Details van het ingebouwde initiatief voor naleving van regelgeving voor NIST SP 800-171 R2Details of the NIST SP 800-171 R2 Regulatory Compliance built-in initiative

Het volgende artikel beschrijft hoe de definitie van het ingebouwde initiatief voor naleving van regelgeving in Azure Policy wordt toegewezen aan nalevingsdomeinen en beheeropties in NIST SP 800-171 R2.The following article details how the Azure Policy Regulatory Compliance built-in initiative definition maps to compliance domains and controls in NIST SP 800-171 R2. Zie NIST SP 800-171 R2voor meer informatie over deze nalevingsstandaard.For more information about this compliance standard, see NIST SP 800-171 R2. Zie Azure Policy-beleidsdefinitie en Gedeelde verantwoordelijkheid in de Cloud om Eigendom te begrijpen.To understand Ownership, see Azure Policy policy definition and Shared responsibility in the cloud.

De volgende toewijzingen zijn voor de NIST SP 800-171 R2-beheeropties.The following mappings are to the NIST SP 800-171 R2 controls. Gebruik de navigatie aan de rechterkant om rechtstreeks naar een toewijzing van een specifiek nalevingsdomein te gaan.Use the navigation on the right to jump directly to a specific compliance domain. Veel van de beheeropties worden geïmplementeerd met een Azure Policy-initiatiefdefinitie.Many of the controls are implemented with an Azure Policy initiative definition. Als u de complete initiatiefdefinitie wilt bekijken, opent u Beleid in de Azure-portal en selecteert u de pagina Definities.To review the complete initiative definition, open Policy in the Azure portal and select the Definitions page. Zoek en selecteer vervolgens de ingebouwde initiatiefdefinitie voor naleving van regelgeving voor NIST SP 800-171 R2.Then, find and select the NIST SP 800-171 R2 Regulatory Compliance built-in initiative definition.

Belangrijk

Elke beheeroptie hieronder is gekoppeld aan een of meer Azure Policy-definities.Each control below is associated with one or more Azure Policy definitions. Met deze beleidsregels kunt u de compliance beoordelen met de beheeroptie. Er is echter vaak geen één-op-één- of volledige overeenkomst tussen een beheeroptie en een of meer beleidsregels.These policies may help you assess compliance with the control; however, there often is not a one-to-one or complete match between a control and one or more policies. Als zodanig verwijst de term Conform in Azure Policy alleen naar de beleidsdefinities zelf. Dit garandeert niet dat u volledig conform bent met alle vereisten van een beheeroptie.As such, Compliant in Azure Policy refers only to the policy definitions themselves; this doesn't ensure you're fully compliant with all requirements of a control. Daarnaast bevat de nalevingsstandaard beheeropties die op dit moment nog niet worden beschreven door Azure Policy-definities.In addition, the compliance standard includes controls that aren't addressed by any Azure Policy definitions at this time. Daarom is naleving in Azure Policy slechts een gedeeltelijke weergave van uw algemene nalevingsstatus.Therefore, compliance in Azure Policy is only a partial view of your overall compliance status. De koppelingen tussen de beheeropties voor nalevingsdomeinen en Azure Policy definities voor deze nalevingsstandaard kunnen na verloop van tijd veranderen.The associations between compliance domains, controls, and Azure Policy definitions for this compliance standard may change over time. Als u de wijzigingsgeschiedenis wilt bekijken, raadpleegt u de GitHub Commit-geschiedenis.To view the change history, see the GitHub Commit History.

ToegangsbeheerAccess Control

De systeemtoegang beperken tot geautoriseerde gebruikers, processen die optreden namens geautoriseerde gebruikers, en apparaten (inclusief andere systemen).Limit system access to authorized users, processes acting on behalf of authorized users, and devices (including other systems).

Id: NIST SP 800-171 R2 3.1.1 Eigendom: GedeeldID: NIST SP 800-171 R2 3.1.1 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteitenAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration but do not have any managed identities. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration and have at least one user-assigned identity but do not have a system-assigned managed identity. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaanAudit Linux machines that allow remote connections from accounts without passwords Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaanMachines are non-compliant if Linux machines that allow remote connections from accounts without passwords AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM'sDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie.This policy deploys the Windows Guest Configuration extension to Windows virtual machines hosted in Azure that are supported by Guest Configuration. De Windows-extensie voor gastconfiguratie is een vereiste voor alle toewijzingen van Windows-gastconfiguratie, en moet worden geïmplementeerd op machines vóór het gebruik van beleidsdefinities voor Windows-gastconfiguratie.The Windows Guest Configuration extension is a prerequisite for all Windows Guest Configuration assignments and must deployed to machines before using any Windows Guest Configuration policy definition. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. deployIfNotExistsdeployIfNotExists 1.0.01.0.0
Afgeschafte accounts moeten worden verwijderd uit uw abonnementDeprecated accounts should be removed from your subscription Afgeschafte accounts moeten worden verwijderd uit uw abonnement.Deprecated accounts should be removed from your subscriptions. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd.Deprecated accounts are accounts that have been blocked from signing in. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnementDeprecated accounts with owner permissions should be removed from your subscription Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement.Deprecated accounts with owner permissions should be removed from your subscription. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd.Deprecated accounts are accounts that have been blocked from signing in. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnementExternal accounts with owner permissions should be removed from your subscription Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.External accounts with owner permissions should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnementExternal accounts with read permissions should be removed from your subscription Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.External accounts with read privileges should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnementExternal accounts with write permissions should be removed from your subscription Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.External accounts with write privileges should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Externe foutopsporing moet worden uitgeschakeld voor API-appsRemote debugging should be turned off for API Apps Voor externe foutopsporing moeten binnenkomende poorten worden geopend op API-apps.Remote debugging requires inbound ports to be opened on API apps. Externe foutopsporing moet worden uitgeschakeld.Remote debugging should be turned off. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Externe foutopsporing moet worden uitgeschakeld voor Function-appsRemote debugging should be turned off for Function Apps Voor externe foutopsporing moeten binnenkomende poorten worden geopend op Function-apps.Remote debugging requires inbound ports to be opened on function apps. Externe foutopsporing moet worden uitgeschakeld.Remote debugging should be turned off. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Externe foutopsporing moet worden uitgeschakeld voor webtoepassingenRemote debugging should be turned off for Web Applications Voor externe foutopsporing moeten binnenkomende poorten worden geopend op een webtoepassing.Remote debugging requires inbound ports to be opened on a web application. Externe foutopsporing moet worden uitgeschakeld.Remote debugging should be turned off. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Netwerktoegang tot opslagaccounts moet zijn beperktStorage accounts should restrict network access Netwerktoegang tot opslagaccounts moet worden beperkt.Network access to storage accounts should be restricted. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount.Configure network rules so only applications from allowed networks can access the storage account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend tot verkeer van specifieke virtuele Azure-netwerken of tot ip-adresbereiken voor openbaar internetTo allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.11.1.1
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging'Windows machines should meet requirements for 'Security Options - Network Security' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Security' for including Local System behavior, PKU2U, LAN Manager, LDAP client, and NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

De stroom van CUI beheren in overeenstemming met goedgekeurde autorisaties.Control the flow of CUI in accordance with approved authorizations.

Id: NIST SP 800-171 R2 3.1.3 Eigendom: GedeeldID: NIST SP 800-171 R2 3.1.3 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Gebruik van CORS mag er niet toe leiden dat elke resource toegang heeft tot uw webtoepassingenCORS should not allow every resource to access your Web Applications Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw webtoepassing.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your web application. Sta alleen de vereiste domeinen toe om met uw web-app te communiceren.Allow only required domains to interact with your web app. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0

De taken van individuen scheiden om het risico op kwaadaardige activiteiten zonder samenzwering te beperken.Separate the duties of individuals to reduce the risk of malevolent activity without collusion.

Id: NIST SP 800-171 R2 3.1.4 Eigendom: GedeeldID: NIST SP 800-171 R2 3.1.4 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Er moeten maximaal drie eigenaren worden aangewezen voor uw abonnementA maximum of 3 owners should be designated for your subscription Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken.It is recommended to designate up to 3 subscription owners in order to reduce the potential for breach by a compromised owner. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Windows-machines controleren waarop opgegeven leden van de groep Beheerders ontbrekenAudit Windows machines missing any of specified members in the Administrators group Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als de lokale groep Beheerders niet één of meer leden bevat die worden vermeld in de beleidsparameter.Machines are non-compliant if the local Administrators group does not contain one or more members that are listed in the policy parameter. auditIfNotExistsauditIfNotExists 1.0.01.0.0
Windows-machines controleren die opgegeven leden van de groep Beheerders bevattenAudit Windows machines that have the specified members in the Administrators group Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als de lokale groep Beheerders één of meer leden bevat die worden vermeld in de beleidsparameter.Machines are non-compliant if the local Administrators group contains one or more of the members listed in the policy parameter. auditIfNotExistsauditIfNotExists 1.0.01.0.0
Er moet meer dan één eigenaar zijn toegewezen aan uw abonnementThere should be more than one owner assigned to your subscription Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders.It is recommended to designate more than one subscription owner in order to have administrator access redundancy. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Externe toegangssessies bewaken en beherenMonitor and control remote access sessions.

Id: NIST SP 800-171 R2 3.1.12 Eigendom: GedeeldID: NIST SP 800-171 R2 3.1.12 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteitenAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration but do not have any managed identities. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration and have at least one user-assigned identity but do not have a system-assigned managed identity. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaanAudit Linux machines that allow remote connections from accounts without passwords Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaanMachines are non-compliant if Linux machines that allow remote connections from accounts without passwords AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM'sDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie.This policy deploys the Windows Guest Configuration extension to Windows virtual machines hosted in Azure that are supported by Guest Configuration. De Windows-extensie voor gastconfiguratie is een vereiste voor alle toewijzingen van Windows-gastconfiguratie, en moet worden geïmplementeerd op machines vóór het gebruik van beleidsdefinities voor Windows-gastconfiguratie.The Windows Guest Configuration extension is a prerequisite for all Windows Guest Configuration assignments and must deployed to machines before using any Windows Guest Configuration policy definition. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. deployIfNotExistsdeployIfNotExists 1.0.01.0.0
Externe foutopsporing moet worden uitgeschakeld voor API-appsRemote debugging should be turned off for API Apps Voor externe foutopsporing moeten binnenkomende poorten worden geopend op API-apps.Remote debugging requires inbound ports to be opened on API apps. Externe foutopsporing moet worden uitgeschakeld.Remote debugging should be turned off. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Externe foutopsporing moet worden uitgeschakeld voor Function-appsRemote debugging should be turned off for Function Apps Voor externe foutopsporing moeten binnenkomende poorten worden geopend op Function-apps.Remote debugging requires inbound ports to be opened on function apps. Externe foutopsporing moet worden uitgeschakeld.Remote debugging should be turned off. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Externe foutopsporing moet worden uitgeschakeld voor webtoepassingenRemote debugging should be turned off for Web Applications Voor externe foutopsporing moeten binnenkomende poorten worden geopend op een webtoepassing.Remote debugging requires inbound ports to be opened on a web application. Externe foutopsporing moet worden uitgeschakeld.Remote debugging should be turned off. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Netwerktoegang tot opslagaccounts moet zijn beperktStorage accounts should restrict network access Netwerktoegang tot opslagaccounts moet worden beperkt.Network access to storage accounts should be restricted. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount.Configure network rules so only applications from allowed networks can access the storage account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend tot verkeer van specifieke virtuele Azure-netwerken of tot ip-adresbereiken voor openbaar internetTo allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.11.1.1
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging'Windows machines should meet requirements for 'Security Options - Network Security' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Security' for including Local System behavior, PKU2U, LAN Manager, LDAP client, and NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Controle en verantwoordelijkheidAudit and Accountability

Systeemauditlogboeken en -records maken en bewaren in de mate die nodig is om bewaking, analyse, onderzoek en rapportage van onrechtmatige of niet-geautoriseerde systeemactiviteiten mogelijk te maken.Create and retain system audit logs and records to the extent needed to enable the monitoring, analysis, investigation, and reporting of unlawful or unauthorized system activity.

Id: NIST SP 800-171 R2 3.3.1 Eigendom: GedeeldID: NIST SP 800-171 R2 3.3.1 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Advanced Data Security moet zijn ingeschakeld voor SQL Managed InstanceAdvanced data security should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance zonder Advanced Data Security.Audit each SQL Managed Instance without advanced data security. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
Advanced Data Security moet zijn ingeschakeld op uw SQL-serversAdvanced data security should be enabled on your SQL servers SQL-servers zonder Advanced Data Security controlerenAudit SQL servers without Advanced Data Security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Audit diagnostic setting (Diagnostische instelling voor controleren)Audit diagnostic setting Diagnostische controle-instelling voor geselecteerde resourcetypenAudit diagnostic setting for selected resource types AuditIfNotExistsAuditIfNotExists 1.0.01.0.0
Log Analytics-werkruimte voor VM controleren - niet-overeenkomende items rapporterenAudit Log Analytics workspace for VM - Report Mismatch Hiermee worden VM's als niet-overeenkomend vermeld als de logboekgegevens niet worden opgeslagen in de Log Analytics-werkruimte die is opgegeven in de beleids-/initiatieftoewijzing.Reports VMs as non-compliant if they aren't logging to the Log Analytics workspace specified in the policy/initiative assignment. controlerenaudit 1.0.11.0.1
Controle op SQL Server moet zijn ingeschakeldAuditing on SQL server should be enabled Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek.Auditing on your SQL Server should be enabled to track database activities across all databases on the server and save them in an audit log. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Log Analytics-agent moet zijn ingeschakeld voor vermelde virtuele-machine-afbeeldingenLog Analytics Agent should be enabled for listed virtual machine images Rapporteert virtuele machines als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machines as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.0-preview2.0.0-preview
Log Analytics-agent moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde virtuele-machine-afbeeldingenLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machine scale sets as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
De Log Analytics-agent moet worden geïnstalleerd op virtuele-machineschaalsetsThe Log Analytics agent should be installed on Virtual Machine Scale Sets Met dit beleid worden alle virtuele-machineschaalsets van Windows/Linux gecontroleerd als de Log Analytics-agent niet is geïnstalleerd.This policy audits any Windows/Linux Virtual Machine Scale Sets if the Log Analytics agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Log Analytics-agent moet worden geïnstalleerd op virtuele machinesThe Log Analytics agent should be installed on virtual machines Met dit beleid worden alle virtuele machines van Windows/Linux gecontroleerd als de Log Analytics-agent niet is geïnstalleerd.This policy audits any Windows/Linux virtual machines if the Log Analytics agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0

Ervoor zorgen dat de acties van individuele systeemgebruikers uniek kunnen worden getraceerd voor die gebruikers, zodat zij verantwoordelijk kunnen worden gesteld voor hun acties.Ensure that the actions of individual system users can be uniquely traced to those users, so they can be held accountable for their actions.

Id: NIST SP 800-171 R2 3.3.2 Eigendom: GedeeldID: NIST SP 800-171 R2 3.3.2 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Advanced Data Security moet zijn ingeschakeld voor SQL Managed InstanceAdvanced data security should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance zonder Advanced Data Security.Audit each SQL Managed Instance without advanced data security. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
Advanced Data Security moet zijn ingeschakeld op uw SQL-serversAdvanced data security should be enabled on your SQL servers SQL-servers zonder Advanced Data Security controlerenAudit SQL servers without Advanced Data Security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Audit diagnostic setting (Diagnostische instelling voor controleren)Audit diagnostic setting Diagnostische controle-instelling voor geselecteerde resourcetypenAudit diagnostic setting for selected resource types AuditIfNotExistsAuditIfNotExists 1.0.01.0.0
Log Analytics-werkruimte voor VM controleren - niet-overeenkomende items rapporterenAudit Log Analytics workspace for VM - Report Mismatch Hiermee worden VM's als niet-overeenkomend vermeld als de logboekgegevens niet worden opgeslagen in de Log Analytics-werkruimte die is opgegeven in de beleids-/initiatieftoewijzing.Reports VMs as non-compliant if they aren't logging to the Log Analytics workspace specified in the policy/initiative assignment. controlerenaudit 1.0.11.0.1
Controle op SQL Server moet zijn ingeschakeldAuditing on SQL server should be enabled Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek.Auditing on your SQL Server should be enabled to track database activities across all databases on the server and save them in an audit log. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Log Analytics-agent moet zijn ingeschakeld voor vermelde virtuele-machine-afbeeldingenLog Analytics Agent should be enabled for listed virtual machine images Rapporteert virtuele machines als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machines as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.0-preview2.0.0-preview
Log Analytics-agent moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde virtuele-machine-afbeeldingenLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machine scale sets as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
De Log Analytics-agent moet worden geïnstalleerd op virtuele-machineschaalsetsThe Log Analytics agent should be installed on Virtual Machine Scale Sets Met dit beleid worden alle virtuele-machineschaalsets van Windows/Linux gecontroleerd als de Log Analytics-agent niet is geïnstalleerd.This policy audits any Windows/Linux Virtual Machine Scale Sets if the Log Analytics agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Log Analytics-agent moet worden geïnstalleerd op virtuele machinesThe Log Analytics agent should be installed on virtual machines Met dit beleid worden alle virtuele machines van Windows/Linux gecontroleerd als de Log Analytics-agent niet is geïnstalleerd.This policy audits any Windows/Linux virtual machines if the Log Analytics agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0

Waarschuwen als er een fout optreedt in het auditlogboekregistratieproces.Alert in the event of an audit logging process failure.

Id: NIST SP 800-171 R2 3.3.4 Eigendom: GedeeldID: NIST SP 800-171 R2 3.3.4 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Advanced Data Security moet zijn ingeschakeld voor SQL Managed InstanceAdvanced data security should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance zonder Advanced Data Security.Audit each SQL Managed Instance without advanced data security. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
Advanced Data Security moet zijn ingeschakeld op uw SQL-serversAdvanced data security should be enabled on your SQL servers SQL-servers zonder Advanced Data Security controlerenAudit SQL servers without Advanced Data Security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Audit diagnostic setting (Diagnostische instelling voor controleren)Audit diagnostic setting Diagnostische controle-instelling voor geselecteerde resourcetypenAudit diagnostic setting for selected resource types AuditIfNotExistsAuditIfNotExists 1.0.01.0.0
Controle op SQL Server moet zijn ingeschakeldAuditing on SQL server should be enabled Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek.Auditing on your SQL Server should be enabled to track database activities across all databases on the server and save them in an audit log. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Configuration ManagementConfiguration Management

Het gebruik van niet-essentiële programma's, functies, poorten, protocollen en services beperken, uitschakelen of voorkomen.Restrict, disable, or prevent the use of nonessential programs, functions, ports, protocols, and services.

Id: NIST SP 800-171 R2 3.4.7 Eigendom: GedeeldID: NIST SP 800-171 R2 3.4.7 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computersAdaptive application controls for defining safe applications should be enabled on your machines Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd.Enable application controls to define the list of known-safe applications running on your machines, and alert you when other applications run. Dit helpt uw computers te beschermen tegen schadelijke software.This helps harden your machines against malware. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor.To simplify the process of configuring and maintaining your rules, Security Center uses machine learning to analyze the applications running on each machine and suggest the list of known-safe applications. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Het beleid deny-by-exception (op de zwarte lijst plaatsen) toepassen om het gebruik van niet-geautoriseerde software te voorkomen, of het beleid deny-all, permit-by-exception (in de toegestane lijst opnemen) toepassen om het uitvoeren van geautoriseerde software toe te staan.Apply deny-by-exception (blacklisting) policy to prevent the use of unauthorized software or deny-all, permit-by-exception (whitelisting) policy to allow the execution of authorized software.

Id: NIST SP 800-171 R2 3.4.8 Eigendom: GedeeldID: NIST SP 800-171 R2 3.4.8 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computersAdaptive application controls for defining safe applications should be enabled on your machines Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd.Enable application controls to define the list of known-safe applications running on your machines, and alert you when other applications run. Dit helpt uw computers te beschermen tegen schadelijke software.This helps harden your machines against malware. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor.To simplify the process of configuring and maintaining your rules, Security Center uses machine learning to analyze the applications running on each machine and suggest the list of known-safe applications. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Door de gebruiker geïnstalleerde software beheren en bewaken.Control and monitor user-installed software.

Id: NIST SP 800-171 R2 3.4.9 Eigendom: GedeeldID: NIST SP 800-171 R2 3.4.9 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computersAdaptive application controls for defining safe applications should be enabled on your machines Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd.Enable application controls to define the list of known-safe applications running on your machines, and alert you when other applications run. Dit helpt uw computers te beschermen tegen schadelijke software.This helps harden your machines against malware. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor.To simplify the process of configuring and maintaining your rules, Security Center uses machine learning to analyze the applications running on each machine and suggest the list of known-safe applications. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Identificatie en verificatieIdentification and Authentication

Systeemgebruikers, processen die optreden namens gebruikers, en apparaten identificeren.Identify system users, processes acting on behalf of users, and devices.

Id: NIST SP 800-171 R2 3.5.1 Eigendom: GedeeldID: NIST SP 800-171 R2 3.5.1 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
MFA moet zijn ingeschakeld voor accounts met schrijfmachtigingen voor uw abonnementMFA should be enabled accounts with write permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with write privileges to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
MFA moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor uw abonnementMFA should be enabled on accounts with owner permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with owner permissions to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

De identiteit van gebruikers, processen of apparaten verifiëren als vereiste om toegang te verlenen tot organisatiesystemen.Authenticate (or verify) the identities of users, processes, or devices, as a prerequisite to allowing access to organizational systems.

Id: NIST SP 800-171 R2 3.5.2 Eigendom: GedeeldID: NIST SP 800-171 R2 3.5.2 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteitenAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration but do not have any managed identities. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration and have at least one user-assigned identity but do not have a system-assigned managed identity. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Linux-machines controleren met accounts zonder wachtwoordenAudit Linux machines that have accounts without passwords Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Linux-machines accounts hebben zonder wachtwoordenMachines are non-compliant if Linux machines that have accounts without passwords AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM'sDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie.This policy deploys the Windows Guest Configuration extension to Windows virtual machines hosted in Azure that are supported by Guest Configuration. De Windows-extensie voor gastconfiguratie is een vereiste voor alle toewijzingen van Windows-gastconfiguratie, en moet worden geïmplementeerd op machines vóór het gebruik van beleidsdefinities voor Windows-gastconfiguratie.The Windows Guest Configuration extension is a prerequisite for all Windows Guest Configuration assignments and must deployed to machines before using any Windows Guest Configuration policy definition. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. deployIfNotExistsdeployIfNotExists 1.0.01.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging'Windows machines should meet requirements for 'Security Options - Network Security' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Security' for including Local System behavior, PKU2U, LAN Manager, LDAP client, and NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Meervoudige verificatie gebruiken voor lokale en netwerktoegang tot bevoegde accounts en voor netwerktoegang tot niet-bevoegde accounts.Use multifactor authentication for local and network access to privileged accounts and for network access to non-privileged accounts.

Id: NIST SP 800-171 R2 3.5.3 Eigendom: GedeeldID: NIST SP 800-171 R2 3.5.3 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
MFA moet zijn ingeschakeld voor accounts met schrijfmachtigingen voor uw abonnementMFA should be enabled accounts with write permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with write privileges to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
MFA moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor uw abonnementMFA should be enabled on accounts with owner permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with owner permissions to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor uw abonnementMFA should be enabled on accounts with read permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with read privileges to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Dwing minimale wachtwoordcomplexiteit en wijziging van tekens af wanneer er nieuwe wachtwoorden worden gemaakt.Enforce a minimum password complexity and change of characters when new passwords are created.

Id: NIST SP 800-171 R2 3.5.7 Eigendom: GedeeldID: NIST SP 800-171 R2 3.5.7 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteitenAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration but do not have any managed identities. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration and have at least one user-assigned identity but do not have a system-assigned managed identity. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Linux-machines controleren met accounts zonder wachtwoordenAudit Linux machines that have accounts without passwords Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Linux-machines accounts hebben zonder wachtwoordenMachines are non-compliant if Linux machines that have accounts without passwords AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Windows-machines controleren waarop de instelling voor wachtwoordcomplexiteit niet is ingeschakeldAudit Windows machines that do not have the password complexity setting enabled Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Windows-machines de instelling voor wachtwoordcomplexiteit niet hebben ingeschakeldMachines are non-compliant if Windows machines that do not have the password complexity setting enabled AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Windows-machines controleren waarvoor de minimale wachtwoordlengte niet wordt beperkt tot 14 tekensAudit Windows machines that do not restrict the minimum password length to 14 characters Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Windows-machines de minimale wachtwoordlengte niet beperken tot 14 tekensMachines are non-compliant if Windows machines that do not restrict the minimum password length to 14 characters AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM'sDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie.This policy deploys the Windows Guest Configuration extension to Windows virtual machines hosted in Azure that are supported by Guest Configuration. De Windows-extensie voor gastconfiguratie is een vereiste voor alle toewijzingen van Windows-gastconfiguratie, en moet worden geïmplementeerd op machines vóór het gebruik van beleidsdefinities voor Windows-gastconfiguratie.The Windows Guest Configuration extension is a prerequisite for all Windows Guest Configuration assignments and must deployed to machines before using any Windows Guest Configuration policy definition. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. deployIfNotExistsdeployIfNotExists 1.0.01.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging'Windows machines should meet requirements for 'Security Options - Network Security' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Security' for including Local System behavior, PKU2U, LAN Manager, LDAP client, and NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Hergebruik van wachtwoorden voor een opgegeven aantal generaties verbieden.Prohibit password reuse for a specified number of generations.

Id: NIST SP 800-171 R2 3.5.8 Eigendom: GedeeldID: NIST SP 800-171 R2 3.5.8 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteitenAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration but do not have any managed identities. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration and have at least one user-assigned identity but do not have a system-assigned managed identity. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Windows-machines controleren waarvoor de voorgaande 24 wachtwoorden opnieuw kunnen worden gebruiktAudit Windows machines that allow re-use of the previous 24 passwords Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Windows-machines de voorgaande 24 wachtwoorden opnieuw kunnen gebruikenMachines are non-compliant if Windows machines that allow re-use of the previous 24 passwords AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM'sDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie.This policy deploys the Windows Guest Configuration extension to Windows virtual machines hosted in Azure that are supported by Guest Configuration. De Windows-extensie voor gastconfiguratie is een vereiste voor alle toewijzingen van Windows-gastconfiguratie, en moet worden geïmplementeerd op machines vóór het gebruik van beleidsdefinities voor Windows-gastconfiguratie.The Windows Guest Configuration extension is a prerequisite for all Windows Guest Configuration assignments and must deployed to machines before using any Windows Guest Configuration policy definition. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. deployIfNotExistsdeployIfNotExists 1.0.01.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging'Windows machines should meet requirements for 'Security Options - Network Security' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Security' for including Local System behavior, PKU2U, LAN Manager, LDAP client, and NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Alleen cryptografisch beveiligde wachtwoorden opslaan en verzenden.Store and transmit only cryptographically-protected passwords.

Id: NIST SP 800-171 R2 3.5.10 Eigendom: GedeeldID: NIST SP 800-171 R2 3.5.10 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteitenAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration but do not have any managed identities. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration and have at least one user-assigned identity but do not have a system-assigned managed identity. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Linux-machines controleren waarvoor machtigingen in het passwd-bestand niet op 0644 zijn ingesteldAudit Linux machines that do not have the passwd file permissions set to 0644 Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines zijn voldoen niet als Linux-machines geen machtigingen in het passwd-bestand op 0644 ingesteld hebbenMachines are non-compliant if Linux machines that do not have the passwd file permissions set to 0644 AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Windows-machines controleren waarop wachtwoorden niet worden opgeslagen met omkeerbare versleutelingAudit Windows machines that do not store passwords using reversible encryption Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Windows-machines wachtwoorden niet opslaan met omkeerbare versleutelingMachines are non-compliant if Windows machines that do not store passwords using reversible encryption AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM'sDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie.This policy deploys the Windows Guest Configuration extension to Windows virtual machines hosted in Azure that are supported by Guest Configuration. De Windows-extensie voor gastconfiguratie is een vereiste voor alle toewijzingen van Windows-gastconfiguratie, en moet worden geïmplementeerd op machines vóór het gebruik van beleidsdefinities voor Windows-gastconfiguratie.The Windows Guest Configuration extension is a prerequisite for all Windows Guest Configuration assignments and must deployed to machines before using any Windows Guest Configuration policy definition. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. deployIfNotExistsdeployIfNotExists 1.0.01.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging'Windows machines should meet requirements for 'Security Options - Network Security' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Security' for including Local System behavior, PKU2U, LAN Manager, LDAP client, and NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Risico-evaluatieRisk Assessment

Regelmatig scannen op beveiligingsproblemen in organisatiesystemen en toepassingen en wanneer er nieuwe beveiligingsproblemen worden geïdentificeerd die van invloed zijn op die systemen en toepassingen.Scan for vulnerabilities in organizational systems and applications periodically and when new vulnerabilities affecting those systems and applications are identified.

Id: NIST SP 800-171 R2 3.11.2 Eigendom: GedeeldID: NIST SP 800-171 R2 3.11.2 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld)A vulnerability assessment solution should be enabled on your virtual machines Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd.Audits virtual machines to detect whether they are running a supported vulnerability assessment solution. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen.A core component of every cyber risk and security program is the identification and analysis of vulnerabilities. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten.Azure Security Center's standard pricing tier includes vulnerability scanning for your virtual machines at no extra cost. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd.Additionally, Security Center can automatically deploy this tool for you. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Advanced Data Security moet zijn ingeschakeld voor SQL Managed InstanceAdvanced data security should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance zonder Advanced Data Security.Audit each SQL Managed Instance without advanced data security. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
Advanced Data Security moet zijn ingeschakeld op uw SQL-serversAdvanced data security should be enabled on your SQL servers SQL-servers zonder Advanced Data Security controlerenAudit SQL servers without Advanced Data Security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
In SQL-databases moeten de bevindingen van beveiligingsleed zijn opgelostSQL databases should have vulnerability findings resolved Controleer de scanresultaten van de evaluatie van beveiligingsproblemen en aanbevelingen voor het herstellen van beveiligingsproblemen in de database.Monitor vulnerability assessment scan results and recommendations for how to remediate database vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 4.0.04.0.0
Beveiligingsproblemen in beveiligingsconfiguraties voor containers moeten worden verholpenVulnerabilities in container security configurations should be remediated Beveiligingsproblemen in de beveiligingsconfiguratie op computers waarop Docker is geïnstalleerd, controleren en als aanbevelingen weergeven in Azure Security Center.Audit vulnerabilities in security configuration on machines with Docker installed and display as recommendations in Azure Security Center. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteldVulnerabilities in security configuration on your machines should be remediated Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security CenterServers which do not satisfy the configured baseline will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie van virtuele-machineschaalsets moeten worden hersteldVulnerabilities in security configuration on your virtual machine scale sets should be remediated Controleer op beveiligingsproblemen van besturingssystemen op uw virtuele-machineschaalsets om de schaalsets te beveiligen tegen aanvallen.Audit the OS vulnerabilities on your virtual machine scale sets to protect them from attacks. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Systeem- en communicatiebeveiligingSystem and Communications Protection

Communicatie (bijvoorbeeld gegevens die worden verzonden of ontvangen door organisatiesystemen) bewaken, beheren en beveiligen aan de externe grenzen en de belangrijkste interne grenzen van organisatiesystemen.Monitor, control, and protect communications (i.e., information transmitted or received by organizational systems) at the external boundaries and key internal boundaries of organizational systems.

Id: NIST SP 800-171 R2 3.13.1 Eigendom: GedeeldID: NIST SP 800-171 R2 3.13.1 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Aanbevelingen voor Adaptieve netwerkbeveiliging moeten worden toegepast op virtuele machines die op internet zijn gerichtAdaptive network hardening recommendations should be applied on internet facing virtual machines Azure Security Center analyseert de verkeerspatronen van virtuele machines die vanaf het internet toegankelijk zijn, en formuleert aanbevelingen voor regels voor de netwerkbeveiligingsgroep die de kans op aanvallen beperkenAzure Security Center analyzes the traffic patterns of Internet facing virtual machines and provides Network Security Group rule recommendations that reduce the potential attack surface AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machineAll network ports should be restricted on network security groups associated to your virtual machine Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd.Azure Security Center has identified some of your network security groups' inbound rules to be too permissive. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’.Inbound rules should not allow access from 'Any' or 'Internet' ranges. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen.This can potentially enable attackers to target your resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
API-app mag alleen toegankelijk zijn via HTTPSAPI App should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Function-app mag alleen toegankelijk zijn via HTTPSFunction App should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
De nieuwste TLS-versie moet worden gebruikt in uw API-appLatest TLS version should be used in your API App Een upgrade uitvoeren uit naar de meest recente TLS-versieUpgrade to the latest TLS version AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De nieuwste TLS-versie moet worden gebruikt in uw Function-appLatest TLS version should be used in your Function App Een upgrade uitvoeren uit naar de meest recente TLS-versieUpgrade to the latest TLS version AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De nieuwste TLS-versie moet worden gebruikt in uw web-appLatest TLS version should be used in your Web App Een upgrade uitvoeren uit naar de meest recente TLS-versieUpgrade to the latest TLS version AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeldOnly secure connections to your Azure Cache for Redis should be enabled Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren.Audit enabling of only connections via SSL to Azure Cache for Redis. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijackingUse of secure connections ensures authentication between the server and the service and protects data in transit from network layer attacks such as man-in-the-middle, eavesdropping, and session-hijacking Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeldSecure transfer to storage accounts should be enabled Controleer de vereiste van beveiligde overdracht in uw opslagaccount.Audit requirement of Secure transfer in your storage account. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert.Secure transfer is an option that forces your storage account to accept requests only from secure connections (HTTPS). Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijackingUse of HTTPS ensures authentication between the server and the service and protects data in transit from network layer attacks such as man-in-the-middle, eavesdropping, and session-hijacking Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 2.0.02.0.0
Netwerktoegang tot opslagaccounts moet zijn beperktStorage accounts should restrict network access Netwerktoegang tot opslagaccounts moet worden beperkt.Network access to storage accounts should be restricted. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount.Configure network rules so only applications from allowed networks can access the storage account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend tot verkeer van specifieke virtuele Azure-netwerken of tot ip-adresbereiken voor openbaar internetTo allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.11.1.1
Webtoepassing mag alleen toegankelijk zijn via HTTPSWeb Application should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Windows-webservers moeten worden geconfigureerd voor het gebruik van beveiligde communicatieprotocollenWindows web servers should be configured to use secure communication protocols Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw webservers gebruikmaken van de nieuwste versie van het cryptografische protocol volgens de industriestandaard, Transport Layer Security (TLS).To protect the privacy of information communicated over the Internet, your web servers should use the latest version of the industry-standard cryptographic protocol, Transport Layer Security (TLS). TLS beveiligt communicatie via een netwerk met behulp van beveiligingscertificaten om een verbinding tussen computers te versleutelen.TLS secures communications over a network by using security certificates to encrypt a connection between machines. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.1.02.1.0

Subnetwerken implementeren voor openbaar toegankelijke systeemonderdelen die fysiek of logisch gescheiden zijn van interne netwerken.Implement subnetworks for publicly accessible system components that are physically or logically separated from internal networks.

Id: NIST SP 800-171 R2 3.13.5 Eigendom: GedeeldID: NIST SP 800-171 R2 3.13.5 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Aanbevelingen voor Adaptieve netwerkbeveiliging moeten worden toegepast op virtuele machines die op internet zijn gerichtAdaptive network hardening recommendations should be applied on internet facing virtual machines Azure Security Center analyseert de verkeerspatronen van virtuele machines die vanaf het internet toegankelijk zijn, en formuleert aanbevelingen voor regels voor de netwerkbeveiligingsgroep die de kans op aanvallen beperkenAzure Security Center analyzes the traffic patterns of Internet facing virtual machines and provides Network Security Group rule recommendations that reduce the potential attack surface AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machineAll network ports should be restricted on network security groups associated to your virtual machine Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd.Azure Security Center has identified some of your network security groups' inbound rules to be too permissive. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’.Inbound rules should not allow access from 'Any' or 'Internet' ranges. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen.This can potentially enable attackers to target your resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepenInternet-facing virtual machines should be protected with network security groups Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG).Protect your virtual machines from potential threats by restricting access to them with network security groups (NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-docLearn more about controlling traffic with NSGs at https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Netwerktoegang tot opslagaccounts moet zijn beperktStorage accounts should restrict network access Netwerktoegang tot opslagaccounts moet worden beperkt.Network access to storage accounts should be restricted. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount.Configure network rules so only applications from allowed networks can access the storage account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan IP-adresbereiken van openbaar internetTo allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.11.1.1

Implementeer cryptografische mechanismen om niet-geautoriseerde openbaarmaking van CUI tijdens verzending te voorkomen, tenzij anderszins beschermd door alternatieve fysieke beveiliging.Implement cryptographic mechanisms to prevent unauthorized disclosure of CUI during transmission unless otherwise protected by alternative physical safeguards.

Id: NIST SP 800-171 R2 3.13.8 Eigendom: GedeeldID: NIST SP 800-171 R2 3.13.8 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
API-app mag alleen toegankelijk zijn via HTTPSAPI App should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Function-app mag alleen toegankelijk zijn via HTTPSFunction App should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeldOnly secure connections to your Azure Cache for Redis should be enabled Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren.Audit enabling of only connections via SSL to Azure Cache for Redis. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijackingUse of secure connections ensures authentication between the server and the service and protects data in transit from network layer attacks such as man-in-the-middle, eavesdropping, and session-hijacking Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeldSecure transfer to storage accounts should be enabled Controleer de vereiste van beveiligde overdracht in uw opslagaccount.Audit requirement of Secure transfer in your storage account. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert.Secure transfer is an option that forces your storage account to accept requests only from secure connections (HTTPS). Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijackingUse of HTTPS ensures authentication between the server and the service and protects data in transit from network layer attacks such as man-in-the-middle, eavesdropping, and session-hijacking Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 2.0.02.0.0
Webtoepassing mag alleen toegankelijk zijn via HTTPSWeb Application should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Windows-webservers moeten worden geconfigureerd voor het gebruik van beveiligde communicatieprotocollenWindows web servers should be configured to use secure communication protocols Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw webservers gebruikmaken van de nieuwste versie van het industriestandaard cryptografieprotocol, Transport Layer Security (TLS).To protect the privacy of information communicated over the Internet, your web servers should use the latest version of the industry-standard cryptographic protocol, Transport Layer Security (TLS). TLS beveiligt communicatie via een netwerk met behulp van beveiligingscertificaten om een verbinding tussen computers te versleutelen.TLS secures communications over a network by using security certificates to encrypt a connection between machines. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.1.02.1.0

De vertrouwelijkheid van inactieve CUI beschermen.Protect the confidentiality of CUI at rest.

Id: NIST SP 800-171 R2 3.13.16 Eigendom: GedeeldID: NIST SP 800-171 R2 3.13.16 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Advanced Data Security moet zijn ingeschakeld voor SQL Managed InstanceAdvanced data security should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance zonder Advanced Data Security.Audit each SQL Managed Instance without advanced data security. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
Advanced Data Security moet zijn ingeschakeld op uw SQL-serversAdvanced data security should be enabled on your SQL servers SQL-servers zonder Advanced Data Security controlerenAudit SQL servers without Advanced Data Security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Schijfversleuteling moet worden toegepast op virtuele machinesDisk encryption should be applied on virtual machines Virtuele machines zonder ingeschakelde schijfversleuteling worden bewaakt via Azure Security Center als aanbevelingen.Virtual machines without an enabled disk encryption will be monitored by Azure Security Center as recommendations. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Transparent Data Encryption in SQL-databases moet zijn ingeschakeldTransparent Data Encryption on SQL databases should be enabled Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereistenTransparent data encryption should be enabled to protect data-at-rest and meet compliance requirements AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0

Systeem- en gegevensintegriteitSystem and Information Integrity

Systeemfouten tijdig identificeren, rapporteren en corrigeren.Identify, report, and correct system flaws in a timely manner.

Id: NIST SP 800-171 R2 3.14.1 Eigendom: GedeeldID: NIST SP 800-171 R2 3.14.1 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld)A vulnerability assessment solution should be enabled on your virtual machines Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd.Audits virtual machines to detect whether they are running a supported vulnerability assessment solution. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen.A core component of every cyber risk and security program is the identification and analysis of vulnerabilities. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten.Azure Security Center's standard pricing tier includes vulnerability scanning for your virtual machines at no extra cost. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd.Additionally, Security Center can automatically deploy this tool for you. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Controleren of de HTTP-versie de meest recente is als deze wordt gebruikt om de API-app te openenEnsure that 'HTTP Version' is the latest, if used to run the API app Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for HTTP either due to security flaws or to include additional functionality. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie.Using the latest HTTP version for web apps to take advantage of security fixes, if any, and/or new functionalities of the newer version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Controleren of de HTTP-versie de meest recente is, als deze wordt gebruikt om de Function-app uit te voerenEnsure that 'HTTP Version' is the latest, if used to run the Function app Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for HTTP either due to security flaws or to include additional functionality. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie.Using the latest HTTP version for web apps to take advantage of security fixes, if any, and/or new functionalities of the newer version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Controleren of de HTTP-versie de meest recente is, als deze wordt gebruikt om de web-app te openenEnsure that 'HTTP Version' is the latest, if used to run the Web app Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for HTTP either due to security flaws or to include additional functionality. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie.Using the latest HTTP version for web apps to take advantage of security fixes, if any, and/or new functionalities of the newer version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Controleren of de Java-versie de meest recente is als deze wordt gebruikt als onderdeel van de API-appEnsure that 'Java version' is the latest, if used as a part of the API app Er worden regelmatig nieuwere versies uitgebracht voor Java, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for Java either due to security flaws or to include additional functionality. Het gebruik van de nieuwste Python-versie voor API-apps wordt aanbevolen om te kunnen profiteren van beveiligingsoplossingen (indien van toepassing) en/of nieuwe functies van de nieuwste versie.Using the latest Python version for API apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Controleren of de nieuwste versie van Java wordt gebruikt als onderdeel van de Function-appEnsure that 'Java version' is the latest, if used as a part of the Function app Er worden regelmatig nieuwere versies uitgebracht voor Java-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for Java software either due to security flaws or to include additional functionality. Het gebruik van de nieuwste Java-versie voor Function-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie.Using the latest Java version for Function apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Controleren of de Java-versie de meest recente is, als deze wordt gebruikt als onderdeel van de web-appEnsure that 'Java version' is the latest, if used as a part of the Web app Er worden regelmatig nieuwere versies uitgebracht voor Java-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for Java software either due to security flaws or to include additional functionality. Het gebruik van de nieuwste Java-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie.Using the latest Java version for web apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Controleren of de PHP-versie de meest recente is als deze wordt gebruikt als onderdeel van de API-appEnsure that 'PHP version' is the latest, if used as a part of the API app Er worden regelmatig nieuwere versies uitgebracht voor PHP-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for PHP software either due to security flaws or to include additional functionality. Het gebruik van de nieuwste PHP-versie voor API-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie.Using the latest PHP version for API apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Controleren of de PHP-versie de meest recente is, als deze wordt gebruikt als onderdeel van de web-appEnsure that 'PHP version' is the latest, if used as a part of the WEB app Er worden regelmatig nieuwere versies uitgebracht voor PHP-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for PHP software either due to security flaws or to include additional functionality. Het gebruik van de nieuwste PHP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie.Using the latest PHP version for web apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Controleren of de Python-versie de meest recente is als deze wordt gebruikt als onderdeel van de API-appEnsure that 'Python version' is the latest, if used as a part of the API app Er worden regelmatig nieuwere versies uitgebracht voor Python-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for Python software either due to security flaws or to include additional functionality. Het gebruik van de nieuwste Python-versie voor API-apps wordt aanbevolen om te kunnen profiteren van beveiligingsoplossingen (indien van toepassing) en/of nieuwe functies van de nieuwste versie.Using the latest Python version for API apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Controleren of de Python-versie de meest recente is, als deze wordt gebruikt als onderdeel van de Function-appEnsure that 'Python version' is the latest, if used as a part of the Function app Er worden regelmatig nieuwere versies uitgebracht voor Python-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for Python software either due to security flaws or to include additional functionality. Het gebruik van de nieuwste Python-versie voor Function-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie.Using the latest Python version for Function apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Controleren of de Python-versie de meest recente is, als deze wordt gebruikt als onderdeel van de web-appEnsure that 'Python version' is the latest, if used as a part of the Web app Er worden regelmatig nieuwere versies uitgebracht voor Python-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for Python software either due to security flaws or to include additional functionality. Het gebruik van de nieuwste Python-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie.Using the latest Python version for web apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versieKubernetes Services should be upgraded to a non-vulnerable Kubernetes version Voer een upgrade van uw Kubernetes-servicecluster uit naar een nieuwere Kubernetes-versie om het cluster te beschermen tegen bekende beveiligingsproblemen in de huidige Kubernetes-versie.Upgrade your Kubernetes service cluster to a later Kubernetes version to protect against known vulnerabilities in your current Kubernetes version. Beveiligingsprobleem met betrekking tot CVE-2019-9946 is opgelost in Kubernetes-versies 1.11.9+, 1.12.7+, 1.13.5+ en 1.14.0+Vulnerability CVE-2019-9946 has been patched in Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+, and 1.14.0+ Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
De nieuwste TLS-versie moet worden gebruikt in uw API-appLatest TLS version should be used in your API App Een upgrade uitvoeren uit naar de meest recente TLS-versieUpgrade to the latest TLS version AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De nieuwste TLS-versie moet worden gebruikt in uw Function-appLatest TLS version should be used in your Function App Een upgrade uitvoeren uit naar de meest recente TLS-versieUpgrade to the latest TLS version AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De nieuwste TLS-versie moet worden gebruikt in uw web-appLatest TLS version should be used in your Web App Een upgrade uitvoeren uit naar de meest recente TLS-versieUpgrade to the latest TLS version AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
In SQL-databases moeten de bevindingen van beveiligingsleed zijn opgelostSQL databases should have vulnerability findings resolved Controleer de scanresultaten van de evaluatie van beveiligingsproblemen en aanbevelingen voor het herstellen van beveiligingsproblemen in de database.Monitor vulnerability assessment scan results and recommendations for how to remediate database vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 4.0.04.0.0
Systeemupdates op virtuele-machineschaalsets moeten worden geïnstalleerdSystem updates on virtual machine scale sets should be installed Controleren of er systeembeveiligingsupdates of essentiële updates ontbreken die moeten worden geïnstalleerd om ervoor te zorgen dat uw virtuele-machineschaalsets voor Windows en Linux veilig zijn.Audit whether there are any missing system security updates and critical updates that should be installed to ensure that your Windows and Linux virtual machine scale sets are secure. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Systeemupdates moeten op uw computers worden geïnstalleerdSystem updates should be installed on your machines Ontbrekende beveiligingssysteemupdates op uw servers worden als aanbevelingen bewaakt door Azure Security CenterMissing security system updates on your servers will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 4.0.04.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteldVulnerabilities in security configuration on your machines should be remediated Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security CenterServers which do not satisfy the configured baseline will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie van virtuele-machineschaalsets moeten worden hersteldVulnerabilities in security configuration on your virtual machine scale sets should be remediated Controleer op beveiligingsproblemen van besturingssystemen op uw virtuele-machineschaalsets om de schaalsets te beveiligen tegen aanvallen.Audit the OS vulnerabilities on your virtual machine scale sets to protect them from attacks. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Beveiliging bieden tegen schadelijke code op aangewezen locaties binnen organisatiesystemen.Provide protection from malicious code at designated locations within organizational systems.

Id: NIST SP 800-171 R2 3.14.2 Eigendom: GedeeldID: NIST SP 800-171 R2 3.14.2 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Oplossing voor eindpuntbeveiliging moet worden geïnstalleerd op virtuele-machineschaalsetsEndpoint protection solution should be installed on virtual machine scale sets Controleer op de aanwezigheid en status van een oplossing voor eindpuntbeveiliging op virtuele-machineschaalsets, waarmee de schaalsets worden beschermd tegen bedreigingen en beveiligingsproblemen.Audit the existence and health of an endpoint protection solution on your virtual machines scale sets, to protect them from threats and vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Microsoft IaaSAntimalware-uitbreiding moet zijn geïmplementeerd op Windows-serversMicrosoft IaaSAntimalware extension should be deployed on Windows servers Met dit beleid wordt elke Windows Server-VM gecontroleerd waarvoor de Microsoft IaaSAntimalware-uitbreiding niet is geïmplementeerd.This policy audits any Windows server VM without Microsoft IaaSAntimalware extension deployed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Ontbrekende eindpuntbeveiliging bewaken in Azure Security CenterMonitor missing Endpoint Protection in Azure Security Center Servers zonder geïnstalleerde agent voor eindpuntbeveiliging worden als aanbevelingen bewaakt door Azure Security CenterServers without an installed Endpoint Protection agent will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Organisatiesystemen, met inbegrip van inkomend en uitgaand communicatieverkeer, bewaken om aanvallen en indicatoren van mogelijke aanvallen te detecteren.Monitor organizational systems, including inbound and outbound communications traffic, to detect attacks and indicators of potential attacks.

Id: NIST SP 800-171 R2 3.14.6 Eigendom: GedeeldID: NIST SP 800-171 R2 3.14.6 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Advanced Data Security moet zijn ingeschakeld voor SQL Managed InstanceAdvanced data security should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance zonder Advanced Data Security.Audit each SQL Managed Instance without advanced data security. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
Advanced Data Security moet zijn ingeschakeld op uw SQL-serversAdvanced data security should be enabled on your SQL servers SQL-servers zonder Advanced Data Security controlerenAudit SQL servers without Advanced Data Security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeldEmail notification to subscription owner for high severity alerts should be enabled Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center.To ensure your subscription owners are notified when there is a potential security breach in their subscription, set email notifications to subscription owners for high severity alerts in Security Center. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Network Watcher moet zijn ingeschakeldNetwork Watcher should be enabled Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken.Network Watcher is a regional service that enables you to monitor and diagnose conditions at a network scenario level in, to, and from Azure. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk.Scenario level monitoring enables you to diagnose problems at an end to end network level view. U kunt de beschikbare diagnostische en visualisatiehulpprogramma's voor netwerken in Network Watcher gebruiken om uw netwerk in Azure te begrijpen, te analyseren en inzichten voor uw netwerk te verkrijgen.Network diagnostic and visualization tools available with Network Watcher help you understand, diagnose, and gain insights to your network in Azure. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevattenSubscriptions should have a contact email address for security issues Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt.To ensure the relevant people in your organization are notified when there is a potential security breach in one of your subscriptions, set a security contact to receive email notifications from Security Center. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1

Notitie

De beschikbaarheid van specifieke Azure Policy-definities kan verschillen in Azure Government en andere nationale clouds.Availability of specific Azure Policy definitions may vary in Azure Government and other national clouds.

Volgende stappenNext steps

Aanvullende artikelen over Azure Policy:Additional articles about Azure Policy: