Integrierte Azure Policy-Richtliniendefinitionen

Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen.

Die Namen der einzelnen Integrationen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Quelle, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen Die Integrationen sind basierend auf der Eigenschaft category in den Metadaten gruppiert. Verwenden Sie das Menü auf der rechten Seite, um zu einer bestimmten Kategorie zu wechseln. Verwenden Sie andernfalls STRG-F, um die Suchfunktion des Browsers zu nutzen.

API for FHIR

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure API for FHIR muss einen kundenseitig verwalteten Schlüssel zum Verschlüsseln ruhender Daten verwenden Verwenden Sie einen kundenseitig verwalteten Schlüssel, um die Verschlüsselung der in Azure API for FHIR gespeicherten ruhenden Daten zu steuern, wenn dies gesetzlich vorgeschrieben ist oder als Konformitätsanforderung gilt. Kundenseitig verwaltete Schlüssel bieten außerdem eine doppelte Verschlüsselung, indem eine zweite Verschlüsselungsebene zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln hinzugefügt wird. Überprüfung, deaktiviert 1.0.1
Azure API for FHIR sollte einen privaten Link verwenden Azure API for FHIR sollte über mindestens eine genehmigte private Endpunktverbindung verfügen. Clients in einem virtuellen Netzwerk können über Private Link-Instanzen sicher auf Ressourcen mit Verbindungen mit privaten Endpunkten zugreifen. Weitere Informationen finden Sie unter https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
Zugriff auf API for FHIR über CORS nicht allen Domänen gestatten CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre API for FHIR-Instanz erteilen. Entfernen Sie zum Schützen Ihrer API for FHIR-Instanz den Zugriff für alle Domänen, und definieren Sie explizit die Domänen, für die die Verbindungsherstellung zulässig ist. Überprüfung, deaktiviert 1.0.0

API Management

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
API Management-Dienst muss eine SKU mit Unterstützung virtueller Netzwerke verwenden Für unterstützte API Management-SKUs führt die Dienstbereitstellung in einem virtuellen Netzwerk dazu, dass erweiterte Netzwerk- und Sicherheitsfeatures für API Management freigeschaltet werden, durch die Sie mehr Kontrolle über Ihre Netzwerksicherheitskonfiguration erhalten. Weitere Informationen finden Sie unter https://aka.ms/apimvnet. Audit, Deny, Disabled 1.0.0
API Management-Dienste müssen ein virtuelles Netzwerk verwenden Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. Audit, Disabled 1.0.1

App Configuration

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
App Configuration muss den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. Audit, Deny, Disabled 1.0.0
App Configuration sollte einen kundenseitig verwalteten Schlüssel verwenden. Kundenseitig verwaltete Schlüssel bieten einen verbesserten Datenschutz, da Sie so Ihre Verschlüsselungsschlüssel verwalten können. Dies ist häufig zur Einhaltung von Compliancevorgaben erforderlich. Audit, Deny, Disabled 1.1.0
App Configuration muss eine SKU mit Unterstützung von Private Link verwenden Bei Verwendung einer unterstützten SKU können Sie mit Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. Audit, Deny, Disabled 1.0.0
App Configuration sollte Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Für App Configuration muss der Zugriff über öffentliche Netzwerke deaktiviert sein Deaktivieren Sie den Zugriff über öffentliche Netzwerke für die App Configuration-Instanz, sodass sie nicht über das öffentliche Internet zugänglich ist. Diese Konfiguration trägt zum Schutz vor Risiken aufgrund von Datenlecks bei. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. Modify, Disabled 1.0.0
Private DNS-Zonen für mit App Configuration verbundene private Endpunkte konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um App Configuration-Instanzen aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. DeployIfNotExists, Disabled 1.0.0
Private Endpunkte für App Configuration konfigurieren Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Durch das Zuordnen von privaten Endpunkten zu Ihren App Configuration-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. DeployIfNotExists, Disabled 1.0.0

App-Plattform

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau:] Azure Spring Cloud-Instanzen überwachen, bei denen die verteilte Ablaufverfolgung nicht aktiviert ist Die Tools für die verteilte Ablaufverfolgung in Azure Spring Cloud ermöglichen das Debuggen und Überwachen der komplexen Verbindungen zwischen Microservices in einer Anwendung. Die Tools für die verteilte Ablaufverfolgung sollten aktiviert und in einem fehlerfreien Zustand sein. Audit, Disabled 1.0.0-preview
Azure Spring Cloud muss Netzwerkinjektion verwenden Azure Spring Cloud-Instanzen sollten die VNET-Injektion für folgende Zwecke verwenden: 1. Azure Spring Cloud vom Internet isolieren. 2. Die Interaktion von Azure Spring Cloud mit Systemen in lokalen Rechenzentren oder im Azure-Dienst in anderen VNETs ermöglichen. 3. Kunden die Steuerung der eingehenden und ausgehenden Netzwerkkommunikation für Azure Spring Cloud erlauben Audit, Disabled, Deny 1.0.0

App Service

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Auf API-Apps sollte nur über HTTPS zugegriffen werden können Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled 1.0.0
API-Apps müssen eine Azure-Dateifreigabe für das zugehörige Inhaltsverzeichnis verwenden Das Inhaltsverzeichnis einer API-App sollte sich auf einer Azure-Dateifreigabe befinden. Die Speicherkontoinformationen für die Dateifreigabe müssen vor jeder Veröffentlichungsaktivität bereitgestellt werden. Weitere Informationen zur Verwendung von Azure Files für das Hosting von App Service-Inhalten finden Sie unter https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Disabled 1.0.0
App Service-Apps müssen ausgehenden Nicht-RFC 1918-Datenverkehr an Azure Virtual Network aktivieren Bei Verwendung der Azure Virtual Network-Integration (VNET) routet die App standardmäßig nur RFC 1918-Datenverkehr an das jeweilige virtuelle Netzwerk. Wenn Sie mithilfe der API „vnetRouteAllEnabled“ auf TRUE festlegen, wird der gesamte ausgehende Datenverkehr an Azure Virtual Network geroutet. Mithilfe dieser Einstellung können Features wie beispielsweise Netzwerksicherheitsgruppen und benutzerdefinierte Routen für den gesamten ausgehenden Datenverkehr von der App Service-App verwendet werden. AuditIfNotExists, Disabled 1.0.0
Die App Service-Umgebung muss TLS 1.0 und TLS 1.1 deaktivieren TLS 1.0 und TLS 1.1 sind veraltete Protokolle, die keine Unterstützung für moderne Kryptografiealgorithmen bieten. Die Deaktivierung von eingehendem TLS 1.0- und TLS 1.1-Datenverkehr trägt zum Schutz der Apps in einer App Service-Umgebung bei. Audit, Disabled 2.0.0
Die App Service-Umgebung muss die interne Verschlüsselung aktivieren Wenn Sie „InternalEncryption“ auf TRUE festlegen, werden die Auslagerungsdatei, die Workerdatenträger und der interne Netzwerkverkehr zwischen den Front-Ends und den Workern in einer App Service-Umgebung verschlüsselt. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Disabled 1.0.0
Die Authentifizierung sollte für Ihre API-App aktiviert werden Die Azure App Service-Authentifizierung ist ein Feature, mit dem Sie verhindern können, dass anonyme HTTP-Anforderungen die API-App erreichen, oder mit dem Sie Anforderungen mit Token vor dem Erreichen der API-App authentifizieren können. AuditIfNotExists, Disabled 1.0.0
Die Authentifizierung sollte für Ihre Funktions-App aktiviert werden Die Azure App Service-Authentifizierung ist ein Feature, mit dem Sie verhindern können, dass anonyme HTTP-Anforderungen die Funktions-App erreichen, oder mit dem Sie Anforderungen mit Token vor dem Erreichen der Funktions-App authentifizieren können. AuditIfNotExists, Disabled 1.0.0
Die Authentifizierung sollte in Ihrer Web-App aktiviert werden Die Azure App Service-Authentifizierung ist ein Feature, mit dem Sie verhindern können, dass anonyme HTTP-Anforderungen die Web-App erreichen, oder mit dem Sie Anforderungen mit Token vor dem Erreichen der Web-App authentifizieren können. AuditIfNotExists, Disabled 1.0.0
Nicht jeder Ressource den Zugriff auf Ihre API-APP über CORS gestatten CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre API-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer API-App. AuditIfNotExists, Disabled 1.0.0
CORS darf nicht jeder Ressource Zugriff auf Ihre Funktions-App erteilen CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. AuditIfNotExists, Disabled 1.0.0
Nicht jeder Ressource den Zugriff auf Ihre Webanwendungen über CORS gestatten CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Webanwendung erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Web-App. AuditIfNotExists, Disabled 1.0.0
In App Services müssen Diagnoseprotokolle aktiviert sein Hiermit wird die Aktivierung von Diagnoseprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 2.0.0
Sicherstellen, dass die API-App „Clientzertifikate (eingehende Clientzertifikate)“ auf „Ein“ festgelegt ist Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Audit, Disabled 1.0.0
Sicherstellen, dass die neueste HTTP-Version angegeben ist, wenn sie zum Ausführen der API-App verwendet wird Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt derzeit nur für Linux-Web-Apps. AuditIfNotExists, Disabled 2.0.0
Sicherstellen, dass die neueste HTTP-Version angegeben ist, wenn sie zum Ausführen der Funktions-App verwendet wird Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt derzeit nur für Linux-Web-Apps. AuditIfNotExists, Disabled 2.0.0
Sicherstellen, dass die neueste HTTP-Version angegeben ist, wenn sie zum Ausführen der Web-App verwendet wird Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt derzeit nur für Linux-Web-Apps. AuditIfNotExists, Disabled 2.0.0
Sicherstellen, dass die neueste Java-Version angegeben ist, wenn sie als Teil der API-App verwendet wird Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Python-Version für API-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt derzeit nur für Linux-Web-Apps. AuditIfNotExists, Disabled 2.0.0
Sicherstellen, dass die neueste Java-Version angegeben ist, wenn sie als Teil der Funktions-App verwendet wird Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Java-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt derzeit nur für Linux-Web-Apps. AuditIfNotExists, Disabled 2.0.0
Sicherstellen, dass die neueste Java-Version angegeben ist, wenn sie als Teil der Web-App verwendet wird Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Java-Version für Web-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt derzeit nur für Linux-Web-Apps. AuditIfNotExists, Disabled 2.0.0
Sicherstellen, dass die neueste PHP-Version angegeben ist, wenn sie als Teil der API-App verwendet wird Für die PHP-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle PHP-Version für API-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt derzeit nur für Linux-Web-Apps. AuditIfNotExists, Disabled 2.1.0
Sicherstellen, dass die neueste PHP-Version angegeben ist, wenn sie als Teil der Web-App verwendet wird Für die PHP-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle PHP-Version für Web-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt derzeit nur für Linux-Web-Apps. AuditIfNotExists, Disabled 2.1.0
Sicherstellen, dass die neueste Python-Version angegeben ist, wenn sie als Teil der API-App verwendet wird Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Python-Version für API-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt derzeit nur für Linux-Web-Apps. AuditIfNotExists, Disabled 3.0.0
Sicherstellen, dass die neueste Python-Version angegeben ist, wenn sie als Teil der Funktions-App verwendet wird Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Python-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt derzeit nur für Linux-Web-Apps. AuditIfNotExists, Disabled 3.0.0
Sicherstellen, dass die neueste Python-Version angegeben ist, wenn sie als Teil der Web-App verwendet wird Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Python-Version für Web-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt derzeit nur für Linux-Web-Apps. AuditIfNotExists, Disabled 3.0.0
Sicherstellen, dass für die Web-App „Clientzertifikate (eingehende Clientzertifikate)“ auf „Ein“ festgelegt ist Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Audit, Disabled 1.0.0
„Nur FTPS“ muss in API-App erforderlich sein FTPS-Erzwingung für erweiterte Sicherheit aktivieren AuditIfNotExists, Disabled 2.0.0
„Nur FTPS“ muss in Funktions-App erforderlich sein FTPS-Erzwingung für erweiterte Sicherheit aktivieren AuditIfNotExists, Disabled 2.0.0
FTPS muss in Web-App erforderlich sein FTPS-Erzwingung für erweiterte Sicherheit aktivieren AuditIfNotExists, Disabled 2.0.0
Zugriff auf Funktions-App nur über HTTPS gestatten Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled 1.0.0
Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein. Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit gültigen Zertifikaten können auf die App zugreifen. Audit, Disabled 1.0.1
Funktions-Apps müssen eine Azure-Dateifreigabe für das zugehörige Inhaltsverzeichnis verwenden Das Inhaltsverzeichnis einer Funktions-App sollte sich auf einer Azure-Dateifreigabe befinden. Die Speicherkontoinformationen für die Dateifreigabe müssen vor jeder Veröffentlichungsaktivität bereitgestellt werden. Weitere Informationen zur Verwendung von Azure Files für das Hosting von App Service-Inhalten finden Sie unter https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Disabled 1.0.0
API-App muss neueste TLS-Version verwenden Upgrade auf neueste TLS-Version durchführen AuditIfNotExists, Disabled 1.0.0
Funktions-App muss neueste TLS-Version verwenden Upgrade auf neueste TLS-Version durchführen AuditIfNotExists, Disabled 1.0.0
Web-App muss neueste TLS-Version verwenden Upgrade auf neueste TLS-Version durchführen AuditIfNotExists, Disabled 1.0.0
API-App muss verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 2.0.0
Funktions-App muss verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 2.0.0
Web-App muss verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 2.0.0
Remotedebuggen muss für API-Apps deaktiviert sein Für das Remotedebuggen müssen eingehende Ports für API-Apps geöffnet werden. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 1.0.0
Remotedebuggen muss für Funktions-Apps deaktiviert sein Für das Remotedebuggen müssen die eingehenden Ports für Funktions-Apps geöffnet sein. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 1.0.0
Remotedebuggen sollte für Webanwendungen deaktiviert werden Für das Remotedebuggen müssen eingehende Ports für eine Webanwendung geöffnet werden. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 1.0.0
In App Services müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 1.0.0
Zugriff auf Webanwendung nur über HTTPS gestatten Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled 1.0.0
Web-Apps müssen eine Azure-Dateifreigabe für das zugehörige Inhaltsverzeichnis verwenden Das Inhaltsverzeichnis einer Web-App sollte sich auf einer Azure-Dateifreigabe befinden. Die Speicherkontoinformationen für die Dateifreigabe müssen vor jeder Veröffentlichungsaktivität bereitgestellt werden. Weitere Informationen zur Verwendung von Azure Files für das Hosting von App Service-Inhalten finden Sie unter https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Disabled 1.0.0

Nachweis

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Attestation-Anbieter sollten private Endpunkte verwenden Mithilfe privater Endpunkte können Sie Azure Attestation-Anbieter mit Ihren Azure-Ressourcen verbinden, ohne Datenverkehr über das öffentliche Internet zu senden. Durch das Verhindern des öffentlichen Zugriffs können private Endpunkte vor nicht gewünschtem anonymen Zugriff schützen. AuditIfNotExists, Disabled 1.0.0

Automatische Verwaltung

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
VMs für das Onboarding in Azure Automanage konfigurieren Azure Automanage registriert, konfiguriert und überwacht VMs anhand von Best Practices, die im Microsoft Cloud Adoption Framework für Azure definiert sind. Verwenden Sie diese Richtlinie, um die automatische Verwaltung auf den ausgewählten Bereich anzuwenden. DeployIfNotExists, Disabled 4.1.0

Automation

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Automation-Kontovariablen sollten verschlüsselt werden Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden. Audit, Deny, Disabled 1.1.0
Azure Automation-Konten müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Automation-Kontoressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/automation/how-to/private-link-security. Audit, Deny, Disabled 1.0.0
Azure Automation-Konten müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Automation-Konten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/automation-cmk. Audit, Deny, Disabled 1.0.0
Azure Automation-Konten zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihr Azure Automation-Konto, sodass es nicht über das öffentliche Internet zugänglich ist. Diese Konfiguration trägt zum Schutz vor Risiken aufgrund von Datenlecks bei. Sie können die Offenlegung von Automation-Kontoressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Modify, Disabled 1.0.0
Azure Automation-Konten mit privaten DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Sie benötigen eine ordnungsgemäß konfigurierte private DNS-Zone, um über Azure Private Link eine Verbindung mit dem Azure Automation-Konto herstellen zu können. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0
Private Endpunktverbindungen für Azure Automation-Konten konfigurieren Private Endpunktverbindungen ermöglichen eine sichere Kommunikation, indem private Konnektivität mit Azure Automation-Konten ermöglicht wird, ohne dass öffentliche IP-Adressen an der Quelle oder am Ziel benötigt werden. Weitere Informationen zu privaten Endpunkten in Azure Automation finden Sie unter https://docs.microsoft.com/azure/automation/how-to/private-link-security. DeployIfNotExists, Disabled 1.0.0
Für Automation-Konten müssen private Endpunktverbindungen aktiviert sein Private Endpunktverbindungen ermöglichen eine sichere Kommunikation, indem private Konnektivität mit Automation-Konten ermöglicht wird, ohne dass öffentliche IP-Adressen an der Quelle oder am Ziel benötigt werden. Weitere Informationen zu privaten Endpunkten in Azure Automation finden Sie unter https://docs.microsoft.com/azure/automation/how-to/private-link-security. AuditIfNotExists, Disabled 1.0.0

Azure Active Directory

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Verwaltete Azure Active Directory Domain Services-Domänen müssen den reinen TLS 1.2-Modus verwenden Verwenden Sie für Ihre verwalteten Domänen den reinen TLS 1.2-Modus. Azure AD Domain Services aktiviert standardmäßig die Verwendung von Verschlüsselungsverfahren wie z. B. NTLM v1 und TLS v1. Diese Verschlüsselungen sind möglicherweise für einige Legacyanwendungen erforderlich, gelten jedoch als schwach und können deaktiviert werden, wenn Sie sie nicht benötigen. Wenn der reine TLS 1.2-Modus aktiviert ist und ein Client eine Anforderung ohne Verwendung von TLS 1.2 sendet, kommt es zu einem Fehler. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. Audit, Disabled 1.0.0

Azure-Daten-Explorer

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Data Explorer-Verschlüsselung ruhender Daten muss einen kundenseitig verwalteten Schlüssel verwenden Das Aktivieren der Verschlüsselung ruhender Daten mit einem kundenseitig verwalteten Schlüssel in Ihrem Azure Data Explorer-Cluster bietet zusätzliche Kontrolle über den Schlüssel, der von der Verschlüsselung ruhender Schlüssel verwendet wird. Dieses Feature ist häufig für Kunden mit speziellen Complianceanforderungen relevant und erfordert eine Key Vault-Instanz zur Verwaltung der Schlüssel. Audit, Deny, Disabled 1.0.0
Datenträgerverschlüsselung muss in Azure Data Explorer aktiviert sein Durch das Aktivieren der Datenträgerverschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Audit, Deny, Disabled 2.0.0
Doppelte Verschlüsselung muss für Azure Data Explorer aktiviert sein Durch das Aktivieren der doppelten Verschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn die doppelte Verschlüsselung aktiviert ist, werden Daten im Speicherkonto zweimal – einmal auf Dienstebene und einmal auf Infrastrukturebene – mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln verschlüsselt. Audit, Deny, Disabled 2.0.0
VNET-Einschleusung muss für Azure Data Explorer aktiviert sein Schützen Sie Ihren Netzwerkperimeter durch VNET-Einschleusung. So können Sie Regeln von Netzwerksicherheitsgruppen durchsetzen, lokale Verbindungen herstellen und Ihre Datenverbindungsquellen mit Dienstendpunkten absichern. Audit, Deny, Disabled 1.0.0

Azure Stack Edge

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Stack Edge-Geräte sollten doppelte Verschlüsselung verwenden. Stellen Sie zum Schutz der ruhenden Daten auf dem Gerät Folgendes sicher: Die Daten sind doppelt verschlüsselt, der Zugriff auf Daten wird gesteuert, und nach der Deaktivierung des Geräts werden die Daten auf sichere Weise von den Datenträgern gelöscht. Bei der Mehrfachverschlüsselung werden zwei Verschlüsselungsebenen verwendet: Verschlüsselung vom Typ „BitLocker XTS-AES 256-Bit“ auf den Datenvolumes und integrierte Verschlüsselung der Festplatten. Weitere Informationen finden Sie in der Dokumentation zur Sicherheitsübersicht für das jeweilige Stack Edge-Gerät. Audit, Deny, Disabled 1.0.0

Backup

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Backup muss für Virtual Machines aktiviert sein. Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. AuditIfNotExists, Disabled 2.0.0
[Vorschau:] Azure Recovery Services-Tresore müssen für die Verschlüsselung von Sicherungsdaten kundenseitig verwaltete Schlüssel verwenden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung im Ruhezustand für Ihre Sicherungsdaten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Häufig sind aber kundenseitig verwaltete Schlüssel (CMKs) zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/AB-CmkEncryption. Audit, Deny, Disabled 1.0.0-preview
[Vorschau:] Azure Recovery Services-Tresore müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Recovery Services-Tresoren wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/AB-PrivateEndpoints. Audit, Disabled 1.0.0-preview
[Vorschau:] Sicherung für VMs mit angegebenem Tag in einem neuen Recovery Services-Tresor mit einer Standardrichtlinie konfigurieren Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie einen Recovery Services-Tresor am gleichen Ort und in der gleichen Ressourcengruppe wie der virtuelle Computer bereitstellen. Dies ist nützlich, wenn verschiedenen Anwendungsteams in Ihrer Organisation separate Ressourcengruppen zugewiesen werden und sie ihre eigenen Sicherungen und Wiederherstellungen verwalten müssen. Sie können optional virtuelle Computer einschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMAppCentricBackupIncludeTag. deployIfNotExists, auditIfNotExists, disabled 3.0.0-preview
[Vorschau:] Sicherung für VMs mit angegebenem Tag in einem vorhandenen Recovery Services-Tresor am selben Standort konfigurieren Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie sie in einem vorhandenen zentralen Recovery Services-Tresor am gleichen Ort und im gleichen Abonnement wie der virtuelle Computer sichern. Dies ist nützlich, wenn die Sicherungen für alle Ressourcen in einem Abonnement in Ihrer Organisation von einem zentralen Team verwaltet werden. Sie können optional virtuelle Computer einschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMCentralBackupIncludeTag. deployIfNotExists, auditIfNotExists, disabled 3.0.0-preview
[Vorschau:] Sicherung für VMs ohne angegebenes Tag in einem neuen Recovery Services-Tresor mit einer Standardrichtlinie konfigurieren Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie einen Recovery Services-Tresor am gleichen Ort und in der gleichen Ressourcengruppe wie der virtuelle Computer bereitstellen. Dies ist nützlich, wenn verschiedenen Anwendungsteams in Ihrer Organisation separate Ressourcengruppen zugewiesen werden und sie ihre eigenen Sicherungen und Wiederherstellungen verwalten müssen. Sie können optional virtuelle Computer ausschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMAppCentricBackupExcludeTag. deployIfNotExists, auditIfNotExists, disabled 3.0.0-preview
Sicherung für VMs ohne angegebenes Tag in einem vorhandenen Recovery Services-Tresor am selben Standort konfigurieren Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie sie in einem vorhandenen zentralen Recovery Services-Tresor am gleichen Ort und im gleichen Abonnement wie der virtuelle Computer sichern. Dies ist nützlich, wenn die Sicherungen für alle Ressourcen in einem Abonnement in Ihrer Organisation von einem zentralen Team verwaltet werden. Sie können optional virtuelle Computer ausschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMCentralBackupExcludeTag. deployIfNotExists, auditIfNotExists, disabled 3.0.0
Stellen Sie dem Log Analytics-Arbeitsbereich für ressourcenspezifische Kategorien Diagnoseeinstellungen für den Recovery Services-Tresor bereit. Stellen Sie Diagnoseeinstellungen für den Recovery Services-Tresor bereit, um Daten für ressourcenspezifische Kategorien in den Log Analytics-Arbeitsbereich zu streamen. Wenn eine der ressourcenspezifischen Kategorien nicht aktiviert ist, wird eine neue Diagnoseeinstellung erstellt. deployIfNotExists 1.0.2

Batch

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Batch-Konto muss kundenseitig verwaltete Schlüssel zur Datenverschlüsselung verwenden. Verwenden Sie kundenseitig verwaltete Schlüssel, um für die Daten Ihres Batch-Kontos die Verschlüsselung ruhender Daten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/Batch-CMK. Audit, Deny, Disabled 1.0.1
Batch-Konten mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Batch-Konten können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/batch/private-connectivity. DeployIfNotExists, Disabled 1.0.0
Bereitstellen: Private DNS-Zonen für private Endpunkte zur Verbindungsherstellung mit Batch-Konten konfigurieren Über private DNS-Einträge können private Verbindungen mit privaten Endpunkten hergestellt werden. Private Endpunktverbindungen gewährleisten eine sichere Kommunikation, indem private Konnektivität mit Batch-Konten ermöglicht wird, ohne dass öffentliche IP-Adressen an der Quelle oder am Ziel erforderlich sind. Weitere Informationen zu privaten Endpunkten und DNS-Zonen in Batch finden Sie unter https://docs.microsoft.com/azure/batch/private-connectivity. DeployIfNotExists, Disabled 1.0.0
Für Batch-Konten müssen Warnungsregeln für Metriken konfiguriert sein Hiermit wird die Konfiguration von Metrikwarnungsregeln für ein Batch-Konto überwacht, um die erforderliche Metrik zu aktivieren. AuditIfNotExists, Disabled 1.0.0
Für Batch-Konten müssen private Endpunktverbindungen aktiviert sein Private Endpunktverbindungen ermöglichen eine sichere Kommunikation, indem private Konnektivität mit Batch-Konten ermöglicht wird, ohne dass öffentliche IP-Adressen an der Quelle oder am Ziel benötigt werden. Weitere Informationen zu privaten Endpunkten in Batch finden Sie unter https://docs.microsoft.com/azure/batch/private-connectivity. AuditIfNotExists, Disabled 1.0.0
Öffentlicher Netzwerkzugriff muss für Batch-Konten deaktiviert sein Das Deaktivieren des Zugriffs auf das öffentliche Netzwerk für ein Batch-Konto verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihr Batch-Konto nur von einem privaten Endpunkt aus zugegriffen werden kann. Weitere Informationen zum Deaktivieren des Zugriffs auf öffentliche Netzwerke finden Sie unter https://docs.microsoft.com/azure/batch/private-connectivity. Audit, Deny, Disabled 1.0.0
In Batch-Konten müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 4.0.1

Botdienst

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Der Bot Service-Endpunkt muss ein gültiger HTTPS-URI sein. Daten können während der Übertragung manipuliert werden. Es gibt Protokolle, die eine Verschlüsselung ermöglichen, um Missbrauch und Manipulationen vorzubeugen. Um sicherzustellen, dass Ihre Bots ausschließlich über verschlüsselte Kanäle kommunizieren, legen Sie den Endpunkt auf einen gültigen HTTPS-URI fest. Dadurch wird sichergestellt, dass das HTTPS-Protokoll zum Verschlüsseln Ihrer Daten während der Übertragung verwendet wird. Darüber hinaus ist es häufig Voraussetzung zur Einhaltung gesetzlicher oder branchenüblicher Standards. Informationen finden Sie unter https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. Audit, Deny, Disabled 1.0.1
Bot Service muss mit einem kundenseitig verwalteten Schlüssel (CMK) verschlüsselt werden Azure Bot Service verschlüsselt Ihre Ressource automatisch, um Ihre Daten zu schützen sowie die Sicherheits- und Complianceanforderungen der Organisation zu erfüllen. Standardmäßig werden von Microsoft verwaltete Verschlüsselungsschlüssel verwendet. Wählen Sie kundenseitig verwaltete Schlüssel (auch als Bring Your Own Key (BYOK) bezeichnet) aus, um mehr Flexibilität bei der Verwaltung von Schlüsseln oder der Steuerung des Zugriffs auf Ihr Abonnement zu haben. Weitere Informationen zur Azure Bot Service-Verschlüsselung finden Sie hier: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. Audit, Deny, Disabled 1.0.0

Cache

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Cache for Redis muss den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass Azure Cache for Redis nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Azure Cache for Redis einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. Audit, Deny, Disabled 1.0.0
Azure Cache for Redis muss sich in einem virtuellen Netzwerk befinden. Die Azure Virtual Network-Bereitstellung bietet erweiterte Sicherheit und Isolierung für Ihre Azure Cache for Redis-Instanz sowie Subnetze, Zugriffssteuerungsrichtlinien und andere Features zur weiteren Einschränkung des Zugriffs. Wenn eine Azure Cache for Redis-Instanz mit einem virtuellen Netzwerk konfiguriert ist, kann sie nicht öffentlich adressiert, sondern nur von virtuellen Computern und Anwendungen innerhalb des virtuellen Netzwerks aufgerufen werden. Audit, Deny, Disabled 1.0.3
Azure Cache for Redis muss private Verbindung verwenden Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Cache for Redis zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Azure Cache for Redis-Ressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies trägt dazu bei, den Cache vor dem Risiko von Datenlecks zu schützen. Modify, Disabled 1.0.0
Azure Cache for Redis für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Azure Cache for Redis-Instanzen aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0
Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 1.0.0

Cognitive Services

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Cognitive Services-Konten müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriff über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass das Cognitive Services-Konto nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung des Cognitive Services-Kontos einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Deny, Disabled 1.0.1
Cognitive Services-Konten müssen eine Datenverschlüsselung mit einem kundenseitig verwalteten Schlüssel aktivieren Kundenseitig verwaltete Schlüssel sind häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die in Cognitive Services gespeicherten Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zu kundenseitig verwalteten Schlüsseln finden Sie unter https://go.microsoft.com/fwlink/?linkid=2121321. Audit, Deny, Disabled 2.0.0
Netzwerkzugriff auf Cognitive Services-Konten muss eingeschränkt werden Der Netzwerkzugriff auf Cognitive Services-Konten muss eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Cognitive Services-Konto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder an IP-Adressbereiche im öffentlichen Internet gewährt werden. Audit, Deny, Disabled 1.0.0
Cognitive Services-Konten müssen eine verwaltete Identität verwenden Das Zuweisen einer verwalteten Identität zu Ihrem Cognitive Services-Konto gewährleistet eine sichere Authentifizierung. Diese Identität wird von diesem Cognitive Services-Konto für die sichere Kommunikation mit anderen Azure-Diensten wie z. B. Azure Key Vault verwendet, ohne dass Sie Anmeldeinformationen verwalten müssen. Audit, Deny, Disabled 1.0.0
Cognitive Services-Konten müssen kundeneigenen Speicher verwenden Verwenden Sie den kundeneigenen Speicher, um ruhende Daten in Cognitive Services zu steuern. Weitere Informationen zum kundeneigenen Speicher finden Sie unter https://aka.ms/cogsvc-cmk. Audit, Deny, Disabled 2.0.0
Cognitive Services muss eine private Verbindung verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 1.0.0
Cognitive Services-Konten zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Cognitive Services-Ressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. Disabled, Modify 1.0.0
Cognitive Services-Konten für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Cognitive Services-Konten aufzulösen. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2110097. DeployIfNotExists, Disabled 1.0.0
Konfigurieren Sie Cognitive Services-Konten mit privaten Endpunkten Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. DeployIfNotExists, Disabled 1.0.0

Compute

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Zulässige SKUs für VM-Größen Über diese Richtlinie können Sie einen Satz von SKUs für VM-Größen angeben, die Ihre Organisation bereitstellen kann. Verweigern 1.0.1
VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden Diese Richtlinie überwacht virtuelle Computer, die keine verwalteten Datenträger verwenden. Überwachung 1.0.0
Notfallwiederherstellung durch Aktivieren der Replikation für VMs konfigurieren Virtuelle Computer ohne Notfallwiederherstellungskonfigurationen sind anfällig für Ausfälle und andere Unterbrechungen. Wenn für den virtuellen Computer noch keine Notfallwiederherstellung konfiguriert ist, wird dies durch Aktivieren der Replikation unter Verwendung vordefinierter Konfigurationen initiiert, um die Geschäftskontinuität zu gewährleisten. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. DeployIfNotExists, Disabled 1.2.0
Datenträgerzugriffsressourcen mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. DeployIfNotExists, Disabled 1.0.0
Verwaltete Datenträger zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre verwaltete Datenträgerressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/disksprivatelinksdoc. Modify, Disabled 1.0.0
Microsoft IaaSAntimalware-Standarderweiterung für Windows Server bereitstellen Mit dieser Richtlinie wird eine Microsoft IaaSAntimalware-Erweiterung mit einer Standardkonfiguration bereitgestellt, wenn eine VM nicht mit der Antischadsoftware-Erweiterung konfiguriert ist. deployIfNotExists 1.0.0
Datenträgerzugriffsressourcen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Verwaltete Datenträger müssen sowohl mit plattformseitig als auch mit kundenseitig verwalteten Schlüsseln verschlüsselt werden Kunden mit besonders hohen Sicherheitsanforderungen, die befürchten, dass ein einzelner Verschlüsselungsalgorithmus, eine einzelne Verschlüsselungsimplementierung oder ein einzelner Verschlüsselungsschlüssel kompromittiert werden könnte, haben nun die Möglichkeit, eine zusätzliche Verschlüsselungsebene mit einem anderen Verschlüsselungsalgorithmus/-modus auf der Infrastrukturebene zu nutzen (unter Verwendung von plattformseitig verwalteten Schlüsseln). Für die Verwendung der Mehrfachverschlüsselung sind Datenträgerverschlüsselungssätze erforderlich. Weitere Informationen finden Sie unter https://aka.ms/disks-doubleEncryption. Audit, Deny, Disabled 1.0.0
Verwaltete Datenträger müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass ein verwalteter Datenträger nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung verwalteter Datenträger einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/disksprivatelinksdoc. Audit, Disabled 1.0.0
Verwaltete Datenträger müssen für die Verschlüsselung mit kundenseitig verwalteten Schlüsseln bestimmte Datenträgerverschlüsselungssätze verwenden Durch die Anforderung zur Verwendung bestimmter Datenträgerverschlüsselungssätze mit verwalteten Datenträgern erhalten Sie die Kontrolle über die Schlüssel, mit denen ruhende Daten verschlüsselt werden. Sie können beim Anfügen an einen Datenträger die zulässigen Verschlüsselungssätze auswählen und alle anderen Verschlüsselungssätze ablehnen. Weitere Informationen finden Sie unter https://aka.ms/disks-cmk. Audit, Deny, Disabled 2.0.0
Microsoft Antimalware für Azure muss für die automatische Aktualisierung von Schutzsignaturen konfiguriert sein Diese Richtlinie überwacht alle virtuellen Windows-Computer, die nicht für die automatische Aktualisierung von Microsoft Antimalware-Schutzsignaturen konfiguriert sind. AuditIfNotExists, Disabled 1.0.0
Die Microsoft IaaSAntimalware-Erweiterung muss auf Windows-Servern bereitgestellt werden Diese Richtlinie überwacht alle Windows Server-VMs ohne bereitgestellte Microsoft IaaSAntimalware-Erweiterung. AuditIfNotExists, Disabled 1.0.0
Es dürfen nur genehmigte VM-Erweiterungen installiert werden Diese Richtlinie regelt die nicht genehmigten VM-Erweiterungen. Audit, Deny, Disabled 1.0.0
Datenträger für Betriebssystem und Daten müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für die Inhalte Ihrer verwalteten Datenträger zu verwalten. Standardmäßig werden ruhende Daten mit plattformseitig verwalteten Schlüsseln verschlüsselt, aber zur Einhaltung behördlicher Konformitätsstandards werden häufig kundenseitig verwaltete Schlüssel benötigt. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/disks-cmk. Audit, Deny, Disabled 2.0.0
Automatische Patches für Betriebssystemimages in VM-Skalierungsgruppen erzwingen Diese Richtlinie erzwingt die Aktivierung automatischer Patches für Betriebssystemimages in VM-Skalierungsgruppen zum ständigen Schutz virtueller Computer durch sicheres monatliches Anwenden der neuesten Sicherheitspatches. deny 1.0.0
In Virtual Machine Scale Sets müssen Ressourcenprotokolle aktiviert sein. Es wird empfohlen, die Protokollierung zu aktivieren. So können Sie Aktivitäten nachvollziehen, wenn bei einem Incident oder einer Beeinträchtigung Untersuchungen durchgeführt werden müssen. AuditIfNotExists, Disabled 2.0.1
Nicht angefügte Datenträger müssen verschlüsselt werden Diese Richtlinie überwacht nicht angefügte Datenträger ohne aktivierte Verschlüsselung. Audit, Disabled 1.0.0
Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein Verwenden Sie die Verschlüsselung auf dem Host, um eine End-to-End-Verschlüsselung für die Daten Ihrer VMs und VM-Skalierungsgruppen zu erzielen. Die Verschlüsselung auf dem Host ermöglicht die Verschlüsselung ruhender Daten für die Caches Ihrer temporären Datenträger und Ihrer Datenträger für Betriebssystem und Daten. Temporäre und kurzlebige Betriebssystemdatenträger werden mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn die Verschlüsselung auf dem Host aktiviert ist. Die Caches der Datenträger für Betriebssystem und Daten werden im Ruhezustand entweder mit einem kundenseitig oder einem plattformseitig verwalteten Schlüssel verschlüsselt. Dies richtet sich danach, welcher Verschlüsselungstyp für den Datenträger ausgewählt wurde. Weitere Informationen finden Sie unter https://aka.ms/vm-hbe. Audit, Deny, Disabled 1.0.0
VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung. Audit, Deny, Disabled 1.0.0

Containerinstanz

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Container Instances-Containergruppe muss in einem virtuellen Netzwerk bereitgestellt werden Schützen Sie die Kommunikation zwischen Ihren Containern mit virtuellen Azure-Netzwerken. Wenn Sie ein virtuelles Netzwerk angeben, können Ressourcen innerhalb des virtuellen Netzwerks sicher und privat miteinander kommunizieren. Audit, Disabled, Deny 1.0.0
Azure Container Instances-Containergruppe muss einen kundenseitig verwalteten Schlüssel für die Verschlüsselung verwenden Schützen Sie Ihre Container mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. Audit, Disabled, Deny 1.0.0

Containerregistrierung

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Containerregistrierungen zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Container Registry-Ressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/acr/portal/public-network und https://aka.ms/acr/private-link. Modify, Disabled 1.0.0
Containerregistrierungen für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Ihre Container Registry-Instanz aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone und https://aka.ms/acr/private-link. DeployIfNotExists, Disabled 1.0.0
Containerregistrierungen mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihren Container Registry Premium-Ressourcen können Sie das Risiko von Datenlecks verringern Weitere Informationen finden Sie unter https://aka.ms/privateendpoints und https://aka.ms/acr/private-link. DeployIfNotExists, Disabled 1.0.0
Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden. Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für den Inhalt Ihrer Registrierungen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/acr/CMK. Audit, Deny, Disabled 1.1.2
Containerregistrierungen müssen SKUs mit Unterstützung für private Verbindungen verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Da private Endpunkte nicht dem gesamten Dienst, sondern Ihren Containerregistrierungen zugeordnet werden, wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. Audit, Deny, Disabled 1.0.0
Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in beliebigen Netzwerken. Lassen Sie den Zugriff nur über bestimmte öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über eine IP-/Firewallregel oder ein konfiguriertes virtuelles Netzwerk verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet. Audit, Deny, Disabled 1.1.0
Containerregistrierungen sollten eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne in der Quelle oder im Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Zugriff über öffentliche Netzwerke muss für Containerregistrierungen deaktiviert sein Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Containerregistrierungen nicht über das öffentliche Internet zugänglich sind. Durch das Erstellen privater Endpunkte können Sie die Offenlegung von Container Registry-Ressourcen einschränken. Weitere Informationen finden Sie unter https://aka.ms/acr/portal/public-network und https://aka.ms/acr/private-link. Audit, Deny, Disabled 1.0.0

Cosmos DB

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Cosmos DB-Konten müssen über Firewallregeln verfügen. Für Ihre Azure Cosmos DB Konten sollten Firewallregeln definiert werden, um Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. Audit, Deny, Disabled 1.0.1
Azure Cosmos DB-Konten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Cosmos DB-Instanzen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/cosmosdb-cmk. Audit, Deny, Disabled 1.0.2
Für Azure Cosmos DB zulässige Standorte Mit dieser Richtlinie können Sie die Standorte einschränken, die Ihre Organisation beim Bereitstellen von Azure Cosmos DB-Ressourcen angeben kann. Wird zur Erzwingung Ihrer Geokonformitätsanforderungen verwendet. [parameters('policyEffect')] 1.0.0
Schlüsselbasierter Azure Cosmos DB-Schreibzugriff auf Metadaten muss deaktiviert werden Mit dieser Richtlinie können Sie sicherstellen, dass für alle Azure Cosmos DB-Konten der schlüsselbasierte Schreibzugriff auf Metadaten deaktiviert ist. append 1.0.0
Azure Cosmos DB muss den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass das CosmosDB-Konto nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung des CosmosDB-Kontos einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Audit, Deny, Disabled 1.0.0
Azure Cosmos DB-Durchsatz muss begrenzt werden Mit dieser Richtlinie können Sie den maximalen Durchsatz einschränken, den Ihre Organisation beim Erstellen von Azure Cosmos DB-Datenbanken und -Containern über den Ressourcenanbieter angeben kann. Die Erstellung von Ressourcen mit Autoskalierung wird blockiert. Audit, Deny, Disabled 1.0.0
CosmosDB-Konten zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie für Ihre CosmosDB-Ressource den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Modify, Disabled 1.0.0
CosmosDB-Konten für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um ein CosmosDB-Konto aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0
CosmosDB-Konten mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB-Konto können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. DeployIfNotExists, Disabled 1.0.0
CosmosDB-Konten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Advanced Threat Protection für Cosmos DB-Konten bereitstellen Mit dieser Richtlinie wird Advanced Threat Protection über Cosmos DB-Konten hinweg aktiviert. DeployIfNotExists, Disabled 1.0.0

Benutzerdefinierter Anbieter

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Zuordnungen für einen benutzerdefinierten Anbieter bereitstellen Hiermit wird eine Zuordnungsressource bereitgestellt, die dem angegebenen benutzerdefinierten Anbieter ausgewählte Ressourcentypen zuordnet. Diese Richtlinienbereitstellung unterstützt keine geschachtelten Ressourcentypen. deployIfNotExists 1.0.0

Data Box

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Data Box-Aufträge müssen die Mehrfachverschlüsselung für ruhende Daten auf dem Gerät aktivieren Aktivieren Sie eine zweite Ebene der softwarebasierten Verschlüsselung für ruhende Daten auf dem Gerät. Das Gerät ist bereits über eine AES-256-Verschlüsselung (Advanced Encryption Standard) für ruhende Daten geschützt. Mit dieser Option wird eine zweite Ebene der Datenverschlüsselung hinzugefügt. Audit, Deny, Disabled 1.0.0
Azure Data Box-Aufträge müssen einen kundenseitig verwalteten Schlüssel zum Verschlüsseln des Kennworts für die Geräteentsperrung verwenden Verwenden Sie einen kundenseitig verwalteten Schlüssel, um die Verschlüsselung des Kennworts für die Geräteentsperrung für Azure Data Box zu steuern. Kundenseitig verwaltete Schlüssel bieten zudem Unterstützung beim Verwalten des Zugriffs auf das Kennwort zur Geräteentsperrung durch den Data Box Dienst, um das Gerät vorzubereiten und Daten automatisiert zu kopieren. Die Daten auf dem Gerät selbst sind bereits im Ruhezustand mit einer AES-256-Verschlüsselung (Advanced Encryption Standard) verschlüsselt, und das Kennwort zur Geräteentsperrung wird standardmäßig mit einem von Microsoft verwalteten Schlüssel verschlüsselt. Audit, Deny, Disabled 1.0.0

Data Factory

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Data Factorys müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für Ihre Azure Data Factory-Instanz zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/adf-cmk. Audit, Deny, Disabled 1.0.1
[Vorschau:] Azure Data Factory Integration Runtime muss über einen Grenzwert für die Anzahl von Kernen verfügen Begrenzen Sie zur Verbesserung Ihres Ressourcen- und Kostenmanagements die Anzahl von Kernen für eine Integration Runtime. Audit, Deny, Disabled 1.0.0-preview
[Vorschau:] Ressourcentyp des verknüpften Azure Data Factory-Diensts muss in Positivliste enthalten sein Definieren Sie die Positivliste für die Typen des verknüpften Azure Data Factory-Diensts. Die Begrenzung der zulässigen Ressourcentypen ermöglicht die Steuerung der Grenze für die Datenverschiebung. Beispielsweise können Sie einen Bereich so einschränken, dass nur Blobspeicher mit Data Lake Storage Gen1 und Gen2 für die Analyse zulässig ist oder dass nur SQL- und Kusto-Zugriff für Echtzeitabfragen zulässig ist. Audit, Deny, Disabled 1.0.0-preview
[Vorschau:] Für verknüpfte Azure Data Factory-Dienste muss Key Vault zum Speichern von Geheimnissen verwendet werden Zur Sicherstellung einer sicheren Verwaltung von Geheimnissen (z. B. Verbindungszeichenfolgen) sollten Sie für Benutzer das Bereitstellen von Geheimnissen per Azure Key Vault-Instanz obligatorisch machen, anstatt die Inline-Eingabe in verknüpften Diensten zu nutzen. Audit, Deny, Disabled 1.0.0-preview
[Vorschau:] Für verknüpfte Azure Data Factory-Dienste muss die Authentifizierung per systemseitig zugewiesener verwalteter Identität genutzt werden, falls dies unterstützt wird Durch die Nutzung von systemseitig zugewiesener verwalteter Identität bei der Kommunikation mit Datenspeichern über verknüpfte Dienste wird die Verwendung von weniger sicheren Anmeldeinformationen vermieden, z. B. Kennwörter oder Verbindungszeichenfolgen. Audit, Deny, Disabled 1.0.0-preview
[Vorschau:] Für Azure Data Factory muss ein Git-Repository für die Quellcodeverwaltung genutzt werden Aktivieren Sie die Quellcodeverwaltung für Data Factorys, um die entsprechenden Funktionen nutzen zu können, z. B. Änderungsnachverfolgung, Zusammenarbeit und Continuous Integration/Deployment. Audit, Deny, Disabled 1.0.0-preview
Azure Data Factory muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Data Factory-Instanzen zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie für Ihre Data Factory-Instanz den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. Modify, Disabled 1.0.0
Private DNS-Zonen für private Endpunkte zur Verbindungsherstellung mit Azure Data Factory konfigurieren Über private DNS-Einträge können private Verbindungen mit privaten Endpunkten hergestellt werden. Private Endpunktverbindungen gewährleisten eine sichere Kommunikation, indem private Konnektivität mit Ihrer Azure Data Factory-Instanz ermöglicht wird, ohne dass öffentliche IP-Adressen an der Quelle oder am Ziel erforderlich sind. Weitere Informationen zu privaten Endpunkten und DNS-Zonen in Azure Data Factory finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. DeployIfNotExists, Disabled 1.0.0
Private Endpunkte für Data Factory-Instanzen konfigurieren Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihrer Azure Data Factory-Instanz können Sie das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. DeployIfNotExists, Disabled 1.0.0
Für Azure Data Factory muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure Data Factory-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Audit, Deny, Disabled 1.0.0
SQL Server Integration Services Integration Runtime-Instanzen in Azure Data Factory müssen in ein virtuelles Netzwerk eingebunden werden Eine Azure Virtual Network-Bereitstellung bietet erweiterte Sicherheit und Isolation für Ihre SSIS Integration Runtime-Instanzen (SQL Server Integration Services) in Azure Data Factory und stellt außerdem Subnetze, Zugriffssteuerungsrichtlinien und andere Features zur weiteren Einschränkung des Zugriffs bereit. Audit, Deny, Disabled 1.0.0

Data Lake

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Verschlüsselung für Data Lake Storage-Konten erzwingen Diese Richtlinie stellt sicher, dass die Verschlüsselung für alle Data Lake Storage-Konten aktiviert ist. deny 1.0.0
In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 4.0.1
In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 4.0.1

Event Grid

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Event Grid-Domänen müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriff über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Deny, Disabled 1.0.0
Azure Event Grid-Domänen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Azure Event Grid-Themen müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriff über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Deny, Disabled 1.0.0
Azure Event Grid-Themen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Bereitstellen: Azure Event Grid-Domänen für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. deployIfNotExists, Disabled 1.0.0
Bereitstellen: Azure Event Grid-Domänen mit privaten Endpunkten konfigurieren Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Indem Sie Ihren Ressourcen private Endpunkte zuordnen, sind sie vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. DeployIfNotExists, Disabled 1.0.0
Bereitstellen: Azure Event Grid-Themen für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. deployIfNotExists, Disabled 1.0.0
Bereitstellen: Azure Event Grid-Themen mit privaten Endpunkten konfigurieren Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Indem Sie Ihren Ressourcen private Endpunkte zuordnen, sind sie vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. DeployIfNotExists, Disabled 1.0.0
Ändern: Azure Event Grid-Domänen zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Azure Event Grid-Ressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies trägt zum Schutz vor Risiken aufgrund von Datenlecks bei. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Modify, Disabled 1.0.0
Ändern: Azure Event Grid-Themen zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Azure Event Grid-Ressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies trägt zum Schutz vor Risiken aufgrund von Datenlecks bei. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Modify, Disabled 1.0.0

Event Hub

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Alle Autorisierungsregeln außer RootManageSharedAccessKey sollten aus dem Event Hub-Namespace entfernt werden Event Hub-Clients dürfen keine Zugriffsrichtlinie auf Namespace-Ebene verwenden, die Zugriff auf alle Warteschlangen und Themen in einem Namespace bereitstellt. Um dem Sicherheitsmodell der geringsten Rechte zu entsprechen, müssen Sie Zugriffsrichtlinien auf Entitätsebene erstellen, damit nur der jeweiligen Entität Zugriff auf Warteschlangen und Themen gewährt wird. Audit, Deny, Disabled 1.0.1
Für die Event Hub-Instanz müssen Autorisierungsregeln definiert werden Hiermit wird das Vorhandensein von Autorisierungsregeln für Event Hub-Entitäten überwacht, um Zugriff mit den geringsten Rechten zu gewähren. AuditIfNotExists, Disabled 1.0.0
Event Hub-Namespaces für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um Event Hub-Namespaces aufzulösen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. DeployIfNotExists, Disabled 1.0.0
Event Hub-Namespaces mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces können Sie das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. DeployIfNotExists, Disabled 1.0.0
Für Event Hub-Namespaces muss ein kundenseitig verwalteter Schlüssel zur Verschlüsselung verwendet werden Azure Event Hubs unterstützt die Option zum Verschlüsseln ruhender Daten mit von Microsoft verwalteten Schlüsseln (Standardeinstellung) oder kundenseitig verwalteten Schlüsseln. Wenn Sie Daten mithilfe von kundenseitig verwalteten Schlüsseln verschlüsseln, können Sie den Zugriff auf die Schlüssel zuweisen, rotieren, deaktivieren und widerrufen, die von Event Hub zum Verschlüsseln von Daten in Ihrem Namespace verwendet werden. Beachten Sie, dass Event Hub nur Verschlüsselung mit kundenseitig verwalteten Schlüsseln für Namespaces in dedizierten Clustern unterstützt. Audit, Disabled 1.0.0
Event Hub-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
In Event Hub müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 4.0.1

Allgemein

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Zulässige Speicherorte Mit dieser Richtlinie können Sie die Speicherorte einschränken, die Ihre Organisation beim Bereitstellen von Ressourcen angeben kann. Wird zur Erzwingung Ihrer Geokonformitätsanforderungen verwendet. Schließt Ressourcengruppen, Microsoft.AzureActiveDirectory/b2c-Verzeichnisse und Ressourcen aus, die die Region „global“ verwenden. deny 1.0.0
Zulässige Standorte für Ressourcengruppen Mit dieser Richtlinie können Sie die Standorte einschränken, an denen Ihr Unternehmen Ressourcengruppen erstellen kann. Wird zur Erzwingung Ihrer Geokonformitätsanforderungen verwendet. deny 1.0.0
Zulässige Ressourcentypen Mit dieser Richtlinie können Sie die Ressourcentypen angeben, die Ihre Organisation bereitstellen kann. Diese Richtlinie gilt nur für Ressourcentypen, die „tags“ und „location“ unterstützen. Um alle Ressourcen einzuschränken, duplizieren Sie diese Richtlinie und ändern den Wert für „mode“ in „All“. deny 1.0.0
Übereinstimmung des Standorts von Ressource und Ressourcengruppe überwachen Hiermit wird überwacht, ob der Standort der Ressource mit dem Standort der Ressourcengruppe übereinstimmt. Überwachung 2.0.0
Verwendung benutzerdefinierter RBAC-Regeln überwachen Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. Audit, Disabled 1.0.0
Benutzerdefinierte Rollen für Abonnementbesitzer dürfen nicht vorhanden sein Mit dieser Richtlinie wird sichergestellt, dass keine benutzerdefinierten Abonnementbesitzerrollen vorhanden sind. Audit, Disabled 2.0.0
Nicht zulässige Ressourcentypen Schränken Sie ein, welche Ressourcentypen in Ihrer Umgebung bereitgestellt werden können. Durch das Einschränken von Ressourcentypen können Sie die Komplexität und Angriffsfläche Ihrer Umgebung verringern und gleichzeitig die Kosten kontrollieren. Konformitätsergebnisse werden nur für nicht konforme Ressourcen angezeigt. Audit, Deny, Disabled 2.0.0

Gastkonfiguration

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 1.0.0
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 1.0.0
Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die Remoteverbindungen über Konten ohne Kennwörter zulassen. AuditIfNotExists, Disabled 1.0.0
Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind. AuditIfNotExists, Disabled 1.0.0
Linux-Computer überwachen, auf denen die angegebenen Anwendungen nicht installiert sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die Chef InSpec-Ressource angibt, dass mindestens eins der durch den Parameter angegebenen Pakete nicht installiert ist. auditIfNotExists 3.0.0
Linux-Computer überwachen, die Konten ohne Kennwörter verwenden Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die über Konten ohne Kennwörter verfügen. AuditIfNotExists, Disabled 1.0.0
Linux-Computer überwachen, auf denen die angegebenen Anwendungen installiert sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die Chef InSpec-Ressource angibt, dass mindestens eins der durch den Parameter angegebenen Pakete installiert ist. auditIfNotExists 3.0.0
Windows-Computer überwachen, auf denen angegebene Mitglieder in der Administratorengruppe fehlen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn mindestens eins der im Richtlinienparameter angegebenen Mitglieder nicht in der lokalen Administratorgruppe enthalten ist. auditIfNotExists 1.0.0
Netzwerkkonnektivität von Windows-Computern überwachen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn ein Netzwerkverbindungsstatus für eine IP-Adresse oder einen TCP-Port nicht dem Richtlinienparameter entspricht. auditIfNotExists 1.0.0
Windows-Computer mit nicht konformer DSC-Konfiguration überwachen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn durch den Windows PowerShell-Befehl „Get-DSCConfigurationStatus“ zurückgegeben wird, dass die DSC-Konfiguration für den Computer nicht konform ist. auditIfNotExists 1.0.0
Windows-Computer überwachen, auf denen der Log Analytics-Agent nicht wie erwartet verbunden ist Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Agent nicht installiert ist, oder wenn er installiert ist, das COM-Objekt „AgentConfigManager.MgmtSvcCfg“ jedoch zurückgibt, dass er nicht bei dem Arbeitsbereich registriert ist, der der im Richtlinienparameter angegebenen ID entspricht. auditIfNotExists 1.0.0
Windows-Computer überwachen, auf denen die angegebenen Dienste nicht installiert sind und ausgeführt werden Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn das Ergebnis des Windows PowerShell-Befehls „Get-Service“ nicht den Dienstnamen mit entsprechendem Status enthält (gemäß Angabe durch den Richtlinienparameter). auditIfNotExists 1.0.0
Windows-Computer ohne aktivierte serielle Windows-Konsole überwachen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn auf dem Computer die Software der seriellen Konsole nicht installiert ist oder wenn die EMS-Portnummer oder die Baudrate nicht mit den Werten aus den Richtlinienparametern konfiguriert ist. auditIfNotExists 1.0.0
Windows-Computer überwachen, die eine Wiederverwendung der vorherigen 24 Kennwörter zulassen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die eine Wiederverwendung der vorherigen 24 Kennwörter zulassen. AuditIfNotExists, Disabled 1.0.0
Windows-Computer überwachen, die nicht in die angegebene Domäne eingebunden sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Wert der Eigenschaft „Domain“ in der WMI-Klasse „win32_computersystem“ nicht dem Wert im Richtlinienparameter entspricht. auditIfNotExists 1.0.0
Windows-Computer überwachen, die nicht auf die angegebene Zeitzone festgelegt sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Wert der Eigenschaft „StandardName“ in der WMI-Klasse „Win32_TimeZone“ nicht der für den Richtlinienparameter ausgewählten Zeitzone entspricht. auditIfNotExists 1.0.0
Windows-Computer überwachen, auf denen Zertifikate innerhalb der angegebenen Anzahl von Tagen ablaufen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn das Ablaufdatum von Zertifikaten im angegebenen Speicher außerhalb der als Parameter angegeben Anzahl von Tagen liegt. Die Richtlinie bietet auch die Möglichkeit, nur bestimmte Zertifikate zu überprüfen oder bestimmte Zertifikate auszuschließen, und Sie können angeben, ob abgelaufene Zertifikate gemeldet werden sollen. auditIfNotExists 1.0.0
Windows-Computer überwachen, die nicht die angegebenen Zertifikate im vertrauenswürdigen Stamm enthalten Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn mindestens eines der durch den Richtlinienparameter angegebenen Zertifikate nicht im vertrauenswürdigen Stammzertifikatspeicher des Computers (Cert:\LocalMachine\Root) enthalten ist. auditIfNotExists 1.0.1
Windows-Computer überwachen, für die kein maximales Kennwortalter von 70 Tagen gilt Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, für die kein maximales Kennwortalter von 70 Tagen gilt. AuditIfNotExists, Disabled 1.0.0
Windows-Computer überwachen, die kein Mindestkennwortalter von einem Tag verwenden Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die kein Mindestkennwortalter von einem Tag verwenden. AuditIfNotExists, Disabled 1.0.0
Windows-Computer überwachen, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist. AuditIfNotExists, Disabled 1.0.0
Windows-VMs ohne die angegebene Windows PowerShell-Ausführungsrichtlinie überwachen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Windows PowerShell-Befehl „Get-ExecutionPolicy“ einen anderen Wert zurückgibt als denjenigen, der im Richtlinienparameter angegeben wurde. AuditIfNotExists, Disabled 1.0.0
Windows-VMs ohne Installation der angegebenen Windows PowerShell-Module überwachen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn ein Modul an einem durch die Umgebungsvariable „PSModulePath“ angegebenen Speicherort nicht verfügbar ist. AuditIfNotExists, Disabled 1.0.0
Windows-Computer überwachen, für die keine Mindestkennwortlänge von 14 Zeichen festgelegt ist Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, für die keine Mindestkennwortlänge von 14 Zeichen festgelegt ist. AuditIfNotExists, Disabled 1.0.0
Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern. AuditIfNotExists, Disabled 1.0.0
Windows-Computer überwachen, auf denen die angegebenen Anwendungen nicht installiert sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Anwendungsname an keinem der folgenden Registrierungspfade gefunden wird: „HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall“, „HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall“, „HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall“. auditIfNotExists 1.0.0
Windows-Computer überwachen, die zusätzliche Konten in der Administratorgruppe enthalten Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die lokale Administratorgruppe Mitglieder enthält, die im Richtlinienparameter nicht angegeben sind. auditIfNotExists 1.0.0
Windows-Computer überwachen, die nicht innerhalb der angegebenen Anzahl von Tagen neu gestartet wurden Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die WMI-Eigenschaft „LastBootUpTime“ in der Klasse „Win32_Operatingsystem“ außerhalb des durch den Richtlinienparameter angegebenen Bereichs von Tagen liegt. auditIfNotExists 1.0.0
Windows-Computer überwachen, auf denen die angegebenen Anwendungen installiert sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Anwendungsname an einem der folgenden Registrierungspfade gefunden wird: „HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall“, „HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall“, „HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall“. auditIfNotExists 1.0.0
Windows-Computer überwachen, auf denen die angegebenen Mitglieder in der Administratorengruppe enthalten sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die lokale Administratorgruppe mindestens eins der Mitglieder enthält, die im Richtlinienparameter angegeben sind. auditIfNotExists 1.0.0
Windows-VMs mit ausstehendem Neustart überwachen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn aus einem der folgenden Gründe ein Neustart des Computers aussteht: komponentenbasierte Wartung, Windows-Update, ausstehende Dateiumbenennung, ausstehende Computerumbenennung, ausstehender Neustart durch den Konfigurations-Manager. Jede Erkennung verfügt über einen eigenen Registrierungspfad. auditIfNotExists 1.0.0
Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein SSH stellt zwar bereits eine verschlüsselte Verbindung bereit, bei Verwendung von Kennwörtern für SSH ist der virtuelle Computer jedoch weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem virtuellen Azure-Computer unter Linux über SSH besteht in der Verwendung eines Schlüsselpaars aus öffentlichem und privatem Schlüssel (SSH-Schlüssel). Weitere Informationen finden Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 2.0.1
Konfigurieren Sie die Zeitzone auf Windows-Computern. Diese Richtlinie erstellt eine Gastkonfigurationszuweisung, um die angegebene Zeitzone auf virtuellen Windows-Computern festzulegen. deployIfNotExists 1.1.0
Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 1.0.0
Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 1.0.0
[Vorschau:] Linux-Computer müssen die Anforderungen der Azure-Sicherheitsbaseline erfüllen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Linux-Computer werden als nicht konform eingestuft, wenn sie die Anforderungen der Azure-Sicherheitsbaseline nicht erfüllen. AuditIfNotExists, Disabled 1.1.0-preview
Private Endpunkte für Gastkonfigurationszuweisungen sollten aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem eine private Verbindung mit der Gastkonfiguration für VMs aktiviert wird. VMs sind nur dann konform, wenn sie über das Tag „EnablePrivateNetworkGC“ verfügen. Dieses Tag erzwingt die sichere Kommunikation über eine private Verbindung mit der Gastkonfiguration für VMs. Die private Verbindung schränkt den Zugriff auf Datenverkehr ein, der nur aus bekannten Netzwerken stammt, und verhindert den Zugriff von allen anderen IP-Adressen, einschließlich von Adressen innerhalb von Azure. Audit, Deny, Disabled 1.0.0
Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). AuditIfNotExists, Disabled 1.1.1
Windows-Computer müssen die Anforderungen für „Administrative Vorlagen: Systemsteuerung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Administrative Vorlagen: Systemsteuerung“ für die Eingabepersonalisierung und das Verhindern der Aktivierung von Sperrbildschirmen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Administrative Vorlagen: MSS (Legacy)“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Administrative Vorlagen: MSS (Legacy)“ für automatische Anmeldung, Bildschirmschoner, Netzwerkverhalten, sichere DLLs und Ereignisprotokoll aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Administrative Vorlagen: Netzwerk“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Administrative Vorlagen: Netzwerk“ für Gastanmeldungen, gleichzeitige Verbindungen, Netzwerkbrücken, ICS und Multicastnamensauflösung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Administrative Vorlagen: System“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Administrative Vorlagen: System“ für Einstellungen zur Steuerung von Verwaltungsfunktionalität und Remoteunterstützung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Konten“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Konten“ für die Einschränkung der Verwendung lokaler Konten mit leeren Kennwörtern und den Gastkontostatus aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Überwachen“ erfüllen Windows-Computer müssen über die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Überwachen“ zum Erzwingen der Unterkategorie der Überwachungsrichtlinie und zum Herunterfahren verfügen, wenn Sicherheitsüberwachungen nicht protokolliert werden können. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Geräte“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Geräte“ für das Abdocken ohne Anmeldung, für die Installation von Druckertreibern und das Formatieren/Auswerfen von Medien aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Interaktive Anmeldung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Interaktive Anmeldung“ zur Anzeige des Namens des letzten Benutzers und zum Anfordern von STRG+ALT+ENT aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Microsoft-Netzwerk (Client)“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Microsoft-Netzwerk (Client)“ für das Microsoft-Netzwerk (Client/Server) und SMB v1 aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Microsoft-Netzwerk (Server)“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Microsoft-Netzwerk (Server)“ zum Deaktivieren des SMB v1-Servers aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerkzugriff“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Netzwerkzugriff“ für anonyme Benutzer, lokale Konten und den Remotezugriff auf die Registrierung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerksicherheit“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Netzwerksicherheit“ für lokales Systemverhalten, PKU2U, LAN Manager, LDAP-Client und NTLM-SSP aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Wiederherstellungskonsole“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Wiederherstellungskonsole“ für das Zulassen von Diskettenkopiervorgängen und den Zugriff auf alle Laufwerke und Ordner aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Herunterfahren“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Herunterfahren“ zum Zulassen des Herunterfahrens ohne Anmeldung und zum Löschen der Auslagerungsdatei des virtuellen Arbeitsspeichers aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Systemobjekte“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Systemobjekte“ zur Groß-/Kleinschreibung für Nicht-Windows-Subsysteme und den Berechtigungen interner Systemobjekte aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Systemeinstellungen“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Systemeinstellungen“ für Zertifikatregeln ausführbarer Dateien für SRP und optionale Subsysteme aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Benutzerkontensteuerung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Benutzerkontensteuerung“ für Administratormodus, Verhalten der Eingabeaufforderung für erhöhte Rechte und die Virtualisierung von Fehlern bei Schreibvorgängen für Dateien und Registrierung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitseinstellungen: Kontorichtlinien“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitseinstellungen: Kontorichtlinien“ für Kennwortverlauf, Kennwortalter, Kennwortlänge, Kennwortkomplexität und die Speicherung von Kennwörtern mit umkehrbarer Verschlüsselung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Kontoanmeldung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Kontoanmeldung“ zum Überwachen der Überprüfung von Anmeldeinformationen und anderer Kontoanmeldeereignisse aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Kontoverwaltung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Kontoverwaltung“ zum Überwachen der Anwendungs-, Sicherheits- und Benutzergruppenverwaltung und anderer Verwaltungsereignisse aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ zum Überwachen von DPAPI, Prozesserstellung/-beendigung, RPC-Ereignissen und PNP-Aktivität aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Anmelden/Abmelden“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Anmelden/Abmelden“ zum Überwachen von IPSec, Netzwerkrichtlinie, Ansprüchen, Kontosperrung, Gruppenmitgliedschaft und Anmelde-/Abmeldeereignissen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Objektzugriff“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Objektzugriff“ zum Überwachen von Dateien, Registrierung, SAM, Speicher, Filterung, Kernel und weiteren Systemtypen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Richtlinienänderung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Kontoanmeldung“ zum Überwachen von Änderungen an Systemüberwachungsrichtlinien aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Rechteverwendung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Rechteverwendung“ zum Überwachen nicht sensibler und anderer Rechte aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: System“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: System“ zum Überwachen von IPsec-Treiber, Systemintegrität, Systemerweiterungen, Statusänderungen und weiteren Systemereignissen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Zuweisen von Benutzerrechten“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Zuweisen von Benutzerrechten“ für lokale Anmeldung, RDP, Zugriff aus dem Netzwerk und viele weitere Benutzeraktivitäten aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Windows-Komponenten“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Windows-Komponenten“ für Standardauthentifizierung, unverschlüsselten Datenverkehr, Microsoft-Konten, Telemetrie, Cortana und das Windows-Verhalten in Bezug auf weitere Aspekte aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Windows-Firewalleigenschaften“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Windows-Firewalleigenschaften“ für Firewallzustand, Verbindungen, Regelverwaltung und Benachrichtigungen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
[Vorschau:] Windows-Computer müssen die Anforderungen für die Azure Security Center-Baseline erfüllen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Security Center-Baseline nicht ordnungsgemäß konfiguriert ist. AuditIfNotExists, Disabled 1.0.0-preview
Windows-Webserver müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Webserver die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS schützt die Kommunikation über ein Netzwerk, indem Sicherheitszertifikate zum Verschlüsseln einer Verbindung zwischen Computern verwendet werden. AuditIfNotExists, Disabled 2.1.0

HDInsight

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure HDInsight-Cluster müssen in ein virtuelles Netzwerk eingebunden werden Durch die Einbindung von Azure HDInsight-Clustern in ein virtuelles Netzwerk werden erweiterte HDInsight-Netzwerk- und Sicherheitsfeatures freigeschaltet, und Sie erhalten die Kontrolle über Ihre Netzwerksicherheitskonfiguration. Audit, Disabled, Deny 1.0.0
Azure HDInsight-Cluster müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure HDInsight-Cluster zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/hdi.cmk. Audit, Deny, Disabled 1.0.1
Azure HDInsight-Cluster müssen Verschlüsselung auf dem Host zur Verschlüsselung ruhender Daten verwenden Durch das Aktivieren der Verschlüsselung auf dem Host können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn Sie die Verschlüsselung auf dem Host aktivieren, werden die auf dem VM-Host gespeicherten Daten ruhend verschlüsselt und verschlüsselt an den Speicherdienst übermittelt. Audit, Deny, Disabled 1.0.0
Azure HDInsight-Cluster müssen Verschlüsselung während der Übertragung für die Verschlüsselung der Kommunikation zwischen Azure HDInsight-Clusterknoten verwenden Daten können während der Übertragung zwischen Azure HDInsight-Clusterknoten manipuliert werden. Zur Vermeidung von Missbrauch und Manipulation können die Daten durch Aktivieren der Verschlüsselung während der Übertragung verschlüsselt werden. Audit, Deny, Disabled 1.0.0

Internet der Dinge

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau:] Azure IoT Hub muss einen kundenseitig verwalteten Schlüssel zum Verschlüsseln ruhender Daten verwenden Durch die Verschlüsselung ruhender IoT Hub-Daten mithilfe eines kundenseitig verwalteten Schlüssels wird zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln eine weitere Verschlüsselungsebene bereitgestellt. Der Kunde erhält die Kontrolle über die Schlüssel, kann benutzerdefinierte Richtlinien für die Rotation festlegen und durch eine Schlüsselzugriffskontrolle den Zugriff auf die Daten steuern. Kundenseitig verwaltete Schlüssel müssen während der Erstellung des IoT-Hubs konfiguriert werden. Weitere Informationen zum Konfigurieren kundenseitig verwalteter Schlüssel finden Sie unter https://aka.ms/iotcmk. Audit, Deny, Disabled 1.0.0-preview
IoT Hub Device Provisioning-Instanzen für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um eine IoT Hub Device Provisioning Service-Instanz aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/iotdpsvnet. DeployIfNotExists, Disabled 1.0.0
IoT Hub Device Provisioning-Instanz zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie für Ihre IoT Hub Device Provisioning-Instanz den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/iotdpsvnet. Modify, Disabled 1.0.0
IoT Hub Device Provisioning Service-Instanzen mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. DeployIfNotExists, Disabled 1.0.0
Bereitstellen: Azure IoT Hub für die Verwendung privater DNS-Zonen konfigurieren Privates Azure-DNS bietet einen zuverlässigen, sicheren DNS-Dienst zum Verwalten und Auflösen von Domänennamen in einem virtuellen Netzwerk, ohne dass Sie eine benutzerdefinierte DNS-Lösung hinzufügen müssen. Mithilfe von privaten DNS-Zonen können Sie die DNS-Lösung außer Kraft setzen und eigene benutzerdefinierte Domänennamen für einen privaten Endpunkt verwenden. Mit dieser Richtlinie wird eine private DNS-Zone für private IoT Hub-Endpunkte bereitgestellt. DeployIfNotExists, Disabled 1.0.0
Bereitstellen: Azure IoT Hub mit privaten Endpunkten konfigurieren Ein privater Endpunkt ist eine private IP-Adresse, die innerhalb eines kundeneigenen virtuellen Netzwerks zugewiesen wird und über die eine Azure-Ressource erreichbar ist. Mit dieser Richtlinie wird ein privater Endpunkt für Ihre IoT Hub-Instanz bereitgestellt, damit Dienste innerhalb Ihres virtuellen Netzwerks IoT Hub erreichen können, ohne dass Datenverkehr an den öffentlichen Endpunkt von IoT Hub gesendet werden muss. DeployIfNotExists, Disabled 1.0.0
[Vorschau:] IoT Hub-Gerätebereitstellungsdienst muss mithilfe von kundenseitig verwalteten Schlüsseln (CMKs) verschlüsselt werden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für Ihren IoT Hub-Gerätebereitstellungsdienst zu verwalten. Ruhende Daten werden automatisch mit dienstseitig verwalteten Schlüsseln verschlüsselt, aber zur Einhaltung behördlicher Konformitätsstandards werden häufig kundenseitig verwaltete Schlüssel (Customer-Managed Keys, CMKs) benötigt. Mit CMKs können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Weitere Informationen zur CMK-Verschlüsselung finden Sie unter https://aka.ms/dps/CMK. Audit, Deny, Disabled 1.0.0-preview
IoT Hub Device Provisioning Service-Instanzen müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass die IoT Hub Device Provisioning Service-Instanz nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung der IoT Hub Device Provisioning Service-Instanz einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/iotdpsvnet. Audit, Deny, Disabled 1.0.0
IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Ändern: Azure IoT Hub zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Hiermit wird die Eigenschaft für den Zugriff über öffentliche Netzwerke deaktiviert. So wird die Sicherheit erhöht und gewährleistet, dass auf Ihre Azure IoT Hub-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Richtlinie wird der Zugriff über öffentliche Netzwerke auf IoT Hub-Ressourcen deaktiviert. Modify, Disabled 1.0.0
Für IoT Hub muss ein privater Endpunkt aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem private Konnektivität mit IoT Hub ermöglicht wird. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. Audit, Disabled 1.0.0
Für Azure IoT Hub muss der Zugriff über öffentliche Netzwerke deaktiviert sein Hiermit wird die Eigenschaft für den Zugriff über öffentliche Netzwerke deaktiviert. So wird die Sicherheit erhöht und gewährleistet, dass auf Ihre Azure IoT Hub-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Audit, Deny, Disabled 1.0.0
In IoT Hub müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 3.0.1

Key Vault

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für ein verwaltetes Azure Key Vault-HSM muss der Löschschutz aktiviert sein Das böswillige Löschen eines verwalteten Azure Key Vault-HSM kann zu dauerhaftem Datenverlust führen. Ein böswilliger Insider in Ihrer Organisation kann ein verwaltetes Azure Key Vault-HSM löschen oder bereinigen. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für ein vorläufig gelöschtes verwaltetes Azure Key Vault-HSM durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihr verwaltetes Azure Key Vault-HSM während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Audit, Deny, Disabled 1.0.0
[Vorschau:] Für Azure Key Vault muss der Zugriff über öffentliche Netzwerke deaktiviert werden Deaktivieren Sie für Ihren Schlüsseltresor den Zugriff über öffentliche Netzwerke, sodass er nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/akvprivatelink. Audit, Deny, Disabled 1.1.0-preview
[Vorschau:] Azure Key Vault-Instanzen müssen Private Link verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. Audit, Deny, Disabled 1.0.0-preview
[Vorschau:] Zertifikate müssen von der angegebenen integrierten Zertifizierungsstelle ausgestellt werden Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die in Azure integrierten Zertifizierungsstellen angegeben werden, die Zertifikate in Ihrem Schlüsseltresor ausstellen können. Beispiel: Digicert oder GlobalSign. Audit, Deny, Disabled 2.0.0-preview
[Vorschau:] Zertifikate müssen von der angegebenen nicht integrierten Zertifizierungsstelle ausgestellt werden Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die benutzerdefinierten oder internen Zertifizierungsstellen angegeben werden, die Zertifikate in Ihrem Schlüsseltresor ausstellen können. Audit, Deny, Disabled 2.0.0-preview
[Vorschau:] Zertifikate müssen die angegebenen Aktionstrigger für die Gültigkeitsdauer aufweisen Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem angegeben wird, ob nach Ablauf eines bestimmten Prozentsatzes der Zertifikatlaufzeit oder bei Erreichen einer bestimmten Anzahl von Tagen vor Ablauf des Zertifikats eine Aktion zur Zertifikatlebensdauer ausgelöst wird. Audit, Deny, Disabled 2.0.0-preview
[Vorschau:] Zertifikate müssen die angegebene maximale Gültigkeitsdauer aufweisen Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne angegeben wird, für die ein Zertifikat innerhalb Ihres Schlüsseltresors gültig sein darf. Audit, Deny, Disabled 2.1.0-preview
[Vorschau:] Zertifikate dürfen nicht innerhalb der angegebenen Anzahl von Tagen ablaufen Hiermit werden Zertifikate verwaltet, die innerhalb einer angegebenen Anzahl von Tagen ablaufen. So wird sichergestellt, dass Ihre Organisation über genügend Zeit verfügt, vor Ablauf des Zertifikats eine Rotation durchzuführen. Audit, Deny, Disabled 2.0.0-preview
[Vorschau:] Zertifikate müssen zulässige Schlüsseltypen verwenden Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die für Zertifikate zulässigen Schlüsseltypen eingeschränkt werden. Audit, Deny, Disabled 2.0.0-preview
[Vorschau:] Zertifikate mit Kryptografie für elliptische Kurve müssen zulässige Kurvennamen verwenden Hiermit werden die zulässigen Kurvennamen für ECC-Zertifikate verwaltet, die im Schlüsseltresor gespeichert sind. Weitere Informationen finden Sie unter https://aka.ms/akvpolicy. Audit, Deny, Disabled 2.0.0-preview
[Vorschau:] Zertifikate mit Verwendung von RSA-Kryptografie müssen die angegebene Mindestgröße für Schlüssel aufweisen Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem eine mindestens erforderliche Schlüsselgröße für RSA-Zertifikate angegeben wird, die in Ihrem Schlüsseltresor gespeichert sind. Audit, Deny, Disabled 2.0.0-preview
[Vorschau:] Azure Key Vault-Instanzen für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um einen Schlüsseltresor aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/akvprivatelink. DeployIfNotExists, Disabled 1.0.0-preview
[Vorschau:] Azure Key Vault-Instanzen mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. DeployIfNotExists, Disabled 1.0.0-preview
[Vorschau:] Schlüsseltresore zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie für Ihren Schlüsseltresor den Zugriff über öffentliche Netzwerke, sodass er nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/akvprivatelink. Modify, Disabled 1.0.0-preview
Bereitstellen: Diagnoseeinstellungen für Azure Key Vault in Log Analytics-Arbeitsbereich konfigurieren Hiermit werden die Diagnoseeinstellungen für Azure Key Vault zum Streaming von Ressourcenprotokollen in einen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Key Vault-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.0
Bereitstellen: Diagnoseeinstellungen zur Aktivierung eines Event Hubs in einem verwalteten Azure Key Vault-HSM konfigurieren Hiermit werden die Diagnoseeinstellungen für ein verwaltetes Azure Key Vault-HSM zum Streaming an einen regionalen Event Hub bereitgestellt, wenn ein verwaltetes Azure Key Vault-HSM erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.0
Diagnoseeinstellungen für Key Vault in Event Hub bereitstellen Hiermit werden die Diagnoseeinstellungen für Key Vault zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Key Vault-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. deployIfNotExists 2.0.0
[Vorschau:] Key Vault-Schlüssel müssen ein Ablaufdatum aufweisen Kryptografische Schlüssel sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Schlüssel, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, um den Schlüssel zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für kryptografische Schlüssel ein Ablaufdatum festgelegt werden. Audit, Deny, Disabled 1.0.1-preview
[Vorschau:] Key Vault-Geheimnisse müssen ein Ablaufdatum aufweisen Geheimnisse sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Geheimnisse, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, sie zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für Geheimnisse ein Ablaufdatum festgelegt werden. Audit, Deny, Disabled 1.0.1-preview
Für Schlüsseltresore sollte der Löschschutz aktiviert sein. Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Ein böswilliger Insider in Ihrer Organisation kann möglicherweise Schlüsseltresore löschen oder bereinigen. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Audit, Deny, Disabled 1.1.1
Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein. Wenn Sie einen Schlüsseltresor löschen und vorläufiges Löschen nicht aktiviert ist, werden alle Geheimnisse, Schlüssel und Zertifikate, die im Schlüsseltresor gespeichert sind, dauerhaft gelöscht. Das versehentliche Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Vorläufiges Löschen ermöglicht es Ihnen, einen versehentlich gelöschten Schlüsseltresor innerhalb des konfigurierbaren Aufbewahrungszeitraums wiederherzustellen. Audit, Deny, Disabled 1.0.2
[Vorschau:] Schlüssel müssen durch ein Hardwaresicherheitsmodul (HSM) gesichert werden Mit einem Hardwaresicherheitsmodul (HSM) werden Schlüssel gespeichert. Hierbei handelt es sich um eine physische Schutzschicht für kryptografische Schlüssel. Der kryptografische Schlüssel kann ein physisches HSM nicht verlassen, sodass dieser einen höheren Schutz als ein Softwareschlüssel bietet. Audit, Deny, Disabled 1.0.0-preview
[Vorschau:] Schlüssel müssen den angegebenen Kryptografietyp RSA oder ECC aufweisen Für einige Anwendungen ist die Verwendung von Schlüsseln erforderlich, die auf einem bestimmten kryptografischen Typ beruhen. Hiermit erzwingen Sie in Ihrer Umgebung einen bestimmten kryptografischen Schlüsseltyp: RSA oder EC. Audit, Deny, Disabled 1.0.0-preview
[Vorschau:] Schlüssel müssen mehr als die angegebene Anzahl von Tagen vom Ablaufdatum entfernt sein Wenn sich ein Schlüssel zu nah an seinem Ablaufdatum befindet, kann es bei einer organisationsbedingten Verzögerung der Rotation des Schlüssels zu einem Ausfall kommen. Schlüssel sollten nach einer angegebenen Anzahl von Tagen vor ihrem Ablauf rotiert werden, damit genügend Zeit ist, um auf Fehler reagieren zu können. Audit, Deny, Disabled 1.0.0-preview
[Vorschau:] Schlüssel müssen die angegebene maximale Gültigkeitsdauer aufweisen Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne in Tagen angegeben wird, für die ein Schlüssel innerhalb Ihres Schlüsseltresors gültig sein darf. Audit, Deny, Disabled 1.0.0-preview
[Vorschau:] Schlüssel dürfen nicht länger als die angegebene Anzahl von Tagen aktiv sein Geben Sie die Anzahl von Tagen an, die ein Schlüssel aktiv sein soll. Schlüssel, die für einen längeren Zeitraum verwendet werden, erhöhen die Wahrscheinlichkeit, dass ein Angreifer den Schlüssel kompromittieren könnte. Stellen Sie als bewährte Sicherheitsmaßnahme sicher, dass Ihre Schlüssel nicht länger als zwei Jahre aktiv waren. Audit, Deny, Disabled 1.0.0-preview
[Vorschau:] Für Schlüssel mit Kryptografie für elliptische Kurve (ECC) müssen die angegebenen Kurvennamen verwendet werden Schlüssel, die durch Kryptografie für elliptische Kurve gesichert sind, können andere Kurvennamen besitzen. Einige Anwendungen sind nur mit bestimmten elliptischen Kurvenschlüsseln kompatibel. Erzwingen Sie die Typen elliptischer Kurvenschlüssel, die für die Erstellung in Ihrer Umgebung zugelassen sind. Audit, Deny, Disabled 1.0.0-preview
[Vorschau:] Schlüssel mit Verwendung von RSA-Kryptografie müssen eine angegebene Mindestgröße für Schlüssel aufweisen Legen Sie die zulässige Mindestschlüsselgröße fest, die mit ihren Schlüsseltresoren verwendet werden kann. Die Verwendung kleiner RSA-Schlüssel ist kein sicheres Verfahren und verstößt gegen viele Zertifizierungsanforderungen nach Industriestandard. Audit, Deny, Disabled 1.0.0-preview
[Vorschau:] Privater Endpunkt muss für Key Vault konfiguriert werden Mithilfe einer privaten Verbindung können Sie Key Vault mit Ihren Azure-Ressourcen verbinden, ohne Datenverkehr über das öffentliche Internet zu senden. Der private Link bietet umfassenden Schutz vor Datenexfiltration. Audit, Deny, Disabled 1.1.0-preview
In einem verwalteten Azure Key Vault-HSM müssen Ressourcenprotokolle aktiviert sein Sie können eine Überwachung durchführen, indem Sie Ressourcenprotokolle für verwaltete HSMs aktivieren. Auf diese Weise können Sie zu Untersuchungszwecken vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. Befolgen Sie die hier aufgeführten Anweisungen: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. AuditIfNotExists, Disabled 1.0.0
In Key Vault müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 4.0.1
[Vorschau:] Für Geheimnisse muss der Inhaltstyp festgelegt werden Mithilfe eines Inhaltstyptags können Sie identifizieren, ob ein Geheimnis ein Kennwort, eine Verbindungszeichenfolge usw. ist. Andere Geheimnisse haben andere Rotationsanforderungen. Das Inhaltstyptag sollte für Geheimnisse festgelegt werden. Audit, Deny, Disabled 1.0.0-preview
[Vorschau:] Geheimnisse müssen mehr als die angegebene Anzahl von Tagen vom Ablaufdatum entfernt sein Wenn sich ein Geheimnis zu nah an seinem Ablaufdatum befindet, kann es bei einer organisationsbedingten Verzögerung der Rotation des Geheimnisses zu einem Ausfall kommen. Geheimnisse sollten nach einer angegebenen Anzahl von Tagen vor ihrem Ablauf rotiert werden, damit genügend Zeit ist, um auf Fehler reagieren zu können. Audit, Deny, Disabled 1.0.0-preview
[Vorschau:] Geheimnisse müssen die angegebene maximale Gültigkeitsdauer aufweisen Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne in Tagen angegeben wird, für die ein Geheimnis innerhalb Ihres Schlüsseltresors gültig sein darf. Audit, Deny, Disabled 1.0.0-preview
[Vorschau:] Geheimnisse dürfen nicht länger als die angegebene Anzahl von Tagen aktiv sein Wenn Ihre Geheimnisse mit einem in der Zukunft liegenden Aktivierungsdatum erstellt wurden, müssen Sie sicherstellen, dass Ihre Geheimnisse nicht länger als für die angegebene Dauer aktiv sind. Audit, Deny, Disabled 1.0.0-preview

Kubernetes

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau:] Für Azure Arc-fähige Kubernetes-Cluster muss die Azure Defender-Erweiterung installiert sein Die Azure Defender-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten aus allen Knoten der Steuerungsebene (Master) im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arc. AuditIfNotExists, Disabled 1.0.0-preview
Private Azure Kubernetes Service-Cluster müssen aktiviert sein Aktivieren Sie das Feature für private Cluster für Ihren Azure Kubernetes Service-Cluster, um den Netzwerkdatenverkehr zwischen Ihrem API-Server und Ihren Knotenpools auf das private Netzwerk zu beschränken. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. Audit, Deny, Disabled 1.0.0
Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) erweitert Gatekeeper v3, einen OPA-Webhook (Open Policy Agent) für die Zugangssteuerung, um umfassende Durchsetzungen und Schutzvorrichtungen für Ihre Cluster zentral und konsistent anzuwenden. Audit, Disabled 1.0.2
Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden Das Verschlüsseln von Datenträgern für Betriebssystem und Daten mithilfe von kundenseitig verwalteten Schlüsseln bietet mehr Kontrolle und größere Flexibilität bei der Schlüsselverwaltung. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. Audit, Deny, Disabled 1.0.0
Kubernetes-Cluster mit der angegebenen GitOps-Konfiguration unter Verwendung von HTTPS-Geheimnissen konfigurieren Hiermit wird durch eine Bereitstellung von „sourceControlConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition müssen HTTPS-Benutzer und -Schlüsselgeheimnisse in Key Vault gespeichert werden. Anweisungen finden Sie unter https://aka.ms/K8sGitOpsPolicy. deployIfNotExists, auditIfNotExists, disabled 1.0.0
Kubernetes-Clustern mit der angegebenen GitOps-Konfiguration ohne Verwendung von Geheimnissen konfigurieren Hiermit wird durch eine Bereitstellung von „sourceControlConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition werden keine Geheimnisse benötigt. Anweisungen finden Sie unter https://aka.ms/K8sGitOpsPolicy. deployIfNotExists, auditIfNotExists, disabled 1.0.0
Kubernetes-Cluster mit der angegebenen GitOps-Konfiguration unter Verwendung von SSH-Geheimnissen konfigurieren Hiermit wird durch eine Bereitstellung von „sourceControlConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition muss ein Geheimnis für einen privaten SSH-Schlüssel in Key Vault gespeichert werden. Anweisungen finden Sie unter https://aka.ms/K8sGitOpsPolicy. deployIfNotExists, auditIfNotExists, disabled 1.0.0
Bereitstellen: Diagnoseeinstellungen für Azure Kubernetes Service in Log Analytics-Arbeitsbereich konfigurieren Hiermit werden die Diagnoseeinstellungen für Azure Kubernetes Service bereitgestellt, um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu streamen. DeployIfNotExists, Disabled 1.0.0
Azure Policy-Add-On für Azure Kubernetes Service-Cluster bereitstellen Verwenden Sie das Azure Policy-Add-On, um den Konformitätsstatus Ihrer AKS-Cluster (Azure Kubernetes Service) zu verwalten und zu melden. Weitere Informationen finden Sie unter https://aka.ms/akspolicydoc. deployIfNotExists 1.0.0
CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten Hiermit werden Ressourcenlimits für Container-CPU und Arbeitsspeicher erzwungen, um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 6.0.0
Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben Hiermit wird verhindert, dass Podcontainer die Namespaces für Hostprozess-ID und Host-IPC in einem Kubernetes-Cluster freigeben. Diese Empfehlung ist Bestandteil von CIS 5.2.2 und CIS 5.2.3, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 3.0.0
Container in einem Kubernetes-Cluster dürfen keine unzulässigen sysctl-Schnittstellen verwenden Hiermit wird verhindert, dass Container unzulässige sysctl-Schnittstellen in einem Kubernetes-Cluster verwenden. Diese Empfehlung ist Teil der Podsicherheitsrichtlinien, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 4.0.0
Container in einem Kubernetes-Cluster dürfen nur an zugelassenen Ports lauschen Hiermit wird erzwungen, dass Container nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 6.1.0
Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden Hiermit wird sichergestellt, dass Container nur zugelassene AppArmor-Profile in einem Kubernetes-Cluster verwenden dürfen. Diese Empfehlung ist Teil der Podsicherheitsrichtlinien, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 3.0.0
Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden Hiermit wird durch eine Einschränkung von Funktionen die Angriffsfläche von Containern in einem Kubernetes-Cluster verringert. Diese Empfehlung ist Bestandteil von CIS 5.2.8 und CIS 5.2.9, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 3.0.0
Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden Hiermit werden Images aus vertrauenswürdigen Registrierungen verwendet. So wird das Risiko einer Einführung unbekannter Schwachstellen, Sicherheitsprobleme und schädlicher Images für Ihren Kubernetes-Clusters verringert. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 6.1.0
Container in einem Kubernetes-Cluster dürfen nur einen zulässigen ProcMountType verwenden Hiermit wird sichergestellt, dass Podcontainer nur zugelassene ProcMountTypes in einem Kubernetes-Cluster verwenden können. Diese Empfehlung ist Teil der Podsicherheitsrichtlinien, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 4.0.0
Container in einem Kubernetes-Cluster dürfen nur zulässige seccomp-Profile verwenden Hiermit wird sichergestellt, dass Podcontainer nur zugelassene seccomp-Profile in einem Kubernetes-Cluster verwenden können. Diese Empfehlung ist Teil der Podsicherheitsrichtlinien, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 3.0.0
Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden Hiermit werden Container mit einem schreibgeschützten Stammdateisystem ausgeführt. So werden Container vor Änderungen zur Laufzeit geschützt, bei denen in einem Kubernetes-Cluster schädliche Binärdateien in PATH eingefügt werden. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 3.0.0
Pods in einem Kubernetes-Cluster dürfen nur zulässige FlexVolume-Volumes verwenden Hiermit wird sichergestellt, dass FlexVolume-Podvolumes in einem Kubernetes-Cluster nur zugelassene Treiber verwenden können. Diese Empfehlung ist Teil der Podsicherheitsrichtlinien, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 3.0.0
Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden Hiermit wird die Bereitstellung von Pod HostPath-Volumes auf die zugelassenen Hostpfade in einem Kubernetes-Cluster beschränkt. Diese Empfehlung ist Teil der Podsicherheitsrichtlinien, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 3.0.0
Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden Hiermit werden die IDs für Benutzer, primäre Gruppen, zusätzliche Gruppen und Dateisystemgruppen gesteuert, die Pods und Container zur Ausführung in einem Kubernetes-Cluster verwenden können. Diese Empfehlung ist Teil der Podsicherheitsrichtlinien, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 3.0.0
Kubernetes-Clusterpods und -container dürfen nur zulässige SELinux-Optionen verwenden. Hiermit wird sichergestellt, dass Pods und Container nur zugelassene SELinux-Optionen in einem Kubernetes-Cluster verwenden können. Diese Empfehlung ist Teil der Podsicherheitsrichtlinien, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 4.0.0
Pods in Kubernetes-Clustern dürfen nur zulässige Volumetypen verwenden Hiermit wird sichergestellt, dass Pods nur zugelassene Volumetypen in einem Kubernetes-Cluster verwenden können. Diese Empfehlung ist Teil der Podsicherheitsrichtlinien, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 3.0.0
Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden Schränken Sie den Podzugriff auf das Hostnetzwerk und den zulässigen Hostportbereich in einem Kubernetes-Cluster ein. Diese Empfehlung ist Teil von CIS 5.2.4, um die Sicherheit Ihrer Kubernetes-Umgebungen zu verbessern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 3.0.0
Pods in einem Kubernetes-Cluster müssen die angegebenen Bezeichnungen verwenden Hiermit werden die angegebenen Bezeichnungen verwendet, um die Pods in einem Kubernetes-Cluster zu identifizieren. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 6.0.0
Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen Hiermit wird erzwungen, dass Dienste nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 6.1.0
Von Kubernetes-Clusterdiensten dürfen nur zulässige externe IP-Adressen verwendet werden. Verwenden Sie zulässige externe IP-Adressen, um den potenziellen Angriff (CVE-2020-8554) in einem Kubernetes-Cluster zu vermeiden. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 3.0.0
Kubernetes-Cluster dürfen keine privilegierten Container zulassen Hiermit wird verhindert, dass privilegierte Container in einem Kubernetes-Cluster erstellt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.1, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 6.0.0
Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 6.0.0
[Vorschau:] Kubernetes-Cluster müssen die automatische Bereitstellung von API-Anmeldeinformationen deaktivieren Deaktivieren Sie die automatische Bereitstellung von API-Anmeldeinformationen, damit eine potenziell kompromittierte Podressource keine API-Befehle für Kubernetes-Cluster ausführen kann. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 2.0.0-preview
Kubernetes-Cluster dürfen keine Rechteausweitung zulassen Hiermit wird verhindert, dass Container mit einer Rechteausweitung auf „Root“ in einem Kubernetes-Cluster ausgeführt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.5, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 3.0.0
[Vorschau:] Kubernetes-Cluster dürfen keine spezifischen CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren Schränken Sie CAP_SYS_ADMIN-Linux-Funktionen ein, um die Angriffsfläche Ihrer Container zu verringern. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 2.0.0-preview
[Vorschau:] Kubernetes-Cluster dürfen keine spezifischen Sicherheitsfunktionen verwenden Unterbinden Sie bestimmte Sicherheitsfunktionen in Kubernetes-Clustern, um nicht erteilte Berechtigungen für die Podressource zu vermeiden. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 2.0.0-preview
[Vorschau:] Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden Verhindern Sie die Verwendung des Standardnamespace in Kubernetes-Clustern, um ConfigMap-, Pod-, Geheimnis-, Dienst- und Dienstkontoressourcen vor einem nicht autorisierten Zugriff zu schützen. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 2.0.0-preview
Kubernetes-Cluster müssen interne Lastenausgleichsmodule verwenden Hiermit wird über interne Lastenausgleichsmodule sichergestellt, dass eine Kubernetes Service-Instanz nur für Anwendungen zugänglich sind, die im selben virtuellen Netzwerk wie der Kubernetes-Cluster ausgeführt werden. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 6.0.0
Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. Um die Datensicherheit zu erhöhen, sollten die auf dem VM-Host Ihrer Azure Kubernetes Service-Knoten-VMs gespeicherten Daten im Ruhezustand verschlüsselt werden. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. Audit, Deny, Disabled 1.0.0

Lighthouse

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Allow managing tenant ids to onboard through Azure Lighthouse (Verwaltungsmandanten-IDs das Onboarding über Azure Lighthouse gestatten) Das Beschränken der Azure Lighthouse-Delegierungen auf bestimmte Verwaltungsmandanten erhöht die Sicherheit, da sich der Personenkreis verkleinert, der Ihre Azure-Ressourcen verwalten kann. deny 1.0.1
Delegierung von Bereichen an Verwaltungsmandanten überwachen Hiermit wird die Delegierung von Bereichen an einen Verwaltungsmandanten über Azure Lighthouse überwacht. Audit, Disabled 1.0.0

Logic Apps

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Logic Apps-Integrationsdienstumgebung muss mit kundenseitig verwalteten Schlüsseln verschlüsselt werden Führen Sie eine Bereitstellung in einer Integrationsdienstumgebung durch, um die Verschlüsselung ruhender Logic Apps-Daten mithilfe kundenseitig verwalteter Schlüssel zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Audit, Deny, Disabled 1.0.0
Logic Apps muss in Integrationsdienstumgebung bereitgestellt werden Durch das Bereitstellen von Logic Apps in einer Integrationsdienstumgebung in einem virtuellen Netzwerk werden erweiterte Logic Apps-Netzwerkfeatures und -Sicherheitsfeatures freigeschaltet, und Sie erhalten mehr Kontrolle über Ihre Netzwerkkonfiguration. Weitere Informationen finden Sie unter https://aka.ms/integration-service-environment. Durch die Bereitstellung in einer Integrationsdienstumgebung ist es außerdem möglich, eine Verschlüsselung mit kundenseitig verwalteten Schlüsseln durchzuführen. Diese Option bietet erweiterten Datenschutz, weil Sie Ihre Verschlüsselungsschlüssel selbst verwalten können. Dies ist häufig erforderlich, um die Konformitätsanforderungen zu erfüllen. Audit, Deny, Disabled 1.0.0
In Logic Apps müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 4.0.1

Machine Learning

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden. Verwalten Sie die Verschlüsselung ruhender Daten für Daten im Azure Machine Learning-Arbeitsbereich mit kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/azureml-workspaces-cmk. Audit, Deny, Disabled 1.0.3
Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Deny, Disabled 1.1.0
Azure Machine Learning-Arbeitsbereiche müssen eine benutzerseitig zugewiesene verwaltete Identität verwenden Verwalten Sie den Zugriff auf den Azure ML-Arbeitsbereich und die zugehörigen Ressourcen, Azure Container Registry, Key Vault, Storage und App Insights mithilfe einer benutzerseitig zugewiesenen verwalteten Identität. Standardmäßig verwendet der Azure ML-Arbeitsbereich eine systemseitig zugewiesene verwaltete Identität für den Zugriff auf die zugehörigen Ressourcen. Bei Verwendung einer benutzerseitig zugewiesenen verwalteten Identität können Sie die Identität als Azure-Ressource erstellen und den Lebenszyklus dieser Identität verwalten. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. Audit, Deny, Disabled 1.0.0
[Vorschau:] Zulässige Modulautoren für angegebene Azure Machine Learning-Computeressourcen konfigurieren Hiermit können Sie zulässige Modulautoren in den angegebenen Azure Machine Learning-Computeressourcen bereitstellen. Die Zuweisung kann im Arbeitsbereich erfolgen. Weitere Informationen finden Sie unter https://aka.ms/amlpolicydoc. enforceSetting, deaktiviert 2.1.0-preview
[Vorschau:] Zulässige Python-Pakete für angegebene Azure Machine Learning-Computeressourcen konfigurieren Hiermit können Sie zulässige Python-Pakete in den angegebenen Azure Machine Learning-Computeressourcen bereitstellen. Die Zuweisung kann im Arbeitsbereich erfolgen. Weitere Informationen finden Sie unter https://aka.ms/amlpolicydoc. enforceSetting, deaktiviert 2.0.0-preview
[Vorschau:] Zulässige Registrierungen für angegebene Azure Machine Learning-Computeressourcen konfigurieren Hiermit können Sie in den angegebenen Azure Machine Learning-Computeressourcen zulässige Registrierungen bereitstellen. Die Zuweisung kann im Arbeitsbereich erfolgen. Weitere Informationen finden Sie unter https://aka.ms/amlpolicydoc. enforceSetting, deaktiviert 2.0.0-preview
[Vorschau:] Genehmigungsendpunkt zum Aufrufen vor dem Ausführen von Aufträgen für die angegebenen Azure Machine Learning-Computeressourcen konfigurieren Diese Richtlinie unterstützt Sie bei der Konfiguration eines Genehmigungsendpunkts, der vor der Ausführung von Aufträgen für die angegebenen Azure Machine Learning-Computeressourcen aufgerufen wird. Die Zuweisung kann im Arbeitsbereich erfolgen. Weitere Informationen. Weitere Informationen finden Sie unter https://aka.ms/amlpolicydoc. enforceSetting, deaktiviert 2.1.0-preview
Azure Machine Learning-Arbeitsbereich für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Azure Machine Learning-Arbeitsbereiche aufzulösen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. DeployIfNotExists, Disabled 1.0.0
Azure Machine Learning-Arbeitsbereiche mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Machine Learning-Arbeitsbereich können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. DeployIfNotExists, Disabled 1.0.0
[Vorschau:] Codesignieren für Trainingscode für angegebene Azure Machine Learning-Computeressourcen konfigurieren Hiermit können Sie Codesignieren für Trainingscode in den angegebenen Azure Machine Learning-Computeressourcen bereitstellen. Die Zuweisung kann im Arbeitsbereich erfolgen. Weitere Informationen finden Sie unter https://aka.ms/amlpolicydoc. enforceSetting, deaktiviert 2.1.0-preview
[Vorschau:] Protokollfilterausdrücke und Datenspeicher zur Verwendung für vollständige Protokolle für die angegebenen Azure Machine Learning-Computeressourcen konfigurieren Hiermit stellen Sie den Protokollfilterausdruck und den Datenspeicher zur Verwendung für vollständige Protokolle in den angegebenen Azure Machine Learning-Computeressourcen bereit. Die Zuweisung kann im Arbeitsbereich erfolgen. Weitere Informationen finden Sie unter https://aka.ms/amlpolicydoc. enforceSetting, deaktiviert 2.0.0-preview

Verwaltete Anwendung

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Die Anwendungsdefinition für die verwaltete Anwendung sollte ein vom Kunden angegebenes Speicherkonto verwenden. Verwenden Sie Ihr eigenes Speicherkonto, um die Anwendungsdefinitionsdaten zu steuern, wenn dies gesetzlich vorgeschrieben ist oder als Konformitätsanforderung gilt. Sie können die Definition der verwalteten Anwendung in einem von Ihnen während der Erstellung angegebenen Speicherkonto speichern. Dadurch können sein Speicherort und der Zugriff zur Erfüllung Ihrer gesetzlichen Konformitätsanforderungen vollständig von Ihnen verwaltet werden. Audit, Deny, Disabled 1.0.0
Zuordnungen für eine verwaltete Anwendung bereitstellen Hiermit wird eine Zuordnungsressource bereitgestellt, die der angegebenen verwalteten Anwendung ausgewählte Ressourcentypen zuordnet. Diese Richtlinienbereitstellung unterstützt keine geschachtelten Ressourcentypen. deployIfNotExists 1.0.0

Migrieren

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Migrate-Ressourcen für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Ihr Azure Migrate-Projekt aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0

Überwachung

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau:] [Private ASC-Vorschau] Bereitstellen: Systemseitig zugewiesene verwaltete Identität zum Aktivieren von Azure Monitor-Zuweisungen für VMs konfigurieren [Private ASC-Vorschau] Konfigurieren Sie eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs, die von Azure Monitor unterstützt werden und über keine systemseitig zugewiesene verwaltete Identität verfügen. Eine systemseitig zugewiesene verwaltete Identität ist Voraussetzung für sämtliche Azure Monitor-Zuweisungen und muss den Computern zugewiesen werden, bevor eine Azure Monitor-Erweiterung verwendet wird. Ziel-VMs müssen sich an einem unterstützten Standort befinden. modify 1.2.0-preview
Das Aktivitätsprotokoll muss mindestens ein Jahr lang aufbewahrt werden Diese Richtlinie überwacht das Aktivitätsprotokoll, wenn die Aufbewahrung nicht auf 365 Tage oder unbegrenzt (Festlegung der Aufbewahrungstage auf 0) festgelegt ist. AuditIfNotExists, Disabled 1.0.0
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. AuditIfNotExists, Disabled 1.0.0
Für bestimmte Richtlinienvorgänge muss eine Aktivitätsprotokollwarnung vorliegen Diese Richtlinie überwacht bestimmte Richtlinienvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. AuditIfNotExists, Disabled 3.0.0
Für bestimmte Sicherheitsvorgänge muss eine Aktivitätsprotokollwarnung vorliegen Diese Richtlinie überwacht bestimmte Sicherheitsvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. AuditIfNotExists, Disabled 1.0.0
Überwachen der Diagnoseeinstellung Hiermit wird die Diagnoseeinstellung für ausgewählte Ressourcentypen überwacht. Auswirkung „AuditIfNotExists“ 1.0.0
Log Analytics-Arbeitsbereich für VM überwachen – Berichtskonflikt Meldet VMs als nicht konform, wenn sie keine Protokolle an den in der Richtlinien-/Initiativenzuweisung angegebenen Log Analytics-Arbeitsbereich senden. Überwachung 1.0.1
Das Azure Monitor-Protokollprofil muss Protokolle für die Kategorien „write“, „delete“ und „action“ erfassen Diese Richtlinie stellt sicher, dass ein Protokollprofil Protokolle für die Kategorien „write“, „delete“ und „action“ sammelt. AuditIfNotExists, Disabled 1.0.0
Azure Monitor-Protokollcluster müssen mit aktivierter Infrastrukturverschlüsselung erstellt werden (Mehrfachverschlüsselung) Verwenden Sie einen dedizierten Azure Monitor-Cluster, um sicherzustellen, dass die sichere Datenverschlüsselung auf der Dienst- und Infrastrukturebene mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei unterschiedlichen Schlüsseln aktiviert ist. Diese Option ist standardmäßig aktiviert, sofern sie in der jeweiligen Region unterstützt wird. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. Audit, Deny, Disabled 1.0.0
Azure Monitor-Protokollcluster müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden Erstellen Sie Azure Monitor-Protokollcluster mit Verschlüsselung durch kundenseitig verwaltete Schlüssel. Standardmäßig werden die Protokolldaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind aber häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit dem kundenseitig verwalteten Schlüssel in Azure Monitor haben Sie eine bessere Kontrolle über den Zugriff auf Ihre Daten. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. Audit, Deny, Disabled 1.0.0
Azure Monitor-Protokolle für Application Insights müssen mit einem Log Analytics-Arbeitsbereich verknüpft sein Verknüpfen Sie die Application Insights-Komponente für die Protokollverschlüsselung mit einem Log Analytics-Arbeitsbereich. Kundenseitig verwaltete Schlüssel sind häufig erforderlich, um gesetzliche Bestimmungen einzuhalten und eine bessere Kontrolle des Zugriffs auf Ihre Daten in Azure Monitor zu erhalten. Durch das Verknüpfen Ihrer Komponente mit einem Log Analytics-Arbeitsbereich, für den ein kundenseitig verwalteter Schlüssel aktiviert ist, wird sichergestellt, dass Ihre Application Insights-Protokolle diese Konformitätsanforderung erfüllen. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. Audit, Deny, Disabled 1.0.0
Azure Monitor muss Aktivitätsprotokolle aus allen Regionen erfassen Diese Richtlinie überwacht das Azure Monitor-Protokollprofil darauf, dass keine Aktivitäten aus allen unterstützten Azure-Regionen, einschließlich „Global“, exportiert werden. AuditIfNotExists, Disabled 1.0.0
Azure Monitor-Lösung „Sicherheit und Überwachung“ muss bereitgestellt werden Diese Richtlinie stellt sicher, dass „Sicherheit und Überwachung“ bereitgestellt wird. AuditIfNotExists, Disabled 1.0.0
Azure-Abonnements benötigen ein Protokollprofil für das Aktivitätsprotokoll Diese Richtlinie stellt sicher, dass ein Protokollprofil für den Export von Aktivitätsprotokollen aktiviert ist. Sie überwacht, ob für den Export der Protokolle entweder in ein Speicherkonto oder in einen Event Hub ein Protokollprofil erstellt wurde. AuditIfNotExists, Disabled 1.0.0
Azure-Aktivitätsprotokolle zum Streaming an einen angegebenen Log Analytics-Arbeitsbereich konfigurieren Legt Diagnoseeinstellungen für Azure-Aktivitäten fest, damit Überwachungsprotokolle von Abonnements an einen Log Analytics-Arbeitsbereich gestreamt werden, um Ereignisse auf Abonnementebene zu überwachen. DeployIfNotExists, Disabled 1.0.0
Dependency-Agent für Linux-Server mit Azure Arc-Unterstützung konfigurieren Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die VM-Erweiterung für den Dependency-Agent installieren. VM Insights nutzt den Dependency-Agent, um Netzwerkmetriken zu sammeln und Daten zu auf dem Computer ausgeführten Prozessen sowie externe Prozessabhängigkeiten zu erfassen. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 1.2.0
Dependency-Agent für Windows-Server mit Azure Arc-Unterstützung konfigurieren Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die VM-Erweiterung für den Dependency-Agent installieren. VM Insights nutzt den Dependency-Agent, um Netzwerkmetriken zu sammeln und Daten zu auf dem Computer ausgeführten Prozessen sowie externe Prozessabhängigkeiten zu erfassen. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 1.2.1
Log Analytics-Agent für Linux-Server mit Azure Arc-Unterstützung konfigurieren Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die VM-Erweiterung für den Log Analytics-Agent installieren. VM Insights nutzt den Log Analytics-Agent, um Daten zum Gastbetriebssystem zu sammeln und liefert Erkenntnisse zu dessen Leistung. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 1.2.0
Log Analytics-Agent für Windows-Server mit Azure Arc-Unterstützung konfigurieren Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die VM-Erweiterung für den Log Analytics-Agent installieren. VM Insights nutzt den Log Analytics-Agent, um Daten zum Gastbetriebssystem zu sammeln und liefert Erkenntnisse zu dessen Leistung. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 1.2.0
Für die aufgelisteten VM-Images muss der Dependency-Agent aktiviert werden Meldet VMs als nicht konform, wenn das VM-Image nicht in der definierten Liste enthalten und der Agent nicht installiert ist. Die Liste der Betriebssystemimages wird mit der Zeit aktualisiert, während Unterstützung hinzugefügt wird. AuditIfNotExists, Disabled 2.0.0
Für die aufgelisteten VM-Images muss der Dependency-Agent in VM-Skalierungsgruppen aktiviert werden Meldet VM-Skalierungsgruppen als nicht konform, wenn das VM-Image nicht in der definierten Liste enthalten und der Agent nicht installiert ist. Die Liste der Betriebssystemimages wird mit der Zeit aktualisiert, während Unterstützung hinzugefügt wird. AuditIfNotExists, Disabled 2.0.0
Bereitstellen: Aktivierung des Dependency-Agents in Windows-VM-Skalierungsgruppen konfigurieren Hiermit wird der Dependency-Agent für Windows-VM-Skalierungsgruppen bereitgestellt, wenn das VM-Image in der definierten Liste vorhanden und der Agent nicht installiert ist. Wenn für Ihre Skalierungsgruppe „upgradePolicy“ auf „Manual“ festgelegt ist, müssen Sie die Erweiterung auf alle VMs in der Gruppe anwenden, indem Sie diese aktualisieren. DeployIfNotExists, Disabled 2.0.0
Bereitstellen: Aktivierung des Dependency-Agents auf Windows-VMs konfigurieren Hiermit wird der Dependency-Agent für Windows-VMs bereitgestellt, wenn das VM-Image in der definierten Liste vorhanden und der Agent nicht installiert ist. DeployIfNotExists, Disabled 2.0.0
Bereitstellen: Diagnoseeinstellungen zur Aktivierung eines Log Analytics-Arbeitsbereichs in einem verwalteten Azure Key Vault-HSM konfigurieren Hiermit werden die Diagnoseeinstellungen für ein verwaltetes Azure Key Vault-HSM zum Streaming an einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn ein verwaltetes Azure Key Vault-HSM erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.0
[Vorschau]: Bereitstellen: Azure Monitor-Agent für Linux zum Aktivieren von Azure Monitor-Zuweisungen für Linux-VMs konfigurieren Konfigurieren Sie den Azure Monitor-Agent für Linux auf Linux-VMs, die in Azure gehostet und von Azure Monitor unterstützt werden. Der Azure Monitor-Agent erfasst Ereignisse von der VM, die zum Bereitstellen von Empfehlungen verwendet werden können. Ziel-VMs müssen sich an einem unterstützten Standort befinden. deployIfNotExists 1.0.0-preview
Bereitstellen: Aktivierung des Log Analytics-Agents in Windows-VM-Skalierungsgruppen konfigurieren Hiermit wird der Log Analytics-Agent für Windows-VM-Skalierungsgruppen bereitgestellt, wenn das VM-Image in der definierten Liste vorhanden und der Agent nicht installiert ist. Wenn für Ihre Skalierungsgruppe „upgradePolicy“ auf „Manual“ festgelegt ist, müssen Sie die Erweiterung auf alle VMs in der Gruppe anwenden, indem Sie diese aktualisieren. DeployIfNotExists, Disabled 2.0.0
Bereitstellen: Aktivierung des Log Analytics-Agents auf Windows-VMs konfigurieren Hiermit wird der Log Analytics-Agent für Windows-VMs bereitgestellt, wenn das VM-Image in der definierten Liste vorhanden und der Agent nicht installiert ist. DeployIfNotExists, Disabled 2.0.0
[Vorschau]: Bereitstellen: Azure Monitor-Agent für Windows zum Aktivieren von Azure Monitor-Zuweisungen für Windows-VMs konfigurieren Konfigurieren Sie den Azure Monitor-Agent für Windows auf Windows-VMs, die in Azure gehostet und von Azure Monitor unterstützt werden. Der Azure Monitor-Agent erfasst Ereignisse von der VM, die zum Bereitstellen von Empfehlungen verwendet werden können. Ziel-VMs müssen sich an einem unterstützten Standort befinden. deployIfNotExists 1.0.0-preview
Dependency-Agent für Linux-VM-Skalierungsgruppen bereitstellen Hiermit wird der Dependency-Agent für Linux-VM-Skalierungsgruppen bereitgestellt, wenn das VM-Image (Betriebssystem) in der definierten Liste enthalten und der Agent nicht installiert ist. Hinweis: Wenn „upgradePolicy“ für Ihre Skalierungsgruppe auf „Manuell“ festgelegt ist, müssen Sie die Erweiterung auf alle virtuellen Computer in der Gruppe anwenden, indem Sie dafür ein Upgrade aufrufen. Führen Sie dazu in der CLI „az vmss update-instances“ aus. deployIfNotExists 1.3.0
Dependency-Agent für Linux-VMs bereitstellen Geben Sie den Dependency-Agent für Linux-VMs an, wenn das VM-Image (Betriebssystem) in der definierten Liste enthalten und der Agent nicht installiert ist. deployIfNotExists 1.3.0
Diagnoseeinstellungen für Batch-Konto in Event Hub bereitstellen Hiermit werden die Diagnoseeinstellungen für ein Batch-Konto zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn ein Batch-Konto erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 2.0.0
Diagnoseeinstellungen für Batch-Konto in Log Analytics-Arbeitsbereich bereitstellen Hiermit werden die Diagnoseeinstellungen für ein Batch-Konto zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn ein Batch-Konto erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.0
Diagnoseeinstellungen für Data Lake Analytics in Event Hub bereitstellen Hiermit werden die Diagnoseeinstellungen für Data Lake Analytics zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Data Lake Analytics-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 2.0.0
Diagnoseeinstellungen für Data Lake Analytics in Log Analytics-Arbeitsbereich bereitstellen Hiermit werden die Diagnoseeinstellungen für Data Lake Analytics zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Data Lake Analytics-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.0
Diagnoseeinstellungen für Data Lake Storage Gen1 in Event Hub bereitstellen Hiermit werden die Diagnoseeinstellungen für Data Lake Storage Gen1 zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Data Lake Storage Gen1-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 2.0.0
Diagnoseeinstellungen für Data Lake Storage Gen1 in Log Analytics-Arbeitsbereich bereitstellen Hiermit werden die Diagnoseeinstellungen für Data Lake Storage Gen1 zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Data Lake Storage Gen1-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.0
Diagnoseeinstellungen für Event Hub in Event Hub bereitstellen Hiermit werden die Diagnoseeinstellungen für Event Hub zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Event Hub-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 2.1.0
Diagnoseeinstellungen für Event Hub in Log Analytics-Arbeitsbereich bereitstellen Hiermit werden die Diagnoseeinstellungen für Event Hub zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Event Hub-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.1.0
Diagnoseeinstellungen für Key Vault in Log Analytics-Arbeitsbereich bereitstellen Hiermit werden die Diagnoseeinstellungen für Key Vault zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Key Vault-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.0
Diagnoseeinstellungen für Logic Apps in Event Hub bereitstellen Hiermit werden die Diagnoseeinstellungen für Logic Apps zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Logic Apps-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 2.0.0
Diagnoseeinstellungen für Logic Apps in Log Analytics-Arbeitsbereich bereitstellen Hiermit werden die Diagnoseeinstellungen für Logic Apps zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Logic Apps-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.0
Diagnoseeinstellungen für Netzwerksicherheitsgruppen bereitstellen Diese Richtlinie stellt automatisch Diagnoseeinstellungen für Netzwerksicherheitsgruppen bereit. Es wird automatisch ein Speicherkonto mit dem Namen „{storagePrefixParameter}{NSGLocation}“ erstellt. deployIfNotExists 1.0.0
Diagnoseeinstellungen für Suchdienste in Event Hub bereitstellen Hiermit werden die Diagnoseeinstellungen für Suchdienste zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn ein Suchdienst erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 2.0.0
Diagnoseeinstellungen für Suchdienste in Log Analytics-Arbeitsbereich bereitstellen Hiermit werden die Diagnoseeinstellungen für Suchdienste zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn ein Suchdienst erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.0
Diagnoseeinstellungen für Service Bus in Event Hub bereitstellen Hiermit werden die Diagnoseeinstellungen für Service Bus zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Service Bus-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 2.0.0
Diagnoseeinstellungen für Service Bus in Log Analytics-Arbeitsbereich bereitstellen Hiermit werden die Diagnoseeinstellungen für Service Bus zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Service Bus-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.0
Diagnoseeinstellungen für Stream Analytics in Event Hub bereitstellen Hiermit werden die Diagnoseeinstellungen für Stream Analytics zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Stream Analytics-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 2.0.0
Diagnoseeinstellungen für Stream Analytics in Log Analytics-Arbeitsbereich bereitstellen Hiermit werden die Diagnoseeinstellungen für Stream Analytics zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Stream Analytics-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.0
Log Analytics-Agent für Linux-VM-Skalierungsgruppen bereitstellen Hiermit wird der Log Analytics-Agent für Linux-VM-Skalierungsgruppen bereitgestellt, wenn das VM-Image (Betriebssystem) in der definierten Liste enthalten und der Agent nicht installiert ist. Hinweis: Wenn „upgradePolicy“ für Ihre Skalierungsgruppe auf „Manuell“ festgelegt ist, müssen Sie die Erweiterung auf alle VMs in der Gruppe anwenden, indem Sie dafür ein Upgrade aufrufen. Führen Sie dazu in der CLI „az vmss update-instances“ aus. deployIfNotExists 2.0.0
Log Analytics-Agent für Linux-VMs bereitstellen Stellen Sie den Log Analytics-Agent für Linux-VMs bereit, wenn das VM-Image (Betriebssystem) in der definierten Liste vorhanden und der Agent nicht installiert ist. deployIfNotExists 2.0.0
[Vorschau:] Für die aufgelisteten VM-Images muss der Log Analytics-Agent aktiviert werden Meldet VMs als nicht konform, wenn das VM-Image nicht in der definierten Liste enthalten und der Agent nicht installiert ist. AuditIfNotExists, Disabled 2.0.0-preview
Für die aufgelisteten VM-Images muss der Log Analytics-Agent in VM-Skalierungsgruppen aktiviert werden Meldet VM-Skalierungsgruppen als nicht konform, wenn das VM-Image nicht in der definierten Liste enthalten und der Agent nicht installiert ist. AuditIfNotExists, Disabled 2.0.0
[Vorschau]: Der Log Analytics-Agent muss auf Ihren Azure Arc-Computern unter Linux installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Linux, wenn der Log Analytics-Agent nicht installiert ist. AuditIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Für Azure Arc-Computer unter Windows muss der Log Analytics-Agent installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Windows, wenn der Log Analytics-Agent nicht installiert ist. AuditIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Datensammlungs-Agent für Netzwerkdatenverkehr muss auf Linux-VMs installiert sein Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.1-preview
Für öffentliche IP-Adressen in Azure DDoS Protection Standard müssen Ressourcenprotokolle aktiviert sein Aktivieren Sie Ressourcenprotokolle für öffentliche IP-Adressen in Diagnoseeinstellungen, um Daten an einen Log Analytics-Arbeitsbereich zu streamen. Sie erhalten per Benachrichtigung, anhand von Berichten und Datenflussprotokollen detaillierten Einblick in Angriffsdatenverkehr und Maßnahmen zum Entschärfen von DDoS-Angriffen. AuditIfNotExists, DeployIfNotExists, Disabled 1.0.0
Gespeicherte Abfragen in Azure Monitor müssen zur Protokollverschlüsselung im Kundenspeicherkonto gespeichert werden Verknüpfen Sie das Speicherkonto mit einem Log Analytics-Arbeitsbereich, um gespeicherte Abfragen durch eine Verschlüsselung des Speicherkontos zu schützen. Kundenseitig verwaltete Schlüssel sind häufig erforderlich, um gesetzliche Bestimmungen einzuhalten und eine bessere Kontrolle des Zugriffs auf Ihre gespeicherten Abfragen in Azure Monitor zu erhalten. Ausführlichere Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. Audit, Deny, Disabled 1.0.0
Das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, muss mit BYOK verschlüsselt sein Diese Richtlinie überwacht, ob das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, mit BYOK verschlüsselt ist. Die Richtlinie funktioniert nur, wenn sich das Speicherkonto in demselben Abonnement wie die Aktivitätsprotokolle befindet. Weitere Informationen zur Azure Storage-Verschlüsselung im Ruhezustand finden Sie unter https://aka.ms/azurestoragebyok. AuditIfNotExists, Disabled 1.0.0
Der Log Analytics-Agent sollte in Virtual Machine Scale Sets installiert sein Diese Richtlinie überwacht alle Windows-/Linux-Virtual Machine Scale Sets, wenn der Log Analytics-Agent nicht installiert ist. AuditIfNotExists, Disabled 1.0.0
Der Log Analytics-Agent sollte auf virtuellen Computern installiert werden Diese Richtlinie überwacht alle virtuellen Windows-/Linux-Computer, wenn der Log Analytics-Agent nicht installiert ist. AuditIfNotExists, Disabled 1.0.0
Arbeitsmappen sollten unter von Ihnen kontrollierten Speicherkonten gespeichert werden Mit Bring Your Own Storage (BYOS) werden Ihre Arbeitsmappen in ein Speicherkonto hochgeladen, das Ihrer Kontrolle unterliegt. Dies bedeutet, dass Sie die Richtlinie zur Verschlüsselung ruhender Daten, die Richtlinie zur Verwaltung der Lebensdauer und den Netzwerkzugriff festlegen. Sie sind jedoch auch für die mit diesem Speicherkonto verbundenen Kosten verantwortlich. Weitere Informationen finden Sie unter https://aka.ms/workbooksByos. deny, audit, disabled 1.0.0

Netzwerk

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Eine benutzerdefinierte IPSec-/IKE-Richtlinie muss auf alle Gatewayverbindungen in virtuellen Azure-Netzwerken angewendet werden Mit dieser Richtlinie wird sichergestellt, dass alle Gatewayverbindungen in virtuellen Azure-Netzwerken eine benutzerdefinierte Richtlinie für IPsec (Internetprotokollsicherheit) und IKE (Internetschlüsselaustausch) verwenden. Informationen zu unterstützten Algorithmen und Schlüsselstärken finden Sie unter https://aka.ms/AA62kb0. Audit, Disabled 1.0.0
[Vorschau:] Gesamten Internetdatenverkehr über Ihre bereitgestellte Azure Firewall-Instanz leiten Azure Security Center hat festgestellt, dass einige Ihrer Subnetze nicht durch eine Firewall der nächsten Generation geschützt werden. Schützen Ihrer Subnetze vor möglichen Bedrohungen durch Einschränken des Zugriffs auf die Subnetze mit Azure Firewall oder einer unterstützten Firewall der nächsten Generation AuditIfNotExists, Disabled 3.0.0-preview
App Service sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle App Service-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. AuditIfNotExists, Disabled 1.0.0
Azure-VPN-Gateways dürfen nicht die SKU „Basic“ verwenden Diese Richtlinie stellt sicher, dass für VPN-Gateways nicht die SKU „Basic“ verwendet wird. Audit, Disabled 1.0.0
[Vorschau:] Container Registry muss einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle Container Registry-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0-preview
Cosmos DB sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle Cosmos DB-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0
Ressource für Datenflussprotokolle mit Netzwerksicherheitsgruppe für Ziel bereitstellen Hiermit wird das Datenflussprotokoll für eine bestimmte Netzwerksicherheitsgruppe konfiguriert. Dies ermöglicht die Protokollierung von Informationen über den IP-Datenverkehr, der durch eine Netzwerksicherheitsgruppe fließt. Das Datenflussprotokoll bietet Unterstützung bei der Identifizierung von unbekanntem oder unerwünschtem Datenverkehr, bei der Überprüfung der Netzwerkisolation und bei der Einhaltung von Zugriffsregeln eines Unternehmens sowie bei der Analyse von Netzwerkdatenflüssen von kompromittierten IP-Adressen und Netzwerkschnittstellen. deployIfNotExists 1.0.0
Beim Erstellen virtueller Netzwerke Network Watcher bereitstellen Diese Richtlinie erstellt eine Network Watcher-Ressource in Regionen mit virtuellen Netzwerken. Sie müssen sicherstellen, dass eine Ressourcengruppe namens „networkWatcherRG“ vorhanden ist, die zum Bereitstellen von Network Watcher-Instanzen verwendet wird. Auswirkung „DeployIfNotExists“ 1.0.0
Event Hub sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht jeden Event Hub, der nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert ist. AuditIfNotExists, Disabled 1.0.0
Für jede Netzwerksicherheitsgruppe müssen Datenflussprotokolle konfiguriert sein Hiermit werden Netzwerksicherheitsgruppen überwacht, um sicherzustellen, dass Datenflussprotokolle konfiguriert sind. Durch die Aktivierung von Datenflussprotokollen können Informationen zum IP-Datenverkehr protokolliert werden, der durch die Netzwerksicherheitsgruppe fließt. So können Sie Netzwerkdatenflüsse optimieren, den Durchsatz überwachen, Konformität sicherstellen, Eindringversuche erkennen und mehr. Audit, Disabled 1.1.0
Für jede Netzwerksicherheitsgruppe müssen Datenflussprotokolle aktiviert sein Hiermit werden Datenflussprotokollressourcen überwacht, um zu überprüfen, ob der Datenflussprotokollstatus aktiviert ist. Durch die Aktivierung von Datenflussprotokollen können Informationen zum IP-Datenverkehr protokolliert werden, der durch die Netzwerksicherheitsgruppe fließt. So können Sie Netzwerkdatenflüsse optimieren, den Durchsatz überwachen, Konformität sicherstellen, Eindringversuche erkennen und mehr. Audit, Disabled 1.0.0
Gatewaysubnetze dürfen nicht mit einer Netzwerksicherheitsgruppe konfiguriert werden Diese Richtlinie lehnt Gatewaysubnetze ab, die mit einer Netzwerksicherheitsgruppe konfiguriert sind. Das Zuweisen einer Netzwerksicherheitsgruppe zu einem Gatewaysubnetz führt dazu, dass das Gateway nicht mehr funktioniert. deny 1.0.0
Key Vault sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle Key Vault-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0
Netzwerkschnittstellen müssen die IP-Weiterleitung deaktivieren Diese Richtlinie lehnt Netzwerkschnittstellen ab, für die die IP-Weiterleitung aktiviert ist. Durch die Aktivierung der IP-Weiterleitung wird die Azure-Überprüfung von Quelle und Ziel für eine Netzwerkschnittstelle deaktiviert. Diese Konfiguration muss durch das Netzwerksicherheitsteam überprüft werden. deny 1.0.0
Netzwerkschnittstellen dürfen keine öffentlichen IP-Adressen aufweisen Diese Richtlinie lehnt Netzwerkschnittstellen ab, die mit einer öffentlichen IP-Adresse konfiguriert sind. Anhand öffentlicher IP-Adressen können Internetressourcen in eingehender Richtung mit Azure-Ressourcen und Azure-Ressourcen in ausgehender Richtung mit dem Internet kommunizieren. Diese Konfiguration muss durch das Netzwerksicherheitsteam überprüft werden. deny 1.0.0
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Die Tools zur Netzwerkdiagnose und -visualisierung von Network Watcher helfen Ihnen dabei, Ihr Netzwerk in Azure zu verstehen, Diagnosen durchzuführen und Einblicke zu gewinnen. AuditIfNotExists, Disabled 2.0.0
RDP-Zugriff über das Internet blockieren Diese Richtlinie überwacht jede Netzwerksicherheitsregel, die RDP-Zugriff über das Internet zulässt. Audit, Disabled 2.0.0
Service Bus sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle Service Bus-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. AuditIfNotExists, Disabled 1.0.0
SQL Server sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle SQL Server-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. AuditIfNotExists, Disabled 1.0.0
SSH-Zugriff über das Internet blockieren Diese Richtlinie überwacht jede Netzwerksicherheitsregel, die SSH-Zugriff über das Internet zulässt. Audit, Disabled 2.0.0
Speicherkonten sollten einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle Speicherkonten, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0
Virtuelle Computer müssen mit einem genehmigten virtuellen Netzwerk verbunden sein Diese Richtlinie überwacht alle virtuellen Computer darauf, ob sie mit einem nicht genehmigten virtuellen Netzwerk verbunden sind. Audit, Deny, Disabled 1.0.0
Virtuelle Netzwerke müssen durch Azure DDoS Protection Standard geschützt werden Schützen Sie Ihre virtuellen Netzwerke mit Azure DDoS Protection Standard vor volumetrischen Angriffen und Protokollangriffen. Weitere Informationen finden Sie unter https://aka.ms/ddosprotectiondocs. Modify, Audit, Disabled 1.0.0
Virtuelle Netzwerke müssen ein angegebenes Gateway für virtuelle Netzwerke verwenden Diese Richtlinie überwacht alle virtuellen Netzwerke, wenn die Standardroute nicht auf das angegebene Gateway für virtuelle Netzwerke zeigt. AuditIfNotExists, Disabled 1.0.0
Web Application Firewall (WAF) muss für Application Gateway aktiviert sein. Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land/Region, IP-Adressebereich und anderen HTTP(S)-Parametern einschränken. Audit, Deny, Disabled 1.0.1
Web Application Firewall (WAF) muss für Azure Front Door Service aktiviert sein Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land/Region, IP-Adressebereich und anderen HTTP(S)-Parametern einschränken. Audit, Deny, Disabled 1.0.1
Web Application Firewall (WAF) muss den angegebenen Modus für Application Gateway verwenden. Legt fest, dass die Verwendung des Modus „Erkennung“ oder „Prävention“ für alle Web Application Firewall-Richtlinien für Application Gateway aktiv ist. Audit, Deny, Disabled 1.0.0
Web Application Firewall (WAF) muss den angegebenen Modus für Azure Front Door Service verwenden. Legt fest, dass die Verwendung des Modus „Erkennung“ oder „Prävention“ für alle Web Application Firewall-Richtlinien für Azure Front Door Service aktiv ist. Audit, Deny, Disabled 1.0.0

Portal

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Freigegebene Dashboards dürfen keine Markdownkacheln mit Inline-Inhalten aufweisen Verhindert das Erstellen eines freigegebenen Dashboards mit Inlineinhalten auf Markdownkacheln und erzwingt, dass der Inhalt als online gehostete Markdowndatei gespeichert werden soll. Wenn Sie Inlineinhalte auf der Markdownkachel verwenden, können Sie die Verschlüsselung des Inhalts nicht verwalten. Das Konfigurieren eines eigenen Speichers ermöglicht das Verschlüsseln, das doppelte Verschlüsseln und sogar das Verwenden eigener Schlüssel. Wenn Sie diese Richtlinie aktivieren, können Benutzer die Version 2020-09-01-preview oder eine höhere Version der REST-API für freigegebene Dashboards verwenden. Audit, Deny, Disabled 1.0.0
Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cognitive Search-Dienste müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Ihr Azure Cognitive Search-Dienst nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihres Suchdiensts einschränken. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cognitive Search-Dienste müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.0
Azure Cognitive Search-Dienst zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie für Ihren Azure Cognitive Search-Dienst den Zugriff über öffentliche Netzwerke, sodass er nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Modify, Disabled 1.0.0
Azure Cognitive Search-Dienste für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um Ihren Azure Cognitive Search-Dienst aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. DeployIfNotExists, Disabled 1.0.0
Azure Cognitive Search-Dienste mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Cognitive Search-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. DeployIfNotExists, Disabled 1.0.0
In Suchdiensten müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 4.0.1

Security Center

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. AuditIfNotExists, Disabled 3.0.0
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. AuditIfNotExists, Disabled 3.0.0
Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. AuditIfNotExists, Disabled 3.0.0
Auf virtuelle Computer mit Internetzugang müssen Empfehlungen zur adaptiven Netzwerkhärtung angewendet werden. Azure Security Center analysiert die Datenverkehrsmuster von virtuellen Computern mit Internetzugriff und stellt Empfehlungen zu NSG-Regeln (Netzwerksicherheitsgruppe) bereit, um die potenzielle Angriffsfläche zu verringern. AuditIfNotExists, Disabled 3.0.0
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. AuditIfNotExists, Disabled 3.0.0
Zulassungslistenregeln in der Richtlinie für die adaptive Anwendungssteuerung müssen aktualisiert werden Überwachen Sie die Verhaltensänderungen für Computergruppen, die für die Überwachung durch die adaptive Anwendungssteuerung von Azure Security Center konfiguriert sind. Security Center nutzt Machine Learning, um die ausgeführten Prozesse auf Ihren Computern zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. Diese werden als zuzulassende Apps in den Richtlinien für die adaptive Anwendungssteuerung empfohlen. AuditIfNotExists, Disabled 3.0.0
In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. Audit, Disabled 2.0.1
Für Ihr Abonnement sollte die automatische Bereitstellung des Log Analytics-Agents aktiviert sein. Azure Security Center sammelt Daten von Ihren Azure-VMs, um diese auf Sicherheitslücken und Bedrohungen zu überwachen. Die Daten werden mit dem Log Analytics-Agent (ehemals Microsoft Monitoring Agent, MMA) gesammelt. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer und kopiert die Daten zur Analyse in den Log Analytics-Arbeitsbereich. Wir empfehlen Ihnen, die automatische Bereitstellung zu aktivieren, damit der Agent auf allen unterstützten und allen neu erstellten Azure-VMs automatisch bereitgestellt wird. AuditIfNotExists, Disabled 1.0.1
Azure DDoS Protection Standard muss aktiviert sein. DDoS Protection Standard sollte für alle virtuellen Netzwerke mit einem Subnetz aktiviert werden, das Teil eines Application Gateways mit einer öffentlichen IP-Adresse ist. AuditIfNotExists, Disabled 3.0.0
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Containerregistrierungen sollte aktiviert werden Azure Defender für Containerregistrierungen bietet eine Überprüfung auf Sicherheitsrisiken für Images, die in den letzten 30 Tagen abgerufen und in die Registrierung per Push übertragen oder importiert wurden, und macht für jedes Image detaillierte Ergebnisse verfügbar. AuditIfNotExists, Disabled 1.0.3
[Vorschau:] Azure Defender für DNS muss aktiviert sein Azure Defender für DNS bietet eine zusätzliche Schutzebene für Ihre Cloudressourcen, indem alle DNS-Abfragen aus Ihren Azure-Ressourcen fortlaufend überwacht werden. Azure Defender warnt Sie bei verdächtigen Aktivitäten auf der DNS-Ebene. Weitere Informationen über die Funktionen von Azure Defender für DNS erhalten Sie unter https://aka.ms/defender-for-dns. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0-preview
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Kubernetes sollte aktiviert werden Azure Defender für Kubernetes verfügt über einen Echtzeitbedrohungsschutz für Containerumgebungen und generiert Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
[Vorschau:] Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0-preview
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Storage sollte aktiviert werden Azure Defender für Storage ermittelt ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Speicherkonten. AuditIfNotExists, Disabled 1.0.3
Cloud Services-Rolleninstanzen (erweiterter Support) müssen sicher konfiguriert werden Cloud Services-Rolleninstanzen (erweiterter Support) werden vor Angriffen geschützt, indem sichergestellt wird, dass sie keinen Schwachstellen im Betriebssystem ausgesetzt sind. AuditIfNotExists, Disabled 1.0.0
Für Cloud Services-Rolleninstanzen (erweiterter Support) muss eine Lösung zum Schutz von Endpunkten installiert sein Schützen Sie Ihre Cloud Services-Rolleninstanzen (erweiterter Support) vor Bedrohungen und Sicherheitsrisiken, indem Sie sicherstellen, dass eine Lösung für den Schutz von Endpunkten installiert wurde. AuditIfNotExists, Disabled 1.0.0
Für Cloud Services-Rolleninstanzen (erweiterter Support) müssen Systemupdates installiert sein Schützen Sie Ihre Cloud Services-Rolleninstanzen (erweiterter Support), indem Sie sicherstellen, dass die neuesten Sicherheitsupdates und alle kritischen Updates installiert wurden. AuditIfNotExists, Disabled 1.0.0
[Vorschau:] Computer für den Erhalt des Qualys-Agents für die Sicherheitsrisikobewertung konfigurieren Azure Defender umfasst eine kostenlose Überprüfung auf Sicherheitsrisiken für Ihre Computer. Sie benötigen keine Qualys-Lizenz und auch kein Qualys-Konto – alles erfolgt nahtlos innerhalb von Security Center. Computer, auf denen der Qualys-Agent für die Sicherheitsrisikobewertung nicht installiert ist, erhalten den Agent automatisch, wenn diese Richtlinie aktiviert ist. DeployIfNotExists, Disabled 2.0.0-preview
[Vorschau:] Bereitstellen: Linux-Computer zur automatischen Installation des Azure Security-Agents konfigurieren Konfigurieren Sie Linux-Computer so, dass der Azure Security-Agent automatisch installiert wird. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Erstellen Sie eine Ressourcengruppe und einen Log Analytics-Arbeitsbereich in derselben Region, in der auch der Computer zum Speichern der Überwachungsdatensätze enthalten ist. Ziel-VMs müssen sich an einem unterstützten Standort befinden. deployIfNotExists 1.0.0-preview
Bereitstellen – Unterdrückungsregeln für Azure Security Center-Warnungen konfigurieren Unterdrücken Sie Azure Security Center-Warnungen, um eine Überlastung durch zu viele Warnungen zu vermeiden, indem Sie Unterdrückungsregeln für Ihre Verwaltungsgruppe oder Ihr Abonnement bereitstellen. deployIfNotExists 1.0.0
[Vorschau:] Bereitstellen: Windows-Computer zur automatischen Installation des Azure Security-Agents konfigurieren Konfigurieren Sie Windows-Computer so, dass der Azure Security-Agent automatisch installiert wird. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Erstellen Sie eine Ressourcengruppe und einen Log Analytics-Arbeitsbereich in derselben Region, in der auch der Computer zum Speichern der Überwachungsdatensätze enthalten ist. Ziel-VMs müssen sich an einem unterstützten Standort befinden. deployIfNotExists 1.0.0-preview
Bereitstellen des Exports für Event Hub für Azure Security Center-Daten Aktivieren des Exports für Event Hub für Azure Security Center-Daten. Diese Richtlinie stellt einen Export in die Event Hub-Konfiguration mit Ihren Bedingungen und der Event Hub-Zielinstanz für den zugewiesenen Bereich bereit. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. deployIfNotExists 3.0.0
Bereitstellen des Exports für Log Analytics-Arbeitsbereich für Azure Security Center-Daten Aktivieren des Exports für Log Analytics-Arbeitsbereich für Azure Security Center-Daten. Diese Richtlinie stellt einen Export in die Konfiguration eines Log Analytics-Arbeitsbereichs mit Ihren Bedingungen und dem Zielarbeitsbereich für den zugewiesenen Bereich bereit. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. deployIfNotExists 3.0.0
Bereitstellen der Workflowautomatisierung für Azure Security Center-Warnungen Ermöglichen Sie die Automatisierung von Azure Security Center-Warnungen. Diese Richtlinie stellt die Workflowautomatisierung mit Ihren Bedingungen bereit und wird für den zugewiesenen Bereich ausgelöst. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. deployIfNotExists 3.0.0
Bereitstellen der Workflowautomatisierung für Azure Security Center-Empfehlungen Ermöglichen Sie die Automatisierung von Azure Security Center-Empfehlungen. Diese Richtlinie stellt die Workflowautomatisierung mit Ihren Bedingungen bereit und wird für den zugewiesenen Bereich ausgelöst. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. deployIfNotExists 3.0.0
Workflowautomatisierung für die Einhaltung gesetzlicher Bestimmungen in Azure Security Center bereitstellen Diese Kategorie ermöglicht die Automatisierung der Einhaltung gesetzlicher Bestimmungen in Azure Security Center. Diese Richtlinie stellt die Workflowautomatisierung mit Ihren Bedingungen bereit und wird für den zugewiesenen Bereich ausgelöst. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. deployIfNotExists 3.0.0
Veraltete Konten sollten aus Ihrem Abonnement entfernt werden Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. AuditIfNotExists, Disabled 3.0.0
Veraltete Konten mit Besitzerberechtigungen sollten aus Ihrem Abonnement entfernt werden Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. AuditIfNotExists, Disabled 3.0.0
Datenträgerverschlüsselung sollte auf virtuelle Computer angewendet werden Hiermit werden VMs ohne aktivierte Datenträgerverschlüsselung über Azure Security Center als Empfehlungen überwacht. AuditIfNotExists, Disabled 2.0.0
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.0.1
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 2.0.0
Azure Security Center für Ihr Abonnement aktivieren Identifiziert vorhandene Abonnements, die nicht von Azure Security Center (ASC) überwacht werden. Nicht von ASC überwachte Abonnements werden beim Free-Tarif registriert. Abonnements, die bereits von ASC (Free oder Standard) überwacht werden, werden als konform betrachtet. Um neu erstellte Abonnements zu registrieren, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen einen Wartungstask. Wiederholen Sie diesen Schritt, wenn Sie mindestens ein neues Abonnement mit Security Center überwachen möchten. deployIfNotExists 1.0.0
Aktivieren der automatischen Bereitstellung des Log Analytics-Agents für Ihre Abonnements mit einem benutzerdefinierten Arbeitsbereich in Security Center Ermöglichen Sie Security Center die automatische Bereitstellung des Log Analytics-Agents für Ihre Abonnements, um Sicherheitsdaten über einen benutzerdefinierten Arbeitsbereich zu überwachen und zu sammeln. DeployIfNotExists, Disabled 1.0.0
Aktivieren der automatischen Bereitstellung des Log Analytics-Agents für Ihre Abonnements mit dem Standardarbeitsbereich in Security Center Ermöglichen Sie Security Center die automatische Bereitstellung des Log Analytics-Agents für Ihre Abonnements, um Sicherheitsdaten über den ASC-Standardarbeitsbereich zu überwachen und zu sammeln. DeployIfNotExists, Disabled 1.0.0
Die Endpoint Protection-Lösung sollte für VM-Skalierungsgruppen installiert sein Hiermit überprüfen Sie die Existenz und die Integrität einer Endpoint Protection-Lösung in Ihren VM-Skalierungsgruppen, um sie vor Bedrohungen und Sicherheitsrisiken zu schützen. AuditIfNotExists, Disabled 3.0.0
Externe Konten mit Besitzerberechtigungen sollten aus Ihrem Abonnement entfernt werden Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Disabled 3.0.0
Externe Konten mit Leseberechtigungen sollten aus Ihrem Abonnement entfernt werden Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Disabled 3.0.0
Externe Konten mit Schreibberechtigungen sollten aus Ihrem Abonnement entfernt werden Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Disabled 3.0.0
Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. AuditIfNotExists, Disabled 3.0.0
Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. Führen Sie ein Upgrade Ihres Kubernetes Service-Clusters auf eine höhere Kubernetes-Version durch, um es vor bekannten Sicherheitsrisiken in Ihrer aktuellen Kubernetes-Version zu schützen. Das Sicherheitsrisiko „CVE-2019-9946“ wurde in den Kubernetes-Versionen 1.11.9+, 1.12.7+, 1.13.5+ und 1.14.0+ gepatcht. Audit, Disabled 1.0.2
Log Analytics-Agent-Integritätsprobleme müssen auf Computern gelöst werden Security Center verwendet den Log Analytics-Agent (ehemals Microsoft Monitoring Agent (MMA)). Damit Ihre virtuellen Computer erfolgreich überwacht werden, müssen Sie sicherstellen, dass der Agent auf den virtuellen Computern installiert ist und sicherheitsrelevante Ereignisse für den konfigurierten Arbeitsbereich ordnungsgemäß erfasst. AuditIfNotExists, Disabled 1.0.0
Für Cloud Services-Rolleninstanzen (erweiterter Support) muss der Log Analytics-Agent installiert sein Security Center erfasst Daten aus Cloud Services-Rolleninstanzen (erweiterter Support), um eine Überwachung auf Sicherheitsrisiken und Bedrohungen durchzuführen. AuditIfNotExists, Disabled 1.0.0
Der Log Analytics-Agent muss auf dem virtuellen Computer für Azure Security Center-Überwachung installiert sein Diese Richtlinie überwacht alle virtuellen Windows-/Linux-Computer (Virtual Machines, VMs), wenn der Log Analytics-Agent nicht installiert ist, den Security Center zum Überwachen von Sicherheitsrisiken und Bedrohungen verwendet. AuditIfNotExists, Disabled 1.0.0
Der Log Analytics-Agent muss in den VM-Skalierungsgruppen für Azure Security Center-Überwachung installiert sein Security Center sammelt Daten von Ihren virtuellen Azure-Computern (VMs), um sie hinsichtlich Sicherheitslücken und Bedrohungen zu überwachen. AuditIfNotExists, Disabled 1.0.0
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. AuditIfNotExists, Disabled 3.0.0
Für Konten mit Schreibberechtigungen für Ihr Abonnement muss MFA aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0
MFA sollte für Konten mit Besitzerberechtigungen in Ihrem Abonnement aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0
MFA sollte für Ihre Abonnementkonten mit Leseberechtigungen aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0
Fehlenden Endpoint Protection-Schutz in Azure Security Center überwachen Hiermit werden Server ohne installierten Endpoint Protection-Agent über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Die Betriebssystemversion muss der aktuellen Version für Clouddienstrollen entsprechen. Sie können den Sicherheitsstatus des Systems verbessern, indem Sie immer die neueste unterstützte Betriebssystemversion für Ihre Clouddienstrollen verwenden. AuditIfNotExists, Disabled 1.0.0
Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. Um eine granulare Filterung anhand der durch die Benutzer ausführbaren Aktionen zu ermöglichen, verwenden Sie die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), um Berechtigungen in Kubernetes Service-Clustern zu verwalten und relevante Autorisierungsrichtlinien zu konfigurieren. Audit, Disabled 1.0.2
Security Center Standard-Tarif muss ausgewählt sein Der Tarif „Standard“ ermöglicht die Bedrohungserkennung für Netzwerke und VMs und stellt Threat Intelligence-Daten, Anomalieerkennung und Verhaltensanalysen in Azure Security Center bereit. Audit, Disabled 1.0.0
[Vorschau:] Sensible Daten in Ihren SQL-Datenbanken müssen klassifiziert werden Azure Security Center überwacht die Ergebnisse von Datenerkennung und Klassifizierungsüberprüfungen für Ihre SQL-Datenbanken und stellt zur Verbesserung von Überwachung und Sicherheit Empfehlungen zur Klassifizierung der vertraulichen Daten in Ihren Datenbanken bereit. AuditIfNotExists, Disabled 3.0.0-preview
Zum Schutz Ihrer Abonnements Dienstprinzipale anstelle von Verwaltungszertifikaten verwenden Alle Personen, die die Authentifizierung mit Verwaltungszertifikaten durchführen, können die zugeordneten Abonnements verwalten. Zur höheren Sicherheit der Verwaltung von Abonnements empfiehlt sich die Verwendung von Dienstprinzipalen mit Resource Manager, um die Auswirkungen im Falle kompromittierter Zertifikate zu beschränken. AuditIfNotExists, Disabled 1.0.0
Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. AuditIfNotExists, Disabled 4.0.0
Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden Die SQL-Sicherheitsrisikobewertung überprüft Ihre Datenbank auf Sicherheitsrisiken und zeigt Abweichungen von Best Practices an, wie z. B. Fehlkonfigurationen, übermäßige Berechtigungen und ungeschützte vertrauliche Daten. Durch das Beseitigen der Sicherheitsrisiken kann der Sicherheitsstatus Ihrer Datenbank deutlich verbessert werden. AuditIfNotExists, Disabled 1.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Disabled 3.0.0
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.0.1
Systemupdates für VM-Skalierungsgruppen sollten installiert werden Hiermit überprüfen Sie, ob Systemsicherheitsupdates und kritische Updates fehlen, durch deren Installation sichergestellt werden soll, dass Ihre Windows- und Linux-VM-Skalierungsgruppen sicher sind. AuditIfNotExists, Disabled 3.0.0
Systemupdates sollten auf Ihren Computern installiert sein Hiermit werden fehlende Sicherheitssystemupdates auf Ihren Servern über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 4.0.0
Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. AuditIfNotExists, Disabled 3.0.0
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1
Sicherheitsrisiken in Azure Container Registry-Images müssen behoben werden Die Sicherheitsrisikobewertung für Containerimages scannt Ihre Registrierung auf Sicherheitsrisiken für jedes gepushte Containerimage und macht für jedes Image detaillierte Ergebnisse verfügbar (unterstützt von Qualys). Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer Container erheblich verbessern und die Container vor Angriffen schützen. AuditIfNotExists, Disabled 2.0.0
Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden Hiermit werden Sicherheitsrisiken in der Sicherheitskonfiguration von Computern überwacht, auf denen Docker installiert ist, und es werden Empfehlungen in Azure Security Center angezeigt. AuditIfNotExists, Disabled 3.0.0
Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0
Sicherheitsrisiken in der Sicherheitskonfiguration von VM-Skalierungsgruppen sollten beseitigt werden Hiermit überwachen Sie die Betriebssystem-Sicherheitsrisiken für Ihre VM-Skalierungsgruppen, um sie vor Angriffen zu schützen. AuditIfNotExists, Disabled 3.0.0

Service Bus

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Alle Autorisierungsregeln außer RootManageSharedAccessKey sollten aus dem Service Bus-Namespace entfernt werden Service Bus-Clients dürfen keine Zugriffsrichtlinie auf Namespace-Ebene verwenden, die Zugriff auf alle Warteschlangen und Themen in einem Namespace bereitstellt. Um dem Sicherheitsmodell der geringsten Rechte zu entsprechen, müssen Sie Zugriffsrichtlinien auf Entitätsebene erstellen, damit nur der jeweiligen Entität Zugriff auf Warteschlangen und Themen gewährt wird. Audit, Deny, Disabled 1.0.1
Azure Service Bus-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Service Bus-Namespaces für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um Service Bus-Namespaces aufzulösen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. DeployIfNotExists, Disabled 1.0.0
Service Bus-Namespaces mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces können Sie das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. DeployIfNotExists, Disabled 1.0.0
In Service Bus müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 4.0.1
Für Service Bus Premium-Namespaces muss ein kundenseitig verwaltete Schlüssel zur Verschlüsselung verwendet werden Azure Service Bus unterstützt die Option zum Verschlüsseln ruhender Daten mit von Microsoft verwalteten Schlüsseln (Standardeinstellung) oder kundenseitig verwalteten Schlüsseln. Wenn Sie Daten mithilfe von kundenseitig verwalteten Schlüsseln verschlüsseln, können Sie den Zugriff auf die Schlüssel zuweisen, rotieren, deaktivieren und widerrufen, die von Service Bus zum Verschlüsseln von Daten in Ihrem Namespace verwendet werden. Beachten Sie, dass Service Bus nur Verschlüsselung mit kundenseitig verwalteten Schlüsseln für Premium-Namespaces unterstützt. Audit, Disabled 1.0.0

Service Fabric

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Service Fabric Cluster sollten die Eigenschaft ClusterProtectionLevel auf EncryptAndSign setzen Service Fabric bietet drei Schutzebenen („None“, „Sign“ und „EncryptAndSign“) für die Kommunikation zwischen zwei Knoten unter Verwendung eines primären Clusterzertifikats. Legen Sie die Schutzebene fest, um sicherzustellen, dass alle zwischen Knoten übertragenen Nachrichten verschlüsselt und digital signiert werden. Audit, Deny, Disabled 1.1.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. Audit, Deny, Disabled 1.1.0

SignalR

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure SignalR Service muss den Zugriff über öffentliche Netzwerke deaktivieren Stellen Sie zum Verbessern der Sicherheit Ihrer Azure SignalR Service-Ressource sicher, dass diese nicht über das öffentliche Internet, sondern nur über einen privaten Endpunkt zugänglich ist. Deaktivieren Sie die Eigenschaft für den Zugriff über öffentliche Netzwerke wie unter https://aka.ms/asrs/networkacls beschrieben. Darüber hinaus werden alle Anmeldungen abgelehnt, die Firewallregeln auf Basis von IP-Adressen oder virtuellen Netzwerken entsprechen. Dadurch wird das Risiko von Datenlecks verringert. Audit, Deny, Disabled 1.0.0
Azure SignalR Service muss eine SKU mit Private Link-Unterstützung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Auf diese Weise werden Ihre Ressourcen vor dem Risiko von Datenlecks geschützt. Die Richtlinie ist auf SKUs für Azure SignalR Service beschränkt, die Private Link unterstützen. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. Audit, Deny, Disabled 1.0.0
Azure SignalR Service muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne in der Quelle oder im Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. Audit, Deny, Disabled 1.0.1
Private Endpunkte für Azure SignalR Service konfigurieren Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Azure SignalR Service-Ressourcen können Sie das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/asrs/privatelink. DeployIfNotExists, Disabled 1.0.0
Bereitstellen: Private DNS-Zonen für private Endpunkte zur Verbindungsherstellung mit Azure SignalR Service konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um Ihre Azure SignalR Service-Ressource aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/asrs/privatelink. DeployIfNotExists, Disabled 1.0.0
Azure SignalR Service-Ressourcen zum Deaktivieren des Zugriff über öffentliche Netzwerke konfigurieren Stellen Sie zum Verbessern der Sicherheit Ihrer Azure SignalR Service-Ressource sicher, dass diese nicht über das öffentliche Internet, sondern nur über einen privaten Endpunkt zugänglich ist. Deaktivieren Sie die Eigenschaft für den Zugriff über öffentliche Netzwerke wie unter https://aka.ms/asrs/networkacls beschrieben. Darüber hinaus werden alle Anmeldungen abgelehnt, die Firewallregeln auf Basis von IP-Adressen oder virtuellen Netzwerken entsprechen. Dadurch wird das Risiko von Datenlecks verringert. Modify, Disabled 1.0.0

SQL

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Advanced Data Security sollte für SQL Managed Instance aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.1
Für Ihre SQL Server-Instanzen muss Advanced Data Security aktiviert sein Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.0
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Disabled 1.0.0
Die Überwachung in SQL Server muss aktiviert werden Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. AuditIfNotExists, Disabled 2.0.0
Azure SQL-Datenbank muss TLS-Version 1.2 oder höher verwenden Höhere Sicherheit wird durch Festlegen von Version 1.2 als Mindestversion für TLS erzielt. So können nur Clients, die TLS 1.2 verwenden, auf Ihre Azure SQL-Datenbank-Instanz zugreifen. Niedrigere TLS-Versionen als Version 1.2 weisen gut dokumentierte Sicherheitsrisiken auf und sind daher zu vermeiden. Audit, Disabled 1.0.1
BYOK-Datenschutz (Bring Your Own Key) muss für MySQL-Server aktiviert sein Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer MySQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. AuditIfNotExists, Disabled 1.0.3
BYOK-Datenschutz (Bring Your Own Key) muss für PostgreSQL-Server aktiviert sein Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer PostgreSQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. AuditIfNotExists, Disabled 1.0.3
Azure SQL-Datenbank-Serverdiagnoseeinstellungen für Log Analytics-Arbeitsbereich konfigurieren Aktiviert Überwachungsprotokolle für Azure SQL-Datenbank-Server und streamt die Protokolle an einen Log Analytics-Arbeitsbereich, wenn eine beliebige SQL Server-Instanz erstellt oder aktualisiert wird, für die diese Überwachung fehlt. DeployIfNotExists, Disabled 1.0.2
Azure SQL Server zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Durch Deaktivieren der Eigenschaft für den Zugriff über öffentliche Netzwerke werden öffentliche Verbindungen blockiert, sodass der Zugriff auf Azure SQL Server nur von einem privaten Endpunkt aus möglich ist. Durch diese Konfiguration wird der Zugriff über öffentliche Netzwerke für alle Azure SQL Server-Datenbanken deaktiviert. Modify, Disabled 1.0.0
Azure SQL Server zum Aktivieren privater Endpunktverbindungen konfigurieren Eine private Endpunktverbindung ermöglicht private Konnektivität mit Ihrer Azure SQL-Datenbank-Instanz über eine private IP-Adresse in einem virtuellen Netzwerk. Diese Konfiguration verbessert Ihren Sicherheitsstatus und unterstützt Tools und Szenarien für den Azure-Netzwerkbetrieb. DeployIfNotExists, Disabled 1.0.0
Für SQL Server-Instanzen muss die Überwachung aktiviert werden Um sicherzustellen, dass die für Ihre SQL-Ressourcen ausgeführten Vorgänge erfasst werden, muss für SQL Server-Instanzen die Überwachung aktiviert sein. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. DeployIfNotExists, Disabled 1.2.0
Die Verbindungsdrosselung muss für PostgreSQL-Datenbankserver aktiviert sein Mit dieser Richtlinie können Sie überwachen, ob für alle PostgreSQL-Datenbanken in Ihrer Umgebung die Verbindungsdrosselung aktiviert ist. Diese Einstellung aktiviert die temporäre Verbindungsdrosselung pro IP-Adresse bei zu vielen Anmeldefehlern aufgrund ungültiger Kennwörter. AuditIfNotExists, Disabled 1.0.0
Bereitstellen: Diagnoseeinstellungen für SQL-Datenbanken in Log Analytics-Arbeitsbereich konfigurieren Hiermit werden die Diagnoseeinstellungen für SQL-Datenbanken für das Streaming von Ressourcenprotokollen in einen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine SQL-Datenbank erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.1
Advanced Data Security auf SQL Server-Instanzen bereitstellen Mit dieser Richtlinie wird Advanced Data Security auf SQL Server-Instanzen aktiviert. Dazu gehört auch die Aktivierung der Bedrohungserkennung und der Sicherheitsrisikobewertung. Es wird automatisch ein Speicherkonto in derselben Region und derselben Ressourcengruppe wie die SQL Server-Instanz erstellt, um Überprüfungsergebnisse mit dem Präfix „sqlva“ zu speichern. Auswirkung „DeployIfNotExists“ 1.1.0
Diagnoseeinstellungen für Azure SQL-Datenbank in Event Hub bereitstellen Hiermit werden die Diagnoseeinstellungen für Azure SQL-Datenbank zum Streamen in eine regionale Event Hub-Instanz für alle erstellten oder aktualisierten Azure SQL-Datenbank-Instanzen bereitgestellt, in denen diese Diagnoseeinstellungen fehlen. Auswirkung „DeployIfNotExists“ 1.1.0
Transparente SQL DB-Datenverschlüsselung bereitstellen Ermöglicht die transparente Datenverschlüsselung für SQL-Datenbanken. Auswirkung „DeployIfNotExists“ 1.0.0
Bedrohungserkennung auf SQL Server-Instanzen bereitstellen Diese Richtlinie stellt sicher, dass die Bedrohungserkennung auf SQL Server-Instanzen aktiviert ist. Auswirkung „DeployIfNotExists“ 2.0.0
Verbindungstrennungen für PostgreSQL-Datenbankserver müssen aktiviert sein Mit dieser Richtlinie können PostgreSQL-Datenbanken in Ihrer Umgebung überwacht werden, ohne dass die log_disconnections-Einstellung aktiviert ist. AuditIfNotExists, Disabled 1.0.0
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Infrastructure encryption should be enabled for Azure Database for MySQL servers (Infrastrukturverschlüsselung muss für Azure Database for MySQL-Server aktiviert sein) Aktivieren Sie die Infrastrukturverschlüsselung für Azure Database for MySQL-Server, um die Sicherheit der Daten zu erhöhen. Wenn die Infrastrukturverschlüsselung aktiviert ist, werden die ruhenden Daten mithilfe der von Microsoft verwalteten FIPS 140-2-konformen Schlüsseln doppelt verschlüsselt. Audit, Deny, Disabled 1.0.0
Infrastrukturverschlüsselung muss für Azure Database for PostgreSQL-Server aktiviert sein Aktivieren Sie die Infrastrukturverschlüsselung für Azure Database for PostgreSQL-Server, um die Sicherheit der Daten zu erhöhen. Wenn die Infrastrukturverschlüsselung aktiviert ist, werden die ruhenden Daten doppelt mithilfe FIPS 140-2-konformer Schlüssel verschlüsselt, die von Microsoft verwaltet werden. Audit, Deny, Disabled 1.0.0
Protokollprüfpunkte für PostgreSQL-Datenbankserver müssen aktiviert sein Mit dieser Richtlinie können PostgreSQL-Datenbanken in Ihrer Umgebung überwacht werden, ohne dass die log_checkpoints-Einstellung aktiviert ist. AuditIfNotExists, Disabled 1.0.0
Protokollverbindungen für PostgreSQL-Datenbankserver müssen aktiviert sein Mit dieser Richtlinie können PostgreSQL-Datenbanken in Ihrer Umgebung überwacht werden, ohne dass die log_connections-Einstellung aktiviert ist. AuditIfNotExists, Disabled 1.0.0
Verbindungsdauer für PostgreSQL-Datenbankserver muss aktiviert sein Mit dieser Richtlinie können PostgreSQL-Datenbanken in Ihrer Umgebung überwacht werden, ohne dass die log_duration-Einstellung aktiviert ist. AuditIfNotExists, Disabled 1.0.0
Langfristige georedundante Sicherung muss für Azure SQL-Datenbank aktiviert sein Diese Richtlinie überwacht alle Azure SQL-Datenbank-Instanzen mit nicht aktivierter langfristiger georedundanter Sicherung. AuditIfNotExists, Disabled 2.0.0
MariaDB-Server muss einen VNET-Dienstendpunkt verwenden Auf virtuellen Netzwerken basierende Firewallregeln werden verwendet, um Datenverkehr von einem bestimmten Subnetz zu Azure Database for MariaDB zu ermöglichen und gleichzeitig sicherzustellen, dass der Datenverkehr Azure nicht verlässt. Diese Richtlinie bietet eine Möglichkeit, zu überprüfen, ob Azure Database for MariaDB einen VNET-Dienstendpunkt verwendet. AuditIfNotExists, Disabled 1.0.2
MySQL-Server muss einen VNET-Dienstendpunkt verwenden Auf virtuellen Netzwerken basierende Firewallregeln werden verwendet, um Datenverkehr von einem bestimmten Subnetz zu Azure Database for MySQL zu ermöglichen und gleichzeitig sicherzustellen, dass der Datenverkehr Azure nicht verlässt. Diese Richtlinie bietet eine Möglichkeit, zu überprüfen, ob Azure Database for MySQL einen VNET-Dienstendpunkt verwendet. AuditIfNotExists, Disabled 1.0.2
PostgreSQL-Server muss einen VNET-Dienstendpunkt verwenden Auf virtuellen Netzwerken basierende Firewallregeln werden verwendet, um Datenverkehr von einem bestimmten Subnetz zu Azure Database for PostgreSQL zu ermöglichen und gleichzeitig sicherzustellen, dass der Datenverkehr Azure nicht verlässt. Diese Richtlinie bietet eine Möglichkeit, zu überprüfen, ob Azure Database for PostgreSQL einen VNET-Dienstendpunkt verwendet. AuditIfNotExists, Disabled 1.0.2
Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. Audit, Disabled 1.1.0
Privater Endpunkt muss für MariaDB-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MariaDB. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Privater Endpunkt muss für MySQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MySQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Privater Endpunkt muss für PostgreSQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for PostgreSQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. Audit, Deny, Disabled 1.1.0
Öffentlicher Netzwerkzugriff muss für MariaDB-Server deaktiviert sein Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MariaDB-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. Audit, Disabled 1.0.2
Public network access should be disabled for MySQL flexible servers (Zugriff über öffentliche Netzwerke muss für flexible MySQL-Server deaktiviert sein) Das Deaktivieren der Eigenschaft für öffentlichen Netzwerkzugriff erhöht die Sicherheit, indem sichergestellt wird, dass auf Ihre flexiblen Azure Database for MySQL-Server nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen, werden verweigert. Audit, Deny, Disabled 1.0.0
Öffentlicher Netzwerkzugriff muss für MySQL-Server deaktiviert sein Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MySQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. Audit, Disabled 1.0.2
Zugriff über öffentliche Netzwerke muss für flexible PostgreSQL-Server deaktiviert sein Das Deaktivieren der Eigenschaft für öffentlichen Netzwerkzugriff verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre flexiblen Azure Database for PostgreSQL-Server nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen, werden verweigert. Audit, Deny, Disabled 1.0.0
Öffentlicher Netzwerkzugriff muss für PostgreSQL-Server deaktiviert sein Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for PostgreSQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs deaktiviert, und alle Anmeldungen, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen, werden verweigert. Audit, Disabled 1.0.2
Für SQL-Überwachungseinstellungen müssen Aktionsgruppen zum Erfassen kritischer Aktivitäten konfiguriert sein Die AuditActionsAndGroups-Eigenschaft muss mindestens SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP enthalten, um eine umfassende Überwachungsprotokollierung sicherzustellen. AuditIfNotExists, Disabled 1.0.0
Verwendung von GRS-Sicherungsredundanz für SQL-Datenbank vermeiden Datenbanken dürfen den georedundanten Standardspeicher nicht für Sicherungen verwenden, wenn die Daten aufgrund von Datenresidenzregeln in einer bestimmten Region verbleiben müssen. Hinweis: Diese Azure-Richtlinie wird beim Erstellen einer Datenbank mithilfe von T-SQL nicht erzwungen. Sofern nicht explizit anders angegeben, werden Datenbanken mit georedundantem Sicherungsspeicher über T-SQL erstellt. Verweigern, deaktiviert 2.0.0
SQL Managed Instance muss TLS-Version 1.2 oder höher verwenden Höhere Sicherheit wird durch Festlegen von Version 1.2 als Mindestversion für TLS erzielt. So können nur Clients, die TLS 1.2 verwenden, auf Ihre SQL Managed Instance-Instanz zugreifen. Niedrigere TLS-Versionen als Version 1.2 weisen gut dokumentierte Sicherheitsrisiken auf und sind daher zu vermeiden. Audit, Disabled 1.0.1
Verwendung von GRS-Sicherungsredundanz für SQL Managed Instance-Instanzen vermeiden Verwaltete Instanzen dürfen den georedundanten Standardspeicher nicht für Sicherungen verwenden, wenn die Daten aufgrund von Datenresidenzregeln in einer bestimmten Region verbleiben müssen. Hinweis: Diese Azure-Richtlinie wird beim Erstellen einer Datenbank mithilfe von T-SQL nicht erzwungen. Sofern nicht explizit anders angegeben, werden Datenbanken mit georedundantem Sicherungsspeicher über T-SQL erstellt. Verweigern, deaktiviert 1.0.1
Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. AuditIfNotExists, Disabled 1.0.2
SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. AuditIfNotExists, Disabled 2.0.1
Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden Zum Zweck der Untersuchung von Incidents wird empfohlen, die im Rahmen der SQL Server-Überwachung im Speicherkontoziel erfassten Daten für mindestens 90 Tage aufzubewahren. Stellen Sie sicher, dass Sie die erforderlichen Aufbewahrungsregeln für die Regionen einhalten, in denen Sie tätig sind. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. AuditIfNotExists, Disabled 3.0.0
Transparent Data Encryption für SQL-Datenbanken aktivieren TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. AuditIfNotExists, Disabled 1.0.0
Für Azure SQL-Datenbank muss eine auf virtuellen Netzwerken basierende Firewallregel aktiviert werden, um Datenverkehr aus dem angegebenen Subnetz zuzulassen Auf virtuellen Netzwerken basierende Firewallregeln werden verwendet, um Datenverkehr von einem bestimmten Subnetz zu Azure SQL-Datenbank zu ermöglichen und gleichzeitig sicherzustellen, dass der Datenverkehr die Azure-Grenzen nicht verlässt. Auswirkung „AuditIfNotExists“ 1.0.0
Die Einstellungen für die Sicherheitsrisikobewertung für SQL Server müssen eine E-Mail-Adresse für den Empfang von Überprüfungsberichten enthalten Stellen Sie sicher, dass eine E-Mail-Adresse für das Feld „Überprüfungsberichte senden an“ in den Einstellungen für die Sicherheitsrisikobewertung angegeben ist. An diese E-Mail-Adresse wird nach der regelmäßigen Durchführung von Überprüfungen auf den SQL Server-Instanzen eine Zusammenfassung der jeweiligen Überprüfungsergebnisse gesendet. AuditIfNotExists, Disabled 2.0.0
Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. AuditIfNotExists, Disabled 1.0.1
Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein Hiermit werden Azure SQL Server-Instanzen überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. AuditIfNotExists, Disabled 2.0.0

Storage

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. AuditIfNotExists, Disabled 1.0.0
Konfigurieren der Azure-Dateisynchronisierung für die Verwendung privater DNS-Zonen Um von einem registrierten Server aus auf die privaten Endpunkte für Speichersynchronisierungsdienst-Ressourcenschnittstellen zuzugreifen, müssen Sie DNS so konfigurieren, dass die richtigen Namen in die privaten IP-Adressen Ihres privaten Endpunkts aufgelöst werden. Mit dieser Richtlinie werden die erforderliche private Azure-DNS-Zone und A-Einträge für die Schnittstellen der privaten Endpunkte Ihres Speichersynchronisierungsdiensts erstellt. DeployIfNotExists, Disabled 1.0.0
Konfigurieren der Azure-Dateisynchronisierung mit privaten Endpunkten Hiermit wird ein privater Endpunkt für die angegebene Speichersynchronisierungsdienst-Ressource erstellt. So können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Vorhandensein von einem oder mehreren privaten Endpunkten an sich führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. DeployIfNotExists, Disabled 1.0.0
Diagnoseeinstellungen für Speicherkonten in Log Analytics-Arbeitsbereich konfigurieren Hiermit werden die Diagnoseeinstellungen für Speicherkonten zum Streaming von Ressourcenprotokollen in einen Log Analytics-Arbeitsbereich bereitgestellt, wenn ein Speicherkonto erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.3.0
Speicherkonto zum Verwenden einer Private Link-Verbindung konfigurieren Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. DeployIfNotExists, Disabled 1.0.0
Advanced Threat Protection für Speicherkonten bereitstellen Diese Richtlinie aktiviert Advanced Threat Protection für Speicherkonten. DeployIfNotExists, Disabled 1.0.0
Georedundanter Speicher muss für Speicherkonten aktiviert sein Georedundanz zum Erstellen hoch verfügbarer Anwendungen verwenden Audit, Disabled 1.0.0
HPC Cache-Konten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden Verwalten Sie die Verschlüsselung ruhender Azure HPC Cache-Daten mithilfe von kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Audit, Disabled, Deny 2.0.0
Ändern – Azure-Dateisynchronisierung zum Deaktivieren des Zugriffs auf öffentliche Netzwerke konfigurieren Die über das Internet zugänglichen öffentlichen Endpunkte der Azure-Dateisynchronisierung wurden durch eine organisationsweite Richtlinie deaktiviert. Sie können über die privaten Endpunkte weiterhin auf den Azure-Dateisynchronisierungsdienst zugreifen. Modify, Disabled 1.0.0
Für die Azure-Dateisynchronisierung sollte der Zugriff auf öffentliche Netzwerke deaktiviert sein Durch das Deaktivieren des öffentlichen Endpunkts können Sie den Zugriff auf Ihre Speichersynchronisierungsdienst-Ressource auf Anforderungen beschränken, die für genehmigte private Endpunkte im Netzwerk Ihrer Organisation bestimmt sind. Das Zulassen von Anforderungen an den öffentlichen Endpunkt ist nicht grundsätzlich unsicher, aber möglicherweise muss der öffentliche Endpunkt zur Erfüllung gesetzlicher, rechtlicher oder organisatorischer Richtlinienanforderungen deaktiviert werden. Sie können den öffentlichen Endpunkt für einen Speichersynchronisierungsdienst deaktivieren, indem Sie „incomingTrafficPolicy“ für die Ressource auf „AllowVirtualNetworksOnly“ festlegen. Audit, Deny, Disabled 1.0.0
Sichere Übertragung in Speicherkonten sollte aktiviert werden Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 2.0.0
[Vorschau:] Der öffentliche Zugriff auf Speicherkonten muss untersagt sein Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist. Audit, Deny, Disabled 2.0.1-preview
Speicherkonten sollten Zugriff von vertrauenswürdigen Microsoft-Diensten zulassen Einige Microsoft-Dienste, die mit Speicherkonten interagieren, agieren von Netzwerken aus, denen nicht mithilfe von Netzwerkregeln Zugriff gewährt werden kann. Lassen Sie für vertrauenswürdige Microsoft-Dienste die Umgehung der Netzwerkregeln zu, damit solche Dienste ordnungsgemäß funktionieren. Diese Dienste verwenden dann eine strenge Authentifizierung, um auf das Speicherkonto zuzugreifen. Audit, Deny, Disabled 1.0.0
Speicherkonten müssen auf zugelassene SKUs eingeschränkt werden Schränken Sie die Speicherkonto-SKUs ein, die Ihre Organisation bereitstellen kann. Audit, Deny, Disabled 1.1.0
Speicherkonten sollten zu neuen Azure Resource Manager-Ressourcen migriert werden Verwenden Sie den neuen Azure Resource Manager für Ihre Speicherkonten, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen für eine einfachere Sicherheitsverwaltung. Audit, Deny, Disabled 1.0.0
Speicherkonten sollten eine Infrastrukturverschlüsselung aufweisen Aktivieren Sie die Infrastrukturverschlüsselung, um die Sicherheit der Daten zu erhöhen. Bei aktivierter Infrastrukturverschlüsselung werden die Daten in einem Speicherkonto doppelt verschlüsselt. Audit, Deny, Disabled 1.0.0
Netzwerkzugriff auf Speicherkonten einschränken Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. Audit, Deny, Disabled 1.1.1
Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. Audit, Deny, Disabled 1.0.1
Speicherkonten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden Schützen Sie Ihr Speicherkonto mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. Audit, Disabled 1.0.2
Speicherkonten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0

Stream Analytics

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Stream Analytics-Aufträge sollten kundenseitig verwaltete Schlüssel zur Datenverschlüsselung verwenden Verwenden Sie vom Kunden verwaltete Schlüssel, wenn Sie alle Metadaten und privaten Datenbestände Ihrer Stream Analytics-Aufträge sicher in Ihrem Speicherkonto speichern möchten. Dadurch haben Sie die vollständige Kontrolle darüber, wie Ihre Stream Analytics-Daten verschlüsselt werden. Audit, Deny, Disabled 1.0.0
In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 4.0.1

Synapse

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für den Synapse-Arbeitsbereich muss die Überwachung aktiviert sein In Ihrem Synapse-Arbeitsbereich muss die Überwachung aktiviert werden, um Datenbankaktivitäten für alle Datenbanken in dedizierten SQL-Pools nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. AuditIfNotExists, Disabled 1.0.0
Für Azure Synapse-Arbeitsbereiche darf ausgehender Datenverkehr nur zu genehmigten Zielen zugelassen sein Erhöhen Sie die Sicherheit Ihres Synapse-Arbeitsbereichs, indem Sie ausgehenden Datenverkehr nur zu genehmigten Zielen zulassen. Dies ist ein Beitrag zum Schutz vor Datenexfiltration, indem das Ziel vor dem Senden von Daten überprüft wird. Audit, Disabled, Deny 1.0.0
Azure Synapse-Arbeitsbereiche müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten zu steuern, die in Azure Synapse-Arbeitsbereichen gespeichert sind. Kundenseitig verwaltete Schlüssel bieten eine Mehrfachverschlüsselung, indem zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln eine zweite Verschlüsselungsebene hinzugefügt wird. Audit, Deny, Disabled 1.0.0
Azure Synapse-Arbeitsbereiche müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Azure Synapse-Arbeitsbereiche für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um einen Azure Synapse-Arbeitsbereich aufzulösen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. DeployIfNotExists, Disabled 1.0.0
Azure Synapse-Arbeitsbereiche mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Azure Synapse-Arbeitsbereichen können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. DeployIfNotExists, Disabled 1.0.0
Für Synapse-Arbeitsbereiche muss die Überwachung aktiviert werden Um sicherzustellen, dass die für Ihre SQL-Ressourcen ausgeführten Vorgänge erfasst werden, muss für Synapse-Arbeitsbereiche die Überwachung aktiviert sein. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. DeployIfNotExists, Disabled 1.1.0
IP-Firewallregeln für Azure Synapse-Arbeitsbereiche müssen entfernt werden Das Entfernen aller IP-Firewallregeln erhöht die Sicherheit, indem sichergestellt wird, dass nur über einen privaten Endpunkt auf Ihren Azure Synapse-Arbeitsbereich zugegriffen werden kann. Diese Konfiguration überwacht die Erstellung von Firewallregeln, die Zugriff auf den Arbeitsbereich aus öffentlichen Netzwerken zulassen. Audit, Disabled 1.0.0
Virtuelles Netzwerk mit verwaltetem Arbeitsbereich in Azure Synapse-Arbeitsbereichen muss aktiviert sein Durch Aktivieren eines virtuellen Netzwerks mit verwaltetem Arbeitsbereich wird sichergestellt, dass Ihr Arbeitsbereich im Netzwerk von anderen Arbeitsbereichen isoliert ist. Datenintegration und in diesem Netzwerk bereitgestellte Spark-Ressourcen bieten zudem Isolierung auf Benutzerebene für Spark-Aktivitäten. Audit, Deny, Disabled 1.0.0
Von Synapse verwaltete private Endpunkte dürfen nur eine Verbindung mit Ressourcen in genehmigten Azure Active Directory-Mandanten herstellen Schützen Sie Ihren Synapse-Arbeitsbereich, indem Sie nur Verbindungen mit Ressourcen in genehmigten Azure AD-Mandanten zulassen. Die genehmigten Azure AD-Mandanten können während der Richtlinienzuweisung definiert werden. Audit, Disabled, Deny 1.0.0
In den Überwachungseinstellungen von Synapse-Arbeitsbereichen sollten Aktionsgruppen zum Erfassen kritischer Aktivitäten konfiguriert sein Um sicherzustellen, dass Ihre Überwachungsprotokolle so umfassend wie möglich sind, sollte die Eigenschaft „AuditActionsAndGroups“ alle relevanten Gruppen enthalten. Wir empfehlen, mindestens die folgenden Gruppen hinzuzufügen: SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. AuditIfNotExists, Disabled 1.0.0
Für Synapse-Arbeitsbereiche mit SQL-Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden Zum Zweck der Untersuchung von Incidents wird empfohlen, die im Rahmen der SQL-Überwachung Ihres Synapse-Arbeitsbereichs im Speicherkontoziel erfassten Daten für mindestens 90 Tage aufzubewahren. Stellen Sie sicher, dass Sie die erforderlichen Aufbewahrungsregeln für die Regionen einhalten, in denen Sie tätig sind. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. AuditIfNotExists, Disabled 2.0.0
Für Ihre Synapse-Arbeitsbereiche muss eine Sicherheitsrisikobewertung aktiviert sein Ermitteln, verfolgen und beheben Sie potenzielle Sicherheitsrisiken, indem Sie regelmäßige Überprüfungen zur SQL-Sicherheitsrisikobewertung für Ihre Synapse-Arbeitsbereiche konfigurieren. AuditIfNotExists, Disabled 1.0.0

Tags

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Tag zu Ressourcengruppen hinzufügen Hiermit werden das angegebene Tag und der zugehörige Wert hinzugefügt, wenn eine Ressourcengruppe erstellt oder aktualisiert wird, in der dieses Tag fehlt. Vorhandene Ressourcengruppen können korrigiert werden, indem eine Korrekturaufgabe ausgelöst wird. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. modify 1.0.0
Tag zu Ressourcen hinzufügen Hiermit werden das angegebene Tag und der zugehörige Wert hinzugefügt, wenn eine Ressource erstellt oder aktualisiert wird, in der dieses Tag fehlt. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. Tags für Ressourcengruppen werden nicht geändert. modify 1.0.0
Tag zu Abonnements hinzufügen Fügt Abonnements das angegebene Tag und den angegebenen Wert über eine Wiederherstellungsaufgabe hinzu. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. Weitere Informationen zur Richtlinienwartung finden Sie unter https://aka.ms/azurepolicyremediation. modify 1.0.0
Tag für Ressourcengruppen hinzufügen oder ersetzen Hiermit werden das angegebene Tag und der zugehörige Wert hinzugefügt oder ersetzt, wenn eine Ressourcengruppe erstellt oder aktualisiert wird. Vorhandene Ressourcengruppen können korrigiert werden, indem eine Korrekturaufgabe ausgelöst wird. modify 1.0.0
Tag für Ressourcen hinzufügen oder ersetzen Hiermit werden das angegebene Tag und der zugehörige Wert hinzugefügt oder ersetzt, wenn eine Ressource erstellt oder aktualisiert wird. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. Tags für Ressourcengruppen werden nicht geändert. modify 1.0.0
Tag für Abonnements hinzufügen oder ersetzen Fügt Abonnements das angegebene Tag und den angegebenen Wert über eine Wiederherstellungsaufgabe hinzu oder ersetzt diese. Vorhandene Ressourcengruppen können korrigiert werden, indem eine Korrekturaufgabe ausgelöst wird. Weitere Informationen zur Richtlinienwartung finden Sie unter https://aka.ms/azurepolicyremediation. modify 1.0.0
Tag und zugehörigen Wert aus der Ressourcengruppe anfügen Hiermit werden das angegebene Tag und der zugehörige Wert aus der Ressourcengruppe angefügt, wenn eine Ressource erstellt oder aktualisiert wird, in der dieses Tag fehlt. Tags von Ressourcen, die vor Anwendung dieser Richtlinie erstellt wurden, werden erst bei Bearbeitung geändert. Ab sofort ist die neue Richtlinienauswirkung „modify“ verfügbar, die eine Korrektur von Tags für vorhandene Ressourcen unterstützt (siehe https://aka.ms/modifydoc). append 1.0.0
Tag und zugehörigen Wert an Ressourcengruppen anfügen Hiermit werden das angegebene Tag und der zugehörige Wert angefügt, wenn eine Ressourcengruppe erstellt oder aktualisiert wird, in der dieses Tag fehlt. Tags von Ressourcengruppen, die vor Anwendung dieser Richtlinie erstellt wurden, werden erst bei Bearbeitung geändert. Ab sofort ist die neue Richtlinienauswirkung „modify“ verfügbar, die eine Korrektur von Tags für vorhandene Ressourcen unterstützt (siehe https://aka.ms/modifydoc). append 1.0.0
Tag und zugehörigen Wert an Ressourcen anfügen Hiermit werden das angegebene Tag und der zugehörige Wert angefügt, wenn eine Ressource erstellt oder aktualisiert wird, in der dieses Tag fehlt. Tags von Ressourcen, die vor Anwendung dieser Richtlinie erstellt wurden, werden erst bei Bearbeitung geändert. Dies gilt nicht für Ressourcengruppen. Ab sofort ist die neue Richtlinienauswirkung „modify“ verfügbar, die eine Korrektur von Tags für vorhandene Ressourcen unterstützt (siehe https://aka.ms/modifydoc). append 1.0.1
Tag von der Ressourcengruppe erben Hiermit werden das angegebene Tag und der zugehörige Wert aus der übergeordneten Ressourcengruppe hinzugefügt oder ersetzt, wenn eine Ressource erstellt oder aktualisiert wird. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. modify 1.0.0
Tag von der Ressourcengruppe erben, falls nicht vorhanden Hiermit werden das angegebene Tag und der zugehörige Wert aus der übergeordneten Ressourcengruppe hinzugefügt, wenn eine Ressource erstellt oder aktualisiert wird, in der dieses Tag fehlt. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. modify 1.0.0
Tag vom Abonnement erben Hiermit werden das angegebene Tag und der zugehörige Wert aus dem enthaltenden Abonnement hinzugefügt oder ersetzt, wenn eine Ressource erstellt oder aktualisiert wird. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. modify 1.0.0
Tag vom Abonnement erben, falls nicht vorhanden Hiermit werden das angegebene Tag und der zugehörige Wert aus dem enthaltenden Abonnement hinzugefügt, wenn eine Ressource erstellt oder aktualisiert wird, in der dieses Tag fehlt. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. modify 1.0.0
Tag und zugehöriger Wert für Ressourcengruppen erforderlich Erzwingt ein erforderliches Tag und dessen Wert für Ressourcengruppen. deny 1.0.0
Tag und zugehöriger Wert für Ressourcen erforderlich Erzwingt ein erforderliches Tag und dessen Wert. Dies gilt nicht für Ressourcengruppen. deny 1.0.1
Tag für Ressourcengruppen erforderlich Hiermit wird das Vorhandensein eines Tags für Ressourcengruppen erzwungen. deny 1.0.0
Tag für Ressourcen erforderlich Erzwingt das Vorhandensein eines Tags. Dies gilt nicht für Ressourcengruppen. deny 1.0.1

VM Image Builder

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
VM Image Builder-Vorlagen müssen eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Nächste Schritte