您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

Azure Policy 内置策略定义

此页是 Azure Policy 内置策略定义的索引。

每个内置链接(指向Azure 门户中的策略定义)的名称。 使用“源”列中的链接查看 Azure Policy GitHub 存储库上的源。 这些内置项按 元数据 中的 category 属性进行分组。 若要跳转到特定的 类别,请使用页面右侧的菜单。 否则,请按 Ctrl-F 来使用浏览器的搜索功能。

API for FHIR

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure API for FHIR 应使用客户管理的密钥对数据进行静态加密 根据相关的法规或合规性要求,请使用客户管理的密钥来控制对 Azure API for FHIR 中存储的数据的静态加密。 客户托管密钥还提供双重加密,方法是在使用服务托管密钥完成的默认加密层上添加另一层加密。 audit、disabled 1.0.1
Azure API for FHIR 应使用专用链接 Azure API for FHIR 应至少具有一个获得批准的专用终结点连接。 虚拟网络中的客户端可以安全地访问通过专用链接获得专用终结点连接的资源。 有关详细信息,请访问:https://aka.ms/fhir-privatelink Audit、Disabled 1.0.0
CORS 不应允许每个域都能访问 API for FHIR 跨源资源共享 (CORS) 不应允许所有域都能访问你的 API for FHIR。 为了保护 API for FHIR,请删除所有域的访问权限,并显式定义允许连接的域。 audit、disabled 1.0.0

API 管理

名称
(Azure 门户)
说明 效果 版本
(GitHub)
API 管理服务应使用支持虚拟网络的 SKU 有了 API 管理支持的 SKU,将服务部署到虚拟网络中就可以解锁高级 API 管理网络和安全功能,从而更全面地控制网络安全配置。 有关详细信息,请访问:https://aka.ms/apimvnet Audit、Deny、Disabled 1.0.0
API 管理服务应使用虚拟网络 Azure 虚拟网络部署提供了增强的安全性和隔离,并允许你将 API 管理服务放置在不可经 Internet 路由的网络(你控制对其的访问权限)中。 然后,可以使用各种 VPN 技术将这些网络连接到本地网络,这样就能够访问网络中的和/或本地的后端服务。 可以将开发人员门户和 API 网关配置为可以从 Internet 访问或只能在虚拟网络内访问。 Audit、Disabled 1.0.1

应用配置

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应用配置应禁用公用网络访问 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint Audit、Deny、Disabled 1.0.0
应用程序配置应使用客户管理的密钥 客户管理的密钥可便于管理加密密钥,从而提供增强的数据保护。 这通常是满足合规性要求所必需的。 Audit、Deny、Disabled 1.1.0
应用配置应使用支持专用链接的 SKU 使用受支持的 SKU 时,Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint Audit、Deny、Disabled 1.0.0
应用程序配置应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint AuditIfNotExists、Disabled 1.0.2
将应用配置配置为禁用公用网络访问 禁用对应用配置的公用网络访问,确保无法通过公共 Internet 对其进行访问。 此配置有助于这些帐户防范数据泄露风险。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint 修改,已禁用 1.0.0
为连接到应用配置的专用终结点配置专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 可将专用 DNS 区域链接到你的虚拟网络,以解析应用配置实例。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint DeployIfNotExists、Disabled 1.0.0
为应用配置配置专用终结点 专用终结点可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到应用配置实例,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint DeployIfNotExists、Disabled 1.0.0

应用平台

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:审核未启用分布式跟踪的 Azure Spring Cloud 实例 可以通过 Azure Spring Cloud 中的分布式跟踪工具调试和监视应用程序中微服务之间的复杂互连。 分布式跟踪工具应已启用并处于正常状态。 Audit、Disabled 1.0.0-preview
Azure Spring Cloud 应使用网络注入 Azure Spring Cloud 实例应使用虚拟网络注入实现以下目的:1. 将 Azure Spring Cloud 与 Internet 隔离。 2. 使 Azure Spring Cloud 能够与本地数据中心内的系统和/或其他虚拟网络中的 Azure 服务内的系统进行交互。 3. 授权客户控制 Azure Spring Cloud 的入站和出站网络通信。 审核、已禁用、拒绝 1.0.0

应用服务

名称
(Azure 门户)
说明 效果 版本
(GitHub)
只能通过 HTTPS 访问 API 应用 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 Audit、Disabled 1.0.0
API 应用应使用 Azure 文件共享作为其内容目录 API 应用的内容目录应位于 Azure 文件共享中。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用 Azure 文件存储来托管应用服务内容,请参阅 https://go.microsoft.com/fwlink/?linkid=2151594 Audit、Disabled 1.0.0
应用服务应用应启用到 Azure 虚拟网络的出站非 RFC 1918 流量 默认情况下,如果有人使用区域性 Azure 虚拟网络 (VNET) 集成,那么应用仅将 RFC1918 流量路由相应的这个虚拟网络中。 通过使用 API 将“vnetRouteAllEnabled”设置为 true,可使所有出站流量流入 Azure 虚拟网络。 通过此设置,可对来自应用服务应用的所有出站流量使用网络安全组和用户定义的路由等功能。 AuditIfNotExists、Disabled 1.0.0
应用服务环境应禁用 TLS 1.0 和1.1 TLS 1.0 和 1.1 协议已过时,不支持现代加密算法。 禁用入站 TLS 1.0 和 1.1 流量可帮助保护应用服务环境中的应用。 Audit、Disabled 2.0.0
应用服务环境应启用内部加密 如果将 InternalEncryption 设置为 true,会对应用服务环境中前端和辅助角色之间的页面文件、辅助角色磁盘和内部网络流量进行加密。 若要了解详细信息,请查看 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption Audit、Disabled 1.0.0
应在 API 应用上启用身份验证 Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问 API 应用,或在令牌访问 API 应用之前对其进行身份验证 AuditIfNotExists、Disabled 1.0.0
应在函数应用上启用身份验证 Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问函数应用,或在令牌访问函数应用之前对其进行身份验证 AuditIfNotExists、Disabled 1.0.0
应在 Web 应用上启用身份验证 Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问 Web 应用,或在令牌访问 Web 应用之前对其进行身份验证 AuditIfNotExists、Disabled 1.0.0
CORS 不应允许所有资源都能访问 API 应用 跨源资源共享 (CORS) 不应允许所有域都能访问你的 API 应用。 仅允许所需的域与 API 应用交互。 AuditIfNotExists、Disabled 1.0.0
CORS 不应允许所有资源都能访问函数应用 跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。 AuditIfNotExists、Disabled 1.0.0
CORS 不应允许所有资源都能访问你的 Web 应用程序 跨源资源共享 (CORS) 不应允许所有域都能访问你的 Web 应用程序。 仅允许所需的域与 Web 应用交互。 AuditIfNotExists、Disabled 1.0.0
应启用应用程序服务中的诊断日志 审核确认已在应用上启用诊断日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 AuditIfNotExists、Disabled 2.0.0
确保 API 应用的“客户端证书(传入客户端证书)”设置为“打开” 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 Audit、Disabled 1.0.0
确保用于运行 API 应用的“HTTP 版本”是最新的 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 AuditIfNotExists、Disabled 2.0.0
确保用于运行函数应用的“HTTP 版本”是最新的 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 AuditIfNotExists、Disabled 2.0.0
确保用于运行 Web 应用的“HTTP 版本”是最新的 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 AuditIfNotExists、Disabled 2.0.0
确保用作 API 应用一部分的“Java 版本”是最新的 我们定期发布适用于 Java 的更高版本来解决安全漏洞或包含更多功能。 建议使用 API 应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 AuditIfNotExists、Disabled 2.0.0
确保用作函数应用一部分的“Java 版本”是最新的 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Java 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 AuditIfNotExists、Disabled 2.0.0
确保用作 Web 应用一部分的“Java 版本”是最新的 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 Web 应用的最新 Java 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 AuditIfNotExists、Disabled 2.0.0
确保用作 API 应用一部分的“PHP 版本”是最新的 我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 API 应用的最新 PHP 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 AuditIfNotExists、Disabled 2.1.0
确保用作 WEB 应用一部分的“PHP 版本”是最新的 我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 Web 应用的最新 PHP 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 AuditIfNotExists、Disabled 2.1.0
确保用作 API 应用一部分的“Python 版本”是最新的 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 API 应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 AuditIfNotExists、Disabled 3.0.0
确保用作函数应用一部分的“Python 版本”是最新的 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 AuditIfNotExists、Disabled 3.0.0
确保用作 Web 应用一部分的“Python 版本”是最新的 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 Web 应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 AuditIfNotExists、Disabled 3.0.0
确保 WEB 应用的“客户端证书(传入客户端证书)”设置为“打开” 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 Audit、Disabled 1.0.0
应仅在 API 应用中需要 FTPS 启用 FTPS 强制以实现增强的安全性 AuditIfNotExists、Disabled 2.0.0
应仅在函数应用中要求使用 FTPS 启用 FTPS 强制以实现增强的安全性 AuditIfNotExists、Disabled 2.0.0
应仅在 Web 应用中要求使用 FTPS 启用 FTPS 强制以实现增强的安全性 AuditIfNotExists、Disabled 2.0.0
应该只能通过 HTTPS 访问函数应用 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 Audit、Disabled 1.0.0
确保函数应用已启用“客户端证书(传入客户端证书)” 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 Audit、Disabled 1.0.1
函数应用应使用 Azure 文件共享作为其内容目录 函数应用的内容目录应位于 Azure 文件共享中。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用 Azure 文件存储来托管应用服务内容,请参阅 https://go.microsoft.com/fwlink/?linkid=2151594 Audit、Disabled 1.0.0
应在 API 应用中使用最新的 TLS 版本 升级到最新的 TLS 版本 AuditIfNotExists、Disabled 1.0.0
应在函数应用中使用最新的 TLS 版本 升级到最新的 TLS 版本 AuditIfNotExists、Disabled 1.0.0
应在 Web 应用中使用最新的 TLS 版本 升级到最新的 TLS 版本 AuditIfNotExists、Disabled 1.0.0
应在 API 应用中使用的托管标识 使用托管标识以实现增强的身份验证安全性 AuditIfNotExists、Disabled 2.0.0
应在函数应用中使用的托管标识 使用托管标识以实现增强的身份验证安全性 AuditIfNotExists、Disabled 2.0.0
应在 Web 应用中使用的托管标识 使用托管标识以实现增强的身份验证安全性 AuditIfNotExists、Disabled 2.0.0
应为 API 应用禁用远程调试 远程调试需要在 API 应用上打开入站端口。 应禁用远程调试。 AuditIfNotExists、Disabled 1.0.0
应对函数应用禁用远程调试 远程调试需要在函数应用上打开入站端口。 应禁用远程调试。 AuditIfNotExists、Disabled 1.0.0
应禁用 Web 应用程序的远程调试 远程调试需要在 Web 应用程序上打开入站端口。 应禁用远程调试。 AuditIfNotExists、Disabled 1.0.0
应启用应用服务中的资源日志 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 AuditIfNotExists、Disabled 1.0.0
只能通过 HTTPS 访问 Web 应用程序 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 Audit、Disabled 1.0.0
Web 应用应使用 Azure 文件共享作为其内容目录 Web 应用的内容目录应位于 Azure 文件共享中。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用 Azure 文件存储来托管应用服务内容,请参阅 https://go.microsoft.com/fwlink/?linkid=2151594 Audit、Disabled 1.0.0

证明

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure 证明提供程序应使用专用终结点 专用终结点提供了一种将 Azure 证明提供程序连接到 Azure 资源,而无需通过公共 Internet 发送流量的方法。 通过阻止公共访问,专用终结点有助于防范意外的匿名访问。 AuditIfNotExists、Disabled 1.0.0

自动管理

名称
(Azure 门户)
说明 效果 版本
(GitHub)
将虚拟机配置为加入 Azure Automanage Azure Automanage 按照 Azure Microsoft 云采用框架中定义的最佳做法来注册、配置和监视虚拟机。 使用此策略将自动管理应用到所选范围。 DeployIfNotExists、Disabled 4.1.0

自动化

名称
(Azure 门户)
说明 效果 版本
(GitHub)
自动化帐户变量应加密 存储敏感数据时,请务必启用自动化帐户变量资产加密 Audit、Deny、Disabled 1.1.0
自动化帐户应禁用公用网络访问 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 可以改为通过创建专用终结点来限制自动化帐户资源的公开。 有关详细信息,请访问:https://docs.microsoft.com/azure/automation/how-to/private-link-security Audit、Deny、Disabled 1.0.0
Azure 自动化帐户应使用客户管理的密钥来加密静态数据 使用客户管理的密钥来管理 Azure 自动化帐户的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/automation-cmk Audit、Deny、Disabled 1.0.0
将 Azure 自动化帐户配置为禁用公用网络访问 禁用对 Azure 自动化帐户的公用网络访问,确保无法通过公共 Internet 访问该帐户。 此配置有助于这些帐户防范数据泄露风险。 可以改为通过创建专用终结点来限制自动化帐户资源的公开。 有关详细信息,请访问:https://aka.ms/privateendpoints 修改,已禁用 1.0.0
为 Azure 自动化帐户配置专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 需要正确配置专用 DNS 区域,以便通过 Azure 专用链接来连接到 Azure 自动化帐户。 有关详细信息,请访问:https://aka.ms/privatednszone DeployIfNotExists、Disabled 1.0.0
在 Azure 自动化帐户上配置专用终结点连接 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Azure 自动化帐户建立专用连接,从而实现安全通信。 若要详细了解 Azure 自动化中的专用终结点,请访问 https://docs.microsoft.com/azure/automation/how-to/private-link-security DeployIfNotExists、Disabled 1.0.0
应启用自动化帐户上的专用终结点连接 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与自动化帐户建立专用连接,从而实现安全通信。 若要详细了解 Azure 自动化中的专用终结点,请访问 https://docs.microsoft.com/azure/automation/how-to/private-link-security AuditIfNotExists、Disabled 1.0.0

Azure Active Directory

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Active Directory 域服务托管域应使用仅限 TLS 1.2 模式 为托管域使用仅限 TLS 1.2 模式。 默认情况下,Azure AD 域服务允许使用 NTLM v1 和 TLS v1 等密码。 某些旧版应用程序可能需要这些密码,但这些密码视为弱密码,如果不需要,可以将其禁用。 如果启用仅限 TLS 1.2 模式,那么任何发出请求但未使用 TLS 1.2 的客户端都将失败。 更多信息请访问 https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain Audit、Disabled 1.0.0

Azure 数据资源管理器

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure 数据资源管理器静态加密应使用客户管理的密钥 对 Azure 数据资源管理器群集使用客户管理的密钥启用静态加密,可提供针对静态加密所使用密钥的额外控制。 此功能通常适用于具有特殊合规性要求并且需要使用 Key Vault 管理密钥的客户。 Audit、Deny、Disabled 1.0.0
应为 Azure 数据资源管理器启用磁盘加密 启用磁盘加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 Audit、Deny、Disabled 2.0.0
应为 Azure 数据资源管理器启用双重加密 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 Audit、Deny、Disabled 2.0.0
应为 Azure 数据资源管理器启用虚拟网络注入 通过虚拟网络注入保护网络边界,借助该虚拟网络注入,可以强制实施网络安全组规则,在本地连接并使用服务终结点保护数据连接源。 Audit、Deny、Disabled 1.0.0

Azure Stack Edge

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Stack Edge 设备应使用双重加密 若要在设备上保护静态数据,请确保静态数据已双重加密,已控制对数据的访问,并在设备停用后从数据磁盘安全地清除数据。 双重加密使用两层加密:数据卷上的 BitLocker XTS-AES 256 位加密和硬盘驱动器上的内置加密。 有关详细信息,请参阅特定 Stack Edge 设备的安全概述文档。 审核、拒绝、已禁用 1.0.0

备份

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应为虚拟机启用 Azure 备份 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 AuditIfNotExists、Disabled 2.0.0
[预览]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 使用客户管理的密钥来管理备份数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足监管合规标准,通常需要使用 CMK。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/AB-CmkEncryption Audit、Deny、Disabled 1.0.0-preview
[预览版]:Azure 恢复服务保管库应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 恢复服务保管库,可以减少数据泄漏风险。 有关专用链接的详细信息,请访问:https://aka.ms/AB-PrivateEndpoints Audit、Disabled 1.0.0-preview
[预览]:配置将带给定标记的虚拟机备份到包含默认策略的新恢复服务保管库 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMAppCentricBackupIncludeTag deployIfNotExists、auditIfNotExists、disabled 3.0.0-preview
[预览]:配置将带给定标记的虚拟机备份到同一位置中的现有恢复服务保管库 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMCentralBackupIncludeTag deployIfNotExists、auditIfNotExists、disabled 3.0.0-preview
[预览]:配置将不带给定标记的虚拟机备份到包含默认策略的新恢复服务保管库 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMAppCentricBackupExcludeTag deployIfNotExists、auditIfNotExists、disabled 3.0.0-preview
配置将不带给定标记的虚拟机备份到同一位置中的现有恢复服务保管库 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMCentralBackupExcludeTag deployIfNotExists、auditIfNotExists、disabled 3.0.0
将恢复服务保管库的诊断设置部署到资源专有类别的 Log Analytics 工作区。 部署恢复服务保管库的诊断设置,以便将数据流式传输到资源专有类别的 Log Analytics 工作区。 如果未启用任何资源专有类别,则会新建诊断设置。 deployIfNotExists 1.0.2

Batch

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Batch 帐户应使用客户管理的密钥来加密数据 使用客户管理的密钥来管理 Batch 帐户数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/Batch-CMK Audit、Deny、Disabled 1.0.1
为 Batch 帐户配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Batch 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/batch/private-connectivity DeployIfNotExists、Disabled 1.0.0
部署 - 为连接到 Batch 帐户的专用终结点配置专用 DNS 区域 可以通过专用 DNS 记录建立到专用终结点的专用连接。 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Batch 帐户建立专用连接,从而实现安全通信。 有关 Batch 中专用终结点和 DNS 区域的详细信息,请参阅 https://docs.microsoft.com/azure/batch/private-connectivity DeployIfNotExists、Disabled 1.0.0
应针对 Batch 帐户配置指标警报规则 审核是否已针对 Batch 帐户配置指标警报规则,以启用所需指标 AuditIfNotExists、Disabled 1.0.0
应启用 Batch 帐户上的专用终结点连接 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Batch 帐户建立专用连接,从而实现安全通信。 若要详细了解 Batch 中的专用终结点,请访问 https://docs.microsoft.com/azure/batch/private-connectivity AuditIfNotExists、Disabled 1.0.0
应对批处理帐户禁用公用网络访问 禁用批处理帐户上的公用网络访问可确保只能从专用终结点访问批处理帐户,从而提高安全性。 如需深入了解有关公用网络访问的信息,请访问 https://docs.microsoft.com/azure/batch/private-connectivity Audit、Deny、Disabled 1.0.0
应启用 Batch 帐户中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 4.0.1

Bot 服务

名称
(Azure 门户)
说明 效果 版本
(GitHub)
机器人服务终结点应是有效的 HTTPS URI 传输过程中数据可能会被篡改。 存在一些协议提供加密,可解决滥用和篡改问题。 若要确保机器人仅通过加密通道进行通信,请将终结点设置为有效的 HTTPS URI。 这样可确保使用 HTTPS 协议对传输中的数据进行加密,并且这通常也是符合法规或行业标准的要求。 请访问:https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines 审核、拒绝、已禁用 1.0.1
机器人服务应使用客户管理的密钥进行加密 Azure 机器人服务自动加密你的资源,以保护数据并实现组织安全性和合规性承诺。 默认使用 Microsoft 管理的加密密钥。 为了能够更灵活地管理密钥或控制对订阅的访问,请选择“客户管理的密钥”(亦称为“创建自己的密钥 (BYOK)”)。 详细了解 Azure 机器人服务加密:https://docs.microsoft.com/azure/bot-service/bot-service-encryption 审核、拒绝、已禁用 1.0.0

缓存

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Cache for Redis 应禁用公用网络访问 禁用公用网络访问可确保 Azure Cache for Redis 不会在公共 Internet 上公开,从而提高安全性。 可以改为通过创建专用终结点来限制 Azure Cache for Redis 的公开。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link Audit、Deny、Disabled 1.0.0
Azure Cache for Redis 应驻留在虚拟网络中 Azure 虚拟网络部署为 Azure Cache for Redis 提供了增强的安全性和隔离,以及子网、访问控制策略和其他功能,以进一步限制访问。配置了虚拟网络的 Azure Cache for Redis 实例是不可公开寻址的,只能从虚拟网络中的虚拟机和应用程序访问。 Audit、Deny、Disabled 1.0.3
Azure Cache for Redis 应使用专用链接 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 实例,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link AuditIfNotExists、Disabled 1.0.0
将 Azure Cache for Redis 配置为禁用公用网络访问 禁用对 Azure Cache for Redis 资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这有助于降低缓存的数据泄露风险。 修改,已禁用 1.0.0
将 Azure Cache for Redis 配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 可将专用 DNS 区域链接到你的虚拟网络,以解析到 Azure Cache for Redis。 有关详细信息,请访问:https://aka.ms/privatednszone DeployIfNotExists、Disabled 1.0.0
只能与 Azure Cache for Redis 建立安全连接 审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 Audit、Deny、Disabled 1.0.0

认知服务

名称
(Azure 门户)
说明 效果 版本
(GitHub)
认知服务帐户应禁用公用网络访问 禁用公用网络访问可确保认知服务帐户不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制认知服务帐户的公开。 有关详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800 Audit、Deny、Disabled 1.0.1
认知服务帐户应启用使用客户管理的密钥进行数据加密的功能 为了满足法规符合性标准,通常需要使用客户管理的密钥。 利用客户管理的密钥,可以使用由你创建并拥有的 Azure Key Vault 密钥对存储在认知服务中的数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 通过 https://go.microsoft.com/fwlink/?linkid=2121321 详细了解客户管理的密钥。 Audit、Deny、Disabled 2.0.0
认知服务帐户应限制网络访问 应限制对认知服务帐户的网络访问。 配置网络规则,使只有来自允许的网络的应用程序才能访问认知服务帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络或到公共 Internet IP 地址范围的流量授予访问权限。 Audit、Deny、Disabled 1.0.0
认知服务帐户应使用托管标识 向认知服务帐户分配托管标识有助于确保身份验证安全。 此认知服务帐户使用该标识以安全方式与其他 Azure 服务(如 Azure Key Vault)进行通信,你无需管理任何凭据。 Audit、Deny、Disabled 1.0.0
认知服务帐户应使用客户自有存储 使用客户拥有的存储来控制认知服务中静态存储的数据。 若要了解有关客户拥有的存储详细信息,请访问 https://aka.ms/cogsvc-cmk Audit、Deny、Disabled 2.0.0
认知服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800 Audit、Disabled 1.0.0
将认知服务帐户配置为禁用公用网络访问 禁用对认知服务资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800 禁用、修改 1.0.0
将认知服务帐户配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到认知服务帐户。 有关详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2110097 DeployIfNotExists、Disabled 1.0.0
为认知服务帐户配置专用终结点 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800 DeployIfNotExists、Disabled 1.0.0

计算

名称
(Azure 门户)
说明 效果 版本
(GitHub)
允许的虚拟机大小 SKU 此策略可便于指定组织可部署的一组虚拟机大小 SKU。 拒绝 1.0.1
审核未配置灾难恢复的虚拟机 审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc auditIfNotExists 1.0.0
审核未使用托管磁盘的 VM 此策略审核未使用托管磁盘的 VM 审核 1.0.0
通过启用复制对虚拟机配置灾难恢复 未配置灾难恢复的虚拟机容易受到中断和其他干扰的影响。 如果虚拟机尚未配置灾难恢复,则请使用预设配置启用复制来启动这一功能,以帮助实现业务连续性。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc DeployIfNotExists、Disabled 1.2.0
使用专用终结点配置磁盘访问资源 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到磁盘访问资源,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/disksprivatelinksdoc DeployIfNotExists、Disabled 1.0.0
将托管磁盘配置为禁用公用网络访问 禁用对托管磁盘资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/disksprivatelinksdoc 修改,已禁用 1.0.0
为 Windows Server 部署默认 Microsoft IaaSAntimalware 扩展 如果 VM 未配置反恶意软件扩展,则此策略部署使用默认配置的 Microsoft IaaSAntimalware 扩展。 deployIfNotExists 1.0.0
磁盘访问资源应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 diskAccesses,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/disksprivatelinksdoc AuditIfNotExists、Disabled 1.0.0
应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘 对安全性高度敏感的客户如果担心出现与任何特定加密算法、实现或密钥泄露相关的风险,可以选择在使用平台管理的加密密钥的基础结构层上使用其他加密算法/模式的额外加密层。 需要提供磁盘加密集才能使用双重加密。 更多信息请访问 https://aka.ms/disks-doubleEncryption Audit、Deny、Disabled 1.0.0
托管磁盘应禁用公用网络访问 禁用公用网络访问可确保托管磁盘不会在公共 Internet 上公开,从而提高了安全性。 创建专用终结点可以限制托管磁盘的公开。 有关详细信息,请访问:https://aka.ms/disksprivatelinksdoc Audit、Disabled 1.0.0
托管磁盘应使用一组特定的磁盘加密集来进行客户管理的密钥加密 要求对托管磁盘使用一组特定的磁盘加密集可以控制用于静态加密的密钥。 可以选择允许的加密集,所有其他加密集在附加到磁盘时将被拒绝。 更多信息请访问 https://aka.ms/disks-cmk Audit、Deny、Disabled 2.0.0
Microsoft Antimalware for Azure 应配置为自动更新保护签名 此策略会审核所有未配置自动更新 Microsoft Antimalware 保护签名的 Windows 虚拟机。 AuditIfNotExists、Disabled 1.0.0
应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 此策略会审核所有未部署 Microsoft IaaSAntimalware 扩展的 Windows Server VM。 AuditIfNotExists、Disabled 1.0.0
应当仅安装已批准的 VM 扩展 此策略约束未获批准的虚拟机扩展。 Audit、Deny、Disabled 1.0.0
应使用客户管理的密钥来加密 OS 和数据磁盘 使用客户管理的密钥来管理托管磁盘内容的静态加密。 默认情况下,使用平台管理的密钥对数据进行静态加密,但为了满足合规性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/disks-cmk Audit、Deny、Disabled 2.0.0
要求自动在虚拟机规模集上执行 OS 映像修补 该策略可强制启用虚拟机规模集上的自动 OS 映像修补程序,以便通过应用每月的最新安全修补程序始终确保虚拟机安全。 deny 1.0.0
应启用虚拟机规模集中的资源日志 建议启用日志,以便在出现某个事件或遭到入侵后需要进行调查时可以重新创建活动线索。 AuditIfNotExists、Disabled 2.0.1
应当加密未附加的磁盘 此策略会审核未启用加密的所有未附加磁盘。 Audit、Disabled 1.0.0
虚拟机和虚拟机规模集应启用主机中加密 使用主机中加密可对虚拟机和虚拟机规模集数据进行端到端加密。 主机中加密可对临时磁盘和 OS/数据磁盘缓存实现静态加密。 启用主机中加密后,将使用平台管理的密钥对临时 OS 磁盘进行加密。 OS/数据磁盘缓存使用客户管理的密钥或平台管理的密钥进行静态加密,具体取决于在磁盘中选择的加密类型。 更多信息请访问 https://aka.ms/vm-hbe Audit、Deny、Disabled 1.0.0
应将虚拟机迁移到新的 Azure 资源管理器资源 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 Audit、Deny、Disabled 1.0.0

容器实例

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure 容器实例容器组应部署到虚拟网络 容器与 Azure 虚拟网络之间进行安全通信。 指定虚拟网络时,虚拟网络中的资源可以彼此安全且私密地进行通信。 审核、已禁用、拒绝 1.0.0
Azure 容器实例容器组应使用客户管理的密钥进行加密 使用客户管理的密钥更灵活地保护容器。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 审核、已禁用、拒绝 1.0.0

容器注册表

名称
(Azure 门户)
说明 效果 版本
(GitHub)
将容器注册表配置为禁用公用网络访问 禁用对容器注册表的公用网络访问,确保不可通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 请访问 https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/private-link 了解详细信息。 修改,已禁用 1.0.0
将容器注册表配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到容器注册表。 请访问 https://aka.ms/privatednszonehttps://aka.ms/acr/private-link 了解详细信息。 DeployIfNotExists、Disabled 1.0.0
为容器注册表配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到高级容器注册表资源可以降低数据泄露的风险。 请访问 https://aka.ms/privateendpointshttps://aka.ms/acr/private-link 了解详细信息。 DeployIfNotExists、Disabled 1.0.0
应使用客户管理的密钥对容器注册表进行加密 使用客户管理的密钥来管理注册表内容的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/acr/CMK Audit、Deny、Disabled 1.1.2
容器注册表应包含支持专用链接的 SKU 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到容器注册表(而不是整个服务)可以降低数据泄露的风险。 有关详细信息,请访问:https://aka.ms/acr/private-link Audit、Deny、Disabled 1.0.0
容器注册表不得允许无限制的网络访问 默认情况下,Azure 容器注册表接受来自任何网络上的主机的 Internet 连接。 为了防止注册表受到潜在的威胁,只允许来自特定的公共 IP 地址或地址范围的访问。 如果注册表没有 IP/防火墙规则或配置的虚拟网络,它将出现在不正常资源中。 有关容器注册表网络规则的详细信息,请访问 https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet Audit、Deny、Disabled 1.1.0
容器注册表应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。通过将专用终结点映射到容器注册表,而不是整个服务,还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/acr/private-link Audit、Disabled 1.0.1
应禁用通过公用网络访问容器注册表 禁用公用网络访问可确保容器注册表不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以避免容器注册表资源暴露。 请访问 https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/private-link 了解详细信息。 Audit、Deny、Disabled 1.0.0

Cosmos DB

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Cosmos DB 帐户应有防火墙规则 应在 Azure Cosmos DB 帐户上定义防火墙规则,以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。 Audit、Deny、Disabled 1.0.1
Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据 使用客户管理的密钥来管理 Azure Cosmos DB 的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/cosmosdb-cmk 审核、拒绝、已禁用 1.0.2
Azure Cosmos DB 允许的位置 使用此策略可限制组织在部署 Azure Cosmos DB 资源时可指定的位置。 用于强制执行异地符合性要求。 [parameters('policyEffect')] 1.0.0
应禁用基于 Azure Cosmos DB 密钥的元数据写权限 借助此策略,可以确保所有 Azure Cosmos DB 帐户都禁用基于密钥的元数据写权限。 append 1.0.0
Azure Cosmos DB 应禁用公用网络访问 禁用公用网络访问可确保 CosmosDB 帐户不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制 CosmosDB 帐户的公开。 有关详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation Audit、Deny、Disabled 1.0.0
应限制 Azure Cosmos DB 吞吐量 借助此策略,可以限制组织在通过资源提供程序创建 Azure Cosmos DB 数据库和容器时可以指定的最大吞吐量。 它会阻止创建自动缩放资源。 审核、拒绝、已禁用 1.0.0
将 CosmosDB 帐户配置为禁用公用网络访问 禁用对 CosmosDB 资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation 修改,已禁用 1.0.0
将 CosmosDB 帐户配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 CosmosDB 帐户。 有关详细信息,请访问:https://aka.ms/privatednszone DeployIfNotExists、Disabled 1.0.0
为 CosmosDB 帐户配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints DeployIfNotExists、Disabled 1.0.0
CosmosDB 帐户应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints Audit、Disabled 1.0.0
为 Cosmos DB 帐户部署高级威胁防护 此策略会在 Cosmos DB 帐户上启用高级威胁防护。 DeployIfNotExists、Disabled 1.0.0

自定义提供程序

名称
(Azure 门户)
说明 效果 版本
(GitHub)
为自定义提供程序部署关联 部署将所选资源类型与指定自定义提供程序关联的关联资源。 此策略部署不支持嵌套资源类型。 deployIfNotExists 1.0.0

Data Box

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Data Box 作业应为设备上静态数据启用双重加密 为设备上的静态数据启用第二层基于软件的加密。 设备已通过用于静态数据的高级加密标准 256 位加密受到保护。 此选项将添加第二层数据加密。 Audit、Deny、Disabled 1.0.0
Azure Data Box 作业应使用客户管理的密钥加密设备解锁密码 使用客户管理的密钥控制 Azure Data Box 的设备解锁密码的加密。 客户管理的密钥还有助于通过 Data Box 服务管理对设备解锁密码的访问,以便以自动方式准备设备和复制数据。 设备本身的数据已使用高级加密标准 256 位加密进行静态加密,并且设备解锁密码默认使用 Microsoft 托管密钥进行加密。 Audit、Deny、Disabled 1.0.0

数据工厂

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应使用客户管理的密钥对 Azure 数据工厂进行加密 使用客户管理的密钥来管理 Azure 数据工厂的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规合规性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/adf-cmk Audit、Deny、Disabled 1.0.1
[预览]:Azure 数据工厂集成运行时应对核心数有限制 若要管理资源和成本,请限制集成运行时的核心数。 Audit、Deny、Disabled 1.0.0-preview
[预览]:Azure 数据工厂链接服务资源类型应在允许列表中 定义 Azure 数据工厂链接服务类型的允许列表。 限制允许的资源类型可以控制数据移动的边界。 例如,将范围限制为只允许使用 Data Lake Storage Gen1 和 Gen2 进行分析的 blob 存储,或只允许 SQL 和 Kusto 访问实时查询。 Audit、Deny、Disabled 1.0.0-preview
[预览]:Azure 数据工厂链接服务应使用 Key Vault 来存储机密 为了确保机密(如连接字符串)得到安全管理,需要用户使用 Azure Key Vault 提供机密,而不是在链接服务中内联指定它们。 Audit、Deny、Disabled 1.0.0-preview
[预览]:Azure 数据工厂链接服务应使用系统分配的托管标识身份验证(如果受支持) 在通过链接服务与数据存储进行通信时,使用系统分配的托管标识可以避免使用密码或连接字符串等安全性较低的凭据。 Audit、Deny、Disabled 1.0.0-preview
[预览]:Azure 数据工厂应使用 Git 存储库进行源代码管理 对数据工厂启用源代码管理,以获取更改跟踪、协作、持续集成和部署等功能。 Audit、Deny、Disabled 1.0.0-preview
Azure 数据工厂应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link AuditIfNotExists、Disabled 1.0.0
将数据工厂配置为禁用公用网络访问 禁用对数据工厂的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link 修改,已禁用 1.0.0
为连接到 Azure 数据工厂的专用终结点配置专用 DNS 区域 可以通过专用 DNS 记录建立到专用终结点的专用连接。 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Azure 数据工厂建立专用连接,从而实现安全通信。 有关 Azure 数据工厂中专用终结点和 DNS 区域的详细信息,请参阅 https://docs.microsoft.com/azure/data-factory/data-factory-private-link DeployIfNotExists、Disabled 1.0.0
为数据工厂配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到 Azure 数据工厂可降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link DeployIfNotExists、Disabled 1.0.0
应禁用对 Azure 数据工厂的公用网络访问 禁用公用网络访问属性可确保只能从专用终结点访问 Azure 数据工厂,从而提高安全性。 Audit、Deny、Disabled 1.0.0
应将 Azure 数据工厂上的 SQL Server Integration Services 集成运行时加入到虚拟网络 Azure 虚拟网络部署为 Azure 数据工厂上的 SQL Server Integration Services 集成运行时提供增强的安全性和隔离性,并提供子网、访问控制策略和其他进一步限制访问的功能。 Audit、Deny、Disabled 1.0.0

Data Lake

名称
(Azure 门户)
说明 效果 版本
(GitHub)
要求对 Data Lake Store 帐户进行加密 此策略可确保对所有 Data Lake Store 帐户启用了加密 deny 1.0.0
应启用 Azure Data Lake Store 中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 4.0.1
应启用 Data Lake Analytics 中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 4.0.1

事件网格

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure 事件网格域应禁用公用网络访问 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://aka.ms/privateendpoints Audit、Deny、Disabled 1.0.0
Azure 事件网格域应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints Audit、Disabled 1.0.2
Azure 事件网格主题应禁用公用网络访问 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://aka.ms/privateendpoints Audit、Deny、Disabled 1.0.0
Azure 事件网格主题应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格主题(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints Audit、Disabled 1.0.2
部署 - 配置 Azure 事件网格域以使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 有关详细信息,请访问:https://aka.ms/privatednszone DeployIfNotExists、Disabled 1.0.0
部署 - 使用专用终结点配置 Azure 事件网格域 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到资源,可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints DeployIfNotExists、Disabled 1.0.0
部署 - 配置 Azure 事件网格主题以使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 有关详细信息,请访问:https://aka.ms/privatednszone DeployIfNotExists、Disabled 1.0.0
部署 - 使用专用终结点配置 Azure 事件网格主题 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到资源,可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints DeployIfNotExists、Disabled 1.0.0
修改 - 配置 Azure 事件网格域以禁用公用网络访问 禁用对 Azure 事件网格资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这将有助于防范数据泄露风险。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://aka.ms/privateendpoints 修改,已禁用 1.0.0
修改 - 配置 Azure 事件网格主题以禁用公用网络访问 禁用对 Azure 事件网格资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这将有助于防范数据泄露风险。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://aka.ms/privateendpoints 修改,已禁用 1.0.0

事件中心

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应从事件中心命名空间中删除 RootManageSharedAccessKey 以外的所有授权规则 服务中心客户端不应使用提供对命名空间中所有队列和主题的访问的命名空间级访问策略。 为了与最低权限安全模型保持一致,应在实体级别为队列和主题创建访问策略,以便仅提供对特定实体的访问权限 Audit、Deny、Disabled 1.0.1
应针对事件中心实例定义授权规则 审核是否存在针对事件中心实体的授权规则,以便授予最低权限访问权限 AuditIfNotExists、Disabled 1.0.0
将事件中心命名空间配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到事件中心命名空间。 有关详细信息,请访问:https://docs.microsoft.com/azure/event-hubs/private-link-service DeployIfNotExists、Disabled 1.0.0
为事件中心命名空间配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/event-hubs/private-link-service DeployIfNotExists、Disabled 1.0.0
事件中心命名空间应使用客户管理的密钥进行加密 Azure 事件中心支持通过 Microsoft 管理的密钥(默认)或客户管理的密钥来加密静态数据。 如果选择使用客户管理的密钥加密数据,则可分配、轮换、禁用和撤销对密钥的访问权限,事件中心将使用密钥加密命名空间中的数据。 请注意,事件中心仅支持使用客户管理的密钥对专用群集中的命名空间进行加密。 Audit、Disabled 1.0.0
事件中心命名空间应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/event-hubs/private-link-service AuditIfNotExists、Disabled 1.0.0
应启用事件中心内的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 4.0.1

常规

名称
(Azure 门户)
说明 效果 版本
(GitHub)
允许的位置 通过此策略,可限制组织在部署资源时可指定的位置。 用于强制执行异地符合性要求。 排除资源组、Microsoft.AzureActiveDirectory/b2cDirectories 以及使用“全局”区域的资源。 deny 1.0.0
允许的资源组位置 通过此策略,可限制组织可以创建资源组的位置。 用于强制执行异地符合性要求。 deny 1.0.0
允许的资源类型 此策略可用于指定组织可以部署的资源类型。 只有支持“tags”和“location”的资源类型才会受此策略影响。 若要限制所有资源,请复制此策略并将“mode”更改为“All”。 deny 1.0.0
审核资源位置是否匹配资源组位置 审核资源位置是否与其资源组位置匹配。 审核 2.0.0
审核自定义 RBAC 规则的使用情况 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 Audit、Disabled 1.0.0
不应存在自定义订阅所有者角色 此策略确保不存在自定义订阅所有者角色。 Audit、Disabled 2.0.0
不允许的资源类型 限制可以在环境中部署的资源类型。 限制资源类型可以降低环境的复杂性和攻击面,同时也有助于管理成本。 仅显示不符合要求的资源的符合性结果。 Audit、Deny、Disabled 2.0.0

来宾配置

名称
(Azure 门户)
说明 效果 版本
(GitHub)
添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 1.0.0
添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 1.0.0
审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 Linux 计算机允许通过没有密码的帐户进行远程连接,则计算机不合规 AuditIfNotExists、Disabled 1.0.0
审核未将密码文件权限设为 0644 的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 Linux 计算机未将密码文件权限设为 0644,则计算机不合规 AuditIfNotExists、Disabled 1.0.0
审核未安装指定应用程序的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 Chef InSpec 资源指示未安装参数提供的一个或多个包,则计算机不合规。 auditIfNotExists 3.0.0
审核具有不使用密码的帐户的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 Linux 计算机具有不使用密码的帐户,则计算机不合规 AuditIfNotExists、Disabled 1.0.0
审核安装了指定应用程序的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 Chef InSpec 资源指示安装了参数提供的一个或多个包,则计算机不合规。 auditIfNotExists 3.0.0
审核缺少管理员组中任何指定成员的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果本地管理员组不包含策略参数中列出的一个或多个成员,则计算机不合规。 auditIfNotExists 1.0.0
审核 Windows 计算机网络连接 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 IP 和 TCP 端口的网络连接状态与策略参数不匹配,则计算机不合规。 auditIfNotExists 1.0.0
审核 DSC 配置不合规的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 Windows PowerShell 命令 Get-DSCConfigurationStatus 返回计算机的 DSC 配置不合规,则计算机不合规。 auditIfNotExists 1.0.0
审核其 Log Analytics 代理未按预期连接的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果未安装代理,或者安装了代理,但 COM 对象 AgentConfigManager.MgmtSvcCfg 返回它已注册到策略参数中指定的 ID 以外的工作区,则计算机不合规。 auditIfNotExists 1.0.0
审核未安装指定的服务且“正在运行”的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 Windows PowerShell 命令 Get-Service 的结果不包括具有策略参数指定的匹配状态的服务名称,则计算机不合规。 auditIfNotExists 1.0.0
审核未启用 Windows 串行控制台的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果计算机未安装串行控制台软件,或没有为 EMS 端口号或波特率配置与策略参数相同的值,则计算机不合规。 auditIfNotExists 1.0.0
审核允许重用之前的 24 个密码的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 Windows 计算机允许重用之前的 24 个密码,则计算机不合规 AuditIfNotExists、Disabled 1.0.0
审核未加入指定域的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 WMI 类 win32_computersystem 中 Domain 属性的值与策略参数中的值不匹配,则计算机不合规。 auditIfNotExists 1.0.0
审核未设置为指定时区的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 WMI 类 Win32_TimeZone 中 StandardName 属性的值与策略参数的选定时区不匹配,则计算机不合规。 auditIfNotExists 1.0.0
审核包含将在指定天数内过期的证书的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果指定存储中的证书的到期日期超出了参数给定的天数范围,则计算机不合规。 该策略还提供仅检查特定证书或排除特定证书的选项,以及是否报告过期证书的选项。 auditIfNotExists 1.0.0
审核在受信任的根中不包含指定证书的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果计算机受信任的根证书存储 (Cert:\LocalMachine\Root) 不包含策略参数列出的一个或多个证书,则计算机不合规。 auditIfNotExists 1.0.1
审核未将最长密码期限设为 70 天的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 Windows 计算机未将最长密码期限设为 70 天,则计算机不合规 AuditIfNotExists、Disabled 1.0.0
审核未将最短密码期限设为 1 天的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 Windows 计算机未将最短密码期限设为 1 天,则计算机不合规 AuditIfNotExists、Disabled 1.0.0
审核未启用密码复杂性设置的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 Windows 计算机未启用密码复杂性设置,则计算机不合规 AuditIfNotExists、Disabled 1.0.0
审核没有指定的 Windows PowerShell 执行策略的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 Windows PowerShell 命令 Get-ExecutionPolicy 返回的值不是策略参数中所选的值,则计算机不符合要求。 AuditIfNotExists、Disabled 1.0.0
审核没有安装指定 Windows PowerShell 模块的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果模块在环境变量 PSModulePath 指定的位置中不可用,则计算机不符合要求。 AuditIfNotExists、Disabled 1.0.0
审核未将最短密码长度限制为 14 个字符的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 Windows 计算机未将最短密码长度限制为 14 个字符,则计算机不合规 AuditIfNotExists、Disabled 1.0.0
审核未存储使用可逆加密的密码的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 Windows 计算机未存储使用可逆加密的密码,则计算机不合规 AuditIfNotExists、Disabled 1.0.0
审核未安装指定应用程序的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果在以下任何注册表路径中都找不到相关应用程序名称,则计算机不合规:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 auditIfNotExists 1.0.0
审核管理员组中具有额外帐户的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果本地管理员组包含策略参数中未列出的成员,则计算机不合规。 auditIfNotExists 1.0.0
审核未在指定天数内重启的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果类 Win32_Operatingsystem 中的 WMI 属性 LastBootUpTime 不在策略参数提供的天数范围内,则计算机不合规。 auditIfNotExists 1.0.0
审核安装了指定应用程序的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果在以下任何注册表路径中找到了相关应用程序名称,则计算机不合规:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 auditIfNotExists 1.0.0
审核具有管理员组中指定成员的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果本地管理员组包含策略参数中列出的一个或多个成员,则计算机不合规。 auditIfNotExists 1.0.0
审核正在等待重新启动的 Windows VM 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果计算机由于以下任一原因正在等待重启,则计算机不合规:基于组件的服务、Windows 更新、挂起的文件重命名、挂起的计算机重命名、配置管理器等待重启。 每次检测都有唯一的注册表路径。 auditIfNotExists 1.0.0
对 Linux 虚拟机进行身份验证需要 SSH 密钥 虽然 SSH 本身提供加密连接,但是将密码用于 SSH 仍会使 VM 易受到暴力攻击。 通过 SSH 对 Azure Linux 虚拟机进行身份验证时,最安全的方法是使用公钥-私钥对,也称为 SSH 密钥。 了解详细信息:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed AuditIfNotExists、Disabled 2.0.1
在 Windows 计算机上配置时区。 此策略创建一个 Guest Configuration 分配用于在 Windows 虚拟机上设置指定的时区。 deployIfNotExists 1.1.0
部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须被部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 1.0.0
部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须被部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 1.0.0
[预览]:Linux 计算机应符合 Azure 安全基线的要求 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 Linux 计算机应符合 Azure 安全基线的要求,则计算机不符合要求 AuditIfNotExists、Disabled 1.1.0-preview
应启用来宾配置分配的专用终结点 专用终结点连接通过启用虚拟机来宾配置的专用连接来加强安全通信。 虚拟机将不符合条件,除非它们具有标记“EnablePrivateNetworkGC”。 此标记将通过虚拟机来宾配置的专用连接强制执行安全通信。 专用连接限制访问仅来自已知网络的流量,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 Audit、Deny、Disabled 1.0.0
应在计算机上启用 Windows Defender 攻击防护 Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 AuditIfNotExists、Disabled 1.1.1
Windows 计算机应符合“管理模板 - 控制面板”的要求 对于输入个性化和阻止启用锁屏界面,Windows 计算机应在“管理模板 - 控制面板”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“管理模板 - MSS (旧版)”的要求 对于自动登录、屏幕保护程序、网络行为、安全 DLL 和事件日志,Windows 计算机应在“管理模板 - MSS (旧版)”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“管理模板 - 网络”的要求 Windows 计算机应在“管理模板 - 网络”类别中使用指定的组策略设置,用于来宾登录、并发连接、网桥、ICS 和多播名称解析。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“管理模板 - 系统”的要求 对于控制管理体验和远程协助的设置,Windows 计算机应在“管理模板 - 系统”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“安全选项 - 帐户”的要求 Windows 计算机应在“安全选项 - 帐户”类别中具有指定的组策略设置,以限制本地帐户使用空白密码和来宾帐户状态。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“安全选项 - 审核”的要求 Windows 计算机应在“安全选项 - 审核”类别中具有指定的组策略设置,以便在无法记录安全审核的情况下,强制实施审核策略子类别并进行关闭。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“安全选项 - 设备”的要求 Windows 计算机应在“安全选项 - 设备”类别中具有指定的组策略设置,以便在不登录的情况下进行移除、安装打印驱动程序以及设置格式/弹出媒体。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“安全选项 - 交互式登录”的要求 Windows 计算机应在“安全选项 - 交互式登录”类别中具有指定的组策略设置,以便显示上一个用户名并要求按 Ctrl-Alt-Del。此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“安全选项 - Microsoft 网络客户端”的要求 对于 Microsoft 网络客户端/服务器和 SMB v1,Windows 计算机应在“安全选项 - Microsoft 网络客户端”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“安全选项 - Microsoft 网络服务器”的要求 Windows 计算机应在“安全选项 - Microsoft 网络服务器”类别中具有指定的组策略设置,以禁用 SMB v1 服务器。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“安全选项 - 网络访问”的要求 Windows 计算机应在“安全选项 - 网络访问”类别中具有指定的组策略设置,以包含匿名用户、本地帐户的访问权限和对注册表的远程访问权限。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“安全选项 - 网络安全”的要求 Windows 计算机应在“安全选项 - 网络安全”类别中使用指定的组策略设置,以包含本地系统行为、PKU2U、LAN Manager、LDAP 客户端和 NTLM SSP。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“安全选项 - 恢复控制台”的要求 Windows 计算机应在“安全选项 - 恢复控制台”类别中具有指定的组策略设置,以便允许对所有驱动器和文件夹进行软盘复制和访问。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“安全选项 - 关闭”的要求 Windows 计算机应在“安全选项 - 关闭”类别中具有指定的组策略设置,以便允许在未登录的情况下关闭并清除虚拟内存页面文件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“安全选项 - 系统对象”的要求 对于非 Windows 子系统不区分大小写和内部系统对象的权限,Windows 计算机应在“安全选项 - 系统对象”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“安全选项 - 系统设置”的要求 对于 SRP 和可选子系统的可执行文件的证书规则,Windows 计算机应在“安全选项 - 系统设置”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 对于管理员模式、提升提示行为以及虚拟化文件和注册表写入失败,Windows 计算机应在“安全选项 - 用户帐户控制”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“安全设置 - 帐户策略”的要求 对于密码历史记录、使用期限、长度、复杂性以及使用可还原加密存储密码,Windows 计算机应在“安全设置 - 帐户策略”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“系统审核策略 - 帐户登录”的要求 Windows 计算机应在“系统审核策略 - 帐户登录”类别中具有指定的组策略设置,以便审核凭据验证和其他帐户登录事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“系统审核策略 - 帐户管理”的要求 Windows 计算机应在“系统审核策略 - 帐户管理”类别中具有指定的组策略设置,以便审核应用程序、安全性和用户组管理以及其他管理事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 Windows 计算机应在“系统审核策略 - 详细跟踪”类别中具有指定的组策略设置,以便审核 DPAPI、进程创建/终止、RPC 事件和 PNP 活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“系统审核策略 - 登录与注销”的要求 Windows 计算机应在“系统审核策略 - 登录与注销”类别中具有指定的组策略设置,以便审核 IPSec、网络策略、声明、帐户锁定、组成员身份和登录/注销事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“系统审核策略 - 对象访问”的要求 Windows 计算机应在“系统审核策略 - 对象访问”类别中具有指定的组策略设置,以便审核文件、注册表、SAM、存储、筛选、内核和其他系统类型。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“系统审核策略 - 策略更改”的要求 Windows 计算机应在“系统审核策略 - 策略更改”类别中具有指定的组策略设置,以便审核对系统审核策略所做的更改。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“系统审核策略 - 特权使用”的要求 Windows 计算机应在“系统审核策略 - 特权使用”类别中具有指定的组策略设置,以便审核非敏感特权和其他权限使用。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“系统审核策略 - 系统”的要求 Windows 计算机应在“系统审核策略 - 系统”类别中具有指定的组策略设置,以便审核 IPsec 驱动程序、系统完整性、系统扩展、状态更改和其他系统事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“用户权限分配”的要求 Windows 计算机应在“用户权限分配”类别中具有指定的组策略设置,以允许本地登录、RDP、从网络进行访问以及其他很多用户活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“Windows 组件”的要求 对于基本身份验证、未加密的流量、Microsoft 帐户、遥测、Cortana 和其他 Windows 行为,Windows 计算机应在“Windows 组件”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“Windows 防火墙属性”的要求 对于防火墙状态、连接、规则管理和通知,Windows 计算机应在“Windows 防火墙属性”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
[预览]:Windows 计算机应符合 Azure 安全中心基线的要求 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果计算机未根据 Azure 安全中心基线中的某条建议进行正确配置,则计算机不合规。 AuditIfNotExists、Disabled 1.0.0-preview
应将 Windows Web 服务器配置为使用安全通信协议 为了保护通过 Internet 进行通信的信息的隐私,Web 服务器应使用最新版本的行业标准加密协议,即传输层安全性 (TLS)。 TLS 使用安全证书对计算机之间的连接进行加密来保护网络上的通信。 AuditIfNotExists、Disabled 2.1.0

HDInsight

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应将 Azure HDInsight 群集注入到虚拟网络中 在虚拟网络中注入 Azure HDInsight 群集可以解除对高级 HDInsight 网络和安全功能的锁定,并为你提供对网络安全配置的控制。 审核、已禁用、拒绝 1.0.0
Azure HDInsight 群集应使用客户管理的密钥来加密静态数据 使用客户管理的密钥来管理 Azure HDInsight 群集的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/hdi.cmk Audit、Deny、Disabled 1.0.1
Azure HDInsight 群集应使用主机加密来加密静态数据 启用主机加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用主机加密时,存储在 VM 主机上的数据将静态加密,且已加密的数据将流向存储服务。 Audit、Deny、Disabled 1.0.0
Azure HDInsight 群集应使用传输中加密来加密 Azure HDInsight 群集节点之间的通信 在 Azure HDInsight 群集节点之间的传输过程中,数据可能会被篡改。 启用传输中加密可解决传输过程中的滥用和篡改问题。 Audit、Deny、Disabled 1.0.0

物联网

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:Azure IoT 中心应使用客户管理的密钥进行静态数据加密 使用客户管理的密钥对 IoT 中心内的数据进行静态加密可以在默认的服务管理的密钥基础上增加另一层加密,使客户能够控制密钥、自定义轮换策略,并能够通过密钥访问控制来管理对数据的访问。 在创建 IoT 中心期间必须配置客户管理的密钥。 有关如何配置客户管理的密钥的详细信息,请参阅 https://aka.ms/iotcmk Audit、Deny、Disabled 1.0.0-preview
将 IoT 中心设备预配实例配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以便对 IoT 中心设备预配服务实例进行解析。 有关详细信息,请访问:https://aka.ms/iotdpsvnet DeployIfNotExists、Disabled 1.0.0
将 IoT 中心设备预配服务实例配置为禁用公用网络访问 对 IoT 中心设备预配实例禁用公用网络访问,以防止通过公共 Internet 对其进行访问。 这可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/iotdpsvnet 修改,已禁用 1.0.0
为 IoT 中心设备预配服务实例配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/iotdpsvnet DeployIfNotExists、Disabled 1.0.0
部署 - 将 Azure IoT 中心配置为使用专用 DNS 区域 Azure 专用 DNS 提供可靠、安全的 DNS 服务来管理和解析虚拟网络中的域名,无需添加自定义 DNS 解决方案。 可将你自己的自定义域名用于专用终结点,使用专用 DNS 区域来替代 DNS 解析。 此策略将为 IoT 中心专用终结点部署专用 DNS 区域。 deployIfNotExists、disabled 1.0.0
部署 - 为 Azure IoT 中心配置专用终结点 专用终结点是在客户拥有的虚拟网络内部分配的专用 IP 地址,可通过该地址访问 Azure 资源。 此策略将为 IoT 中心部署专用终结点,以允许虚拟网络中的服务访问 IoT 中心,而无需将流量发送到 IoT 中心的公共终结点。 DeployIfNotExists、Disabled 1.0.0
[预览]:应使用客户管理的密钥(CMK)来加密 IoT 中心设备预配服务数据 使用客户管理的密钥来管理 IoT 中心设备预配服务的静态加密。 将使用服务管理的密钥自动对数据进行静态加密,但为了满足监管合规标准,通常需要使用客户管理的密钥 (CMK)。 CMK 允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 访问 https://aka.ms/dps/CMK,了解有关 CMK 加密的详细信息。 Audit、Deny、Disabled 1.0.0-preview
IoT 中心设备预配服务实例应禁用公用网络访问 禁用公用网络访问可确保 IoT 中心设备预配服务实例不会在公共 Internet 中公开,从而可提高安全性。 创建专用终结点可以限制 IoT 中心设备预配实例的公开。 有关详细信息,请访问:https://aka.ms/iotdpsvnet Audit、Deny、Disabled 1.0.0
IoT 中心设备预配服务实例应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/iotdpsvnet Audit、Disabled 1.0.0
修改 - 将 Azure IoT 中心配置为禁用公用网络访问 禁用公用网络访问属性可确保只能从专用终结点访问 Azure IoT 中心,从而提高安全性。 此策略将禁用对 IoT 中心资源的公用网络访问。 修改,已禁用 1.0.0
应为 IoT 中心启用专用终结点 专用终结点连接通过启用到 IoT 中心的专用连接来强制实施安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 Audit、Disabled 1.0.0
应禁用对 Azure IoT 中心进行公用网络访问 禁用公用网络访问属性可确保只能从专用终结点访问 Azure IoT 中心,从而提高安全性。 Audit、Deny、Disabled 1.0.0
应启用 IoT 中心内的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 3.0.1

Key Vault

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Key Vault 托管的 HSM 应启用清除保护 恶意删除 Azure Key Vault 托管的 HSM 可能导致永久数据丢失。 你组织中的恶意内部人员可能会删除和清除 Azure Key Vault 托管的 HSM。 清除保护通过强制实施软删除 Azure Key Vault 托管的 HSM 的强制保留期来保护你免受内部人员的攻击。 你的组织内的任何人都无法在软删除保留期内清除 Azure Key Vault 托管的 HSM。 Audit、Deny、Disabled 1.0.0
[预览]:Azure Key Vault 应禁用公用网络访问 禁用对密钥保管库的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/akvprivatelink Audit、Deny、Disabled 1.1.0-preview
[预览]:Azure 密钥保管库应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到密钥保管库,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/akvprivatelink Audit、Deny、Disabled 1.0.0-preview
[预览版]:证书应由指定的集成证书颁发机构颁发 通过指定可以在密钥保管库(如 Digicert 或 GlobalSign)中颁发证书的 Azure 集成证书颁发机构,管理组织的符合性要求。 审核、拒绝、已禁用 2.0.0-preview
[预览版]:证书应由指定的非集成证书颁发机构颁发 通过指定可以在密钥保管库中颁发证书的自定义或内部证书颁发机构,管理组织的符合性要求。 审核、拒绝、已禁用 2.0.0-preview
[预览版]:证书应具有指定的生存期操作触发 通过指定证书生存期操作是在生存期的特定百分比处触发,还是在到期前提前特定天数触发,管理组织的符合性要求。 审核、拒绝、已禁用 2.0.0-preview
[预览版]:证书应具有指定的最长有效期 通过指定证书在密钥保管库中的最长有效时间,管理组织的符合性要求。 审核、拒绝、已禁用 2.1.0-preview
[预览版]:证书在指定的天数内不应过期 管理将在指定天数内到期的证书,以确保组织有足够的时间在到期前对证书进行轮换。 审核、拒绝、已禁用 2.0.0-preview
[预览版]:证书应使用允许的密钥类型(预览版) 通过限制允许用于证书的密钥类型,管理组织的符合性要求。 审核、拒绝、已禁用 2.0.0-preview
[预览版]:使用椭圆曲线加密的证书应使用允许的曲线名称 管理密钥保管库中存储的 ECC 证书可用的椭圆曲线名称。 可在 https://aka.ms/akvpolicy 找到更多信息。 审核、拒绝、已禁用 2.0.0-preview
[预览版]:使用 RSA 加密的证书应具有指定的最小密钥大小 通过指定存储在密钥保管库中的 RSA 证书的最小密钥大小,管理组织的符合性要求。 审核、拒绝、已禁用 2.0.0-preview
[预览]:将 Azure 密钥保管库配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到密钥保管库。 有关详细信息,请访问:https://aka.ms/akvprivatelink DeployIfNotExists、Disabled 1.0.0-preview
[预览]:为 Azure 密钥保管库配置专用终结点 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到密钥保管库,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/akvprivatelink DeployIfNotExists、Disabled 1.0.0-preview
[预览]:将密钥保管库配置为禁用公用网络访问 禁用对密钥保管库的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/akvprivatelink 修改,已禁用 1.0.0-preview
部署 - 为 Azure Key Vault 配置诊断设置,以便将资源日志流式传输到 Log Analytics 工作区 为 Azure Key Vault 部署诊断设置,以便在创建或更新缺少此诊断设置的任何密钥保管库时,将资源日志流式传输到 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
部署 - 配置要在 Azure Key Vault 管理的 HSM 上启用的事件中心的诊断设置 部署 Azure Key Vault 管理的 HSM 的诊断设置,以便在创建或更新任何缺少此诊断设置的 Azure Key Vault 管理的 HSM 时,将诊断设置流式传输到区域事件中心。 DeployIfNotExists、Disabled 1.0.0
将 Key Vault 的诊断设置部署到事件中心 创建或更新缺少此诊断设置的任何 Key Vault 时,部署 Key Vault 的诊断设置,以便流式传输到区域事件中心。 deployIfNotExists 2.0.0
[预览版]:Key Vault 密钥应有到期日期 应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 Audit、Deny、Disabled 1.0.1-preview
[预览版]:Key Vault 机密应有到期日期 应为机密定义非永久性到期日期。 机密永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为机密设置到期日期。 Audit、Deny、Disabled 1.0.1-preview
密钥保管库应启用清除保护 恶意删除密钥保管库可能会导致永久丢失数据。 你组织中的恶意内部人员可能会删除和清除密钥保管库。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 你的组织内的任何人都无法在软删除保留期内清除你的密钥保管库。 Audit、Deny、Disabled 1.1.1
密钥保管库应启用软删除 在未启用软删除的情况下删除密钥保管库,将永久删除密钥保管库中存储的所有机密、密钥和证书。 意外删除密钥保管库可能会导致永久丢失数据。 软删除允许在可配置的保持期内恢复意外删除的密钥保管库。 Audit、Deny、Disabled 1.0.2
[预览版]:密钥应由硬件安全模块 (HSM) 提供支持 HSM 是存储密钥的硬件安全模块。 HSM 为加密密钥提供物理保护层。 加密密钥不能离开物理 HSM,物理 HSM 提供比软件密钥更高的安全级别。 Audit、Deny、Disabled 1.0.0-preview
[预览版]:密钥应为指定的加密类型 RSA 或 EC 某些应用程序需要使用特定加密类型支持的密钥。 在你的环境中强制使用特定加密密钥类型:RSA 或 EC。 Audit、Deny、Disabled 1.0.0-preview
[预览版]:密钥的剩余有效期应超过指定的天数 如果密钥临近到期,组织延迟轮换密钥可能会导致服务中断。 应在密钥到期前指定的天数轮换密钥,以提供足够的时间来应对故障。 Audit、Deny、Disabled 1.0.0-preview
[预览版]:密钥应具有指定的最长有效期 通过指定密钥在密钥保管库中的最长有效期(以天为单位),管理组织的合规性要求。 Audit、Deny、Disabled 1.0.0-preview
[预览版]:密钥的已生效时间不应超过指定的天数 指定密钥应有效的天数。 长时间使用的密钥会增加攻击者破解密钥的可能性。 良好的安全做法是确保密钥有效期不超过两年。 Audit、Deny、Disabled 1.0.0-preview
[预览版]:使用椭圆曲线加密的密钥应使用指定的曲线名称 椭圆曲线加密支持的密钥可以具有不同的曲线名称。 某些应用程序仅与特定椭圆曲线密钥兼容。 强制使用可在你的环境中创建的椭圆曲线密钥类型。 Audit、Deny、Disabled 1.0.0-preview
[预览版]:使用 RSA 加密的密钥应具有指定的最小密钥大小 设置用于密钥保管库的最小允许密钥大小。 使用密钥大小较小的 RSA 密钥并非安全的做法,不符合许多行业认证要求。 Audit、Deny、Disabled 1.0.0-preview
[预览版]:应为 Key Vault 配置专用终结点 专用链接提供了一种将 Key Vault 连接到 Azure 资源,而无需通过公共 Internet 发送流量的方法。 专用链接提供深度防御,可防范数据外泄。 Audit、Deny、Disabled 1.1.0-preview
应启用 Azure Key Vault 托管 HSM 中的资源日志 若要在发生安全事件或网络遭到破坏时重新创建活动跟踪以供调查之用,你可能需要通过启用托管的 HSM 上的资源日志进行审核。 请按照此处的说明进行操作:https://docs.microsoft.com/azure/key-vault/managed-hsm/logging AuditIfNotExists、Disabled 1.0.0
应启用 Key Vault 中的资源日志 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 AuditIfNotExists、Disabled 4.0.1
[预览版]:机密应设置内容类型 内容类型标记可帮助标识机密是否是密码、连接字符串等。不同机密具有不同的轮换要求。 应为机密设置内容类型标记。 Audit、Deny、Disabled 1.0.0-preview
[预览版]:机密的剩余有效期应超过指定的天数 如果机密临近到期,组织延迟轮换机密可能会导致服务中断。 应在密钥到期前指定的天数轮换机密,以提供足够的时间来应对故障。 Audit、Deny、Disabled 1.0.0-preview
[预览版]:机密应具有指定的最长有效期 通过指定机密在密钥保管库中的最长有效期(以天为单位),管理组织的合规性要求。 Audit、Deny、Disabled 1.0.0-preview
[预览版]:机密的已生效时间不应超过指定的天数 如果创建了机密并在之后设置了有效日期,必须确保机密的已生效时间不超过指定的时间。 Audit、Deny、Disabled 1.0.0-preview

Kubernetes

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:已启用 Azure Arc 的 Kubernetes 群集应安装 Azure Defender 扩展 Azure Arc 的 Azure Defender 扩展为你启用了 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有控制平面(主)节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端作进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arc AuditIfNotExists、Disabled 1.0.0-preview
应启用 Azure Kubernetes 服务专用群集 为 Azure Kubernetes 服务群集启用专用群集功能,确保 API 服务器与节点池之间的网络流量仅存在于专用网络上。 这是许多法规和行业合规性标准中的常见要求。 Audit、Deny、Disabled 1.0.0
应在群集上安装并启用用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项 用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项扩展了 Gatekeeper v3(用于开放策略代理 (OPA) 的许可控制器 Webhook),以集中、一致的方式在群集上应用大规模强制措施和安全措施。 Audit、Disabled 1.0.2
Azure Kubernetes 服务群集中的操作系统和数据磁盘都应使用客户托管的密钥进行加密 使用客户管理的密钥加密 OS 和数据磁盘可以更好地控制密钥管理并提高密钥管理的灵活性。 这是许多法规和行业合规性标准中的常见要求。 Audit、Deny、Disabled 1.0.0
使用 HTTPS 机密通过指定的 GitOps 配置来配置 Kubernetes 群集 将“sourceControlConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 git 存储库中获取其工作负载和配置的事实来源。 此定义需要密钥保管库中存储的 HTTPS 用户和密钥机密。 有关说明,请访问 https://aka.ms/K8sGitOpsPolicy deployIfNotExists、auditIfNotExists、disabled 1.0.0
不使用机密通过指定的 GitOps 配置来配置 Kubernetes 群集 将“sourceControlConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 git 存储库中获取其工作负载和配置的事实来源。 此定义不需要机密。 有关说明,请访问 https://aka.ms/K8sGitOpsPolicy deployIfNotExists、auditIfNotExists、disabled 1.0.0
使用 SSH 机密通过指定的 GitOps 配置来配置 Kubernetes 群集 将“sourceControlConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 git 存储库中获取其工作负载和配置的事实来源。 此定义需要密钥保管库中的 SSH 私钥机密。 有关说明,请访问 https://aka.ms/K8sGitOpsPolicy deployIfNotExists、auditIfNotExists、disabled 1.0.0
部署 - 为 Azure Kubernetes 服务配置诊断设置,以便将资源日志流式传输到 Log Analytics 工作区 为 Azure Kubernetes 服务部署诊断设置,以将资源日志流式传输到 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
将 Azure Policy 加载项部署到 Azure Kubernetes 服务群集 使用 Azure Policy 加载项管理和报告 Azure Kubernetes 服务 (AKS) 群集的符合性状态。 有关详细信息,请参阅 https://aka.ms/akspolicydoc deployIfNotExists 1.0.0
Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制 强制实施容器 CPU 和内存资源限制,以防止 Kubernetes 群集中发生资源耗尽攻击。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 6.0.0
Kubernetes 群集容器不得共享主机进程 ID 命名空间或主机 IPC 命名空间 阻止 Pod 容器在 Kubernetes 群集中共享主机进程 ID 命名空间和主机 IPC 命名空间。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.2 和 CIS 5.2.3 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 3.0.0
Kubernetes 群集容器不应使用禁止的 sysctl 接口 容器不应使用 Kubernetes 群集中禁止的 sysctl 接口。 此建议是旨在提高 Kubernetes 环境安全性的 Pod 安全策略的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 4.0.0
Kubernetes 群集容器应只侦听允许的端口 将容器限制为只侦听允许的端口,以确保对 Kubernetes 群集进行的访问安全。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 6.1.0
Kubernetes 群集容器只应使用允许的 AppArmor 配置文件 容器只应使用 Kubernetes 群集中允许的 AppArmor 配置文件。 此建议是旨在提高 Kubernetes 环境安全性的 Pod 安全策略的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 3.0.0
Kubernetes 群集容器只应使用允许的功能 限制功能以减小 Kubernetes 群集中容器的受攻击面。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.8 和 CIS 5.2.9 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 3.0.0
Kubernetes 群集容器应只使用允许的映像 使用受信任注册表中的映像,以降低 Kubernetes 群集暴露于未知漏洞、安全问题和恶意映像的风险。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 6.1.0
Kubernetes 群集容器只应使用允许的 ProcMountType Pod 容器只能使用 Kubernetes 群集中允许的 ProcMountType。 此建议是旨在提高 Kubernetes 环境安全性的 Pod 安全策略的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 4.0.0
Kubernetes 群集容器只应使用允许的 seccomp 配置文件 Pod 容器只能使用 Kubernetes 群集中允许的 seccomp 配置文件。 此建议是旨在提高 Kubernetes 环境安全性的 Pod 安全策略的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 3.0.0
Kubernetes 群集容器应使用只读根文件系统运行 运行使用只读根文件系统的容器,以防止在运行时发生更改而导致恶意二进制文件添加到 Kubernetes 群集中的 PATH。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 3.0.0
Kubernetes 群集 Pod FlexVolume 卷只应使用允许的驱动程序 Pod FlexVolume 卷只应使用 Kubernetes 群集中允许的驱动程序。 此建议是旨在提高 Kubernetes 环境安全性的 Pod 安全策略的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 3.0.0
Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径 仅限将 Pod HostPath 卷装载到 Kubernetes 群集中允许的主机路径。 此建议是旨在提高 Kubernetes 环境安全性的 Pod 安全策略的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 3.0.0
Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 控制 Pod 和容器可以使用哪些用户、主要组、补充组和文件系统组 ID 在 Kubernetes 群集中运行。 此建议是旨在提高 Kubernetes 环境安全性的 Pod 安全策略的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 3.0.0
Kubernetes 群集 Pod 和容器只应使用允许的 SELinux 选项 Pod 和容器只应使用 Kubernetes 群集中允许的 SELinux 选项。 此建议是旨在提高 Kubernetes 环境安全性的 Pod 安全策略的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 4.0.0
Kubernetes 群集 Pod 只应使用允许的卷类型 Pod 只能使用 Kubernetes 群集中允许的卷类型。 此建议是旨在提高 Kubernetes 环境安全性的 Pod 安全策略的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 3.0.0
Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 限制 Pod 在 Kubernetes 群集中对主机网络和允许的主机端口范围的访问。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.4 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 3.0.0
Kubernetes 群集 Pod 应使用指定的标签 使用指定的标签来标识 Kubernetes 群集中的 Pod。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 6.0.0
Kubernetes 群集服务应只侦听允许的端口 将服务限制为只侦听允许的端口,以确保对 Kubernetes 群集进行的访问安全。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 6.1.0
Kubernetes 群集服务只应使用允许的外部 IP 使用允许的外部 IP 避免 Kubernetes 群集中的潜在攻击 (CVE-2020-8554)。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 3.0.0
Kubernetes 群集不应允许特权容器 不允许在 Kubernetes 群集中创建特权容器。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.1 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 6.0.0
Kubernetes 群集应只可通过 HTTPS 进行访问 使用 HTTPS 可确保执行身份验证,并保护传输中的数据不受网络层窃听攻击威胁。 此功能目前已面向 Kubernetes 服务 (AKS) 正式发布,并面向 AKS 引擎和启用了 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请访问 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 6.0.0
[预览]:Kubernetes 群集应禁用自动装载 API 凭据 禁用自动装载 API 凭据,以防止可能泄露的 Pod 资源对 Kubernetes 群集运行 API 命令。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 2.0.0-preview
Kubernetes 群集不得允许容器特权提升 不允许容器使用特权提升运行,从而进入 Kubernetes 群集的根。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.5 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 3.0.0
[预览]:Kubernetes 群集不应授予 CAP_SYS_ADMIN 安全功能 为了减小容器的受攻击面,请限制 CAP_SYS_ADMIN Linux 功能。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 2.0.0-preview
[预览]:Kubernetes 群集不应使用特定的安全功能 阻止 Kubernetes 群集中特定的安全功能,以防止 Pod 资源上未授予的权限。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 2.0.0-preview
[预览]:Kubernetes 群集不应使用默认命名空间 防止在 Kubernetes 群集中使用默认命名空间,以防止对 ConfigMap、Pod、Secret、Service 和 ServiceAccount 资源类型进行的未经授权的访问。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 2.0.0-preview
Kubernetes 群集应使用内部负载均衡器 使用内部负载均衡可以做到只有 Kubernetes 群集所在的同一虚拟网络中运行的应用程序能够访问 Kubernetes 服务。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 6.0.0
应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存 为了增强数据安全性,应对存储在 Azure Kubernetes 服务节点 VM 的虚拟机 (VM) 主机上的数据进行静态加密。 这是许多法规和行业合规性标准中的常见要求。 Audit、Deny、Disabled 1.0.0

Lighthouse

名称
(Azure 门户)
说明 效果 版本
(GitHub)
允许管理租户 ID 通过 Azure Lighthouse 加入 通过限制可管理 Azure 资源的用户,将 Azure Lighthouse 委派限制为特定管理租户,可提高安全性。 deny 1.0.1
审核是否将作用域委派给管理租户 审核是否通过 Azure Lighthouse 将作用域委派给管理租户。 Audit、Disabled 1.0.0

逻辑应用

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应使用客户管理的密钥对逻辑应用集成服务环境进行加密 使用客户管理的密钥部署到集成服务环境,以管理逻辑应用数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 Audit、Deny、Disabled 1.0.0
应将逻辑应用部署到集成服务环境 在虚拟网络中将逻辑应用部署到集成服务环境可以解锁高级逻辑应用网络和安全功能,并使你能够更好地控制网络配置。 有关详细信息,请访问:https://aka.ms/integration-service-environment。 部署到集成服务环境还允许使用客户管理的密钥进行加密,从而通过允许管理加密密钥来提供增强的数据保护。 这通常是满足合规性要求所必需的。 Audit、Deny、Disabled 1.0.0
应启用逻辑应用中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 4.0.1

机器学习

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应使用客户管理的密钥对 Azure 机器学习工作区进行加密 使用客户管理的密钥管理 Azure 机器学习工作区数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/azureml-workspaces-cmk Audit、Deny、Disabled 1.0.3
Azure 机器学习工作区应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link Audit、Deny、Disabled 1.1.0
Azure 机器学习工作区应使用用户分配的托管标识 使用用户分配的托管标识管理对 Azure ML 工作区和相关资源、Azure 容器注册表、KeyVault、存储和应用见解的访问。 默认情况下,Azure ML 工作区使用系统分配的托管标识来访问关联的资源。 用户分配的托管标识允许你将标识创建为 Azure 资源并维护该标识的生命周期。 更多信息请访问 https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python Audit、Deny、Disabled 1.0.0
[预览]:为指定的 Azure 机器学习计算配置允许的模块作者 此策略有助于提供在指定的 Azure 机器学习计算中允许的模块作者,并可以在工作区分配这些模块作者。 有关详细信息,请访问 https://aka.ms/amlpolicydoc enforceSetting,已禁用 2.1.0-preview
[预览]:为指定的 Azure 机器学习计算配置允许的 Python 包 此策略有助于提供在指定的 Azure 机器学习计算中允许的 Python 包,并可以在工作区分配这些包。 有关详细信息,请访问 https://aka.ms/amlpolicydoc enforceSetting,已禁用 2.0.0-preview
[预览]:为指定的 Azure 机器学习计算配置允许的注册表 此策略有助于提供在指定的 Azure 机器学习计算中允许的注册表,并可以在工作区分配这些注册表。 有关详细信息,请访问 https://aka.ms/amlpolicydoc enforceSetting,已禁用 2.0.0-preview
[预览]:为指定的 Azure 机器学习计算配置在运行作业之前调用的审批终结点 此策略有助于为指定的 Azure 机器学习计算配置在运行作业之前调用的审批终结点,并可以在工作区进行分配。 有关详细信息, 有关详细信息,请访问 https://aka.ms/amlpolicydoc enforceSetting,已禁用 2.1.0-preview
将 Azure 机器学习工作区配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure 机器学习工作区。 有关详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview DeployIfNotExists、Disabled 1.0.0
为 Azure 机器学习工作区配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link DeployIfNotExists、Disabled 1.0.0
[预览]:为指定的 Azure 机器学习计算配置用于训练代码的代码签名 此策略有助于在指定的 Azure 机器学习计算中为定型代码提供代码签名,并可以在工作区进行分配。 有关详细信息,请访问 https://aka.ms/amlpolicydoc enforceSetting,已禁用 2.1.0-preview
[预览]:为指定的 Azure 机器学习计算配置用于完整日志的日志筛选表达式和数据存储 此策略有助于在指定的 Azure 机器学习计算中提供用于完整日志的日志筛选表达式和数据存储,并可以在工作区进行分配。 有关详细信息,请访问 https://aka.ms/amlpolicydoc enforceSetting,已禁用 2.0.0-preview

托管应用程序

名称
(Azure 门户)
说明 效果 版本
(GitHub)
托管应用程序的应用程序定义应使用客户提供的存储帐户 如果这是法规或合规性要求,请使用自己的存储帐户来控制应用程序定义数据。 可以选择将托管应用程序定义存储在创建过程中提供的存储帐户中,以便你能够对其位置和访问权限进行完全管理,以符合法规或合规性要求。 审核、拒绝、已禁用 1.0.0
为托管应用程序部署关联 部署将所选资源类型与指定托管应用程序关联的关联资源。 此策略部署不支持嵌套资源类型。 deployIfNotExists 1.0.0

Migrate

名称
(Azure 门户)
说明 效果 版本
(GitHub)
将 Azure Migrate 资源配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Migrate 项目。 有关详细信息,请访问:https://aka.ms/privatednszone DeployIfNotExists、Disabled 1.0.0

监视

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:[ASC 个人预览版]部署 - 配置系统分配的托管标识,以对 VM 启用 Azure Monitor 分配 [ASC 个人预览版]将系统分配的托管标识配置到托管在 Azure 中的虚拟机,这些虚拟机受 Azure Monitor 支持,但没有系统分配的托管标识。 系统分配的托管标识是所有 Azure Monitor 分配的先决条件,在使用任何 Azure Monitor 扩展之前必须被添加到计算机。 目标虚拟机必须位于受支持的位置。 modify 1.2.0-preview
活动日志至少应保留一年 此策略审核活动日志的保留期是否未设置为365 天或永久(保留天数设置为 0)。 AuditIfNotExists、Disabled 1.0.0
特定管理操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定管理操作。 AuditIfNotExists、Disabled 1.0.0
特定策略操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定策略操作。 AuditIfNotExists、Disabled 3.0.0
特定安全操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定安全操作。 AuditIfNotExists、Disabled 1.0.0
审核诊断设置 审核所选资源类型的诊断设置。 AuditIfNotExists 1.0.0
审核 VM 的 Log Analytics 工作区 — 报告不匹配 如果 VM 未记录到策略/计划分配中指定的 Log Analytics 工作区,则将 VM 报告为“不合规”。 审核 1.0.1
Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 此策略可确保日志配置文件收集类别为 "write"、"delete" 和 "action" 的日志 AuditIfNotExists、Disabled 1.0.0
应创建启用了基础结构加密(双重加密)的 Azure Monitor 日志群集 若要确保使用两种不同的加密算法和两个不同的密钥在服务级别和基础结构级别启用安全数据加密,请使用 Azure Monitor 专用群集。 在区域受支持时,默认情况下会启用此选项,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview 审核、拒绝、已禁用 1.0.0
应使用客户管理的密钥对 Azure Monitor 日志群集进行加密 创建 Azure Monitor 日志群集并使用客户管理的密钥进行加密。 默认情况下,使用服务管理的密钥对日志数据进行加密,但为了满足法规合规性,通常需要使用客户管理的密钥。 借助 Azure Monitor 中客户管理的密钥,可更好地控制对数据的访问,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys 审核、拒绝、已禁用 1.0.0
应将 Application Insights 的 Azure Monitor 日志链接到 Log Analytics 工作区 将 Application Insights 组件链接到 Log Analytics 工作区以进行日志加密。 为了满足法规合规性并更好地控制对 Azure Monitor 的数据访问,通常需要使用客户管理的密钥。 将组件链接到使用客户管理的密钥启用的 Log Analytics 工作区,可确保 Application Insights 日志满足此合规性要求,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys 审核、拒绝、已禁用 1.0.0
Azure Monitor 应从所有区域收集活动日志 此策略审核不从所有 Azure 支持区域(包括全局)导出活动的 Azure Monitor 日志配置文件。 AuditIfNotExists、Disabled 1.0.0
必须部署 Azure Monitor 解决方案“安全和审核” 此策略可确保“安全和审核”已部署。 AuditIfNotExists、Disabled 1.0.0
Azure 订阅应有用于活动日志的日志配置文件 此策略确保启用一个日志配置文件来导出活动日志。 它会审核是否未创建日志配置文件将日志导出到存储帐户或事件中心。 AuditIfNotExists、Disabled 1.0.0
配置 Azure 活动日志以流式传输到指定的 Log Analytics 工作区 部署 Azure 活动的诊断设置,以将订阅审核日志流式传输到 Log Analytics 工作区,从而监视订阅级别的事件 DeployIfNotExists、Disabled 1.0.0
在启用了 Azure Arc 的 Linux 服务器上配置依赖关系代理 安装依赖关系代理虚拟机扩展,通过启用了 Arc 的服务器在连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用依赖关系代理来连接网络指标以及就计算机和外部进程依赖项上运行的进程发现的数据。 查看更多 - https://aka.ms/vminsightsdocs DeployIfNotExists、Disabled 1.2.0
在启用了 Azure Arc 的 Windows 服务器上配置依赖关系代理 安装依赖关系代理虚拟机扩展,通过启用了 Arc 的服务器在连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用依赖关系代理来连接网络指标以及就计算机和外部进程依赖项上运行的进程发现的数据。 查看更多 - https://aka.ms/vminsightsdocs DeployIfNotExists、Disabled 1.2.1
在启用了 Azure Arc 的 Linux 服务器上配置 Log Analytics 代理 安装 Log Analytics 代理虚拟机扩展,通过启用了 Arc 的服务器在连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用 Log Analytics 代理来收集来宾 OS 和性能数据,并提供对其性能的见解。 查看更多 - https://aka.ms/vminsightsdocs DeployIfNotExists、Disabled 1.2.0
在启用了 Azure Arc 的 Windows 服务器上配置 Log Analytics 代理 安装 Log Analytics 代理虚拟机扩展,通过启用了 Arc 的服务器在连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用 Log Analytics 代理来收集来宾 OS 和性能数据,并提供对其性能的见解。 查看更多 - https://aka.ms/vminsightsdocs DeployIfNotExists、Disabled 1.2.0
应为列出的虚拟机映像启用 Dependency Agent 如果虚拟机映像不在定义的列表中,并且未安装该代理,则会将虚拟机报告为不合规。 OS 映像列表会随着支持的更新而不断更新。 AuditIfNotExists、Disabled 2.0.0
应在虚拟机规模集中为列出的虚拟机映像启用 Dependency Agent 如果虚拟机映像不在定义的列表中,并且未安装该代理,则会将虚拟机规模集报告为不合规。 OS 映像列表会随着支持的更新而不断更新。 AuditIfNotExists、Disabled 2.0.0
部署 - 将 Dependency Agent 配置为在 Windows 虚拟机规模集上启用 如果虚拟机映像在定义的列表中,并且未安装 Dependency Agent,则为 Windows 虚拟机规模集部署该代理。 如果规模集 upgradePolicy 设置为 Manual,你需要通过更新该规模集中的所有虚拟机将扩展应用到这些虚拟机。 DeployIfNotExists、Disabled 2.0.0
部署 - 将 Dependency Agent 配置为在 Windows 虚拟机上启用 如果虚拟机映像在定义的列表中,并且未安装 Dependency Agent,则为 Windows 虚拟机部署该代理。 DeployIfNotExists、Disabled 2.0.0
部署 - 配置要在 Azure 密钥保管库托管的 HSM 上启用的 Log Analytics 工作区的诊断设置 当创建或更新缺少此诊断设置的任何 Azure Key Vault 托管的 HSM 时,部署 Azure Key Vault 托管的 HSM 的诊断设置以流式传输到区域 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
[预览]:部署 - 配置 Linux Azure Monitor 代理,以对 Linux 虚拟机启用 Azure Monitor 分配 将 Linux Azure Monitor 代理配置到 Azure 中托管的受 Azure Monitor 支持的 Linux 虚拟机。 Azure Monitor 代理从虚拟机收集事件,可用于提供建议。 目标虚拟机必须位于受支持的位置。 deployIfNotExists 1.0.0-preview
部署 - 将 Log Analytics 代理配置为在 Windows 虚拟机规模集上启用 如果虚拟机映像在定义的列表中且代理未安装,则为 Windows 虚拟机规模集部署 Log Analytics 代理。 如果规模集 upgradePolicy 设置为 Manual,你需要通过更新该规模集中的所有虚拟机将扩展应用到这些虚拟机。 DeployIfNotExists、Disabled 2.0.0
部署 - 将 Log Analytics 代理配置为在 Windows 虚拟机上启用 如果虚拟机映像在定义的列表中且代理未安装,则为 Windows 虚拟机部署 Log Analytics 代理。 DeployIfNotExists、Disabled 2.0.0
[预览]:部署 - 配置 Windows Azure Monitor 代理,以对 Windows 虚拟机启用 Azure Monitor 分配 将 Windows Azure Monitor 代理配置到 Azure 中托管的受 Azure Monitor 支持的 Windows 虚拟机。 Azure Monitor 代理从虚拟机收集事件,可用于提供建议。 目标虚拟机必须位于受支持的位置。 deployIfNotExists 1.0.0-preview
为 Linux 虚拟机规模集部署 Dependency Agent 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Linux 虚拟机规模集部署 Dependency Agent。 注意:如果规模集 upgradePolicy 设置为“Manual”,你则需要通过对规模集调用升级将扩展应用到集中的所有虚拟机。 在 CLI 中,这将是 az vmss update-instances。 deployIfNotExists 1.3.0
为 Linux 虚拟机部署 Dependency Agent 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,则为 Linux 虚拟机部署 Dependency Agent。 deployIfNotExists 1.3.0
将 Batch 帐户的诊断设置部署到事件中心 在创建或更新缺少 Batch 帐户的诊断设置的任何 Batch 帐户时,将此诊断设置流式部署到区域事件中心。 DeployIfNotExists、Disabled 2.0.0
将 Batch 帐户的诊断设置部署到 Log Analytics 工作区 在创建或更新缺少 Batch 帐户的诊断设置的任何 Batch 帐户时,将此诊断设置流式部署到区域 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
将 Data Lake Analytics 的诊断设置部署到事件中心 在创建或更新缺少 Data Lake Analytics 的诊断设置的任何 Data Lake Analytics 时,将此诊断设置流式部署到区域事件中心。 DeployIfNotExists、Disabled 2.0.0
将 Data Lake Analytics 的诊断设置部署到 Log Analytics 工作区 创建或更新缺少此诊断设置的任何 Data Lake Analytics 时,部署 Data Lake Analytics 的诊断设置以流式传输到区域 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
将 Data Lake Storage Gen1 的诊断设置部署到事件中心 在创建或更新缺少 Data Lake Storage Gen1 的诊断设置的任何 Data Lake Storage Gen1 时,将此诊断设置流式部署到区域事件中心。 DeployIfNotExists、Disabled 2.0.0
将 Data Lake Storage Gen1 的诊断设置部署到 Log Analytics 工作区 创建或更新缺少此诊断设置的任何 Data Lake Storage Gen1 时,部署 Data Lake Storage Gen1 的诊断设置以流式传输到区域 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
将事件中心的诊断设置部署到事件中心 在创建或更新缺少事件中心的诊断设置的任何事件中心时,将此诊断设置流式部署到区域事件中心。 DeployIfNotExists、Disabled 2.1.0
将事件中心的诊断设置部署到 Log Analytics 工作区 在创建或更新缺少事件中心的诊断设置的任何事件中心时,将此诊断设置流式部署到 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.1.0
将 Key Vault 的诊断设置部署到 Log Analytics 工作区 在创建或更新缺少 Key Vault 的诊断设置的 Key Vault 时,将此诊断设置流式部署到 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
将逻辑应用的诊断设置部署到事件中心 在创建或更新缺少逻辑应用的诊断设置的任何逻辑应用时,将此诊断设置流式部署到区域事件中心。 DeployIfNotExists、Disabled 2.0.0
将逻辑应用的诊断设置部署到 Log Analytics 工作区 在创建或更新缺少逻辑应用的诊断设置的任何逻辑应用时,将此诊断设置流式部署到 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
为网络安全组部署诊断设置 此策略自动将诊断设置部署到网络安全组。 将自动创建名为“{storagePrefixParameter}{NSGLocation}”的存储帐户。 deployIfNotExists 1.0.0
将搜索服务的诊断设置部署到事件中心 在创建或更新缺少搜索服务的诊断设置的任何搜索服务时,将此诊断设置流式部署到区域事件中心。 DeployIfNotExists、Disabled 2.0.0
将搜索服务的诊断设置部署到 Log Analytics 工作区 在创建或更新缺少搜索服务的诊断设置的任何搜索服务时,将此诊断设置流式部署到区域 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
将服务总线的诊断设置部署到事件中心 在创建或更新缺少服务总线的诊断设置的任何服务总线时,将此诊断设置流式部署到区域事件中心。 DeployIfNotExists、Disabled 2.0.0
将服务总线的诊断设置部署到 Log Analytics 工作区 在创建或更新缺少服务总线的诊断设置的任何服务总线时,将此诊断设置流式部署到区域 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
将流分析的诊断设置部署到事件中心 在创建或更新缺少流分析的诊断设置的任何流分析时,将此诊断设置流式部署到区域事件中心。 DeployIfNotExists、Disabled 2.0.0
将流分析的诊断设置部署到 Log Analytics 工作区 在创建或更新缺少流分析的诊断设置的任何流分析时,将此诊断设置流式部署到区域 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
为 Linux 虚拟机规模集部署 Log Analytics 代理 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Linux 虚拟机规模集部署 Log Analytics 代理。 注意:如果规模集 upgradePolicy 设置为“Manual”,则需要通过对规模集调用升级将扩展应用到集中的所有 VM。 在 CLI 中,这将是 az vmss update-instances。 deployIfNotExists 2.0.0
为 Linux VM 部署 Log Analytics 代理 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Linux VM 部署 Log Analytics 代理。 deployIfNotExists 2.0.0
[预览]:应为列出的虚拟机映像启用 Log Analytics 代理 如果虚拟机映像不在定义的列表中,并且未安装该代理,则会将虚拟机报告为不合规。 AuditIfNotExists、Disabled 2.0.0-preview
应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 代理 如果虚拟机映像不在定义的列表中,并且未安装该代理,则会将虚拟机规模集报告为不合规。 AuditIfNotExists、Disabled 2.0.0
[预览]:Log Analytics 代理应安装在 Linux Azure Arc 计算机中 如果 Log Analytics 代理未安装,此策略审核 Linux Azure Arc 计算机。 AuditIfNotExists、Disabled 1.0.0-preview
[预览]:Log Analytics 代理应安装在 Windows Azure Arc 计算机中 如果 Log Analytics 代理未安装,此策略审核 Windows Azure Arc 计算机。 AuditIfNotExists、Disabled 1.0.0-preview
[预览]:应在 Linux 虚拟机上安装网络流量数据收集代理 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 AuditIfNotExists、Disabled 1.0.1-preview
[预览]:应在 Windows 虚拟机上安装网络流量数据收集代理 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 AuditIfNotExists、Disabled 1.0.1-preview
公共 IP 地址应启用 Azure DDoS 防护标准的资源日志 在诊断设置中启用公共 IP 地址的资源日志以流式传输到 Log Analytics 工作区。 详细了解利用通知、报告和流日志降低 DDoS 攻击所采取的攻击流量和操作。 AuditIfNotExists、DeployIfNotExists、Disabled 1.0.0
应将 Azure Monitor 中已保存的查询保存在客户存储帐户中以进行日志加密 将存储帐户链接到 Log Analytics 工作区,以通过存储帐户加密保护保存的查询。 为了满足法规合规性并更好地控制对 Azure Monitor 中保存的查询的访问,通常需要使用客户管理的密钥。 有关上述内容的更多详细信息,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries 审核、拒绝、已禁用 1.0.0
必须使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密 此策略审核是否已使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密。 仅当存储帐户在设计上依赖于与活动日志相同的订阅时,此策略才起作用。 有关 Azure 存储静态加密的详细信息,请参阅 https://aka.ms/azurestoragebyok AuditIfNotExists、Disabled 1.0.0
应在虚拟机规模集上安装 Log Analytics 代理 此策略审核是否有任何 Windows/Linux 虚拟机规模集未安装 Log Analytics 代理。 AuditIfNotExists、Disabled 1.0.0
应在虚拟机上安装 Log Analytics 代理 此策略审核是否有任何 Windows/Linux 虚拟机未安装 Log Analytics 代理。 AuditIfNotExists、Disabled 1.0.0
工作簿应保存到你控制的存储帐户 使用自带存储 (BYOS),工作簿将上传到你控制的存储帐户。 这意味着,你可以控制静态加密策略、生存期管理策略和网络访问。 但需支付与该存储帐户相关的费用。 有关详细信息,请访问 https://aka.ms/workbooksByos 拒绝、审核、已禁用 1.0.0

网络

名称
(Azure 门户)
说明 效果 版本
(GitHub)
必须将自定义 IPsec/IKE 策略应用到所有 Azure 虚拟网络网关连接 此策略可确保所有 Azure 虚拟网络网关连接均使用自定义 Internet 协议安全 (Ipsec)/Internet 密钥交换 (IKE) 策略。 支持的算法和密钥强度 - https://aka.ms/AA62kb0 Audit、Disabled 1.0.0
[预览]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 Azure 安全中心已确认,你的某些子网未使用下一代防火墙进行保护。 通过使用 Azure 防火墙或受支持的下一代防火墙限制对子网的访问,保护子网免受潜在威胁的危害 AuditIfNotExists、Disabled 3.0.0-preview
应用服务应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的应用服务。 AuditIfNotExists、Disabled 1.0.0
Azure VPN 网关不应使用“基本”SKU 此策略可确保 VPN 网关不使用“基本”SKU。 Audit、Disabled 1.0.0
[预览]:容器注册表应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的容器注册表。 Audit、Disabled 1.0.0-preview
Cosmos DB 应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的 Cosmos DB。 Audit、Disabled 1.0.0
使用目标网络安全组来部署流日志资源 配置特定网络安全组的流日志。 使用流日志,可以记录有关流经网络安全组的 IP 流量的信息。 流日志有助于识别未知或不需要的流量、验证网络隔离以及是否符合企业访问规则,并分析来自已被入侵的 IP 和网络接口的网络流量。 deployIfNotExists 1.0.0
创建虚拟网络时部署网络观察程序 此策略在具有虚拟网络的区域中创建网络观察程序资源。 需确保存在名为 networkWatcherRG 的资源组,该资源组用于部署网络观察程序实例。 DeployIfNotExists 1.0.0
事件中心应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的事件中心。 AuditIfNotExists、Disabled 1.0.0
应为每个网络安全组配置流日志 审核网络安全组以验证是否配置了流日志。 启用流日志可以记录有关流经网络安全组的 IP 流量的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 Audit、Disabled 1.1.0
应为每个网络安全组启用流日志 审核流日志资源以验证是否启用了流日志状态。 启用流日志可以记录有关流经网络安全组的 IP 流量的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 Audit、Disabled 1.0.0
不应在网关子网中配置网络安全组 如果在网关子网中配置了网络安全组,则此策略会拒绝此配置。 将网络安全组分配到网关子网会导致网关停止运行。 deny 1.0.0
Key Vault 应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的 Key Vault。 Audit、Disabled 1.0.0
网络接口应禁用 IP 转发 此策略拒绝启用了 IP 转发的网络接口。 IP 转发设置会禁止 Azure 在源和目标中检查网络接口。 网络安全团队应审查此设置。 deny 1.0.0
网络接口不应使用公共 IP 此策略拒绝配置了任何公共 IP 的网络接口。 公共 IP 地址允许 Internet 资源以入站方式与 Azure 资源通信,并允许 Azure 资源以出站方式与 Internet 通信。 网络安全团队应审查此设置。 deny 1.0.0
应启用网络观察程序 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 借助网络观察程序随附的网络诊断和可视化工具,可以了解、诊断和洞察 Azure 中的网络。 AuditIfNotExists、Disabled 2.0.0
应阻止来自 Internet 的 RDP 访问 此策略审核任何允许来自 Internet 的 RDP 访问的网络安全规则 Audit、Disabled 2.0.0
服务总线应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的服务总线。 AuditIfNotExists、Disabled 1.0.0
SQL Server 应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的 SQL Server。 AuditIfNotExists、Disabled 1.0.0
应阻止来自 Internet 的 SSH 访问 此策略审核任何允许来自 Internet 的 SSH 访问的网络安全规则 Audit、Disabled 2.0.0
存储帐户应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的存储帐户。 Audit、Disabled 1.0.0
虚拟机应连接到已批准的虚拟网络 此策略审核任何已连接到未批准的虚拟网络的虚拟机。 Audit、Deny、Disabled 1.0.0
虚拟网络应受 Azure DDoS 防护标准保护 使用 Azure DDoS 防护标准来保护虚拟网络免受容量耗尽攻击和协议攻击。 有关详细信息,请访问 https://aka.ms/ddosprotectiondocs Modify、Audit、Disabled 1.0.0
虚拟网络应使用指定的虚拟网络网关 如果默认路由未指向指定的虚拟网络网关,则此策略会审核任何虚拟网络。 AuditIfNotExists、Disabled 1.0.0
应为应用程序网关启用 Web 应用程序防火墙 (WAF) 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 Audit、Deny、Disabled 1.0.1
应为 Azure Front Door 服务启用 Web 应用程序防火墙 (WAF) 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 Audit、Deny、Disabled 1.0.1
Web 应用程序防火墙 (WAF) 应对应用程序网关使用指定模式 要求对应用程序网关的所有 Web 应用程序防火墙策略启用“检测”或“防护”模式。 Audit、Deny、Disabled 1.0.0
Web 应用程序防火墙 (WAF) 应对 Azure Front Door 服务使用指定模式 要求对 Azure Front Door 服务的所有 Web 应用程序防火墙策略启用“检测”或“防护”模式。 Audit、Deny、Disabled 1.0.0

门户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
共享仪表板不应包含具有内联内容的 Markdown 磁贴 禁止创建 Markdown 磁贴中包含内联内容的共享仪表板,并强制将内容存储为在线托管的 Markdown 文件。 如果在 Markdown 磁贴中使用内联内容,你无法管理该内容的加密。 通过配置自己的存储,可以实现加密、双重加密甚至创建自己的密钥。 如果启用此策略,会将用户限制为使用 2020-09-01-preview 或更高版本的共享仪表板 REST API。 Audit、Deny、Disabled 1.0.0
名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure 认知搜索服务应使用支持专用链接的 SKU 使用 Azure 认知搜索的受支持的 SKU,可以通过 Azure 专用链接在源位置或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints Audit、Deny、Disabled 1.0.0
Azure 认知搜索服务应禁用公用网络访问 禁用公用网络访问可确保 Azure 认知搜索服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制搜索服务的公开。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints Audit、Deny、Disabled 1.0.0
Azure 认知搜索服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure 认知搜索可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints Audit、Disabled 1.0.0
将 Azure 认知搜索服务配置为禁用公用网络访问 禁用 Azure 认知搜索服务的公用网络访问,确保无法通过公共 Internet 访问该服务。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints 修改,已禁用 1.0.0
将 Azure 认知搜索服务配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure 认知搜索服务。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints DeployIfNotExists、Disabled 1.0.0
配置具有专用终结点的 Azure 认知搜索服务 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到 Azure 认知搜索服务可以降低数据泄露的风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints DeployIfNotExists、Disabled 1.0.0
应启用搜索服务中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 4.0.1

安全中心

名称
(Azure 门户)
说明 效果 版本
(GitHub)
只多只为订阅指定 3 个所有者 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 AuditIfNotExists、Disabled 3.0.0
应在虚拟机上启用漏洞评估解决方案 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 AuditIfNotExists、Disabled 3.0.0
应在计算机中启用自适应应用程序控制以定义安全应用程序 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 AuditIfNotExists、Disabled 3.0.0
应在面向 Internet 的虚拟机上应用自适应网络强化建议 Azure 安全中心会分析面向虚拟机的 Internet 的流量模式,并提供可减小潜在攻击面的网络安全组规则建议 AuditIfNotExists、Disabled 3.0.0
应限制在与虚拟机关联的网络安全组上使用所有网络端口 Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 AuditIfNotExists、Disabled 3.0.0
应更新自适应应用程序控制策略中的允许列表规则 监视配置为供 Azure 安全中心的自适应应用程序控制进行审核的计算机组是否有行为变化。 安全中心使用机器学习来分析计算机上的运行过程,并建议已知安全应用程序的列表。 这些应用程序作为推荐的应用显示,在自适应应用程序控制策略中允许使用。 AuditIfNotExists、Disabled 3.0.0
应在 Kubernetes 服务上定义经授权的 IP 范围 通过仅向特定范围内的 IP 地址授予 API 访问权限,来限制对 Kubernetes 服务管理 API 的访问。 建议将访问权限限制给已获授权的 IP 范围,以确保只有受允许网络中的应用程序可以访问群集。 Audit、Disabled 2.0.1
你的订阅应启用 Log Analytics 代理自动预配 为了监视安全漏洞和威胁,Azure 安全中心会从 Azure 虚拟机收集数据。 数据是使用 Log Analytics 代理收集的,该代理以前称为 Microsoft Monitoring Agent (MMA),它从计算机中读取各种安全相关的配置和事件日志,然后将数据复制到 Log Analytics 工作区以用于分析。 建议启用自动预配,将代理自动部署到所有受支持的 Azure VM 和任何新创建的 VM。 AuditIfNotExists、Disabled 1.0.1
应启用 Azure DDoS 防护标准 应为属于应用程序网关且具有公共 IP 子网的所有虚拟网络启用 DDoS 保护标准。 AuditIfNotExists、Disabled 3.0.0
应启用适用于应用服务的 Azure Defender 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 AuditIfNotExists、Disabled 1.0.3
应启用适用于 Azure SQL 数据库服务器的 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.2
应启用适用于容器注册表的 Azure Defender 适用于容器注册表的 Azure Defender 提供过去 30 天内拉取、推送到注册表或导入的任何图像的漏洞扫描,并公开每个映像的详细发现。 AuditIfNotExists、Disabled 1.0.3
[预览版]:应启用 Azure Defender for DNS Azure Defender for DNS 通过持续监视所有来自 Azure 资源的 DNS 查询为云资源额外提供保护层。 Azure Defender 会在 DNS 层向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for DNS 的功能,请参阅 https://aka.ms/defender-for-dns。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0-preview
应启用 Azure Defender for Key Vault 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 AuditIfNotExists、Disabled 1.0.3
应启用 Azure Defender for Kubernetes Azure Defender for Kubernetes 为容器化环境提供实时威胁防护,并针对可疑活动生成警报。 AuditIfNotExists、Disabled 1.0.3
[预览版]:应启用 Azure Defender for Resource Manager Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0-preview
应启用适用于服务器的 Azure Defender 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.3
应启用适用于计算机上的 SQL 服务器的 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.2
应启用适用于存储的 Azure Defender 适用于存储的 Azure Defender 可检测旨在访问或恶意利用存储帐户的异常和可能有害的企图。 AuditIfNotExists、Disabled 1.0.3
应安全地配置“云服务(外延支持)”角色实例 确保你的“云服务(外延支持)”角色实例不暴露在任何 OS 漏洞下,以防止其受到攻击。 AuditIfNotExists、Disabled 1.0.0
“云服务(外延支持)”角色实例应安装终结点保护解决方案 确保在“云服务(外延支持)”角色实例上安装终结点保护解决方案,保护这些实例不受威胁和漏洞侵害。 AuditIfNotExists、Disabled 1.0.0
“云服务(外延支持)”角色实例应安装系统更新 确保“云服务(外延支持)”角色实例上安装了最新的安全更新和关键更新,对这些实例进行保护。 AuditIfNotExists、Disabled 1.0.0
[预览版]:配置计算机以接收 Qualys 漏洞评估代理 Azure Defender 包含适用于计算机的漏洞扫描,不额外收费。 你无需具备 Qualys 许可证,甚至还不需要 Qualys 帐户 - 所有操作都在安全中心内无缝执行。 如果启用此策略,未部署 Qualys 漏洞评估代理的计算机会自动接收该代理。 DeployIfNotExists、Disabled 2.0.0-preview
[预览]:部署 - 配置 Linux 计算机,以自动安装 Azure 安全代理 配置 Linux 计算机,以自动安装 Azure 安全代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建资源组和 Log Analytics 工作区,以存储审核记录。 目标虚拟机必须位于受支持的位置。 deployIfNotExists 1.0.0-preview
部署 - 为 Azure 安全中心警报配置抑制规则 抑制 Azure 安全中心警报,通过在管理组或订阅上部署抑制规则来减少警报疲劳。 deployIfNotExists 1.0.0
[预览]:部署 - 配置 Windows 计算机,以自动安装 Azure 安全代理 配置 Windows 计算机,以自动安装 Azure 安全代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建资源组和 Log Analytics 工作区,以存储审核记录。 目标虚拟机必须位于受支持的位置。 deployIfNotExists 1.0.0-preview
部署“将 Azure 安全中心数据导出到事件中心” 启用“将 Azure 安全中心数据导出到事件中心”。 此策略会在分配的作用域上使用所设定的条件和目标事件中心来部署“导出到事件中心”配置。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 deployIfNotExists 3.0.0
部署“将 Azure 安全中心数据导出到 Log Analytics 工作区” 启用“将 Azure 安全中心数据导出到 Log Analytics 工作区”。 此策略会在分配的作用域上使用所设定的条件和目标工作区来部署“导出到 Log Analytics 工作区”配置。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 deployIfNotExists 3.0.0
为 Azure 安全中心警报部署工作流自动化 启用 Azure 安全中心警报的自动化。 此策略会在分配的作用域上使用所设定的条件和触发器来部署工作流自动化。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 deployIfNotExists 3.0.0
为 Azure 安全中心建议部署工作流自动化 启用 Azure 安全中心建议的自动化。 此策略会在分配的作用域上使用所设定的条件和触发器来部署工作流自动化。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 deployIfNotExists 3.0.0
部署 Azure 安全中心合规工作流自动化 启用 Azure 安全中心合规自动化。 此策略会在分配的作用域上使用所设定的条件和触发器来部署工作流自动化。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 deployIfNotExists 3.0.0
应从订阅中删除弃用的帐户 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 AuditIfNotExists、Disabled 3.0.0
应从订阅中删除拥有所有者权限的已弃用帐户 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 AuditIfNotExists、Disabled 3.0.0
应在虚拟机上应用磁盘加密 Azure 安全中心建议对未启用磁盘加密的虚拟机进行监视。 AuditIfNotExists、Disabled 2.0.0
应启用高严重性警报的电子邮件通知 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请在安全中心为高严重性警报启用电子邮件通知。 AuditIfNotExists、Disabled 1.0.1
应启用向订阅所有者发送高严重性警报的电子邮件通知 当订阅中存在潜在的安全漏洞时,若要确保订阅所有者收到通知,请在安全中心设置向订阅所有者发送高严重性警报的电子邮件通知。 AuditIfNotExists、Disabled 2.0.0
在订阅中启用 Azure 安全中心 识别不受 Azure 安全中心 (ASC) 监视的现有订阅。 不受 ASC 监视的订阅将注册到免费定价层。 已由 ASC 监视的订阅(免费或标准层)被视为合规。 若要注册新建的订阅,请打开合规性选项卡,选择相关的不合规分配,并创建修正任务。 需要使用安全中心监视一个或多个新订阅时,请重复此步骤。 deployIfNotExists 1.0.0
允许安全中心在你的订阅上自动预配包含自定义工作区的 Log Analytics 代理。 允许安全中心在你的订阅上自动预配 Log Analytics 代理,以使用自定义工作区来监视和收集安全数据。 DeployIfNotExists、Disabled 1.0.0
允许安全中心在你的订阅上自动预配包含默认工作区的 Log Analytics 代理。 允许安全中心在你的订阅上自动预配 Log Analytics 代理,以使用 ASC 默认工作区来监视和收集安全数据。 DeployIfNotExists、Disabled 1.0.0
应在虚拟机规模集上安装终结点保护解决方案 审核终结点保护解决方案在虚拟机规模集上的存在性和运行状况 ,以保护其免受威胁和漏洞的侵害。 AuditIfNotExists、Disabled 3.0.0
应从订阅中删除拥有所有者权限的外部帐户 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 AuditIfNotExists、Disabled 3.0.0
应从订阅中删除拥有读取权限的外部帐户 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 AuditIfNotExists、Disabled 3.0.0
应从订阅中删除具有写入权限的外部帐户 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 AuditIfNotExists、Disabled 3.0.0
应在计算机上安装来宾配置扩展 若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾内策略将可用,如“应启用 Windows 攻击防护”。 更多信息请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.1
面向 Internet 的虚拟机应使用网络安全组进行保护 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc AuditIfNotExists、Disabled 3.0.0
应禁用虚拟机上的 IP 转发 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 AuditIfNotExists、Disabled 3.0.0
Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 将 Kubernetes 服务群集升级到更高 Kubernetes 版本,以抵御当前 Kubernetes 版本中的已知漏洞。 Kubernetes 版本 1.11.9+、1.12.7+、1.13.5+ 和 1.14.0+ 中已修补漏洞 CVE-2019-9946 Audit、Disabled 1.0.2
应在计算机上解决 Log Analytics 代理运行状况问题 安全中心使用 Log Analytics 代理,它之前被称为 Microsoft Monitoring Agent (MMA)。 为了确保成功监视虚拟机,需要确保此代理安装在虚拟机上,并能正确地将安全事件收集到配置的工作区中。 AuditIfNotExists、Disabled 1.0.0
Log Analytics 代理应安装在你的“云服务(外延支持)”角色实例上 安全中心会从“云服务(外延支持)”角色实例中收集数据,以监视是否存在安全漏洞和威胁。 AuditIfNotExists、Disabled 1.0.0
Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 此策略审核是否有任何 Windows/Linux 虚拟机 (VM) 没有安装安全中心用于监视安全漏洞和威胁的 Log Analytics 代理 AuditIfNotExists、Disabled 1.0.0
Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 安全中心从 Azure 虚拟机 (VM) 收集数据,以监视安全漏洞和威胁。 AuditIfNotExists、Disabled 1.0.0
应通过即时网络访问控制来保护虚拟机的管理端口 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 AuditIfNotExists、Disabled 3.0.0
应关闭虚拟机上的管理端口 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 AuditIfNotExists、Disabled 3.0.0
应对订阅中拥有写入权限的帐户启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 3.0.0
应在对订阅拥有所有者权限的帐户上启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 3.0.0
应在对订阅拥有读取权限的帐户上启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 3.0.0
监视 Azure 安全中心 Endpoint Protection 的缺失情况 建议通过 Azure 安全中心监视未安装 Endpoint Protection 代理的服务器 AuditIfNotExists、Disabled 3.0.0
应使用网络安全组来保护非面向 Internet 的虚拟机 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc AuditIfNotExists、Disabled 3.0.0
操作系统版本应为云服务角色支持的最新版本 通过将操作系统 (OS) 保持为云服务角色支持的最新版本,可增强系统安全态势。 AuditIfNotExists、Disabled 1.0.0
应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 若要对用户可以执行的操作提供粒度筛选,请使用基于角色的访问控制 (RBAC) 来管理 Kubernetes 服务群集中的权限并配置相关授权策略。 Audit、Disabled 1.0.2
应选择安全中心标准定价层 标准定价层为网络和虚拟机启用威胁检测,在 Azure 安全中心提供威胁情报、异常检测和行为分析 Audit、Disabled 1.0.0
[预览]:应对 SQL 数据库中的敏感数据进行分类 Azure 安全中心监视 SQL 数据库的数据发现和分类扫描结果,并建议将数据库中的敏感数据分类以改善监视效果并提升安全性 AuditIfNotExists、Disabled 3.0.0-preview
应使用服务主体(而不是管理证书)来保护你的订阅 通过管理证书,任何使用它们进行身份验证的人员都可管理与它们关联的订阅。 为了更安全地管理订阅,建议将服务主体和资源管理器结合使用来限制证书泄露所造成的影响。 AuditIfNotExists、Disabled 1.0.0
SQL 数据库应已解决漏洞发现 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 AuditIfNotExists、Disabled 4.0.0
计算机上的 SQL 服务器应已解决漏洞发现 SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,例如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 AuditIfNotExists、Disabled 1.0.0
子网应与网络安全组关联 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 AuditIfNotExists、Disabled 3.0.0
订阅应有一个联系人电子邮件地址,用于接收安全问题通知 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请设置一个安全联系人,以接收来自安全中心的电子邮件通知。 AuditIfNotExists、Disabled 1.0.1
应在虚拟机规模集上安装系统更新 审核是否缺少系统安全更新和关键更新,为了确保 Windows 和 Linux 虚拟机规模集的安全,应安装这些更新。 AuditIfNotExists、Disabled 3.0.0
应在计算机上安装系统更新 建议通过 Azure 安全中心监视服务器上缺失的安全系统更新 AuditIfNotExists、Disabled 4.0.0
应为订阅分配了多个所有者 建议指定多个订阅所有者,这样才会有管理员访问冗余。 AuditIfNotExists、Disabled 3.0.0
应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.1
应修正 Azure 容器注册表映像中的漏洞 容器映像漏洞评估功能会扫描注册表中每个推送的容器映像上的安全漏洞,并显示每个映像的详细发现结果(由 Qualys 支持)。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 AuditIfNotExists、Disabled 2.0.0
应修正容器安全配置中的漏洞 在安装了 Docker 的计算机上审核安全配置中的漏洞,并在 Azure 安全中心显示为建议。 AuditIfNotExists、Disabled 3.0.0
应修复计算机上安全配置中的漏洞 建议通过 Azure 安全中心监视不满足配置的基线的服务器 AuditIfNotExists、Disabled 3.0.0
应修复虚拟机规模集上安全配置中的漏洞 审核虚拟机规模集上的 OS 漏洞,以保护其免受攻击。 AuditIfNotExists、Disabled 3.0.0

服务总线

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应从服务总线命名空间中删除 RootManageSharedAccessKey 以外的所有授权规则 服务总线客户端不应使用提供对命名空间中所有队列和主题的访问的命名空间级访问策略。 为了与最低权限安全模型保持一致,应在实体级别为队列和主题创建访问策略,以便仅提供对特定实体的访问权限 Audit、Deny、Disabled 1.0.1
Azure 服务总线命名空间应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service AuditIfNotExists、Disabled 1.0.0
将服务总线命名空间配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到服务总线命名空间。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service DeployIfNotExists、Disabled 1.0.0
为服务总线命名空间配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service DeployIfNotExists、Disabled 1.0.0
应启用服务总线中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 4.0.1
服务总线高级命名空间应使用客户管理的密钥进行加密 Azure 服务总线支持通过 Microsoft 管理的密钥(默认)或客户管理的密钥来加密静态数据。 如果选择使用客户管理的密钥加密数据,则可分配、轮换、禁用和撤销对服务总线将用于加密命名空间中的数据的密钥的访问权限。 请注意,服务总线仅支持使用客户管理的密钥对高级命名空间进行加密。 Audit、Disabled 1.0.0

Service Fabric

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别(None、Sign 和 EncryptAndSign)。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名 Audit、Deny、Disabled 1.1.0
Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 Audit、Deny、Disabled 1.1.0

SignalR

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure SignalR 服务应禁用公用网络访问 若要提高 Azure SignalR 服务资源的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/asrs/networkacls 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 Audit、Deny、Disabled 1.0.0
Azure SignalR 服务应使用支持专用链接的 SKU Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务,从而使你的资源免遭公共数据泄露风险。 此策略将你限制为对 Azure SignalR 服务使用支持专用链接的 SKU。 请访问 https://aka.ms/asrs/privatelink,详细了解专用链接。 Audit、Deny、Disabled 1.0.0
Azure SignalR 服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure SignalR 服务资源而不是整个服务,可降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/asrs/privatelink Audit、Deny、Disabled 1.0.1
将专用终结点配置到 Azure SignalR 服务 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Synapse 服务资源,可以降低数据泄露风险。 更多信息请访问 https://aka.ms/asrs/privatelink DeployIfNotExists、Disabled 1.0.0
部署 - 为连接到 Azure SignalR 服务的专用终结点配置专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到要解析为 Azure SignalR 服务资源的虚拟网络。 有关详细信息,请访问:https://aka.ms/asrs/privatelink DeployIfNotExists、Disabled 1.0.0
修改 Azure SignalR 服务资源以禁用公用网络访问 若要提高 Azure SignalR 服务资源的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/asrs/networkacls 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 修改,已禁用 1.0.0

SQL

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在 SQL 托管实例上启用高级数据安全 审核所有未启用高级数据安全的 SQL 托管实例。 AuditIfNotExists、Disabled 1.0.1
应在 SQL 服务器上启用高级数据安全性 审核没有高级数据安全的 SQL 服务器 AuditIfNotExists、Disabled 2.0.0
应该为 SQL 服务器预配 Azure Active Directory 管理员 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 AuditIfNotExists、Disabled 1.0.0
应启用 SQL 服务器上的审核 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 AuditIfNotExists、Disabled 2.0.0
Azure SQL 数据库的最低 TLS 版本应为 1.2 将最低 TLS 版本设置为 1.2 可以确保只能从使用 TLS 1.2 的客户端访问 Azure SQL 数据库,从而提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们存在有据可查的安全漏洞。 Audit、Disabled 1.0.1
应为 MySQL 服务器启用“创建自己的密钥”数据保护 使用客户管理的密钥来管理 MySQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 AuditIfNotExists、Disabled 1.0.3
应为 PostgreSQL 服务器启用“创建自己的密钥”数据保护 使用客户管理的密钥来管理 PostgreSQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 AuditIfNotExists、Disabled 1.0.3
对 Log Analytics 工作区配置 Azure SQL 数据库服务器诊断设置 为 Azure SQL 数据库服务器启用审核日志,并在创建或更新缺少此审核的任何 SQL 服务器时,将日志流式传输到 Log Analytics 工作区 DeployIfNotExists、Disabled 1.0.2
将 Azure SQL Server 配置为禁用公用网络访问 “禁用公用网络访问”属性会关闭公共连接,这样就只能从专用终结点访问 Azure SQL Server。 此配置会禁止通过公用网络访问 Azure SQL Server 下的所有数据库。 修改,已禁用 1.0.0
将 Azure SQL Server 配置为启用专用终结点连接 使用专用终结点连接,可以通过虚拟网络中的专用 IP 地址与 Azure SQL 数据库建立专用连接。 此配置可改善安全态势,并且支持 Azure 网络工具和方案。 DeployIfNotExists、Disabled 1.0.0
将 SQL 服务器配置为启用审核 为了确保捕获针对 SQL 资产执行的操作,SQL 服务器应该启用审核。 为了符合监管标准,有时需要这样做。 DeployIfNotExists、Disabled 1.2.0
应为 PostgreSQL 数据库服务器启用连接限制 此策略帮助审核环境中任何未启用连接限制的 PostgreSQL 数据库。 无效密码登录失败次数过多时,可以使用此设置来按 IP 限制临时连接。 AuditIfNotExists、Disabled 1.0.0
部署 - 配置 SQL 数据库的诊断设置,以部署到 Log Analytics 工作区 为 SQL 数据库部署诊断设置,以便在创建或更新缺少此诊断设置的任何 SQL 数据库时,将资源日志流式传输到 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.1
在 SQL 服务器上部署高级数据安全 此策略在 SQL 服务器上启用高级数据安全性。 这包括启用威胁检测和漏洞评估。 它自动在 SQL 服务器所在的同一区域和资源组中,创建一个带有“sqlva”前缀存储帐户用于存储扫描结果。 DeployIfNotExists 1.1.0
将 Azure SQL 数据库的诊断设置部署到事件中心 在创建或更新缺少 Azure SQL 数据库的诊断设置的 Azure SQL 数据库时,将此诊断设置流式部署到区域事件中心。 DeployIfNotExists 1.1.0
部署 SQL DB 透明数据加密 在 SQL 数据库上启用透明数据加密 DeployIfNotExists 1.0.0
在 SQL 服务器上部署威胁检测 此策略可确保在 SQL 服务器上启用威胁检测。 DeployIfNotExists 2.0.0
应为 PostgreSQL 数据库服务器记录断开连接 此策略帮助审核环境中任何未启用 log_disconnections 的 PostgreSQL 数据库。 AuditIfNotExists、Disabled 1.0.0
应为 MySQL 数据库服务器启用“强制 SSL 连接” Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 Audit、Disabled 1.0.1
应为 PostgreSQL 数据库服务器启用“强制 SSL 连接” Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 Audit、Disabled 1.0.1
应为 Azure Database for MariaDB 启用异地冗余备份 通过 Azure Database for MariaDB,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 Audit、Disabled 1.0.1
应为 Azure Database for MySQL 启用异地冗余备份 通过 Azure Database for MySQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 Audit、Disabled 1.0.1
应为 Azure Database for PostgreSQL 启用异地冗余备份 通过 Azure Database for PostgreSQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 Audit、Disabled 1.0.1
应为 Azure Database for MySQL 服务器启用基础结构加密 为 Azure Database for MySQL 服务器启用基础结构加密,以便增强数据安全。 启用基础结构加密后,将使用符合 FIPS 140-2 的 Microsoft 托管密钥对静态数据进行两次加密。 Audit、Deny、Disabled 1.0.0
应为 Azure Database for PostgreSQL 服务器启用基础结构加密 为 Azure Database for PostgreSQL 服务器启用基础结构加密,以便增强数据安全。 启用基础结构加密后,将使用符合 FIPS 140-2 的 Microsoft 托管密钥对静态数据进行两次加密 Audit、Deny、Disabled 1.0.0
应为 PostgreSQL 数据库服务器启用“记录检查点” 此策略帮助审核环境中任何未启用 log_checkpoints 设置的 PostgreSQL 数据库。 AuditIfNotExists、Disabled 1.0.0
应为 PostgreSQL 数据库服务器启用“记录连接” 此策略帮助审核环境中任何未启用 log_connections 设置的 PostgreSQL 数据库。 AuditIfNotExists、Disabled 1.0.0
应为 PostgreSQL 数据库服务器启用“记录持续时间” 此策略帮助审核环境中任何未启用 log_duration 设置的 PostgreSQL 数据库。 AuditIfNotExists、Disabled 1.0.0
应为 Azure SQL 数据库启用长期异地冗余备份 此策略将审核未启用长期异地冗余备份的任何 Azure SQL 数据库。 AuditIfNotExists、Disabled 2.0.0
MariaDB 服务器应使用虚拟网络服务终结点 基于虚拟网络的防火墙规则用于支持从特定子网到 Azure Database for MariaDB 的流量,同时确保流量停留在 Azure 边界内。 此策略提供了一种方法来审核 Azure Database for MariaDB 是否正在使用虚拟网络服务终结点。 AuditIfNotExists、Disabled 1.0.2
MySQL 服务器应使用虚拟网络服务终结点 基于虚拟网络的防火墙规则用于支持从特定子网到 Azure Database for MySQL 的流量,同时确保流量停留在 Azure 边界内。 此策略提供了一种方法来审核 Azure Database for MySQL 是否正在使用虚拟网络服务终结点。 AuditIfNotExists、Disabled 1.0.2
PostgreSQL 服务器应使用虚拟网络服务终结点 基于虚拟网络的防火墙规则用于支持从特定子网到 Azure Database for PostgreSQL 的流量,同时确保流量停留在 Azure 边界内。 此策略提供了一种方法来审核 Azure Database for PostgreSQL 是否正在使用虚拟网络服务终结点。 AuditIfNotExists、Disabled 1.0.2
应启用 Azure SQL 数据库上的专用终结点连接 专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。 Audit、Disabled 1.1.0
应为 MariaDB 服务器启用专用终结点 专用终结点连接通过启用到 Azure Database for MariaDB 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 AuditIfNotExists、Disabled 1.0.2
应为 MySQL 服务器启用专用终结点 专用终结点连接通过启用到 Azure Database for MySQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 AuditIfNotExists、Disabled 1.0.2
应为 PostgreSQL 服务器启用专用终结点 专用终结点连接通过启用到 Azure Database for PostgreSQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 AuditIfNotExists、Disabled 1.0.2
应禁用 Azure SQL 数据库上的公用网络访问 禁用公用网络访问属性可确保只能从专用终结点访问 Azure SQL 数据库,从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 Audit、Deny、Disabled 1.1.0
应为 MariaDB 服务器禁用公用网络访问 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MariaDB。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 Audit、Disabled 1.0.2
应为 MySQL 灵活服务器禁用公用网络访问 禁用公用网络访问属性可确保只能从专用终结点访问 Azure Database for MySQL 灵活服务器,从而提高安全性。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 Audit、Deny、Disabled 1.0.0
应为 MySQL 服务器禁用公用网络访问 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MySQL。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 Audit、Disabled 1.0.2
应为 PostgreSQL 灵活服务器禁用公用网络访问 禁用公用网络访问属性可确保只能从专用终结点访问 Azure Database for PostgreSQL 灵活服务器,从而提高安全性。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 Audit、Deny、Disabled 1.0.0
应为 PostgreSQL 服务器禁用公用网络访问 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for PostgreSQL。 此配置禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 Audit、Disabled 1.0.2
SQL 审核设置中应包含配置为捕获关键活动的操作组 AuditActionsAndGroups 属性应至少包含 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP、BATCH_COMPLETED_GROUP 以确保全面审核日志记录 AuditIfNotExists、Disabled 1.0.0
SQL 数据库应避免使用 GRS 备份冗余 如果数据驻留规则要求数据驻留在特定区域内,那么数据库应避免使用默认异地冗余存储进行备份。 注意:使用 T-SQL 创建数据库时,不会强制实施 Azure Policy。 如果未显式指定,则通过 T-SQL 创建具有异地冗余备份存储的数据库。 拒绝、已禁用 2.0.0
SQL 托管实例的最低 TLS 版本应为 1.2 将最低 TLS 版本设置为 1.2 可以确保只能从使用 TLS 1.2 的客户端访问 SQL 托管实例,从而提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们存在有据可查的安全漏洞。 Audit、Disabled 1.0.1
SQL 托管实例应避免使用 GRS 备份冗余 如果数据驻留规则要求数据驻留在特定区域内,那么托管实例应避免使用默认异地冗余存储进行备份。 注意:使用 T-SQL 创建数据库时,不会强制实施 Azure Policy。 如果未显式指定,则通过 T-SQL 创建具有异地冗余备份存储的数据库。 拒绝、已禁用 1.0.1
SQL 托管实例应使用客户管理的密钥进行静态数据加密 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 AuditIfNotExists、Disabled 1.0.2
SQL Server 应使用客户管理的密钥进行静态数据加密 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 AuditIfNotExists、Disabled 2.0.1
对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 为便于调查事件,建议将 SQL Server 审核数据在存储帐户目标中的数据保留期设置为至少 90 天。 确认你遵守所运营区域的必要保留规则。 为了符合监管标准,有时需要这样做。 AuditIfNotExists、Disabled 3.0.0
应在 SQL 数据库上启用透明数据加密 应启用透明数据加密以保护静态数据并满足符合性要求 AuditIfNotExists、Disabled 1.0.0
应启用 Azure SQL 数据库上的虚拟网络防火墙规则,以允许来自指定子网的流量 基于虚拟网络的防火墙规则用于支持从特定子网到 Azure SQL 数据库的流量,同时确保流量停留在 Azure 边界内。 AuditIfNotExists 1.0.0
SQL 服务器的漏洞评估设置应包含用来接收扫描报告的电子邮件地址 确保为漏洞评估设置中的“将扫描报告发送到”字段提供电子邮件地址。 在 SQL 服务器上运行定期扫描后,此电子邮件地址将收到扫描结果摘要。 AuditIfNotExists、Disabled 2.0.0
应在 SQL 托管实例上启用漏洞评估 审核未启用定期漏洞评估扫描的每个 SQL 托管实例。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 AuditIfNotExists、Disabled 1.0.1
应对 SQL 服务器启用漏洞评估 审核未启用定期漏洞评估扫描的 Azure SQL 服务器。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 AuditIfNotExists、Disabled 2.0.0

存储

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure 文件同步应使用专用链接 为指定的存储同步服务资源创建专用终结点,可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源,而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。 AuditIfNotExists、Disabled 1.0.0
将 Azure 文件同步配置为使用专用 DNS 区域 若要从已注册的服务器访问存储同步服务资源接口的专用终结点,需要将 DNS 配置为将正确的名称解析为专用终结点的专用 IP 地址。 此策略将为存储同步服务专用终结点的接口创建必要的 Azure 专用 DNS 区域和 A 记录。 DeployIfNotExists、Disabled 1.0.0
为 Azure 文件同步配置专用终结点 为指示的存储同步服务资源部署专用终结点。 这样就可以从组织网络的专用 IP 地址空间内部(而不是通过可从 Internet 访问的公共终结点)对存储同步服务资源进行寻址。 存在一个或多个单独的专用终结点不会禁用公共终结点。 DeployIfNotExists、Disabled 1.0.0
为存储帐户配置诊断设置以传输到 Log Analytics 工作区 为存储帐户部署诊断设置,以便在创建或更新缺少此诊断设置的任何存储帐户时,将资源日志流式传输到 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.3.0
将存储帐户配置为使用专用链接连接 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview DeployIfNotExists、Disabled 1.0.0
在存储帐户上部署高级威胁防护 此策略会在存储帐户上启用高级威胁防护。 DeployIfNotExists、Disabled 1.0.0
应为存储帐户启用异地冗余存储 使用异地冗余创建高可用性应用程序 Audit、Disabled 1.0.0
HPC 缓存帐户应使用客户管理的密钥进行加密 使用客户管理的密钥来管理 Azure HPC 缓存的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 审核、已禁用、拒绝 2.0.0
修改 - 将 Azure 文件同步配置为禁用公用网络访问 组织策略已禁用 Azure 文件同步的可通过 Internet 访问的公共终结点。 仍可以通过存储同步服务的专用终结点来访问该服务。 修改,已禁用 1.0.0
应禁用对 Azure 文件同步进行公用网络访问 禁用公共终结点可以仅限发往组织网络中已批准的专用终结点的请求能够访问存储同步服务资源。 允许向公共终结点发出请求不会固有地造成安全问题,但你可能出于满足法规、法律或组织政策要求的原因而希望禁用公共终结点。 可以通过将资源的 incomingTrafficPolicy 设置为 AllowVirtualNetworksOnly 来禁用存储同步服务的公共终结点。 Audit、Deny、Disabled 1.0.0
应启用安全传输到存储帐户 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 Audit、Deny、Disabled 2.0.0
[预览]:应禁止存储帐户公共访问 对 Azure 存储中的容器和 blob 进行匿名公共读取访问虽然是共享数据的一种简便方法,但可能会带来安全风险。 为了防止不希望的匿名访问导致数据泄露,Microsoft 建议禁止对存储帐户的公共访问,除非你的方案需要。 审核、拒绝、已禁用 2.0.1-preview
存储帐户应允许从受信任的 Microsoft 服务进行访问 某些与存储帐户交互的 Microsoft 服务在网络上运行,但这些网络无法通过网络规则获得访问权限。 若要帮助此类服务按预期方式工作,请允许受信任的 Microsoft 服务集绕过网络规则。 这些服务随后会使用强身份验证访问存储帐户。 Audit、Deny、Disabled 1.0.0
存储帐户应受到允许的 SKU 的限制 限制组织可以部署的存储帐户 SKU 集。 Audit、Deny、Disabled 1.1.0
存储帐户应迁移到新的 Azure 资源管理器资源 使用新的 Azure 资源管理器为存储帐户提供安全增强功能,例如:更强大的访问控制 (RBAC)、更好的审核、基于 Azure 资源管理器的部署和监管、对托管标识的访问权限、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及对标记和资源组的支持,以简化安全管理 Audit、Deny、Disabled 1.0.0
存储帐户应具有基础结构加密 启用基础结构加密,以便增强数据安全。 启用基础结构加密后,存储帐户中的数据将加密两次。 Audit、Deny、Disabled 1.0.0
应限制对存储帐户的网络访问 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 Audit、Deny、Disabled 1.1.1
存储帐户应使用虚拟网络规则来限制网络访问 使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 Audit、Deny、Disabled 1.0.1
存储帐户应使用客户管理的密钥进行加密 使用客户管理的密钥更灵活地保护存储帐户。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 Audit、Disabled 1.0.2
存储帐户应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview AuditIfNotExists、Disabled 2.0.0

流分析

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure 流分析作业应使用客户管理的密钥来加密数据 当你想要将流分析作业的任何元数据和专用数据资产安全地存储在存储帐户中时,请使用客户管理的密钥。 这样就可以完全控制流分析数据的加密方式。 审核、拒绝、已禁用 1.0.0
应启用 Azure 流分析中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 4.0.1

Synapse

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用 Synapse 工作区上的审核 应启用 Synapse 工作区上的审核,以跟踪专用 SQL 池中所有数据库的数据库活动,并将它们保存在审核日志中。 AuditIfNotExists、Disabled 1.0.0
Azure Synapse 工作区应该只允许传送到已批准目标的出站数据流量 通过只允许传送到已批准目标的出站数据流量来提升 Synapse 工作区的安全性。 此做法会在发送数据之前验证目标,有助于防止数据外泄。 审核、已禁用、拒绝 1.0.0
Azure Synapse 工作区应使用客户管理的密钥来加密静态数据 使用客户管理的密钥来控制对 Azure Synapse 工作区中存储的数据的静态加密。 客户管理的密钥提供双重加密,方法是在使用服务托管密钥完成的默认加密层上添加另一层加密。 Audit、Deny、Disabled 1.0.0
Azure Synapse 工作区应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Synapse 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links Audit、Disabled 1.0.1
将 Azure Synapse 工作区配置为使用专用 DNS 区域 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Synapse 工作区。 有关详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint DeployIfNotExists、Disabled 1.0.0
为 Azure Synapse 工作区配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Synapse 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links DeployIfNotExists、Disabled 1.0.0
将 Synapse 工作区配置为启用审核 为了确保捕获针对 SQL 资产执行的操作,应让 Synapse 工作区启用审核。 为了符合监管标准,有时需要这样做。 DeployIfNotExists、Disabled 1.1.0
应删除 Azure Synapse 工作区上的 IP 防火墙规则 删除所有 IP 防火墙规则可确保只能从专用终结点访问 Azure Synapse 工作区,从而提高安全性。 此配置会对创建允许公用网络访问工作区的防火墙规则进行审核。 Audit、Disabled 1.0.0
应启用 Azure Synapse 工作区上的托管工作区虚拟网络 启用托管工作区虚拟网络可确保你的工作区网络与其他工作区隔离。 在此虚拟网络中部署的数据集成和 Spark 资源还为 Spark 活动提供了用户级隔离。 Audit、Deny、Disabled 1.0.0
Synapse 托管专用终结点应仅连接到已批准的 Azure Active Directory 租户中的资源 仅允许连接到已批准的 Azure Active Directory (Azure AD) 租户中的资源,以保护 Synapse 工作区。 可以在策略分配过程中定义已批准的 Azure AD 租户。 审核、已禁用、拒绝 1.0.0
Synapse 工作区审核设置应配置操作组来捕获关键活动 为了确保审核日志尽可能全面,应让 AuditActionsAndGroups 属性包含所有相关的组。 建议至少添加 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP 和 BATCH_COMPLETED_GROUP。 为了符合监管标准,有时需要这样做。 AuditIfNotExists、Disabled 1.0.0
对存储帐户目标进行 SQL 审核的 Synapse 工作区应配置有 90 天或更高的保留期 为便于调查事件,我们建议将对存储帐户目标进行 SQL 审核的 Synapse 工作区保留期设置为至少 90 天。 确认你遵守所运营区域的必要保留规则。 为了符合监管标准,有时需要这样做。 AuditIfNotExists、Disabled 2.0.0
应对 Synapse 工作区启用漏洞评估 通过在 Synapse 工作区上配置定期 SQL 漏洞评估扫描来发现、跟踪和修复潜在的漏洞。 AuditIfNotExists、Disabled 1.0.0

Tags

名称
(Azure 门户)
说明 效果 版本
(GitHub)
将标记添加到资源组 创建或更新任何缺少此标记的资源组时添加指定的标记和值。 可以通过触发修正任务来修正现有资源组。 如果存在具有不同值的标记,则不会更改该资源组。 modify 1.0.0
将标记添加到资源 创建或更新任何缺少此标记的资源时添加指定的标记和值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 而不会修改资源组上的标记。 modify 1.0.0
向订阅添加标记 通过修正任务将指定的标记和值添加到订阅。 如果存在具有不同值的标记,则不会更改该资源组。 有关策略修正的详细信息,请参阅 https://aka.ms/azurepolicyremediation modify 1.0.0
在资源组中添加或替换标记 创建或更新任何资源组时添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源组。 modify 1.0.0
在资源中添加或替换标记 创建或更新任何资源时添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源。 而不会修改资源组上的标记。 modify 1.0.0
在订阅上添加或替换标记 通过修正任务在订阅上添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源组。 有关策略修正的详细信息,请参阅 https://aka.ms/azurepolicyremediation modify 1.0.0
追加资源组的标记及其值 创建或更新任何缺少此标记的资源时,从资源组追加指定的标记及其值。 在更改这些资源之前,请不要修改应用此策略之前创建的资源的标记。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://aka.ms/modifydoc)。 append 1.0.0
将标记及其值追加到资源组 创建或更新任何缺少此标记的资源组时追加指定的标记和值。 在更改这些资源组之前,请不要修改应用此策略之前创建的资源组的标记。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://aka.ms/modifydoc)。 append 1.0.0
将标记及其值追加到资源 创建或更新任何缺少此标记的资源时追加指定的标记和值。 在更改这些资源之前,请不要修改应用此策略之前创建的资源的标记。 不要应用到资源组。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://aka.ms/modifydoc)。 append 1.0.1
从资源组继承标记 创建或更新任何资源时,添加或替换父资源组中指定的标记和值。 可以通过触发修正任务来修正现有资源。 modify 1.0.0
从资源组继承标记(如果缺少此标记) 创建或更新任何缺少此标记的资源时,从父资源组添加指定的标记及其值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 modify 1.0.0
从订阅继承标记 创建或更新任何资源时,添加或替换包含订阅中指定的标记和值。 可以通过触发修正任务来修正现有资源。 modify 1.0.0
从订阅继承标记(如果缺少) 创建或更新任何缺少此标记的资源时,从包含订阅添加指定的标记及其值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 modify 1.0.0
需要资源组上的标记及其值 强制要求资源组中存在所需的标记及其值。 deny 1.0.0
需要资源上的标记及其值 强制执行所需的标记及其值。 不要应用到资源组。 deny 1.0.1
需要资源组上的标记 强制要求资源组中存在某个标记。 deny 1.0.0
需要资源上的标记 强制要求存在某个标记。 不要应用到资源组。 deny 1.0.1

VM 映像生成器

名称
(Azure 门户)
说明 效果 版本
(GitHub)
VM 映像生成器模板应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 VM 映像生成器生成资源可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet 审核、已禁用、拒绝 1.1.0

后续步骤