Azure 虚拟机的 Azure Policy 法规遵从性控制措施

适用于:✔️ Linux VM ✔️ Windows VM ✔️ 灵活规模集 ✔️ 统一规模集

Azure Policy 中的法规符合性为与不同符合性标准相关的“符合域”和“安全控制措施”提供 Azure 创建和管理的计划定义,称为“内置” 。 此页列出 Azure 虚拟机的“符合域”和“安全控制措施” 。 可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。

每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。

重要

每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的“符合”仅指策略本身。 这并不能确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 对于这些合规性标准,控件与 Azure Policy 法规合规性定义之间的关联可能会随时间的推移而发生变化。

Azure 安全基准

Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Azure 安全基准,请参阅 Azure 安全基准映射文件

控制 ID 控制标题 策略
(Azure 门户)
Policy 版本
(GitHub)
网络安全 1.1 在虚拟网络上使用网络安全组或 Azure 防火墙来保护资源 应在面向 Internet 的虚拟机上应用自适应网络强化建议 1.0.0
网络安全 1.1 在虚拟网络上使用网络安全组或 Azure 防火墙来保护资源 面向 Internet 的虚拟机应使用网络安全组进行保护 1.1.0
网络安全 1.1 在虚拟网络上使用网络安全组或 Azure 防火墙来保护资源 应禁用虚拟机上的 IP 转发 1.0.1
网络安全 1.1 在虚拟网络上使用网络安全组或 Azure 防火墙来保护资源 应通过即时网络访问控制来保护虚拟机的管理端口 1.0.1
网络安全 1.1 在虚拟网络上使用网络安全组或 Azure 防火墙来保护资源 应关闭虚拟机上的管理端口 1.0.0
网络安全 1.11 使用自动化工具监视网络资源配置并检测更改 部署必备组件用于审核“管理模板 - 网络”中的 Windows VM 配置 1.1.0
网络安全 1.11 使用自动化工具监视网络资源配置并检测更改 部署必备组件用于审核“安全选项 - Microsoft 网络服务器”中的 Windows VM 配置 1.2.0
网络安全 1.11 使用自动化工具监视网络资源配置并检测更改 部署必备组件用于审核“安全选项 - 网络访问”中的 Windows VM 配置 1.2.0
网络安全 1.11 使用自动化工具监视网络资源配置并检测更改 部署必备组件用于审核“安全选项 - 网络安全性”中的 Windows VM 配置 1.2.0
网络安全 1.11 使用自动化工具监视网络资源配置并检测更改 显示“管理模板 - 网络”中 Windows VM 配置的审核结果 1.0.0
网络安全 1.11 使用自动化工具监视网络资源配置并检测更改 显示“安全选项 - Microsoft 网络客户端”中 Windows VM 配置的审核结果 1.0.0
网络安全 1.11 使用自动化工具监视网络资源配置并检测更改 显示“安全选项 - Microsoft 网络服务器”中 Windows VM 配置的审核结果 1.0.0
网络安全 1.11 使用自动化工具监视网络资源配置并检测更改 显示“安全选项 - 网络安全性”中 Windows VM 配置的审核结果 1.0.0
网络安全 1.4 拒绝与已知的恶意 IP 地址通信 应在面向 Internet 的虚拟机上应用自适应网络强化建议 1.0.0
网络安全 1.4 拒绝与已知的恶意 IP 地址通信 应通过即时网络访问控制来保护虚拟机的管理端口 1.0.1
日志记录和监视 2.2 配置安全日志集中管理 部署必备组件用于审核其上 Log Analytics 代理未按预期连接的 Windows VM 1.2.0
日志记录和监视 2.2 配置安全日志集中管理 显示其上 Log Analytics 代理未按预期连接的 Windows VM 的审核结果 1.0.0
日志记录和监视 2.2 配置安全日志集中管理 应在虚拟机规模集上安装 Log Analytics 代理 1.0.0
日志记录和监视 2.2 配置安全日志集中管理 应在虚拟机上安装 Log Analytics 代理 1.0.0
日志记录和监视 2.3 为 Azure 资源启用审核日志记录 应当启用虚拟机规模集中的诊断日志 1.0.0
日志记录和监视 2.4 从操作系统收集安全日志 部署必备组件用于审核其上 Log Analytics 代理未按预期连接的 Windows VM 1.2.0
日志记录和监视 2.4 从操作系统收集安全日志 显示其上 Log Analytics 代理未按预期连接的 Windows VM 的审核结果 1.0.0
日志记录和监视 2.4 从操作系统收集安全日志 应在虚拟机规模集上安装 Log Analytics 代理 1.0.0
日志记录和监视 2.4 从操作系统收集安全日志 应在虚拟机上安装 Log Analytics 代理 1.0.0
日志记录和监视 2.8 集中进行反恶意软件日志记录 应在虚拟机规模集上安装终结点保护解决方案 1.0.0
日志记录和监视 2.8 集中进行反恶意软件日志记录 Microsoft Antimalware for Azure 应配置为自动更新保护签名 1.0.0
日志记录和监视 2.8 集中进行反恶意软件日志记录 监视 Azure 安全中心 Endpoint Protection 的缺失情况 1.0.0
标识和访问控制 3.3 使用专用管理帐户 部署必备组件来审核其“管理员”组包含任意指定成员的 Windows VM 1.2.0
标识和访问控制 3.3 使用专用管理帐户 部署必备组件以审核其“管理员”组不包含所有指定成员的 Windows VM 1.2.0
标识和访问控制 3.3 使用专用管理帐户 部署必备组件来审核“管理员”组不只包含指定成员的 Windows VM 1.2.0
标识和访问控制 3.3 使用专用管理帐户 显示其“管理员”组包含任意指定成员的 Windows VM 的审核结果 1.0.0
标识和访问控制 3.3 使用专用管理帐户 显示其“管理员”组不包含所有指定成员的 Windows VM 的审核结果 1.0.0
标识和访问控制 3.3 使用专用管理帐户 显示其“管理员”组不只包含指定成员的 Windows VM 的审核结果 1.0.0
数据保护 4.8 加密静态的敏感信息 应在虚拟机上应用磁盘加密 1.0.0
数据保护 4.8 加密静态的敏感信息 应当加密未附加的磁盘 1.0.0
漏洞管理 5.1 运行自动化漏洞扫描工具 应对虚拟机启用漏洞评估 1.0.1
漏洞管理 5.2 部署操作系统修补程序自动化管理解决方案 应在虚拟机规模集上安装系统更新 1.0.0
漏洞管理 5.2 部署操作系统修补程序自动化管理解决方案 应在计算机上安装系统更新 1.0.0
漏洞管理 5.5 使用风险评分流程确定所发现漏洞的修正优先级 应修正容器安全配置中的漏洞 1.0.0
漏洞管理 5.5 使用风险评分流程确定所发现漏洞的修正优先级 应修复计算机上安全配置中的漏洞 1.0.0
漏洞管理 5.5 使用风险评分流程确定所发现漏洞的修正优先级 应修复虚拟机规模集上安全配置中的漏洞 1.0.0
漏洞管理 5.5 使用风险评分流程确定所发现漏洞的修正优先级 应通过漏洞评估解决方案修复漏洞 1.0.0
清单和资产管理 6.10 实现已批准的应用程序列表 应在计算机中启用自适应应用程序控制以定义安全应用程序 1.0.2
清单和资产管理 6.8 只使用已批准的应用程序 应在计算机中启用自适应应用程序控制以定义安全应用程序 1.0.2
清单和资产管理 6.9 只使用已批准的 Azure 服务 应将虚拟机迁移到新的 Azure 资源管理器资源 1.0.0
安全配置 7.10 针对操作系统实现自动化配置监视 应修正容器安全配置中的漏洞 1.0.0
安全配置 7.10 针对操作系统实现自动化配置监视 应修复计算机上安全配置中的漏洞 1.0.0
安全配置 7.10 针对操作系统实现自动化配置监视 应修复虚拟机规模集上安全配置中的漏洞 1.0.0
安全配置 7.4 维护安全的操作系统配置 应修正容器安全配置中的漏洞 1.0.0
安全配置 7.4 维护安全的操作系统配置 应修复计算机上安全配置中的漏洞 1.0.0
安全配置 7.4 维护安全的操作系统配置 应修复虚拟机规模集上安全配置中的漏洞 1.0.0
恶意软件防护 8.1 使用集中管理的反恶意软件 应在虚拟机规模集上安装终结点保护解决方案 1.0.0
恶意软件防护 8.1 使用集中管理的反恶意软件 监视 Azure 安全中心 Endpoint Protection 的缺失情况 1.0.0
恶意软件防护 8.3 确保反恶意软件和签名已更新 Microsoft Antimalware for Azure 应配置为自动更新保护签名 1.0.0
数据恢复 9.1 确保定期执行自动备份 应为虚拟机启用 Azure 备份 1.0.0
数据恢复 9.2 执行完整的系统备份并备份所有客户管理的密钥 应为虚拟机启用 Azure 备份 1.0.0

CIS Microsoft Azure 基础基准

有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准

控制 ID 控制标题 策略
(Azure 门户)
Policy 版本
(GitHub)
安全中心 2.3 确保 ASC 默认策略设置“监视系统更新”不是处于“已禁用”状态 应在计算机上安装系统更新 1.0.0
安全中心 2.4 确保 ASC 默认策略设置“监视 OS 漏洞”不是处于“已禁用”状态 应修复计算机上安全配置中的漏洞 1.0.0
安全中心 2.5 确保 ASC 默认策略设置“监视 Endpoint Protection”不是处于“已禁用”状态 监视 Azure 安全中心 Endpoint Protection 的缺失情况 1.0.0
安全中心 2.6 确保 ASC 默认策略设置“监视磁盘加密”不是处于“已禁用”状态 应在虚拟机上应用磁盘加密 1.0.0
安全中心 2.7 确保 ASC 默认策略设置“监视网络安全组”不是处于“已禁用”状态 应在面向 Internet 的虚拟机上应用自适应网络强化建议 1.0.0
安全中心 2.9 确保 ASC 默认策略设置“启用下一代防火墙(NGFW)监视”不是处于“已禁用”状态 面向 Internet 的虚拟机应使用网络安全组进行保护 1.1.0
安全中心 2.10 确保 ASC 默认策略设置“监视漏洞评估”不是处于“已禁用”状态 应通过漏洞评估解决方案修复漏洞 1.0.0
安全中心 2.12 确保 ASC 默认策略设置“监视 JIT 网络访问”不是处于“已禁用”状态 应通过即时网络访问控制来保护虚拟机的管理端口 1.0.1
安全中心 2.13 确保 ASC 默认策略设置“监视自适应应用程序允许列表”不是处于“已禁用”状态 应在计算机中启用自适应应用程序控制以定义安全应用程序 1.0.2
虚拟机 7.1 确保“OS 磁盘”已加密 应在虚拟机上应用磁盘加密 1.0.0
虚拟机 7.2 确保“数据磁盘”已加密 应在虚拟机上应用磁盘加密 1.0.0
虚拟机 7.3 确保加密“未附加的磁盘” 应当加密未附加的磁盘 1.0.0
虚拟机 7.4 确保仅安装已批准的扩展 应当仅安装已批准的 VM 扩展 1.0.0
虚拟机 7.5 确保已应用适用于所有虚拟机的最新 OS 修补程序 应在计算机上安装系统更新 1.0.0
虚拟机 7.6 确保已安装适用于所有虚拟机的 Endpoint Protection 监视 Azure 安全中心 Endpoint Protection 的缺失情况 1.0.0

NIST SP 800-171 R2

有关此符合性标准的详细信息,请参阅 NIST SP 800-171 R2

控制 ID 控制标题 策略
(Azure 门户)
Policy 版本
(GitHub)
访问控制 3.1.1 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 部署必备组件,以审核允许通过没有密码的帐户进行远程连接的 Linux VM 3.0.0
访问控制 3.1.1 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 显示允许通过没有密码的帐户进行远程连接的 Linux VM 中的审核结果 3.0.0
访问控制 3.1.4 区分个体的责任,减少无串谋的恶意活动的风险。 部署必备组件来审核其“管理员”组包含任意指定成员的 Windows VM 1.2.0
访问控制 3.1.4 区分个体的责任,减少无串谋的恶意活动的风险。 部署必备组件以审核其“管理员”组不包含所有指定成员的 Windows VM 1.2.0
访问控制 3.1.4 区分个体的责任,减少无串谋的恶意活动的风险。 显示其“管理员”组包含任意指定成员的 Windows VM 的审核结果 1.0.0
访问控制 3.1.4 区分个体的责任,减少无串谋的恶意活动的风险。 显示其“管理员”组不包含所有指定成员的 Windows VM 的审核结果 1.0.0
访问控制 3.1.12 监视和控制远程访问会话。 部署必备组件,以审核允许通过没有密码的帐户进行远程连接的 Linux VM 3.0.0
访问控制 3.1.12 监视和控制远程访问会话。 显示允许通过没有密码的帐户进行远程连接的 Linux VM 中的审核结果 3.0.0
审核和责任 3.3.1 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 [预览]:审核 Log Analytics 代理部署 - VM 映像 (OS) 未列出 1.0.0-preview
审核和责任 3.3.1 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 审核虚拟机规模集中的 Log Analytics 代理部署 - VM 映像 (OS) 未列出 1.0.1
审核和责任 3.3.1 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 审核 VM 的 Log Analytics 工作区 — 报告不匹配 1.0.1
审核和责任 3.3.1 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 应在虚拟机规模集上安装 Log Analytics 代理 1.0.0
审核和责任 3.3.1 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 应在虚拟机上安装 Log Analytics 代理 1.0.0
审核和责任 3.3.2 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 [预览]:审核 Log Analytics 代理部署 - VM 映像 (OS) 未列出 1.0.0-preview
审核和责任 3.3.2 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 审核虚拟机规模集中的 Log Analytics 代理部署 - VM 映像 (OS) 未列出 1.0.1
审核和责任 3.3.2 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 审核 VM 的 Log Analytics 工作区 — 报告不匹配 1.0.1
审核和责任 3.3.2 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 应在虚拟机规模集上安装 Log Analytics 代理 1.0.0
审核和责任 3.3.2 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 应在虚拟机上安装 Log Analytics 代理 1.0.0
配置管理 3.4.7 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 应在计算机中启用自适应应用程序控制以定义安全应用程序 1.0.2
配置管理 3.4.8 应用 deny-by-exception(阻止列表)策略来防止使用未经授权的软件,或应用 deny-all 和 permit-by-exception(允许列表)策略来允许执行授权的软件。 应在计算机中启用自适应应用程序控制以定义安全应用程序 1.0.2
配置管理 3.4.9 控制和监视用户安装的软件。 应在计算机中启用自适应应用程序控制以定义安全应用程序 1.0.2
识别和身份验证 3.5.2 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 部署必备组件用于审核帐户没有密码的 Linux VM 3.0.0
识别和身份验证 3.5.2 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 显示具有无密码帐户的 Linux VM 的审核结果 3.0.0
识别和身份验证 3.5.7 在创建新密码时强制要求最低密码复杂性和字符更改。 部署必备组件用于审核帐户没有密码的 Linux VM 3.0.0
识别和身份验证 3.5.7 在创建新密码时强制要求最低密码复杂性和字符更改。 部署必备组件用于审核未启用密码复杂性设置的 Windows VM 1.2.0
识别和身份验证 3.5.7 在创建新密码时强制要求最低密码复杂性和字符更改。 部署必备组件用于审核未将最短密码长度限制为 14 个字符的 Windows VM 1.2.0
识别和身份验证 3.5.7 在创建新密码时强制要求最低密码复杂性和字符更改。 显示具有无密码帐户的 Linux VM 的审核结果 3.0.0
识别和身份验证 3.5.7 在创建新密码时强制要求最低密码复杂性和字符更改。 显示未启用密码复杂性设置的 Windows VM 的审核结果 1.0.0
识别和身份验证 3.5.7 在创建新密码时强制要求最低密码复杂性和字符更改。 显示未将最短密码长度限制为 14 个字符的 Windows VM 的审核结果 1.0.0
识别和身份验证 3.5.8 禁止对指定数量的生成操作重复使用密码。 部署必备组件用于审核允许重用之前的 24 个密码的 Windows VM 1.2.0
识别和身份验证 3.5.8 禁止对指定数量的生成操作重复使用密码。 显示允许重用之前的 24 个密码的 Windows VM 的审核结果 1.0.0
识别和身份验证 3.5.10 仅存储和传输受加密保护的密码。 部署必备组件用于审核未将密码文件权限设置为 0644 的 Linux VM 3.0.0
识别和身份验证 3.5.10 仅存储和传输受加密保护的密码。 部署必备组件用于审核未存储使用可逆加密的密码的 Windows VM 1.2.0
识别和身份验证 3.5.10 仅存储和传输受加密保护的密码。 显示未将密码文件权限设为 0644 的 Linux VM 中的审核结果 3.0.0
识别和身份验证 3.5.10 仅存储和传输受加密保护的密码。 显示未存储使用可逆加密的密码的 Windows VM 的审核结果 1.0.0
风险评估 3.11.2 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 应修正容器安全配置中的漏洞 1.0.0
风险评估 3.11.2 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 应修复计算机上安全配置中的漏洞 1.0.0
风险评估 3.11.2 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 应修复虚拟机规模集上安全配置中的漏洞 1.0.0
风险评估 3.11.2 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 应通过漏洞评估解决方案修复漏洞 1.0.0
系统和通信保护 3.13.1 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 应该限制通过面向 Internet 的终结点进行访问 1.0.0
系统和通信保护 3.13.1 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 应在面向 Internet 的虚拟机上应用自适应网络强化建议 1.0.0
系统和通信保护 3.13.1 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 部署必备组件来审核不使用安全通信协议的 Windows Web 服务器 1.2.0
系统和通信保护 3.13.1 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 显示未使用安全通信协议的 Windows Web 服务器的审核结果 1.0.0
系统和通信保护 3.13.5 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 应该限制通过面向 Internet 的终结点进行访问 1.0.0
系统和通信保护 3.13.5 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 应在面向 Internet 的虚拟机上应用自适应网络强化建议 1.0.0
系统和通信保护 3.13.5 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 面向 Internet 的虚拟机应使用网络安全组进行保护 1.1.0
系统和通信保护 3.13.8 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 部署必备组件来审核不使用安全通信协议的 Windows Web 服务器 1.2.0
系统和通信保护 3.13.8 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 显示未使用安全通信协议的 Windows Web 服务器的审核结果 1.0.0
系统和通信保护 3.13.16 保护静态 CUI 的机密性。 应在虚拟机上应用磁盘加密 1.0.0
系统和信息完整性 3.14.1 及时识别、报告和更正系统缺陷。 应在虚拟机规模集上安装系统更新 1.0.0
系统和信息完整性 3.14.1 及时识别、报告和更正系统缺陷。 应在计算机上安装系统更新 1.0.0
系统和信息完整性 3.14.1 及时识别、报告和更正系统缺陷。 应修复计算机上安全配置中的漏洞 1.0.0
系统和信息完整性 3.14.1 及时识别、报告和更正系统缺陷。 应修复虚拟机规模集上安全配置中的漏洞 1.0.0
系统和信息完整性 3.14.1 及时识别、报告和更正系统缺陷。 应通过漏洞评估解决方案修复漏洞 1.0.0
系统和信息完整性 3.14.2 在组织系统中的指定位置提供针对恶意代码的防护。 应在虚拟机规模集上安装终结点保护解决方案 1.0.0
系统和信息完整性 3.14.2 在组织系统中的指定位置提供针对恶意代码的防护。 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 1.0.0
系统和信息完整性 3.14.2 在组织系统中的指定位置提供针对恶意代码的防护。 监视 Azure 安全中心 Endpoint Protection 的缺失情况 1.0.0

NIST SP 800-53 R4

有关此符合性标准的详细信息,请参阅 NIST SP 800-53 R4

控制 ID 控制标题 策略
(Azure 门户)
Policy 版本
(GitHub)
访问控制 AC-2 (12) 帐户管理 | 帐户监视/异常使用 应通过即时网络访问控制来保护虚拟机的管理端口 1.0.1
访问控制 AC-5 职责分离 部署必备组件来审核其“管理员”组包含任意指定成员的 Windows VM 1.2.0
访问控制 AC-5 职责分离 部署必备组件以审核其“管理员”组不包含所有指定成员的 Windows VM 1.2.0
访问控制 AC-5 职责分离 显示其“管理员”组包含任意指定成员的 Windows VM 的审核结果 1.0.0
访问控制 AC-5 职责分离 显示其“管理员”组不包含所有指定成员的 Windows VM 的审核结果 1.0.0
访问控制 AC-6 (7) 最小特权 | 用户特权评审 部署必备组件来审核其“管理员”组包含任意指定成员的 Windows VM 1.2.0
访问控制 AC-6 (7) 最小特权 | 用户特权评审 部署必备组件以审核其“管理员”组不包含所有指定成员的 Windows VM 1.2.0
访问控制 AC-6 (7) 最小特权 | 用户特权评审 显示其“管理员”组包含任意指定成员的 Windows VM 的审核结果 1.0.0
访问控制 AC-6 (7) 最小特权 | 用户特权评审 显示其“管理员”组不包含所有指定成员的 Windows VM 的审核结果 1.0.0
访问控制 AC-17 (1) 远程访问 | 自动监视/控制 部署必备组件,以审核允许通过没有密码的帐户进行远程连接的 Linux VM 3.0.0
访问控制 AC-17 (1) 远程访问 | 自动监视/控制 显示允许通过没有密码的帐户进行远程连接的 Linux VM 中的审核结果 3.0.0
审核和责任 AU-3 (2) 审核记录的内容 | 集中管理计划的审核记录内容 [预览]:审核 Log Analytics 代理部署 - VM 映像 (OS) 未列出 1.0.0-preview
审核和责任 AU-3 (2) 审核记录的内容 | 集中管理计划的审核记录内容 审核虚拟机规模集中的 Log Analytics 代理部署 - VM 映像 (OS) 未列出 1.0.1
审核和责任 AU-3 (2) 审核记录的内容 | 集中管理计划的审核记录内容 审核 VM 的 Log Analytics 工作区 — 报告不匹配 1.0.1
审核和责任 AU-6 (4) 审核评审、分析和报告 | 中心评审和分析 [预览]:审核 Log Analytics 代理部署 - VM 映像 (OS) 未列出 1.0.0-preview
审核和责任 AU-6 (4) 审核评审、分析和报告 | 中心评审和分析 审核虚拟机规模集中的 Log Analytics 代理部署 - VM 映像 (OS) 未列出 1.0.1
审核和责任 AU-6 (4) 审核评审、分析和报告 | 中心评审和分析 审核 VM 的 Log Analytics 工作区 — 报告不匹配 1.0.1
审核和责任 AU-12 审核生成 [预览]:审核 Log Analytics 代理部署 - VM 映像 (OS) 未列出 1.0.0-preview
审核和责任 AU-12 审核生成 审核虚拟机规模集中的 Log Analytics 代理部署 - VM 映像 (OS) 未列出 1.0.1
审核和责任 AU-12 审核生成 审核 VM 的 Log Analytics 工作区 — 报告不匹配 1.0.1
配置管理 CM-7 (2) 最少的功能 | 防止程序执行 应在计算机中启用自适应应用程序控制以定义安全应用程序 1.0.2
配置管理 CM-7 (5) 最少的功能 | 授权软件/允许列表 应在计算机中启用自适应应用程序控制以定义安全应用程序 1.0.2
配置管理 CM-11 用户安装的软件 应在计算机中启用自适应应用程序控制以定义安全应用程序 1.0.2
应变规划 CP-7 备用处理站点 审核未配置灾难恢复的虚拟机 1.0.0
识别和身份验证 IA-5 验证器管理 部署必备组件用于审核未将密码文件权限设置为 0644 的 Linux VM 3.0.0
识别和身份验证 IA-5 验证器管理 部署必备组件用于审核帐户没有密码的 Linux VM 3.0.0
识别和身份验证 IA-5 验证器管理 部署必备组件用于审核未存储使用可逆加密的密码的 Windows VM 1.2.0
识别和身份验证 IA-5 验证器管理 显示未将密码文件权限设为 0644 的 Linux VM 中的审核结果 3.0.0
识别和身份验证 IA-5 验证器管理 显示具有无密码帐户的 Linux VM 的审核结果 3.0.0
识别和身份验证 IA-5 验证器管理 显示未存储使用可逆加密的密码的 Windows VM 的审核结果 1.0.0
识别和身份验证 IA-5 (1) 验证器管理 |基于密码的身份验证 部署必备组件用于审核允许重用之前的 24 个密码的 Windows VM 1.2.0
识别和身份验证 IA-5 (1) 验证器管理 |基于密码的身份验证 部署必备组件用于审核未将最长密码期限设为 70 天的 Windows VM 1.2.0
识别和身份验证 IA-5 (1) 验证器管理 |基于密码的身份验证 部署必备组件用于审核未将最短密码期限设为 1 天的 Windows VM 1.2.0
识别和身份验证 IA-5 (1) 验证器管理 |基于密码的身份验证 部署必备组件用于审核未启用密码复杂性设置的 Windows VM 1.2.0
识别和身份验证 IA-5 (1) 验证器管理 |基于密码的身份验证 部署必备组件用于审核未将最短密码长度限制为 14 个字符的 Windows VM 1.2.0
识别和身份验证 IA-5 (1) 验证器管理 |基于密码的身份验证 部署必备组件用于审核未存储使用可逆加密的密码的 Windows VM 1.2.0
识别和身份验证 IA-5 (1) 验证器管理 |基于密码的身份验证 显示允许重用之前的 24 个密码的 Windows VM 的审核结果 1.0.0
识别和身份验证 IA-5 (1) 验证器管理 |基于密码的身份验证 显示未将最长密码期限设为 70 天的 Windows VM 中的审核结果 1.0.0
识别和身份验证 IA-5 (1) 验证器管理 |基于密码的身份验证 显示未将最短密码期限设为 1 天的 Windows VM 的审核结果 1.0.0
识别和身份验证 IA-5 (1) 验证器管理 |基于密码的身份验证 显示未启用密码复杂性设置的 Windows VM 的审核结果 1.0.0
识别和身份验证 IA-5 (1) 验证器管理 |基于密码的身份验证 显示未将最短密码长度限制为 14 个字符的 Windows VM 的审核结果 1.0.0
识别和身份验证 IA-5 (1) 验证器管理 |基于密码的身份验证 显示未存储使用可逆加密的密码的 Windows VM 的审核结果 1.0.0
风险评估 RA-5 漏洞扫描 应修复计算机上安全配置中的漏洞 1.0.0
风险评估 RA-5 漏洞扫描 应修复虚拟机规模集上安全配置中的漏洞 1.0.0
风险评估 RA-5 漏洞扫描 应通过漏洞评估解决方案修复漏洞 1.0.0
系统和通信保护 SC-7 边界保护 应该限制通过面向 Internet 的终结点进行访问 1.0.0
系统和通信保护 SC-7 边界保护 应在面向 Internet 的虚拟机上应用自适应网络强化建议 1.0.0
系统和通信保护 SC-7 (3) 边界保护 | 接入点 应通过即时网络访问控制来保护虚拟机的管理端口 1.0.1
系统和通信保护 SC-7 (4) 边界保护 | 外部电信服务 应通过即时网络访问控制来保护虚拟机的管理端口 1.0.1
系统和通信保护 SC-8 (1) 传输保密性和完整性 | 加密或备用物理保护 部署必备组件来审核不使用安全通信协议的 Windows Web 服务器 1.2.0
系统和通信保护 SC-8 (1) 传输保密性和完整性 | 加密或备用物理保护 显示未使用安全通信协议的 Windows Web 服务器的审核结果 1.0.0
系统和通信保护 SC-28 (1) 保护静态信息 | 加密保护 应在虚拟机上应用磁盘加密 1.0.0
系统和信息完整性 SI-2 缺陷修正 应在虚拟机规模集上安装系统更新 1.0.0
系统和信息完整性 SI-2 缺陷修正 应在计算机上安装系统更新 1.0.0
系统和信息完整性 SI-2 缺陷修正 应修复计算机上安全配置中的漏洞 1.0.0
系统和信息完整性 SI-2 缺陷修正 应修复虚拟机规模集上安全配置中的漏洞 1.0.0
系统和信息完整性 SI-2 缺陷修正 应通过漏洞评估解决方案修复漏洞 1.0.0
系统和信息完整性 SI-3 恶意代码防护 应在虚拟机规模集上安装终结点保护解决方案 1.0.0
系统和信息完整性 SI-3 恶意代码防护 监视 Azure 安全中心 Endpoint Protection 的缺失情况 1.0.0
系统和信息完整性 SI-3 (1) 恶意代码防护 | 集中管理 应在虚拟机规模集上安装终结点保护解决方案 1.0.0
系统和信息完整性 SI-3 (1) 恶意代码防护 | 集中管理 监视 Azure 安全中心 Endpoint Protection 的缺失情况 1.0.0
系统和信息完整性 SI-4 信息系统监视 [预览]:审核 Log Analytics 代理部署 - VM 映像 (OS) 未列出 1.0.0-preview
系统和信息完整性 SI-4 信息系统监视 审核虚拟机规模集中的 Log Analytics 代理部署 - VM 映像 (OS) 未列出 1.0.1
系统和信息完整性 SI-4 信息系统监视 审核 VM 的 Log Analytics 工作区 — 报告不匹配 1.0.1

后续步骤