共用方式為


澳大利亞政府 ISM 受保護的法規合規性內建方案詳細資訊

下列文章詳細說明 Azure 原則法規合規性的內建方案定義如何對應至澳大利亞政府 ISM 受保護的合規性領域控制措施。 如需此合規性標準的詳細資訊,請參閱澳洲政府 ISM 保護藍圖。 若要了解所有權,請檢閱原則類型雲端中共同承擔的責任

以下對應至 澳大利亞政府 ISM 受保護的控制措施。 許多控制措施都是以 Azure 原則方案定義實作的。 若要檢閱完整方案定義,請在 Azure 入口網站中開啟 [原則],然後選取 [定義] 頁面。 然後,尋找並選取 [預覽]:澳大利亞政府 ISM 受保護的法規合規性內建方案定義。

重要

下列每個控制措施都與一或多個 Azure 原則定義相關聯。 這些原則可協助您使用工具存取合規性;不過,控制措施和一或多個原則之間,通常不是一對一或完整對應。 因此,Azure 原則中的符合規範只是指原則定義本身,這不保證您完全符合所有控制措施需求的規範。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 此合規性標準的合規性領域、控制措施與 Azure 原則定義之間的關聯,可能會隨著時間而改變。 若要檢視變更歷程記錄,請參閱 GitHub 認可歷程記錄 \(英文\)。

人員安全性指導方針 - 對系統及其資源的存取

User identification - 414

識別碼:AU ISM 414

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
具有 Azure 資源擁有者權限的帳戶應啟用 MFA 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 AuditIfNotExists, Disabled 1.0.0
對 Azure 資源具有讀取權限的帳戶應啟用 MFA 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 AuditIfNotExists, Disabled 1.0.0
具有 Azure 資源寫入權限的帳戶應啟用 MFA 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 AuditIfNotExists, Disabled 1.0.0

使用者身分識別 - 415

識別碼:AU ISM 415

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.1.0
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.1.0
稽核具有 Administrators 群組中指定成員的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機系統管理員群組未包含原則參數中列出的一或多個成員,則電腦不相容。 auditIfNotExists 2.0.0
在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol deployIfNotExists 1.2.0

暫停存取系統 - 430

識別碼:AU ISM 430

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
具有 Azure 資源擁有者權限的已封鎖帳戶應移除 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 AuditIfNotExists, Disabled 1.0.0
具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 AuditIfNotExists, Disabled 1.0.0

暫時存取系統 - 441

識別碼:AU ISM 441

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
具有 Azure 資源擁有者權限的已封鎖帳戶應移除 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 AuditIfNotExists, Disabled 1.0.0
具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 AuditIfNotExists, Disabled 1.0.0
具有 Azure 資源擁有者權限的來賓帳戶應移除 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 AuditIfNotExists, Disabled 1.0.0
具有 Azure 資源寫入權限的來賓帳戶應移除 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 AuditIfNotExists, Disabled 1.0.0

特殊權限存取系統 - 445

識別碼:AU ISM 445

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.1.0
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.1.0
稽核具有 Administrators 群組中指定成員的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機系統管理員群組未包含原則參數中列出的一或多個成員,則電腦不相容。 auditIfNotExists 2.0.0
在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol deployIfNotExists 1.2.0

標準存取系統 - 1503

識別碼:AU ISM 1503

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應針對您的訂用帳戶指定最多 3 位擁有者 建議您最多指定 3 位訂用帳戶擁有者,以降低遭入侵擁有者導致資料外洩的可能。 AuditIfNotExists, Disabled 3.0.0
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.1.0
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.1.0
稽核具有 Administrators 群組中指定成員的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機系統管理員群組未包含原則參數中列出的一或多個成員,則電腦不相容。 auditIfNotExists 2.0.0
在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol deployIfNotExists 1.2.0
應將一個以上的擁有者指派給您的訂用帳戶 建議指定多位訂用帳戶擁有者,如此才能設定系統管理員存取備援。 AuditIfNotExists, Disabled 3.0.0

特殊權限存取系統 - 1507

識別碼:AU ISM 1507

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.1.0
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.1.0
稽核具有 Administrators 群組中指定成員的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機系統管理員群組未包含原則參數中列出的一或多個成員,則電腦不相容。 auditIfNotExists 2.0.0
在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol deployIfNotExists 1.2.0

特殊權限存取系統 - 1508

識別碼:AU ISM 1508

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應針對您的訂用帳戶指定最多 3 位擁有者 建議您最多指定 3 位訂用帳戶擁有者,以降低遭入侵擁有者導致資料外洩的可能。 AuditIfNotExists, Disabled 3.0.0
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.1.0
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.1.0
稽核具有 Administrators 群組中指定成員的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機系統管理員群組未包含原則參數中列出的一或多個成員,則電腦不相容。 auditIfNotExists 2.0.0
在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol deployIfNotExists 1.2.0
應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 AuditIfNotExists, Disabled 3.0.0
應將一個以上的擁有者指派給您的訂用帳戶 建議指定多位訂用帳戶擁有者,如此才能設定系統管理員存取備援。 AuditIfNotExists, Disabled 3.0.0

媒體的指南 - 媒體使用方式

使用媒體進行資料傳輸 - 947

識別碼:AU ISM 947

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
具有 Azure 資源讀取權限的帳戶應啟用 MFA 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 AuditIfNotExists, Disabled 1.0.0

系統強化指導方針 - 作業系統強化

作業系統設定 - 380

識別碼:AU ISM 380

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
具有 Azure 資源擁有者權限的已封鎖帳戶應移除 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 AuditIfNotExists, Disabled 1.0.0
具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 AuditIfNotExists, Disabled 1.0.0

防毒軟體 - 1417

識別碼:AU ISM 1417

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上 此原則會稽核任何未部署 Microsoft IaaSAntimalware 延伸模組的 Windows 伺服器 VM。 AuditIfNotExists, Disabled 1.1.0

系統強化指導方針 - 驗證強化

單一要素驗證 - 421

識別碼:AU ISM 421

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.1.0
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.1.0
在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol deployIfNotExists 1.2.0
Windows 電腦應符合「安全性設定 - 帳戶原則」的需求 Windows 電腦的 [安全性設定 - 帳戶原則] 類別中應具有指定的群組原則設定,以取得密碼歷程記錄、存留期、長度、複雜度,以及使用可還原的加密來儲存密碼。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol AuditIfNotExists, Disabled 3.0.0

多重要素驗證 - 1173

識別碼:AU ISM 1173

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
具有 Azure 資源擁有者權限的帳戶應啟用 MFA 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 AuditIfNotExists, Disabled 1.0.0
具有 Azure 資源寫入權限的帳戶應啟用 MFA 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 AuditIfNotExists, Disabled 1.0.0

多重要素驗證 - 1384

識別碼:AU ISM 1384

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
具有 Azure 資源擁有者權限的帳戶應啟用 MFA 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 AuditIfNotExists, Disabled 1.0.0
對 Azure 資源具有讀取權限的帳戶應啟用 MFA 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 AuditIfNotExists, Disabled 1.0.0
具有 Azure 資源寫入權限的帳戶應啟用 MFA 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 AuditIfNotExists, Disabled 1.0.0

向系統驗證 - 1546

識別碼:AU ISM 1546

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.1.0
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.1.0
稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果允許不使用密碼從帳戶遠端連線的 Linux 電腦,則電腦不相容 AuditIfNotExists, Disabled 3.1.0
稽核有不需要密碼之帳戶的 Linux 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Linux 電腦有不需要密碼的帳戶,則電腦不相容 AuditIfNotExists, Disabled 3.1.0
部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol deployIfNotExists 3.1.0
Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證 稽核 Service Fabric 中僅透過 Azure Active Directory 的用戶端驗證使用方式 Audit, Deny, Disabled 1.1.0
儲存體帳戶應限制網路存取 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 Audit, Deny, Disabled 1.1.1

系統管理指導方針 - 系統管理

管理流量的限制 - 1386

識別碼:AU ISM 1386

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
App Service 應用程式應關閉遠端偵錯 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 AuditIfNotExists, Disabled 2.0.0
函數應用程式應關閉遠端偵錯 遠端偵錯需要在函數應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 AuditIfNotExists, Disabled 2.0.0
應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 AuditIfNotExists, Disabled 3.0.0

系統管理指導方針 - 系統修補

何時修補安全性弱點 - 940

識別碼:AU ISM 940

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
虛擬機器上應啟用弱點評估解決方案 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 AuditIfNotExists, Disabled 3.0.0
SQL 資料庫應已解決發現的弱點 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 AuditIfNotExists, Disabled 4.1.0
您應在機器上修復安全性組態的弱點 Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 AuditIfNotExists, Disabled 3.1.0
應在 SQL 受控執行個體上啟用弱點評定 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 AuditIfNotExists, Disabled 1.0.1
弱點評估應於您的 SQL 伺服器上啟用 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 AuditIfNotExists, Disabled 3.0.0

何時修補安全性弱點 - 1144

識別碼:AU ISM 1144

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
虛擬機器上應啟用弱點評估解決方案 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 AuditIfNotExists, Disabled 3.0.0
SQL 資料庫應已解決發現的弱點 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 AuditIfNotExists, Disabled 4.1.0
您應在機器上修復安全性組態的弱點 Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 AuditIfNotExists, Disabled 3.1.0
應在 SQL 受控執行個體上啟用弱點評定 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 AuditIfNotExists, Disabled 1.0.1
弱點評估應於您的 SQL 伺服器上啟用 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 AuditIfNotExists, Disabled 3.0.0

何時修補安全性弱點 - 1472

識別碼:AU ISM 1472

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
虛擬機器上應啟用弱點評估解決方案 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 AuditIfNotExists, Disabled 3.0.0
SQL 資料庫應已解決發現的弱點 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 AuditIfNotExists, Disabled 4.1.0
您應在機器上修復安全性組態的弱點 Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 AuditIfNotExists, Disabled 3.1.0
應在 SQL 受控執行個體上啟用弱點評定 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 AuditIfNotExists, Disabled 1.0.1
弱點評估應於您的 SQL 伺服器上啟用 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 AuditIfNotExists, Disabled 3.0.0

何時修補安全性弱點 - 1494

識別碼:AU ISM 1494

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
虛擬機器上應啟用弱點評估解決方案 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 AuditIfNotExists, Disabled 3.0.0
SQL 資料庫應已解決發現的弱點 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 AuditIfNotExists, Disabled 4.1.0
您應在機器上修復安全性組態的弱點 Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 AuditIfNotExists, Disabled 3.1.0
應在 SQL 受控執行個體上啟用弱點評定 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 AuditIfNotExists, Disabled 1.0.1
弱點評估應於您的 SQL 伺服器上啟用 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 AuditIfNotExists, Disabled 3.0.0

何時修補安全性弱點 - 1495

識別碼:AU ISM 1495

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
虛擬機器上應啟用弱點評估解決方案 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 AuditIfNotExists, Disabled 3.0.0
SQL 資料庫應已解決發現的弱點 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 AuditIfNotExists, Disabled 4.1.0
您應在機器上修復安全性組態的弱點 Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 AuditIfNotExists, Disabled 3.1.0
應在 SQL 受控執行個體上啟用弱點評定 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 AuditIfNotExists, Disabled 1.0.1
弱點評估應於您的 SQL 伺服器上啟用 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 AuditIfNotExists, Disabled 3.0.0

何時修補安全性弱點 - 1496

識別碼:AU ISM 1496

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
虛擬機器上應啟用弱點評估解決方案 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 AuditIfNotExists, Disabled 3.0.0
SQL 資料庫應已解決發現的弱點 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 AuditIfNotExists, Disabled 4.1.0
您應在機器上修復安全性組態的弱點 Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 AuditIfNotExists, Disabled 3.1.0
應在 SQL 受控執行個體上啟用弱點評定 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 AuditIfNotExists, Disabled 1.0.1
弱點評估應於您的 SQL 伺服器上啟用 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 AuditIfNotExists, Disabled 3.0.0

系統管理指導方針 - 資料備份和還原

執行備份 - 1511

識別碼:AU ISM 1511

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
稽核未設定災害復原的虛擬機器 稽核未設定災害復原的虛擬機器。 若要深入了解災害復原,請造訪 https://aka.ms/asr-doc auditIfNotExists 1.0.0

系統監視指導方針 - 事件記錄檔和稽核

要記錄的事件 - 582

識別碼:AU ISM 582

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
稽核所選資源類型的診斷設定 稽核所選資源類型的診斷設定。 務必只選取支援診斷設定的資源類型。 AuditIfNotExists 2.0.1
虛擬機器應連線到指定的工作區 若虛擬機器不是登入原則/方案指派中指定的 Log Analytics 工作區,便會將其回報為不符合規範。 AuditIfNotExists, Disabled 1.1.0

要記錄的事件 - 1537

識別碼:AU ISM 1537

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
稽核所選資源類型的診斷設定 稽核所選資源類型的診斷設定。 務必只選取支援診斷設定的資源類型。 AuditIfNotExists 2.0.1
應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 AuditIfNotExists, Disabled 2.0.1
應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 AuditIfNotExists, Disabled 1.0.2

軟體發展指南 - Web 應用程式開發

網頁瀏覽器型安全性控制 - 1424

識別碼:AU ISM 1424

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
App Service 應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 跨原始資源共用 (CORS) 不應允許所有網域存取您的應用程式。 僅允許必要的網域與您的應用程式互動即可。 AuditIfNotExists, Disabled 2.0.0

Web 應用程式互動 - 1552

識別碼:AU ISM 1552

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應該僅限透過 HTTPS 來存取 App Service 應用程式 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 稽核、停用、拒絕 4.0.0
應只能透過 HTTPS 存取函數應用程式 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 稽核、停用、拒絕 5.0.0
只允許對您 Azure Cache for Redis 的安全連線 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 Audit, Deny, Disabled 1.0.0

資料庫系統指導方針 - 資料庫伺服器

資料庫伺服器和網頁伺服器之間的通訊 - 1277

識別碼:AU ISM 1277

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.1.0
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.1.0
在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol deployIfNotExists 1.2.0
只允許對您 Azure Cache for Redis 的安全連線 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 Audit, Deny, Disabled 1.0.0
應啟用儲存體帳戶的安全傳輸 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 Audit, Deny, Disabled 2.0.0
Windows 機器應設定為使用安全通訊協定 若要保護透過網際網路通訊的資訊隱私權,您的機器應使用最新版的業界標準密碼編譯通訊協定,即傳輸層安全性 (TLS)。 TLS 會藉由加密機器之間的連線來保護透過網路的通訊。 AuditIfNotExists, Disabled 4.1.1

保護資料庫伺服器內容 - 1425

識別碼:AU ISM 1425

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應在 SQL 資料庫上啟用透明資料加密 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 AuditIfNotExists, Disabled 2.0.0

資料庫系統的指南 - 資料庫管理系統軟體

資料庫管理員帳戶 - 1260

識別碼:AU ISM 1260

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應針對 SQL 伺服器佈建 Azure Active Directory 管理員 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 AuditIfNotExists, Disabled 1.0.0

資料庫系統管理員帳戶 - 1261

識別碼:AU ISM 1261

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應針對 SQL 伺服器佈建 Azure Active Directory 管理員 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 AuditIfNotExists, Disabled 1.0.0

資料庫管理員帳戶 - 1262

識別碼:AU ISM 1262

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應針對 SQL 伺服器佈建 Azure Active Directory 管理員 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 AuditIfNotExists, Disabled 1.0.0

資料庫管理員帳戶 - 1263

識別碼:AU ISM 1263

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應針對 SQL 伺服器佈建 Azure Active Directory 管理員 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 AuditIfNotExists, Disabled 1.0.0

資料庫管理員帳戶 - 1264

識別碼:AU ISM 1264

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應針對 SQL 伺服器佈建 Azure Active Directory 管理員 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 AuditIfNotExists, Disabled 1.0.0

網路指導方針 - 網路設計和設定

網路存取控制 - 520

識別碼:AU ISM 520

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
儲存體帳戶應限制網路存取 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 Audit, Deny, Disabled 1.1.1

網路存取控制 - 1182

識別碼:AU ISM 1182

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應使用網路安全性群組保護網際網路對應的虛擬機器 使用網路安全性群組 (NSG) 限制對虛擬機器的存取,以保護您的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
儲存體帳戶應限制網路存取 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 Audit, Deny, Disabled 1.1.1

網路功能指導方針 - 線上服務的服務連續性

阻斷服務策略 - 1431

識別碼:AU ISM 1431

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應該啟用 Azure DDoS 保護 所有虛擬網路只要其子網路屬於使用公用 IP 的應用程式閘道,就應啟用 DDoS 保護。 AuditIfNotExists, Disabled 3.0.1

密碼編譯指導方針 - 傳輸層安全性

使用傳輸層安全性 - 1139

識別碼:AU ISM 1139

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.1.0
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.1.0
App Service 應用程式應使用最新的 TLS 版本 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 AuditIfNotExists, Disabled 2.1.0
在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol deployIfNotExists 1.2.0
函數應用程式應使用最新的 TLS 版本 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 AuditIfNotExists, Disabled 2.1.0
Windows 電腦應該設定為使用安全通訊協定 若要保護透過網際網路通訊的資訊隱私權,您的機器應使用最新版的業界標準密碼編譯通訊協定,即傳輸層安全性 (TLS)。 TLS 會藉由加密機器之間的連線來保護透過網路的通訊。 AuditIfNotExists, Disabled 4.1.1

閘道指導方針 - 內容篩選

防毒軟體掃描 - 1288

識別碼:AU ISM 1288

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上 此原則會稽核任何未部署 Microsoft IaaSAntimalware 延伸模組的 Windows 伺服器 VM。 AuditIfNotExists, Disabled 1.1.0

下一步

有關 Azure 原則的其他文章: