你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
启用了 Azure Arc 的服务器的 Azure Policy 法规遵从性控制
Azure Policy 中的法规遵从性为与不同合规性标准相关的“合规性域”和“安全控制”提供由 Microsoft 创建和管理的计划定义,称为“内置项” 。 此页列出了启用了 Azure Arc 的服务器的“合规性域”和“安全控制”。 可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
重要
每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的“符合”仅指策略本身。 这并不能确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 对于这些合规性标准,控件与 Azure Policy 法规合规性定义之间的关联可能会随时间的推移而发生变化。
澳大利亚政府 ISM PROTECTED
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 澳大利亚政府 ISM PROTECTED。 有关此合规性标准的详细信息,请参阅澳大利亚政府 ISM PROTECTED。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 人员安全性指导原则 - 对系统及其资源的访问 | 415 | 用户标识 - 415 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 系统强化指导原则 - 身份验证强化 | 421 | 单因素身份验证 - 421 | Windows 计算机应符合“安全设置 - 帐户策略”的要求 | 3.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 445 | 对系统的特权访问 - 445 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 加密指南 - 传输层安全性 | 1139 | 使用传输层安全性 - 1139 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 数据库系统指导原则 - 数据库服务器 | 1277 | 数据库服务器和 Web 服务器之间的通信 - 1277 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1503 | 对系统的标准访问 - 1503 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1507 | 对系统的特权访问 - 1507 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1508 | 对系统的特权访问 - 1508 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 系统强化指导原则 - 身份验证强化 | 1546 | 向系统进行身份验证 - 1546 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| 系统强化指导原则 - 身份验证强化 | 1546 | 向系统进行身份验证 - 1546 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.1.0 |
加拿大联邦 PBMM
若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - 加拿大联邦 PBMM。 有关此合规性标准的详细信息,请参阅加拿大联邦 PBMM。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-5 | 职责分离 | 审核缺少管理员组中任何指定成员的 Windows 计算机 | 2.0.0 |
| 访问控制 | AC-5 | 职责分离 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 访问控制 | AC-6 | 最小特权 | 审核缺少管理员组中任何指定成员的 Windows 计算机 | 2.0.0 |
| 访问控制 | AC-6 | 最小特权 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 访问控制 | AC-17(1) | 远程访问 | 自动监视/控制 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| 识别和身份验证 | IA-5 | 验证器管理 | 审核未将密码文件权限设为 0644 的 Linux 计算机 | 3.1.0 |
| 识别和身份验证 | IA-5 | 验证器管理 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.1.0 |
| 识别和身份验证 | IA-5(1) | 验证器管理 |基于密码的身份验证 | 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 2.1.0 |
| 识别和身份验证 | IA-5(1) | 验证器管理 |基于密码的身份验证 | 审核未将最长密码期限设置为指定天数的 Windows 计算机 | 2.1.0 |
| 识别和身份验证 | IA-5(1) | 验证器管理 |基于密码的身份验证 | 审核未将最短密码期限设置为指定天数的 Windows 计算机 | 2.1.0 |
| 识别和身份验证 | IA-5(1) | 验证器管理 |基于密码的身份验证 | 审核未启用密码复杂性设置的 Windows 计算机 | 2.0.0 |
| 识别和身份验证 | IA-5(1) | 验证器管理 |基于密码的身份验证 | 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 2.1.0 |
| 系统和通信保护 | SC-8(1) | 传输保密性和完整性 | 加密或备用物理保护 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
CIS Microsoft Azure 基础基准检验 2.0.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 CIS v2.0.0 的 Azure Policy 合规性详细信息。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 2.1 | 2.1.13 | 确保 Microsoft Defender 建议的“应用系统更新”状态为“已完成” | 计算机应配置为定期检查,以确认缺少的系统更新 | 3.7.0 |
| 7 | 7.6 | 确保已安装适用于所有虚拟机的 Endpoint Protection | 应在计算机上安装 Endpoint Protection | 1.0.0 |
CMMC 级别 3
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - CMMC 级别 3。 有关此合规性标准的详细信息,请参阅网络安全成熟度模型认证 (CMMC)。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | Windows 计算机应符合“安全选项 - 网络访问”的要求 | 3.0.0 |
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| 访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | Windows 计算机应符合“安全选项 - 网络访问”的要求 | 3.0.0 |
| 访问控制 | AC.2.008 | 访问非安全性函数时使用非特权帐户或角色。 | Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 | 3.0.0 |
| 访问控制 | AC.2.008 | 访问非安全性函数时使用非特权帐户或角色。 | Windows 计算机应符合“用户权限分配”的要求 | 3.0.0 |
| 访问控制 | AC.2.013 | 监视和控制远程访问会话。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| 访问控制 | AC.2.013 | 监视和控制远程访问会话。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 访问控制 | AC.2.016 | 根据批准的授权控制 CUI 流。 | Windows 计算机应符合“安全选项 - 网络访问”的要求 | 3.0.0 |
| 访问控制 | AC.3.017 | 区分个体的责任,减少无串谋的恶意活动的风险。 | 审核缺少管理员组中任何指定成员的 Windows 计算机 | 2.0.0 |
| 访问控制 | AC.3.017 | 区分个体的责任,减少无串谋的恶意活动的风险。 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 访问控制 | AC.3.018 | 阻止非特权用户执行特权函数,并在审核日志中捕获此类函数的执行情况。 | Windows 计算机应符合“系统审核策略 - 特权使用”的要求 | 3.0.0 |
| 访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 | 3.0.0 |
| 访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | Windows 计算机应符合“用户权限分配”的要求 | 3.0.0 |
| 配置管理 | CM.2.061 | 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 | Linux 计算机应符合 Azure 计算安全基线的要求 | 2.2.0 |
| 配置管理 | CM.2.062 | 采用最少功能原则,将组织系统配置为仅提供基本功能。 | Windows 计算机应符合“系统审核策略 - 特权使用”的要求 | 3.0.0 |
| 配置管理 | CM.2.063 | 控制和监视用户安装的软件。 | Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 | 3.0.0 |
| 配置管理 | CM.2.064 | 为组织系统中使用的信息技术产品建立和实施安全配置设置。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 配置管理 | CM.2.065 | 跟踪、评审、批准/拒绝并记录对组织系统的更改。 | Windows 计算机应符合“系统审核策略 - 策略更改”的要求 | 3.0.0 |
| 识别和身份验证 | IA.1.077 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 | 审核未将密码文件权限设为 0644 的 Linux 计算机 | 3.1.0 |
| 识别和身份验证 | IA.1.077 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.1.0 |
| 识别和身份验证 | IA.1.077 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 识别和身份验证 | IA.2.078 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.1.0 |
| 识别和身份验证 | IA.2.078 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 审核未启用密码复杂性设置的 Windows 计算机 | 2.0.0 |
| 识别和身份验证 | IA.2.078 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 2.1.0 |
| 识别和身份验证 | IA.2.078 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 识别和身份验证 | IA.2.079 | 禁止对指定数量的生成操作重复使用密码。 | 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 2.1.0 |
| 识别和身份验证 | IA.2.079 | 禁止对指定数量的生成操作重复使用密码。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 识别和身份验证 | IA.2.081 | 仅存储和传输受加密保护的密码。 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
| 识别和身份验证 | IA.2.081 | 仅存储和传输受加密保护的密码。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 识别和身份验证 | IA.3.084 | 针对到特权帐户和非特权帐户的网络访问采用防重播身份验证机制。 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | Windows 计算机应符合“安全选项 - 网络访问”的要求 | 3.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 系统和通信保护 | SC.3.177 | 采用经 FIPS 验证的加密系统来保护 CUI 的机密性。 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
| 系统和通信保护 | SC.3.181 | 将用户功能与系统管理功能分开。 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | Windows 计算机应符合“安全选项 - 网络访问”的要求 | 3.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 系统和通信保护 | SC.3.185 | 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 系统和通信保护 | SC.3.190 | 保护通信会话的真实性。 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
FedRAMP 高
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP High。 有关此合规性标准的详细信息,请参阅 FedRAMP High。
FedRAMP 中等
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP Moderate。 有关此合规性标准的详细信息,请参阅 FedRAMP Moderate。
HIPAA HITRUST 9.2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - HIPAA HITRUST 9.2。 有关此合规性标准的详细信息,请参阅 HIPAA HITRUST 9.2。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 用户识别和身份验证 | 11210.01q2Organizational.10 - 01.q | 电子记录上的电子签名和手写签名应与各自的电子记录关联。 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 用户识别和身份验证 | 11211.01q2Organizational.11 - 01.q | 已签名的电子记录应包含与以用户可读格式签名关联的信息。 | 审核缺少管理员组中任何指定成员的 Windows 计算机 | 2.0.0 |
| 06 配置管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 系统文件的安全性 | Windows 计算机应符合“安全选项 - 审核”的要求 | 3.0.0 |
| 06 配置管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 系统文件的安全性 | Windows 计算机应符合“系统审核策略 - 帐户管理”的要求 | 3.0.0 |
| 06 配置管理 | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 07 漏洞管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技术漏洞管理 | Windows 计算机应符合“安全选项 - Microsoft 网络服务器”的要求 | 3.0.0 |
| 08 网络保护 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 网络安全管理 | Windows 计算机应符合“Windows 防火墙属性”的要求 | 3.0.0 |
| 08 网络保护 | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 网络安全管理 | Windows 计算机应符合“安全选项 - 网络访问”的要求 | 3.0.0 |
| 09 传输保护 | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 电子商务服务 | 审核在受信任的根中不包含指定证书的 Windows 计算机 | 3.0.0 |
| 11 访问控制 | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 操作系统访问控制 | 审核管理员组中具有额外帐户的 Windows 计算机 | 2.0.0 |
| 11 访问控制 | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 操作系统访问控制 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 11 访问控制 | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 操作系统访问控制 | 审核缺少管理员组中任何指定成员的 Windows 计算机 | 2.0.0 |
| 11 访问控制 | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 对信息系统的授权访问 | Windows 计算机应符合“安全选项 - 帐户”的要求 | 3.0.0 |
| 12 审核日志记录和监视 | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 监视 | 审核其 Log Analytics 代理未按预期连接的 Windows 计算机 | 2.0.0 |
| 12 审核日志记录和监视 | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 监视 | 审核其 Log Analytics 代理未按预期连接的 Windows 计算机 | 2.0.0 |
| 12 审核日志记录和监视 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 记录的操作程序 | Windows 计算机应符合“用户权限分配”的要求 | 3.0.0 |
| 12 审核日志记录和监视 | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 记录的操作程序 | Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 | 3.0.0 |
| 16 业务连续性和灾难恢复 | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 业务连续性管理的信息安全方面 | Windows 计算机应符合“安全选项 - 恢复控制台”的要求 | 3.0.0 |
IRS 1075 2016 年 9 月
若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - IRS 1075 2016 年 9 月版。 有关此合规性标准的详细信息,请参阅 IRS 1075 2016 年 9 月版。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | 9.3.1.12 | 远程访问 (AC-17) | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| 访问控制 | 9.3.1.5 | 职责分离 (AC-5) | 审核缺少管理员组中任何指定成员的 Windows 计算机 | 2.0.0 |
| 访问控制 | 9.3.1.5 | 职责分离 (AC-5) | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 访问控制 | 9.3.1.6 | 最低特权 (AC-6) | 审核缺少管理员组中任何指定成员的 Windows 计算机 | 2.0.0 |
| 访问控制 | 9.3.1.6 | 最低特权 (AC-6) | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 系统和通信保护 | 9.3.16.6 | 传输保密性和完整性 (SC-8) | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 识别和身份验证 | 9.3.7.5 | 验证器管理 (IA-5) | 审核未将密码文件权限设为 0644 的 Linux 计算机 | 3.1.0 |
| 识别和身份验证 | 9.3.7.5 | 验证器管理 (IA-5) | 审核具有不使用密码的帐户的 Linux 计算机 | 3.1.0 |
| 识别和身份验证 | 9.3.7.5 | 验证器管理 (IA-5) | 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 2.1.0 |
| 识别和身份验证 | 9.3.7.5 | 验证器管理 (IA-5) | 审核未将最长密码期限设置为指定天数的 Windows 计算机 | 2.1.0 |
| 识别和身份验证 | 9.3.7.5 | 验证器管理 (IA-5) | 审核未将最短密码期限设置为指定天数的 Windows 计算机 | 2.1.0 |
| 识别和身份验证 | 9.3.7.5 | 验证器管理 (IA-5) | 审核未启用密码复杂性设置的 Windows 计算机 | 2.0.0 |
| 识别和身份验证 | 9.3.7.5 | 验证器管理 (IA-5) | 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 2.1.0 |
| 识别和身份验证 | 9.3.7.5 | 验证器管理 (IA-5) | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
ISO 27001:2013
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - ISO 27001:2013。 有关此合规性标准的详细信息,请参阅 ISO 27001:2013。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 加密 | 10.1.1 | 有关使用加密控制措施的策略 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
| 访问控制 | 9.1.2 | 访问网络和网络服务 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| 访问控制 | 9.1.2 | 访问网络和网络服务 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.1.0 |
| 访问控制 | 9.2.4 | 管理用户的机密身份验证信息 | 审核未将密码文件权限设为 0644 的 Linux 计算机 | 3.1.0 |
| 访问控制 | 9.4.3 | 密码管理系统 | 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 2.1.0 |
| 访问控制 | 9.4.3 | 密码管理系统 | 审核未将最长密码期限设置为指定天数的 Windows 计算机 | 2.1.0 |
| 访问控制 | 9.4.3 | 密码管理系统 | 审核未将最短密码期限设置为指定天数的 Windows 计算机 | 2.1.0 |
| 访问控制 | 9.4.3 | 密码管理系统 | 审核未启用密码复杂性设置的 Windows 计算机 | 2.0.0 |
| 访问控制 | 9.4.3 | 密码管理系统 | 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 2.1.0 |
Microsoft 云安全基准
Microsoft Cloud 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Microsoft Cloud 安全基准,请参阅 Azure 安全基准映射文件。
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - Microsoft Cloud 安全基准。
NIST SP 800-171 R2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-171 R2。 有关此符合性标准的详细信息,请参阅 NIST SP 800-171 R2。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.1.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.2.0 |
| 访问控制 | 3.1.12 | 监视和控制远程访问会话。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| 访问控制 | 3.1.4 | 区分个体的责任,减少无串谋的恶意活动的风险。 | 审核缺少管理员组中任何指定成员的 Windows 计算机 | 2.0.0 |
| 访问控制 | 3.1.4 | 区分个体的责任,减少无串谋的恶意活动的风险。 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 风险评估 | 3.11.2 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 计算机上的 SQL 服务器应已解决漏洞发现 | 1.0.0 |
| 风险评估 | 3.11.3 | 根据风险评估修正漏洞。 | 计算机上的 SQL 服务器应已解决漏洞发现 | 1.0.0 |
| 系统和通信保护 | 3.13.8 | 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| 系统和信息完整性 | 3.14.2 | 在组织系统中的指定位置提供针对恶意代码的防护。 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| 系统和信息完整性 | 3.14.4 | 在有新版本可用时更新恶意代码防护机制。 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| 系统和信息完整性 | 3.14.5 | 在下载、打开或执行文件时,对组织系统执行定期扫描,并对来自外部源的文件进行实时扫描。 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| 系统和信息完整性 | 3.14.6 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | [预览版]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机中 | 1.0.1-preview |
| 系统和信息完整性 | 3.14.6 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | [预览版]:Log Analytics 扩展应安装在 Windows Azure Arc 计算机中 | 1.0.1-preview |
| 系统和信息完整性 | 3.14.7 | 识别未经授权使用组织系统的情况。 | [预览版]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机中 | 1.0.1-preview |
| 系统和信息完整性 | 3.14.7 | 识别未经授权使用组织系统的情况。 | [预览版]:Log Analytics 扩展应安装在 Windows Azure Arc 计算机中 | 1.0.1-preview |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | [预览版]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机中 | 1.0.1-preview |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | [预览版]:Log Analytics 扩展应安装在 Windows Azure Arc 计算机中 | 1.0.1-preview |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | [预览版]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机中 | 1.0.1-preview |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | [预览版]:Log Analytics 扩展应安装在 Windows Azure Arc 计算机中 | 1.0.1-preview |
| 配置管理 | 3.4.1 | 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 | Linux 计算机应符合 Azure 计算安全基线的要求 | 2.2.0 |
| 配置管理 | 3.4.1 | 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 | Windows 计算机应符合 Azure 计算安全基线的要求 | 2.0.0 |
| 配置管理 | 3.4.2 | 为组织系统中使用的信息技术产品建立和实施安全配置设置。 | Linux 计算机应符合 Azure 计算安全基线的要求 | 2.2.0 |
| 配置管理 | 3.4.2 | 为组织系统中使用的信息技术产品建立和实施安全配置设置。 | Windows 计算机应符合 Azure 计算安全基线的要求 | 2.0.0 |
| 识别和身份验证 | 3.5.10 | 仅存储和传输受加密保护的密码。 | 审核未将密码文件权限设为 0644 的 Linux 计算机 | 3.1.0 |
| 识别和身份验证 | 3.5.10 | 仅存储和传输受加密保护的密码。 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
| 识别和身份验证 | 3.5.10 | 仅存储和传输受加密保护的密码。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 审核未将密码文件权限设为 0644 的 Linux 计算机 | 3.1.0 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.2.0 |
| 识别和身份验证 | 3.5.4 | 利用抗重播的身份验证机制,对特权和非特权帐户进行网络访问。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 识别和身份验证 | 3.5.7 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 审核未启用密码复杂性设置的 Windows 计算机 | 2.0.0 |
| 识别和身份验证 | 3.5.7 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 2.1.0 |
| 识别和身份验证 | 3.5.8 | 禁止对指定数量的生成操作重复使用密码。 | 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 2.1.0 |
NIST SP 800-53 修订版 4
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - NIST SP 800-53 修订版 4。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 4。
NIST SP 800-53 Rev. 5
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-53 Rev. 5。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 5。
NL BIO 云主题
若要查看所有 Azure 服务内置的可用 Azure Policy 如何映射到此合规性标准,请参阅 NL BIO 云主题的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅基线信息安全政府网络安全 - 数字政府 (digitaleoverheid.nl)。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| C.04.3 技术漏洞管理 - 时间线 | C.04.3 | 如果滥用和预期损坏的可能性都很高,则修补程序安装时间不晚于一周内。 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| C.04.6 技术漏洞管理 - 时间线 | C.04.6 | 可以通过及时执行修补程序管理来补救技术弱点。 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| C.04.7 技术漏洞管理 - 评估 | C.04.7 | 记录并报告技术漏洞评估。 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| U.05.1 数据保护 - 加密措施 | U.05.1 | 数据传输使用加密技术进行保护,其中密钥管理由 CSC 自行执行(如果可能)。 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| U.09.3 恶意软件防护 - 检测、预防和恢复 | U.09.3 | 恶意软件防护在不同的环境中运行。 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| U.10.2 访问 IT 服务和数据 - 用户 | U.10.2 | 根据 CSP 的责任,向管理员授予访问权限。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| U.10.2 访问 IT 服务和数据 - 用户 | U.10.2 | 根据 CSP 的责任,向管理员授予访问权限。 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.1.0 |
| U.10.3 访问 IT 服务和数据 - 用户 | U.10.3 | 只有拥有已进行身份验证的设备的用户才能访问 IT 服务和数据。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| U.10.3 访问 IT 服务和数据 - 用户 | U.10.3 | 只有拥有已进行身份验证的设备的用户才能访问 IT 服务和数据。 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.1.0 |
| U.10.5 访问 IT 服务和数据 - 胜任 | U.10.5 | 对 IT 服务和数据的访问受技术措施的限制,并已实施。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| U.10.5 访问 IT 服务和数据 - 胜任 | U.10.5 | 对 IT 服务和数据的访问受技术措施的限制,并已实施。 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.1.0 |
| U.11.1 加密服务 - 策略 | U.11.1 | 在加密策略中,至少已对符合 BIO 的主题进行了详细说明。 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
| U.11.1 加密服务 - 策略 | U.11.1 | 在加密策略中,至少已对符合 BIO 的主题进行了详细说明。 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| U.11.2 加密服务 - 加密度量值 | U.11.2 | 对于 PKIoverheid 证书,请使用 PKIoverheid 要求进行密钥管理。 在其他情况下,请使用 ISO11770。 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
| U.11.2 加密服务 - 加密度量值 | U.11.2 | 对于 PKIoverheid 证书,请使用 PKIoverheid 要求进行密钥管理。 在其他情况下,请使用 ISO11770。 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| U.15.1 日志记录和监视 - 记录的事件 | U.15.1 | CSP 和 CSC 记录违反策略规则。 | [预览版]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机中 | 1.0.1-preview |
| U.15.1 日志记录和监视 - 记录的事件 | U.15.1 | CSP 和 CSC 记录违反策略规则。 | [预览版]:Log Analytics 扩展应安装在 Windows Azure Arc 计算机中 | 1.0.1-preview |
PCI DSS 3.2.1
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 PCI DSS 3.2.1。 有关此合规性标准的详细信息,请参阅 PCI DSS 3.2.1。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 要求 8 | 8.2.3 | PCI DSS 要求 8.2.3 | 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 2.1.0 |
| 要求 8 | 8.2.3 | PCI DSS 要求 8.2.3 | 审核未将最长密码期限设置为指定天数的 Windows 计算机 | 2.1.0 |
| 要求 8 | 8.2.3 | PCI DSS 要求 8.2.3 | 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 2.1.0 |
| 要求 8 | 8.2.5 | PCI DSS 要求 8.2.5 | 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 2.1.0 |
| 要求 8 | 8.2.5 | PCI DSS 要求 8.2.5 | 审核未将最长密码期限设置为指定天数的 Windows 计算机 | 2.1.0 |
| 要求 8 | 8.2.5 | PCI DSS 要求 8.2.5 | 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 2.1.0 |
PCI DSS v4.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 PCI DSS v4.0 的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅 PCI DSS v4.0。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 要求 08:标识用户并对系统组件的访问进行身份验证 | 8.3.6 | 建立和管理对用户和管理员的强身份验证 | 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 2.1.0 |
| 要求 08:标识用户并对系统组件的访问进行身份验证 | 8.3.6 | 建立和管理对用户和管理员的强身份验证 | 审核未将最长密码期限设置为指定天数的 Windows 计算机 | 2.1.0 |
| 要求 08:标识用户并对系统组件的访问进行身份验证 | 8.3.6 | 建立和管理对用户和管理员的强身份验证 | 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 2.1.0 |
印度储备银行 - 面向 NBFC 的 IT 框架
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 印度储备银行 - 面向 NBFC 的 IT 框架。 有关此合规性标准的详细信息,请参阅印度储备银行 - 面向 NBFC 的 IT 框架。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| IT 治理 | 1 | IT 治理-1 | 计算机上的 SQL 服务器应已解决漏洞发现 | 1.0.0 |
| 信息和网络安全 | 3.3 | 漏洞管理 - 3.3 | 计算机上的 SQL 服务器应已解决漏洞发现 | 1.0.0 |
印度储备银行面向银行的 IT 框架 v2016
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - RBI ITF Banks v2016。 有关此合规性标准的详细信息,请参阅 RBI ITF Banks v2016 (PDF)。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 审核日志的维护、监视和分析 | 审核日志的维护、监视和分析-16.2 | [预览版]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机中 | 1.0.1-preview | |
| 审核日志的维护、监视和分析 | 审核日志的维护、监视和分析-16.2 | [预览版]:Log Analytics 扩展应安装在 Windows Azure Arc 计算机中 | 1.0.1-preview | |
| 面向客户的身份验证框架 | 面向客户的身份验证框架-9.1 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.2.0 | |
| 高级实时威胁防御和管理 | 高级实时威胁防御和管理-13.1 | 应在计算机上解决 Endpoint Protection 运行状况问题 | 1.0.0 | |
| 高级实时威胁防御和管理 | 高级实时威胁防御和管理-13.1 | 应在计算机上安装 Endpoint Protection | 1.0.0 | |
| 审核日志设置 | 审核日志设置-17.1 | Linux 计算机应符合 Azure 计算安全基线的要求 | 2.2.0 | |
| 防止执行未经授权的软件 | 安全更新管理-2.3 | 计算机上的 SQL 服务器应已解决漏洞发现 | 1.0.0 | |
| 安全配置 | 安全配置 5.1 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 | |
| 保护邮件和邮件系统 | 保护邮件和邮件系统-10.1 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 | |
| 审核日志设置 | 审核日志设置-17.1 | Windows 计算机应符合 Azure 计算安全基线的要求 | 2.0.0 |
SWIFT CSP-CSCF v2021
要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅针对 SWIFT CSP-CSCF v2021 的 Azure Policy 法规合规性详细信息。 有关此合规性标准的详细信息,请参阅 SWIFT CSP CSCF v2021。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 减少攻击面和漏洞 | 2.1 | 内部数据流安全性 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.2.0 |
| 减少攻击面和漏洞 | 2.1 | 内部数据流安全性 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 减少攻击面和漏洞 | 2.2 | 安全更新 | 审核正在等待重新启动的 Windows VM | 2.0.0 |
| 减少攻击面和漏洞 | 2.3 | 系统强化 | 审核未将密码文件权限设为 0644 的 Linux 计算机 | 3.1.0 |
| 减少攻击面和漏洞 | 2.3 | 系统强化 | 审核包含将在指定天数内过期的证书的 Windows 计算机 | 2.0.0 |
| 减少攻击面和漏洞 | 2.3 | 系统强化 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
| 减少攻击面和漏洞 | 2.4A | 后台数据流安全性 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.2.0 |
| 减少攻击面和漏洞 | 2.4A | 后台数据流安全性 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 减少攻击面和漏洞 | 2.6 | 操作员会话的保密性和完整性 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 防止凭据泄露 | 4.1 | 密码策略 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| 防止凭据泄露 | 4.1 | 密码策略 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.1.0 |
| 防止凭据泄露 | 4.1 | 密码策略 | 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 2.1.0 |
| 防止凭据泄露 | 4.1 | 密码策略 | 审核未将最长密码期限设置为指定天数的 Windows 计算机 | 2.1.0 |
| 防止凭据泄露 | 4.1 | 密码策略 | 审核未将最短密码期限设置为指定天数的 Windows 计算机 | 2.1.0 |
| 防止凭据泄露 | 4.1 | 密码策略 | 审核未启用密码复杂性设置的 Windows 计算机 | 2.0.0 |
| 防止凭据泄露 | 4.1 | 密码策略 | 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 2.1.0 |
| 管理标识和分离权限 | 5.4 | 物理和逻辑密码存储 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
SWIFT CSP-CSCF v2022
要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅《适用于 SWIFT CSP-CSCF v2022 的 Azure Policy 法规合规性详细信息》。 有关此合规性标准的详细信息,请参阅 SWIFT CSP-CSCF v2022。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 2.减少攻击面和漏洞 | 2.1 | 确保本地 SWIFT 相关组件之间应用程序数据流的保密性、完整性和真实性。 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.2.0 |
| 2.减少攻击面和漏洞 | 2.1 | 确保本地 SWIFT 相关组件之间应用程序数据流的保密性、完整性和真实性。 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 2.减少攻击面和漏洞 | 2.2 | 通过确保供应商支持、应用必需的软件更新、根据评估的风险及时应用安全更新,最大程度地减少操作员电脑和本地 SWIFT 基础结构中已知技术漏洞的出现。 | 审核正在等待重新启动的 Windows VM | 2.0.0 |
| 2.减少攻击面和漏洞 | 2.3 | 通过执行系统强化来减少 SWIFT 相关组件的网络攻击面。 | 审核未将密码文件权限设为 0644 的 Linux 计算机 | 3.1.0 |
| 2.减少攻击面和漏洞 | 2.3 | 通过执行系统强化来减少 SWIFT 相关组件的网络攻击面。 | 审核包含将在指定天数内过期的证书的 Windows 计算机 | 2.0.0 |
| 2.减少攻击面和漏洞 | 2.3 | 通过执行系统强化来减少 SWIFT 相关组件的网络攻击面。 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
| 2.减少攻击面和漏洞 | 2.4A | 后台数据流安全性 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.2.0 |
| 2.减少攻击面和漏洞 | 2.4A | 后台数据流安全性 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 2.减少攻击面和漏洞 | 2.6 | 保护连接到本地或远程(由服务提供商运营)SWIFT 基础结构或服务提供商 SWIFT 相关应用程序的交互式操作员会话的机密性和完整性 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 2.减少攻击面和漏洞 | 2.6 | 保护连接到本地或远程(由服务提供商运营)SWIFT 基础结构或服务提供商 SWIFT 相关应用程序的交互式操作员会话的机密性和完整性 | Windows 计算机应符合“安全选项 - 交互式登录”的要求 | 3.0.0 |
| 4.防止凭据泄露 | 4.1 | 通过实现和强制实施有效的密码策略,确保密码足以充分抵御常见密码攻击。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| 4.防止凭据泄露 | 4.1 | 通过实现和强制实施有效的密码策略,确保密码足以充分抵御常见密码攻击。 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.1.0 |
| 4.防止凭据泄露 | 4.1 | 通过实现和强制实施有效的密码策略,确保密码足以充分抵御常见密码攻击。 | 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 2.1.0 |
| 4.防止凭据泄露 | 4.1 | 通过实现和强制实施有效的密码策略,确保密码足以充分抵御常见密码攻击。 | 审核未将最长密码期限设置为指定天数的 Windows 计算机 | 2.1.0 |
| 4.防止凭据泄露 | 4.1 | 通过实现和强制实施有效的密码策略,确保密码足以充分抵御常见密码攻击。 | 审核未将最短密码期限设置为指定天数的 Windows 计算机 | 2.1.0 |
| 4.防止凭据泄露 | 4.1 | 通过实现和强制实施有效的密码策略,确保密码足以充分抵御常见密码攻击。 | 审核未启用密码复杂性设置的 Windows 计算机 | 2.0.0 |
| 4.防止凭据泄露 | 4.1 | 通过实现和强制实施有效的密码策略,确保密码足以充分抵御常见密码攻击。 | 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 2.1.0 |
| 5.管理标识和分离权限 | 5.1 | 对操作员帐户强制执行需要知道的访问权限、最小特权和职责分离的安全原则。 | 审核包含将在指定天数内过期的证书的 Windows 计算机 | 2.0.0 |
| 5.管理标识和分离权限 | 5.4 | 从物理和逻辑上保护已记录密码的存储库。 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
系统和组织控制 (SOC) 2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅适用于系统和组织控制 (SOC) 2 的 Azure Policy 法规合规性详细信息。 有关此合规性标准的详细信息,请参阅系统和组织控制 (SOC) 2。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.2.0 |
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 逻辑访问控制和物理访问控制 | CC6.6 | 针对系统边界之外的威胁的安全措施 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.2.0 |
| 逻辑访问控制和物理访问控制 | CC6.6 | 针对系统边界之外的威胁的安全措施 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 逻辑访问控制和物理访问控制 | CC6.7 | 限制信息向授权用户移动 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | 应在计算机上解决 Endpoint Protection 运行状况问题 | 1.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | 应在计算机上安装 Endpoint Protection | 1.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | Linux 计算机应符合 Azure 计算安全基线的要求 | 2.2.0 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | Windows 计算机应符合 Azure 计算安全基线的要求 | 2.0.0 |
| 系统操作 | CC7.2 | 监视系统组件是否存在异常行为 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | Linux 计算机应符合 Azure 计算安全基线的要求 | 2.2.0 |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | Windows 计算机应符合 Azure 计算安全基线的要求 | 2.0.0 |
英国官方和英国 NHS
若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - UK OFFICIAL 和 UK NHS。 有关此合规性标准的详细信息,请参阅 UK OFFICIAL。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 传输中数据保护 | 1 | 传输中数据保护 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 标识和身份验证 | 10 | 标识和身份验证 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| 标识和身份验证 | 10 | 标识和身份验证 | 审核未将密码文件权限设为 0644 的 Linux 计算机 | 3.1.0 |
| 标识和身份验证 | 10 | 标识和身份验证 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.1.0 |
| 标识和身份验证 | 10 | 标识和身份验证 | 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 2.1.0 |
| 标识和身份验证 | 10 | 标识和身份验证 | 审核未将最长密码期限设置为指定天数的 Windows 计算机 | 2.1.0 |
| 标识和身份验证 | 10 | 标识和身份验证 | 审核未将最短密码期限设置为指定天数的 Windows 计算机 | 2.1.0 |
| 标识和身份验证 | 10 | 标识和身份验证 | 审核未启用密码复杂性设置的 Windows 计算机 | 2.0.0 |
| 标识和身份验证 | 10 | 标识和身份验证 | 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 2.1.0 |
后续步骤
- 详细了解 Azure Policy 法规符合性。
- 在 Azure Policy GitHub 存储库中查看这些内置项。