與通訊保護 SC-28 (1) 密碼編譯保護 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
系統和資訊完整性 SI-2 瑕疵補救 虛擬機器上應啟用弱點評估解決方案 3.0.0
系統和資訊完整性 SI-2 瑕疵補救 應在虛擬機器擴展集上安裝系統更新 3.0.0
系統和資訊完整性 SI-2 瑕疵補救 您應在機器上安裝系統更新 4.0.0
系統和資訊完整性 SI-2 瑕疵補救 您應在機器上修復安全性組態的弱點 3.0.0
系統和資訊完整性 SI-2 瑕疵補救 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
系統和資訊完整性 SI-3 惡意程式碼防護 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
系統和資訊完整性 SI-3 惡意程式碼防護 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
系統和資訊完整性 SI-3 惡意程式碼防護 應在您的機器上啟用 Windows Defender 惡意探索防護 2.0.0
系統和資訊完整性 SI-4 系統監視 [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
系統和資訊完整性 SI-4 系統監視 [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
系統和資訊完整性 SI-4 系統監視 應在您的電腦上安裝來賓設定延伸模組 1.0.2
系統和資訊完整性 SI-4 系統監視 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
系統和資訊完整性 SI-4 系統監視 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
系統和資訊完整性 SI-4 系統監視 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 1.0.1
系統和資訊完整性 SI-16 記憶體保護 應在您的機器上啟用 Windows Defender 惡意探索防護 2.0.0

NZ ISM Restricted v3.5

若要檢閱所有 Azure 服務可用的 Azure 原則內建項目如何對應到此合規性標準,請參閱 Azure 原則法規合規性 - NZ ISM Restricted v3.5。 如需此合規性標準的詳細資訊,請參閱 NZ ISM Restricted v3.5

網域 控制識別碼 控制標題 原則
(Azure 入口網站)
原則版本
(GitHub)
存取控制和密碼 NZISM 安全性基準 AC-13 16.5.10 驗證 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 3.0.0
存取控制和密碼 NZISM 安全性基準 AC-18 16.6.9 要記錄的事件 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
存取控制和密碼 NZISM 安全性基準 AC-18 16.6.9 要記錄的事件 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
存取控制和密碼 NZISM 安全性基準 AC-18 16.6.9 要記錄的事件 應啟用虛擬機器擴展集中的資源記錄 2.1.0
密碼編譯 NZISM 安全性基準 CR-10 17.5.7 驗證機制 對 Linux 電腦進行驗證需要 SSH 金鑰 3.0.0
密碼編譯 NZISM 安全性基準 CR-15 17.9.25 KMP 的內容 應停用虛擬機器上的 IP 轉送 3.0.0
密碼編譯 NZISM 安全性基準 CR-3 17.1.53 降低儲存體及實體傳輸需求 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
密碼編譯 NZISM 安全性基準 CR-8 17.4.16 使用 TLS Windows 網頁伺服器應設定為使用安全通訊協定 4.0.0
閘道安全性 NZISM 安全性基準 GS-2 19.1.11 使用閘道 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
閘道安全性 NZISM 安全性基準 GS-2 19.1.11 使用閘道 應使用網路安全性群組保護非網際網路對應的虛擬機器 3.0.0
閘道安全性 NZISM 安全性基準 GS-3 19.1.12 閘道設定 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
閘道安全性 NZISM 安全性基準 GS-5 19.1.23 閘道測試 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
資訊安全性監視 NZISM 安全性基準 ISM-3 6.2.5 執行弱點評估 虛擬機器上應啟用弱點評估解決方案 3.0.0
資訊安全性監視 NZISM 安全性基準 ISM-4 6.2.6 解決弱點 機器上的 SQL Server 應已解決發現的弱點 1.0.0
資訊安全性監視 NZISM 安全性基準 ISM-4 6.2.6 解決弱點 應補救容器安全性設定中的弱點 3.0.0
資訊安全性監視 NZISM 安全性基準 ISM-4 6.2.6 解決弱點 您應在機器上修復安全性組態的弱點 3.0.0
資訊安全性監視 NZISM 安全性基準 ISM-4 6.2.6 解決弱點 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
資訊安全性監視 NZISM 安全性基準 ISM-7 6.4.5 可用性需求 稽核未設定災害復原的虛擬機器 1.0.0
產品安全性 NZISM 安全性基準 PRS-5 12.4.4 修補產品中的弱點 應在虛擬機器擴展集上安裝系統更新 3.0.0
產品安全性 NZISM 安全性基準 PRS-5 12.4.4 修補產品中的弱點 您應在機器上安裝系統更新 4.0.0
軟體安全性 NZISM 安全性基準 SS-2 14.1.8 正在開發強化的 SOE 應關閉虛擬機器上的管理連接埠 3.0.0
軟體安全性 NZISM 安全性基準 SS-3 14.1.9 維護已強化的 SOE 應解決您機器上端點保護健康情況的問題 1.0.0
軟體安全性 NZISM 安全性基準 SS-3 14.1.9 維護已強化的 SOE 您的機器上應安裝端點保護 1.0.0
軟體安全性 NZISM 安全性基準 SS-3 14.1.9 維護已強化的 SOE 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
軟體安全性 NZISM 安全性基準 SS-3 14.1.9 維護已強化的 SOE 應在您的電腦上安裝來賓設定延伸模組 1.0.2
軟體安全性 NZISM 安全性基準 SS-3 14.1.9 維護已強化的 SOE 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
軟體安全性 NZISM 安全性基準 SS-3 14.1.9 維護已強化的 SOE 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
軟體安全性 NZISM 安全性基準 SS-3 14.1.9 維護已強化的 SOE 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 1.0.1
軟體安全性 NZISM 安全性基準 SS-3 14.1.9 維護已強化的 SOE 應在您的機器上啟用 Windows Defender 惡意探索防護 2.0.0
軟體安全性 NZISM 安全性基準 SS-5 14.2.4 應用程式允許清單 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
軟體安全性 NZISM 安全性基準 SS-5 14.2.4 應用程式允許清單 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0

PCI DSS 3.2.1

若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 PCI DSS 3.2.1。 如需此合規性標準的詳細資訊,請參閱 PCI DSS 3.2.1

網域 控制識別碼 控制標題 原則
(Azure 入口網站)
原則版本
(GitHub)
需求 1 PCI DSS v3.2.1 1.3.2 PCI DSS 需求 1.3.2 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
需求 1 PCI DSS v3.2.1 1.3.4 PCI DSS 需求 1.3.4 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
需求 1 PCI DSS v3.2.1 1.3.4 PCI DSS 需求 1.3.4 虛擬機器應遷移到新的 Azure Resource Manager 資源 1.0.0
需求 10 PCI DSS v3.2.1 10.5.4 PCI DSS 需求 10.5.4 虛擬機器應遷移到新的 Azure Resource Manager 資源 1.0.0
需求 11 PCI DSS v3.2.1 11.2.1 PCI DSS 需求 11.2.1 虛擬機器上應啟用弱點評估解決方案 3.0.0
需求 11 PCI DSS v3.2.1 11.2.1 PCI DSS 需求 11.2.1 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
需求 11 PCI DSS v3.2.1 11.2.1 PCI DSS 需求 11.2.1 您應在機器上安裝系統更新 4.0.0
需求 11 PCI DSS v3.2.1 11.2.1 PCI DSS 需求 11.2.1 您應在機器上修復安全性組態的弱點 3.0.0
需求 3 PCI DSS v3.2.1 3.4 PCI DSS 需求 3.4 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
需求 4 PCI DSS v3.2.1 4.1 PCI DSS 需求 4.1 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
需求 5 PCI DSS v3.2.1 5.1 PCI DSS 需求 5.1 虛擬機器上應啟用弱點評估解決方案 3.0.0
需求 5 PCI DSS v3.2.1 5.1 PCI DSS 需求 5.1 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
需求 5 PCI DSS v3.2.1 5.1 PCI DSS 需求 5.1 您應在機器上安裝系統更新 4.0.0
需求 5 PCI DSS v3.2.1 5.1 PCI DSS 需求 5.1 您應在機器上修復安全性組態的弱點 3.0.0
需求 6 PCI DSS v3.2.1 6.2 PCI DSS 需求 6.2 虛擬機器上應啟用弱點評估解決方案 3.0.0
需求 6 PCI DSS v3.2.1 6.2 PCI DSS 需求 6.2 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
需求 6 PCI DSS v3.2.1 6.2 PCI DSS 需求 6.2 您應在機器上安裝系統更新 4.0.0
需求 6 PCI DSS v3.2.1 6.2 PCI DSS 需求 6.2 您應在機器上修復安全性組態的弱點 3.0.0
需求 6 PCI DSS v3.2.1 6.5.3 PCI DSS 需求 6.5.3 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
需求 6 PCI DSS v3.2.1 6.6 PCI DSS 需求 6.6 虛擬機器上應啟用弱點評估解決方案 3.0.0
需求 6 PCI DSS v3.2.1 6.6 PCI DSS 需求 6.6 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
需求 6 PCI DSS v3.2.1 6.6 PCI DSS 需求 6.6 您應在機器上安裝系統更新 4.0.0
需求 6 PCI DSS v3.2.1 6.6 PCI DSS 需求 6.6 您應在機器上修復安全性組態的弱點 3.0.0
需求 8 PCI DSS v3.2.1 8.2.3 PCI DSS 需求 8.2.3 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
需求 8 PCI DSS v3.2.1 8.2.3 PCI DSS 需求 8.2.3 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
需求 8 PCI DSS v3.2.1 8.2.3 PCI DSS 需求 8.2.3 稽核允許重複使用前 24 個舊密碼的 Windows 電腦 2.0.0
需求 8 PCI DSS v3.2.1 8.2.3 PCI DSS 需求 8.2.3 稽核密碼最長有效期非 70 天的 Windows 電腦 2.0.0
需求 8 PCI DSS v3.2.1 8.2.3 PCI DSS 需求 8.2.3 稽核未將密碼最短長度限制為 14 個字元的 Windows 電腦 2.0.0
需求 8 PCI DSS v3.2.1 8.2.3 PCI DSS 需求 8.2.3 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
需求 8 PCI DSS v3.2.1 8.2.5 PCI DSS 需求 8.2.5 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
需求 8 PCI DSS v3.2.1 8.2.5 PCI DSS 需求 8.2.5 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
需求 8 PCI DSS v3.2.1 8.2.5 PCI DSS 需求 8.2.5 稽核允許重複使用前 24 個舊密碼的 Windows 電腦 2.0.0
需求 8 PCI DSS v3.2.1 8.2.5 PCI DSS 需求 8.2.5 稽核密碼最長有效期非 70 天的 Windows 電腦 2.0.0
需求 8 PCI DSS v3.2.1 8.2.5 PCI DSS 需求 8.2.5 稽核未將密碼最短長度限制為 14 個字元的 Windows 電腦 2.0.0
需求 8 PCI DSS v3.2.1 8.2.5 PCI DSS 需求 8.2.5 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0

印度儲備銀行 - 適用於 NBFC 的 IT 架構

若要檢閱適用於所有 Azure 服務的可用 Azure 原則如何對應到此合規性標準,請參閱「Azure 原則法規合規性」- 印度儲備銀行 - 適用於 NBFC 的 IT Framework。 如需此合規性標準的詳細資訊,請參閱印度儲備銀行 - 適用於 NBFC 的 IT 架構

網域 控制識別碼 控制標題 原則
(Azure 入口網站)
原則版本
(GitHub)
IT 治理 RBI IT Framework 1 IT 治理-1 虛擬機器上應啟用弱點評估解決方案 3.0.0
IT 治理 RBI IT Framework 1 IT 治理-1 機器上的 SQL Server 應已解決發現的弱點 1.0.0
IT 治理 RBI IT Framework 1 IT 治理-1 應在虛擬機器擴展集上安裝系統更新 3.0.0
IT 治理 RBI IT Framework 1 IT 治理-1 您應在機器上安裝系統更新 4.0.0
IT 治理 RBI IT Framework 1 IT 治理-1 應補救容器安全性設定中的弱點 3.0.0
IT 治理 RBI IT Framework 1 IT 治理-1 您應在機器上修復安全性組態的弱點 3.0.0
IT 治理 RBI IT Framework 1 IT 治理-1 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
IT 治理 RBI IT Framework 1.1 IT 治理-1.1 應停用虛擬機器上的 IP 轉送 3.0.0
IT 治理 RBI IT Framework 1.1 IT 治理-1.1 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
IT 治理 RBI IT Framework 1.1 IT 治理-1.1 應關閉虛擬機器上的管理連接埠 3.0.0
IT 原則 RBI IT Framework 2 IT 原則-2 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
IT 原則 RBI IT Framework 2 IT 原則-2 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
資訊和網路安全性 RBI IT Framework 3.1.b 功能隔離-3.1 [預覽]:應在受支援的 Windows 虛擬機器上啟用安全開機 3.0.0-preview
資訊和網路安全性 RBI IT Framework 3.1.b 功能隔離-3.1 [預覽]:應在受支援的虛擬機器上啟用 vTPM 2.0.0-preview
資訊和網路安全性 RBI IT Framework 3.1.b 功能隔離-3.1 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 1.0.1
資訊和網路安全性 RBI IT Framework 3.1.c 角色型存取控制-3.1 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
資訊和網路安全性 RBI IT Framework 3.1.g 線索-3.1 [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 2.0.1-preview
資訊和網路安全性 RBI IT Framework 3.1.g 線索-3.1 [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
資訊和網路安全性 RBI IT Framework 3.1.g 線索-3.1 [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
資訊和網路安全性 RBI IT Framework 3.1.g 線索-3.1 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
資訊和網路安全性 RBI IT Framework 3.1.g 線索-3.1 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
資訊和網路安全性 RBI IT Framework 3.1.g 線索-3.1 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 2.0.1
資訊和網路安全性 RBI IT Framework 3.1.g 線索-3.1 Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 1.0.1
資訊和網路安全性 RBI IT Framework 3.1.g 線索-3.1 虛擬機器應已安裝 Log Analytics 延伸模組 1.0.1
資訊和網路安全性 RBI IT Framework 3.1.h 公開金鑰基礎結構 (PKI)-3.1 受控磁碟應針對客戶自控金鑰加密使用一組特定的磁碟加密集 2.0.0
資訊和網路安全性 RBI IT Framework 3.1.h 公開金鑰基礎結構 (PKI)-3.1 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
資訊和網路安全性 RBI IT Framework 3.3 弱點管理-3.3 虛擬機器上應啟用弱點評估解決方案 3.0.0
資訊和網路安全性 RBI IT Framework 3.3 弱點管理-3.3 機器上的 SQL Server 應已解決發現的弱點 1.0.0
資訊和網路安全性 RBI IT Framework 3.3 弱點管理-3.3 應在虛擬機器擴展集上安裝系統更新 3.0.0
資訊和網路安全性 RBI IT Framework 3.3 弱點管理-3.3 您應在機器上安裝系統更新 4.0.0
資訊和網路安全性 RBI IT Framework 3.3 弱點管理-3.3 應補救容器安全性設定中的弱點 3.0.0
資訊和網路安全性 RBI IT Framework 3.3 弱點管理-3.3 您應在機器上修復安全性組態的弱點 3.0.0
資訊和網路安全性 RBI IT Framework 3.3 弱點管理-3.3 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
IT 維運 RBI IT Framework 4.2 IT 作業-4.2 [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 1.0.2-preview
IT 維運 RBI IT Framework 4.4.a IT 作業-4.4 虛擬機器上應啟用弱點評估解決方案 3.0.0
IT 維運 RBI IT Framework 4.4.b 高層管理的 MIS-4.4 虛擬機器上應啟用弱點評估解決方案 3.0.0
IS 稽核 RBI IT Framework 5 資訊系統稽核的原則 (IS 稽核)-5 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
IS 稽核 RBI IT Framework 5 資訊系統稽核的原則 (IS 稽核)-5 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
IS 稽核 RBI IT Framework 5 資訊系統稽核的原則 (IS 稽核)-5 應停用虛擬機器上的 IP 轉送 3.0.0
IS 稽核 RBI IT Framework 5 資訊系統稽核的原則 (IS 稽核)-5 應使用網路安全性群組保護非網際網路對應的虛擬機器 3.0.0
IS 稽核 RBI IT Framework 5.2 涵蓋範圍-5.2 應該為虛擬機器啟用 Azure 備份 3.0.0
商務持續性規劃 RBI IT Framework 6 商務持續性規劃 (BCP) 和災害復原-6 稽核未設定災害復原的虛擬機器 1.0.0
商務持續性規劃 RBI IT Framework 6 商務持續性規劃 (BCP) 和災害復原-6 應該為虛擬機器啟用 Azure 備份 3.0.0
商務持續性規劃 RBI IT Framework 6.2 復原策略/應變計劃-6.2 稽核未設定災害復原的虛擬機器 1.0.0
商務持續性規劃 RBI IT Framework 6.2 復原策略/應變計劃-6.2 應該為虛擬機器啟用 Azure 備份 3.0.0
商務持續性規劃 RBI IT Framework 6.3 復原策略/應變計劃-6.3 應該為虛擬機器啟用 Azure 備份 3.0.0
商務持續性規劃 RBI IT Framework 6.4 復原策略/應變計劃-6.4 稽核未設定災害復原的虛擬機器 1.0.0

RMIT 馬來西亞

若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - RMIT 馬來西亞。 如需此合規性標準的詳細資訊,請參閱 RMIT 馬來西亞

網域 控制識別碼 控制標題 原則
(Azure 入口網站)
原則版本
(GitHub)
資料中心作業 RMiT 10.27 資料中心作業 - 10.27 部署 - 設定要在 Windows 虛擬機器擴展集上啟用的 Log Analytics 延伸模組 3.0.1
資料中心作業 RMiT 10.27 資料中心作業 - 10.27 虛擬機器應遷移到新的 Azure Resource Manager 資源 1.0.0
資料中心作業 RMiT 10.30 資料中心作業 - 10.30 應該為虛擬機器啟用 Azure 備份 3.0.0
網路復原能力 RMiT 10.33 網路復原能力 - 10.33 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
網路復原能力 RMiT 10.33 網路復原能力 - 10.33 設定受控磁碟以停用公用網路存取 2.0.0
網路復原能力 RMiT 10.33 網路復原能力 - 10.33 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
網路復原能力 RMiT 10.33 網路復原能力 - 10.33 應停用虛擬機器上的 IP 轉送 3.0.0
網路復原能力 RMiT 10.33 網路復原能力 - 10.33 受控磁碟應停用公用網路存取 2.0.0
網路復原能力 RMiT 10.33 網路復原能力 - 10.33 應使用網路安全性群組保護非網際網路對應的虛擬機器 3.0.0
網路復原能力 RMiT 10.33 網路復原能力 - 10.33 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
網路復原能力 RMiT 10.35 網路復原能力 - 10.35 部署 - 設定要在 Windows 虛擬機器擴展集上啟用的 Log Analytics 延伸模組 3.0.1
雲端服務 RMiT 10.49 雲端服務 - 10.49 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
雲端服務 RMiT 10.49 雲端服務 - 10.49 應關閉虛擬機器上的管理連接埠 3.0.0
雲端服務 RMiT 10.51 雲端服務 - 10.51 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
雲端服務 RMiT 10.51 雲端服務 - 10.51 稽核未設定災害復原的虛擬機器 1.0.0
雲端服務 RMiT 10.53 雲端服務 - 10.53 受控磁碟應針對客戶自控金鑰加密使用一組特定的磁碟加密集 2.0.0
雲端服務 RMiT 10.53 雲端服務 - 10.53 OS 和資料磁碟應使用客戶自控金鑰進行加密 3.0.0
存取控制 RMiT 10.54 存取控制 - 10.54 應在您的電腦上安裝來賓設定延伸模組 1.0.2
存取控制 RMiT 10.54 存取控制 - 10.54 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
存取控制 RMiT 10.54 存取控制 - 10.54 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 1.0.1
存取控制 RMiT 10.61 存取控制 - 10.61 應在您的電腦上安裝來賓設定延伸模組 1.0.2
存取控制 RMiT 10.61 存取控制 - 10.61 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
存取控制 RMiT 10.61 存取控制 - 10.61 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 1.0.1
修補程式和生命週期結束系統管理 RMiT 10.63 修補程式和生命週期結束系統管理 - 10.63 Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 1.0.0
修補程式和生命週期結束系統管理 RMiT 10.63 修補程式和生命週期結束系統管理 - 10.63 應在虛擬機器擴展集上安裝系統更新 3.0.0
修補程式和生命週期結束系統管理 RMiT 10.65 修補程式和生命週期結束系統管理 - 10.65 您應在機器上安裝系統更新 4.0.0
修補程式和生命週期結束系統管理 RMiT 10.65 修補程式和生命週期結束系統管理 - 10.65 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
數位服務的安全性 RMiT 10.66 數位服務的安全性 - 10.66 部署 - 設定要在 Windows 虛擬機器上啟用的 Log Analytics 延伸模組 3.0.1
數位服務的安全性 RMiT 10.66 數位服務的安全性 - 10.66 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 2.0.1
數位服務的安全性 RMiT 10.66 數位服務的安全性 - 10.66 Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 1.0.1
數位服務的安全性 RMiT 10.66 數位服務的安全性 - 10.66 虛擬機器應已安裝 Log Analytics 延伸模組 1.0.1
資料外洩防護 (DLP) RMiT 11.15 資料外洩防護 (DLP) - 11.15 設定受控磁碟以停用公用網路存取 2.0.0
資料外洩防護 (DLP) RMiT 11.15 資料外洩防護 (DLP) - 11.15 受控磁碟應停用公用網路存取 2.0.0
資料外洩防護 (DLP) RMiT 11.15 資料外洩防護 (DLP) - 11.15 受控磁碟應針對客戶自控金鑰加密使用一組特定的磁碟加密集 2.0.0
安全性作業中心 (SOC) RMiT 11.17 安全性作業中心 (SOC) - 11.17 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
安全性作業中心 (SOC) RMiT 11.17 安全性作業中心 (SOC) - 11.17 必須更新自適性應用程式控制原則中的允許清單規則 3.0.0
安全性作業中心 (SOC) RMiT 11.17 安全性作業中心 (SOC) - 11.17 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
安全性作業中心 (SOC) RMiT 11.17 安全性作業中心 (SOC) - 11.17 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
安全性作業中心 (SOC) RMiT 11.18 安全性作業中心 (SOC) - 11.18 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
安全性作業中心 (SOC) RMiT 11.18 安全性作業中心 (SOC) - 11.18 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
安全性作業中心 (SOC) RMiT 11.18 安全性作業中心 (SOC) - 11.18 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
安全性作業中心 (SOC) RMiT 11.18 安全性作業中心 (SOC) - 11.18 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
安全性作業中心 (SOC) RMiT 11.18 安全性作業中心 (SOC) - 11.18 應啟用虛擬機器擴展集中的資源記錄 2.1.0
安全性作業中心 (SOC) RMiT 11.18 安全性作業中心 (SOC) - 11.18 應啟用虛擬機器擴展集中的資源記錄 2.1.0
網路風險管理 RMiT 11.2 網路風險管理 - 11.2 虛擬機器和虛擬機器擴展集應啟用主機上的加密 1.0.0
網路風險管理 RMiT 11.2 網路風險管理 - 11.2 虛擬機器和虛擬機器擴展集應啟用主機上的加密 1.0.0
安全性作業中心 (SOC) RMiT 11.20 安全性作業中心 (SOC) - 11.20 虛擬機器和虛擬機器擴展集應啟用主機上的加密 1.0.0
安全性作業中心 (SOC) RMiT 11.20 安全性作業中心 (SOC) - 11.20 虛擬機器和虛擬機器擴展集應啟用主機上的加密 1.0.0
網路風險管理 RMiT 11.4 網路風險管理 - 11.4 將沒有指定標籤之虛擬機器上的備份,設定為相同位置中的現有復原服務保存庫 9.0.0
網路風險管理 RMiT 11.4 網路風險管理 - 11.4 將沒有指定標籤之虛擬機器上的備份,設定為相同位置中的現有復原服務保存庫 9.0.0
網路風險管理 RMiT 11.4 網路風險管理 - 11.4 僅應安裝已核准的 VM 擴充功能 1.0.0
網路風險管理 RMiT 11.4 網路風險管理 - 11.4 僅應安裝已核准的 VM 擴充功能 1.0.0
網路安全性作業 RMiT 11.8 網路安全性作業 - 11.8 虛擬機器上應啟用弱點評估解決方案 3.0.0
網路安全性控制措施 RMiT 附錄 5.2 網路安全性控制措施 - 附錄 5.2 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
網路安全性控制措施 RMiT 附錄 5.2 網路安全性控制措施 - 附錄 5.2 您應在機器上修復安全性組態的弱點 3.0.0
網路安全性控制措施 RMiT 附錄 5.7 網路安全性控制措施 - 附錄 5.7 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
網路安全性控制措施 RMiT 附錄 5.7 網路安全性控制措施 - 附錄 5.7 應使用網路安全性群組保護網際網路對應的虛擬機器 3.0.0
網路安全性控制措施 RMiT 附錄 5.7 網路安全性控制措施 - 附錄 5.7 應停用虛擬機器上的 IP 轉送 3.0.0
網路安全性控制措施 RMiT 附錄 5.7 網路安全性控制措施 - 附錄 5.7 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
網路安全性控制措施 RMiT 附錄 5.7 網路安全性控制措施 - 附錄 5.7 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 1.0.0
網路安全性控制措施 RMiT 附錄 5.7 網路安全性控制措施 - 附錄 5.7 Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上 1.1.0
網路安全性控制措施 RMiT 附錄 5.7 網路安全性控制措施 - 附錄 5.7 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
網路安全性控制措施 RMiT 附錄 5.7 網路安全性控制措施 - 附錄 5.7 應使用網路安全性群組保護非網際網路對應的虛擬機器 3.0.0
網路安全性控制措施 RMiT 附錄 5.7 網路安全性控制措施 - 附錄 5.7 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
網路安全性控制措施 RMiT 附錄 5.7 網路安全性控制措施 - 附錄 5.7 應補救容器安全性設定中的弱點 3.0.0

UK OFFICIAL 與 UK NHS

若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - 英國官方和英國 NHS。 如需此合規性標準的詳細資訊,請參閱英國官方

網域 控制識別碼 控制標題 原則
(Azure 入口網站)
原則版本
(GitHub)
傳輸中的資料保護 1 傳輸中的資料保護 Windows 網頁伺服器應設定為使用安全通訊協定 4.0.0
身分識別和驗證 10 身分識別和驗證 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 4.0.0
身分識別和驗證 10 身分識別和驗證 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 4.0.0
身分識別和驗證 10 身分識別和驗證 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 3.0.0
身分識別和驗證 10 身分識別和驗證 稽核密碼檔權限未設為 0644 的 Linux 電腦 3.0.0
身分識別和驗證 10 身分識別和驗證 稽核有不需要密碼之帳戶的 Linux 電腦 3.0.0
身分識別和驗證 10 身分識別和驗證 稽核不是使用受控磁碟的 VM 1.0.0
身分識別和驗證 10 身分識別和驗證 稽核允許重複使用前 24 個舊密碼的 Windows 電腦 2.0.0
身分識別和驗證 10 身分識別和驗證 稽核密碼最長有效期非 70 天的 Windows 電腦 2.0.0
身分識別和驗證 10 身分識別和驗證 稽核密碼最短有效期非 1 天的 Windows 電腦 2.0.0
身分識別和驗證 10 身分識別和驗證 稽核未啟用密碼複雜度設定的 Windows 電腦 2.0.0
身分識別和驗證 10 身分識別和驗證 稽核未將密碼最短長度限制為 14 個字元的 Windows 電腦 2.0.0
身分識別和驗證 10 身分識別和驗證 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 3.0.0
身分識別和驗證 10 身分識別和驗證 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 1.2.0
身分識別和驗證 10 身分識別和驗證 虛擬機器應遷移到新的 Azure Resource Manager 資源 1.0.0
外部介面保護 11 外部介面保護 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
外部介面保護 11 外部介面保護 應在網際網路對應的虛擬機器上套用自適性網路強化建議 3.0.0
外部介面保護 11 外部介面保護 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 3.0.0
外部介面保護 11 外部介面保護 應在虛擬機器擴展集上安裝端點保護解決方案 3.0.0
外部介面保護 11 外部介面保護 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 3.0.0
資產保護和復原 2.3 待用資料保護 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 2.0.3
作業安全性 5.2 弱點管理 虛擬機器上應啟用弱點評估解決方案 3.0.0
作業安全性 5.2 弱點管理 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection 3.0.0
作業安全性 5.2 弱點管理 應在虛擬機器擴展集上安裝系統更新 3.0.0
作業安全性 5.2 弱點管理 您應在機器上安裝系統更新 4.0.0
作業安全性 5.2 弱點管理 您應在機器上修復安全性組態的弱點 3.0.0
作業安全性 5.2 弱點管理 應修復虛擬機器擴展集上安全性組態的弱點 3.0.0
作業安全性 5.3 防護監視 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 3.0.0
作業安全性 5.3 防護監視 稽核未設定災害復原的虛擬機器 1.0.0

後續步驟