Information om australiensiska regeringens inbyggda initiativ ISM PROTECTED Regulatory Compliance
I följande artikel beskrivs hur den inbyggda initiativdefinitionen för Azure Policy Regulatory Compliance mappar till efterlevnadsdomäner och kontroller i Australian Government ISM PROTECTED. Mer information om den här efterlevnadsstandarden finns i Australian Government ISM PROTECTED. Om du vill förstå Ägarskap granskar du principtypen och delat ansvar i molnet.
Följande mappningar gäller de australiska myndigheternas ISM PROTECTED-kontroller . Många av kontrollerna implementeras med en Azure Policy-initiativdefinition . Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure Portal och väljer sidan Definitioner. Leta sedan upp och välj den inbyggda initiativdefinitionen [Preview]: Australian Government ISM PROTECTED Regulatory Compliance.
Viktigt!
Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen, men det finns ofta inte en en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy-definitioner för den här efterlevnadsstandarden kan ändras över tid. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.
Riktlinjer för personalsäkerhet – Åtkomst till system och deras resurser
Användaridentifiering – 414
ID: AU ISM 414
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
Användaridentifiering – 415
ID: AU ISM 415
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Granska Windows-datorer som har de angivna medlemmarna i gruppen Administratörer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer innehåller en eller flera av de medlemmar som anges i principparametern. | auditIfNotExists | 2.0.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Indragning av åtkomst till system – 430
ID: AU ISM 430
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort | Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort | Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
Tillfällig åtkomst till system – 441
ID: AU ISM 441
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort | Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort | Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med ägarbehörighet för Azure-resurser bör tas bort | Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med skrivbehörighet för Azure-resurser bör tas bort | Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
Privilegierad åtkomst till system – 445
ID: AU ISM 445
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Granska Windows-datorer som har de angivna medlemmarna i gruppen Administratörer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer innehåller en eller flera av de medlemmar som anges i principparametern. | auditIfNotExists | 2.0.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Standardåtkomst till system – 1503
ID: AU ISM 1503
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Högst 3 ägare bör utses för din prenumeration | Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Granska Windows-datorer som har de angivna medlemmarna i gruppen Administratörer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer innehåller en eller flera av de medlemmar som anges i principparametern. | auditIfNotExists | 2.0.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Det bör finnas fler än en ägare tilldelad till din prenumeration | Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. | AuditIfNotExists, inaktiverad | 3.0.0 |
Privilegierad åtkomst till system – 1507
ID: AU ISM 1507
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Granska Windows-datorer som har de angivna medlemmarna i gruppen Administratörer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer innehåller en eller flera av de medlemmar som anges i principparametern. | auditIfNotExists | 2.0.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Privilegierad åtkomst till system – 1508
ID: AU ISM 1508
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Högst 3 ägare bör utses för din prenumeration | Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Granska Windows-datorer som har de angivna medlemmarna i gruppen Administratörer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer innehåller en eller flera av de medlemmar som anges i principparametern. | auditIfNotExists | 2.0.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Det bör finnas fler än en ägare tilldelad till din prenumeration | Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. | AuditIfNotExists, inaktiverad | 3.0.0 |
Riktlinjer för media – Medieanvändning
Använda media för dataöverföringar – 947
ID: AU ISM 947
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
Riktlinjer för systemhärdning – Härdning av operativsystem
Operativsystemkonfiguration – 380
ID: AU ISM 380
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort | Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort | Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
Antivirusprogram – 1417
ID: AU ISM 1417
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft IaaSAntimalware-tillägget ska distribueras på Windows-servrar | Den här principen granskar alla virtuella Windows-server-datorer utan att Microsoft IaaSAntimalware-tillägget har distribuerats. | AuditIfNotExists, inaktiverad | 1.1.0 |
Riktlinjer för systemhärdning – Härdning av autentisering
Enfaktorautentisering – 421
ID: AU ISM 421
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsinställningar – kontoprinciper" | Windows-datorer bör ha angivna grupprincip inställningar i kategorin Säkerhetsinställningar – Kontoprinciper för lösenordshistorik, ålder, längd, komplexitet och lagring av lösenord med hjälp av reversibel kryptering. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
Multifaktorautentisering – 1173
ID: AU ISM 1173
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
Multifaktorautentisering – 1384
ID: AU ISM 1384
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
Autentisera till system – 1546
ID: AU ISM 1546
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | AuditIfNotExists, inaktiverad | 3.1.0 |
| Granska Linux-datorer som har konton utan lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som har konton utan lösenord | AuditIfNotExists, inaktiverad | 3.1.0 |
| Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering | Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric | Granska, neka, inaktiverad | 1.1.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
Riktlinjer för systemhantering – Systemadministration
Begränsning av hanteringstrafikflöden – 1386
ID: AU ISM 1386
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Funktionsappar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
Riktlinjer för systemhantering – systemkorrigering
När säkerhetsrisker ska korrigeras – 940
ID: AU ISM 940
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
| SQL-databaser bör lösa sårbarhetsresultat | Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 4.1.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
När säkerhetsrisker ska korrigeras – 1144
ID: AU ISM 1144
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
| SQL-databaser bör lösa sårbarhetsresultat | Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 4.1.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
När säkerhetsrisker ska korrigeras – 1472
ID: AU ISM 1472
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
| SQL-databaser bör lösa sårbarhetsresultat | Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 4.1.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
När säkerhetsrisker ska korrigeras – 1494
ID: AU ISM 1494
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
| SQL-databaser bör lösa sårbarhetsresultat | Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 4.1.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
När säkerhetsrisker ska korrigeras – 1495
ID: AU ISM 1495
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
| SQL-databaser bör lösa sårbarhetsresultat | Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 4.1.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
När säkerhetsrisker ska korrigeras – 1496
ID: AU ISM 1496
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
| SQL-databaser bör lösa sårbarhetsresultat | Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 4.1.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
Riktlinjer för systemhantering – säkerhetskopiering och återställning av data
Utföra säkerhetskopior – 1511
ID: AU ISM 1511
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska virtuella datorer utan att haveriberedskap har konfigurerats | Granska virtuella datorer som inte har konfigurerat haveriberedskap. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
Riktlinjer för systemövervakning – händelseloggning och granskning
Händelser som ska loggas – 582
ID: AU ISM 582
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska diagnostikinställningen för valda resurstyper | Granska diagnostikinställningen för valda resurstyper. Se till att bara välja resurstyper som stöder diagnostikinställningar. | AuditIfNotExists | 2.0.1 |
| Virtuella datorer ska vara anslutna till en angiven arbetsyta | Rapporterar virtuella datorer som inkompatibla om de inte loggar till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. | AuditIfNotExists, inaktiverad | 1.1.0 |
Händelser som ska loggas – 1537
ID: AU ISM 1537
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska diagnostikinställningen för valda resurstyper | Granska diagnostikinställningen för valda resurstyper. Se till att bara välja resurstyper som stöder diagnostikinställningar. | AuditIfNotExists | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
Riktlinjer för programvaruutveckling – Utveckling av webbprogram
Webbläsarbaserade säkerhetskontroller – 1424
ID: AU ISM 1424
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. | AuditIfNotExists, inaktiverad | 2.0.0 |
Interaktion med webbprogram – 1552
ID: AU ISM 1552
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
| Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.0.0 |
| Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade | Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 1.0.0 |
Riktlinjer för databassystem – databasservrar
Kommunikation mellan databasservrar och webbservrar – 1277
ID: AU ISM 1277
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade | Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 1.0.0 |
| Säker överföring till lagringskonton ska vara aktiverad | Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 2.0.0 |
| Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. | AuditIfNotExists, inaktiverad | 4.1.1 |
Skydda databasserverinnehåll – 1425
ID: AU ISM 1425
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| transparent datakryptering på SQL-databaser ska vara aktiverat | Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven | AuditIfNotExists, inaktiverad | 2.0.0 |
Riktlinjer för databassystem – Programvara för databashanteringssystem
Databasadministratörskonton – 1260
ID: AU ISM 1260
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
Databasadministratörskonton – 1261
ID: AU ISM 1261
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
Databasadministratörskonton – 1262
ID: AU ISM 1262
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
Databasadministratörskonton – 1263
ID: AU ISM 1263
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
Databasadministratörskonton – 1264
ID: AU ISM 1264
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
Riktlinjer för nätverk – Nätverksdesign och konfiguration
Nätverksåtkomstkontroller – 520
ID: AU ISM 520
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
Nätverksåtkomstkontroller – 1182
ID: AU ISM 1182
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
Riktlinjer för nätverk – tjänstkontinuitet för onlinetjänster
Dos-strategier – 1431
ID: AU ISM 1431
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure DDoS Protection ska vara aktiverat | DDoS-skydd ska vara aktiverat för alla virtuella nätverk med ett undernät som ingår i en programgateway med en offentlig IP-adress. | AuditIfNotExists, inaktiverad | 3.0.1 |
Riktlinjer för kryptografi – Säkerhet på transportnivå
Använda Transport Layer Security – 1139
ID: AU ISM 1139
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| App Service-appar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. | AuditIfNotExists, inaktiverad | 4.1.1 |
Riktlinjer för gatewayer – innehållsfiltrering
Antivirusgenomsökning – 1288
ID: AU ISM 1288
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft IaaSAntimalware-tillägget ska distribueras på Windows-servrar | Den här principen granskar alla virtuella Windows-server-datorer utan att Microsoft IaaSAntimalware-tillägget har distribuerats. | AuditIfNotExists, inaktiverad | 1.1.0 |
Nästa steg
Ytterligare artiklar om Azure Policy:
- Översikt över regelefterlevnad .
- Se initiativdefinitionsstrukturen.
- Granska andra exempel i Azure Policy-exempel.
- Granska Förstå policy-effekter.
- Lär dig hur du åtgärdar icke-kompatibla resurser.