Definisi panduan tentang nist sp 800-101

Mobile device forensics is the science of recovering digital evidence from a mobile device under forensically sound conditions using accepted methods. Mobile device forensics is an evolving specialty in the field of digital forensics. This guide attempts to bridge the gap by providing an in-depth look into mobile devices and explaining technologies involved and their relationship to forensic procedures. This document covers mobile devices with features beyond simple voice communication and text messaging capabilities. This guide also discusses procedures for the validation, preservation, acquisition, examination, analysis, and reporting of digital information.

Table of Contents Show

Detail dari inisiatif bawaan Kepatuhan Peraturan NIST SP 800-171 R2 (Azure Government)
Dalam artikel ini
Access Control
Batasi akses sistem ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, dan perangkat (termasuk sistem lain).
Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.
Pisahkan tugas individu untuk mengurangi risiko aktivitas jahat tanpa kolusi.
Pantau dan kendalikan sesi akses jarak jauh.
Audit dan Akuntabilitas
Membuat dan menyimpan log dan catatan audit sistem sejauh yang diperlukan untuk memungkinkan pemantauan, analisis, investigasi, dan pelaporan aktivitas sistem yang melanggar hukum atau tidak sah.
Pastikan bahwa tindakan masing-masing pengguna sistem dapat dilacak secara unik ke pengguna tersebut, sehingga mereka dapat dimintai pertanggungjawaban atas tindakan mereka.
Peringatan jika terjadi kegagalan proses logging audit.
Manajemen Konfigurasi
Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.
Terapkan kebijakan tolak-dengan-pengecualian (daftar hitam) untuk mencegah penggunaan perangkat lunak tidak sah atau tolak-semua, kebijakan izin-dengan-pengecualian (daftar putih) untuk mengizinkan eksekusi perangkat lunak resmi.
Kontrol dan pantau perangkat lunak yang diinstal pengguna.
Identifikasi dan Autentikasi
Identifikasi pengguna sistem, proses yang bertindak atas nama pengguna, dan perangkat.
Autentikasi (atau verifikasi) identitas pengguna, proses, atau perangkat, sebagai prasyarat untuk mengizinkan akses ke sistem organisasi.
Gunakan autentikasi multifaktor untuk akses lokal dan jaringan ke akun istimewa dan untuk akses jaringan ke akun non-hak istimewa.
Terapkan kompleksitas kata sandi minimum dan perubahan karakter saat kata sandi baru dibuat.
Melarang penggunaan kembali kata sandi untuk sejumlah generasi tertentu.
Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografis.
Tugas beresiko
Pindai kerentanan dalam sistem dan aplikasi organisasi secara berkala dan ketika kerentanan baru yang memengaruhi sistem dan aplikasi tersebut diidentifikasi.
Perlindungan Sistem dan Komunikasi
Memantau, mengontrol, dan melindungi komunikasi (yaitu, informasi yang dikirim atau diterima oleh sistem organisasi) pada batas eksternal dan batas internal utama sistem organisasi.
Menerapkan subnetwork untuk komponen sistem yang dapat diakses publik yang secara fisik atau logis terpisah dari jaringan internal.
Menerapkan mekanisme kriptografi untuk mencegah pengungkapan CUI yang tidak sah selama transmisi kecuali jika dilindungi oleh pengamanan fisik alternatif.
Lindungi kerahasiaan CUI saat tidak aktif.
Integritas Sistem dan Informasi
Identifikasi, laporkan, dan perbaiki kelemahan sistem secara tepat waktu.
Memberikan perlindungan dari kode berbahaya di lokasi yang ditentukan dalam sistem organisasi.
Pantau sistem organisasi, termasuk lalu lintas komunikasi masuk dan keluar, untuk mendeteksi serangan dan indikator potensi serangan.
Langkah berikutnya
Additional resources

Why buy a book you can download for free?

First you gotta find it and make sure it’s the latest version, not always easy. Then you gotta print it using a network printer you share with 100 other people – and its outta paper – and the toner is low (take out the toner cartridge, shake it, then put it back). If it’s just 10 pages, no problem, but if it’s a 250-page book, you will need to punch 3 holes in all those pages and put it in a 3-ring binder. Takes at least an hour. An engineer that’s paid $75 an hour has to do this himself (who has assistant’s anymore?).

If you are paid more than $10 an hour and use an ink jet printer, buying this book will save you money.

It’s much more cost-effective to just order the latest version from Amazon.com

This public domain material is published by 4th Watch Books. We publish tightly-bound, full-size books at 8 ½ by 11 inches, with glossy covers. 4th Watch Books is a Service Disabled Veteran Owned Small Business (SDVOSB) and is not affiliated with the National Institute of Standards and Technology.

For more titles published by 4th Watch, please visit:

cybah.webplus.net

A full copy of all the pertinent cybersecurity standards is available on DVD-ROM in the CyberSecurity Standards Library disc which is available at Amazon.com.

GSA P-100 Facilities Standards for the Public Buildings Service

GSA P-120 Cost and Schedule Management Policy Requirements

GSA P-140 Child Care Center Design Guide

GSA Standard Level Features and Finishes for U.S. Courts Facilities

GSA Courtroom Technology Manual

NIST SP 500-299 NIST Cloud Computing Security Reference Architecture

NIST SP 500-291 NIST Cloud Computing Standards Roadmap Version 2

NIST SP 500-293 US Government Cloud Computing Technology Roadmap Volume 1 & 2

NIST SP 500-293 US Government Cloud Computing Technology Roadmap Volume 3 DRAFT

NIST SP 1800-8 Securing Wireless Infusion Pumps

NISTIR 7497 Security Architecture Design Process for Health Information Exchanges (HIEs)

NIST SP 800-66 Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule

NIST SP 1800-1 Securing Electronic Health Records on Mobile Devices

NIST SP 800-177 Trustworthy Email

NIST SP 800-184 Guide for Cybersecurity Event Recovery

NIST SP 800-190 Application Container Security Guide

NIST SP 800-193 Platform Firmware Resiliency Guidelines

NIST SP 1800-1 Securing Electronic Health Records on Mobile Devices

NIST SP 1800-2 Identity and Access Management for Electric Utilities

NIST SP 1800-5 IT Asset Management: Financial Services

NIST SP 1800-6 Domain Name Systems-Based Electronic Mail Security

NIST SP 1800-7 Situational Awareness for Electric Utilities

DoD Medical Space Planning Criteria

FARs Federal Acquisitions Regulation

DFARS Defense Federal Acquisitions Regulations Supplem

Lompati ke konten utama

Browser ini sudah tidak didukung.

Mutakhirkan ke Microsoft Edge untuk memanfaatkan fitur, pembaruan keamanan, dan dukungan teknis terkini.

Detail dari inisiatif bawaan Kepatuhan Peraturan NIST SP 800-171 R2 (Azure Government)

Artikel
11/29/2022
37 menit untuk membaca

Dalam artikel ini

Artikel berikut merinci bagaimana definisi inisiatif bawaan Kepatuhan Azure Policy dipetakan ke domain kepatuhan dan kontrol di NIST SP 800-171 R2 (Azure Government). Untuk informasi lebih lanjut tentang standar kepatuhan ini, lihat NIST SP 800-171 R2. Untuk memahami Kepemilikan, lihat definisi kebijakan Azure Policy dan Tanggung jawab bersama di awan.

Pemetaan berikut adalah untuk kontrol NIST SP 800-171 R2. Gunakan navigasi di sebelah kanan untuk melompat langsung ke domain kepatuhan tertentu. Banyak kontrol diimplementasikan dengan definisi inisiatif Azure Policy. Untuk meninjau definisi inisiatif lengkap, buka Kebijakan di portal Microsoft Azure dan pilih halaman Definisi. Kemudian, temukan dan pilih definisi inisiatif bawaan Kepatuhan Peraturan NIST SP 800-171 R2.

Penting

Setiap kontrol di bawah ini dikaitkan dengan satu atau beberapa definisi Azure Policy. Kebijakan ini mungkin membantu Anda menilai kepatuhan terhadap kontrol; namun, sering kali tidak ada kecocokan satu-ke-satu atau lengkap antara kontrol dan satu atau beberapa kebijakan. Dengan demikian, Kepatuhan di Azure Policy hanya mengacu pada definisi kebijakan itu sendiri; hal tersebut tidak memastikan Anda sepenuhnya mematuhi semua persyaratan kontrol. Selain itu, standar kepatuhan melibatkan kontrol yang tidak dicakup dalam definisi yang ada di Azure Policy saat ini. Oleh karena itu, kepatuhan dalam Azure Policy hanyalah pandangan parsial dari status kepatuhan Anda secara keseluruhan. Hubungan antara domain kepatuhan, kontrol, dan definisi Azure Policy untuk standar kepatuhan ini dapat berubah seiring waktu. Untuk melihat riwayat perubahan, lihat Riwayat Komit GitHub.

Access Control

Batasi akses sistem ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, dan perangkat (termasuk sistem lain).

ID: NIST SP 800-171 R2 3.1.1 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas	Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	ubah	1.0.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna	Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	ubah	1.0.0
Audit komputer Linux yang memungkinkan koneksi jarak jauh dari akun tanpa kata sandi	Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux mengizinkan koneksi jarak jauh dari akun tanpa kata sandi	AuditIfNotExists, Dinonaktifkan	1.0.0
Akun yang tidak digunakan lagi harus dihapus dari langganan Anda	Akun yang tidak digunakan lagi harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk.	AuditIfNotExists, Dinonaktifkan	3.0.0
Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda	Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk.	AuditIfNotExists, Dinonaktifkan	3.0.0
Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda	Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan.	AuditIfNotExists, Dinonaktifkan	3.0.0
Akun eksternal dengan izin baca harus dihapus dari langganan Anda	Akun eksternal dengan hak baca istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan.	AuditIfNotExists, Dinonaktifkan	3.0.0
Akun eksternal dengan izin menulis harus dihapus dari langganan Anda	Akun eksternal dengan hak tulis istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan.	AuditIfNotExists, Dinonaktifkan	3.0.0
Penelusuran kesalahan jarak jauh harus dimatikan untuk API Apps	Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi API. Penelusuran kesalahan jarak jauh harus dinonaktifkan.	AuditIfNotExists, Dinonaktifkan	1.0.0
Debugging jarak jauh harus dimatikan untuk Aplikasi Fungsi	Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan.	AuditIfNotExists, Dinonaktifkan	1.0.0
Debugging jarak jauh harus dimatikan untuk Aplikasi Web	Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi web. Penelusuran kesalahan jarak jauh harus dinonaktifkan.	AuditIfNotExists, Dinonaktifkan	1.0.0
Akun penyimpanan harus membatasi akses jaringan	Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik	Audit, Tolak, Dinonaktifkan	1.1.1
Mesin Windows harus memenuhi persyaratan untuk 'Opsi Keamanan - Keamanan Jaringan'	Mesin Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Keamanan Jaringan' untuk menyertakan perilaku Sistem Lokal, PKU2U, Manajer LAN, klien LDAP, dan NTLM SSP. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol.	AuditIfNotExists, Dinonaktifkan	2.0.0

Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.

ID: NIST SP 800-171 R2 3.1.3 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
CORS tidak boleh mengizinkan setiap sumber daya mengakses Aplikasi Web Anda	Cross-Origin Resource Sharing (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi web Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi web Anda.	AuditIfNotExists, Dinonaktifkan	1.0.0

Pisahkan tugas individu untuk mengurangi risiko aktivitas jahat tanpa kolusi.

ID: NIST SP 800-171 R2 3.1.4 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Maksimum 3 pemilik harus ditunjuk untuk langganan Anda	Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi.	AuditIfNotExists, Dinonaktifkan	3.0.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas	Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	ubah	1.0.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna	Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	ubah	1.0.0
Audit mesin Windows yang tidak memiliki anggota tertentu di grup Administrator	Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika grup Admin lokal tidak berisi satu atau beberapa anggota yang tercantum dalam parameter kebijakan.	auditIfNotExists	1.0.0
Mengaudit komputer Windows yang memiliki anggota yang ditentukan dalam grup Admin	Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika grup Admin lokal berisi satu atau beberapa anggota yang tercantum dalam parameter kebijakan.	auditIfNotExists	1.0.0
Menyebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu di VM Windows	Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	deployIfNotExists	1.0.1
Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda	Sebaiknya tetapkan lebih dari satu pemilik langganan agar memiliki redundansi akses administrator.	AuditIfNotExists, Dinonaktifkan	3.0.0

Pantau dan kendalikan sesi akses jarak jauh.

ID: NIST SP 800-171 R2 3.1.12 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas	Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	ubah	1.0.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna	Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	ubah	1.0.0
Audit komputer Linux yang memungkinkan koneksi jarak jauh dari akun tanpa kata sandi	Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux mengizinkan koneksi jarak jauh dari akun tanpa kata sandi	AuditIfNotExists, Dinonaktifkan	1.0.0
Penelusuran kesalahan jarak jauh harus dimatikan untuk API Apps	Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi API. Penelusuran kesalahan jarak jauh harus dinonaktifkan.	AuditIfNotExists, Dinonaktifkan	1.0.0
Debugging jarak jauh harus dimatikan untuk Aplikasi Fungsi	Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan.	AuditIfNotExists, Dinonaktifkan	1.0.0
Debugging jarak jauh harus dimatikan untuk Aplikasi Web	Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi web. Penelusuran kesalahan jarak jauh harus dinonaktifkan.	AuditIfNotExists, Dinonaktifkan	1.0.0
Akun penyimpanan harus membatasi akses jaringan	Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik	Audit, Tolak, Dinonaktifkan	1.1.1
Mesin Windows harus memenuhi persyaratan untuk 'Opsi Keamanan - Keamanan Jaringan'	Mesin Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Keamanan Jaringan' untuk menyertakan perilaku Sistem Lokal, PKU2U, Manajer LAN, klien LDAP, dan NTLM SSP. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol.	AuditIfNotExists, Dinonaktifkan	2.0.0

Audit dan Akuntabilitas

Membuat dan menyimpan log dan catatan audit sistem sejauh yang diperlukan untuk memungkinkan pemantauan, analisis, investigasi, dan pelaporan aktivitas sistem yang melanggar hukum atau tidak sah.

ID: NIST SP 800-171 R2 3.3.1 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Setelan diagnostik audit	Audit pengaturan diagnostik untuk jenis sumber daya yang dipilih	AuditIfNotExists	1.0.0
Pengauditan di server SQL harus diaktifkan	Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit.	AuditIfNotExists, Dinonaktifkan	2.0.0
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi	Audit server SQL tanpa Advanced Data Security	AuditIfNotExists, Dinonaktifkan	2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi	Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut.	AuditIfNotExists, Dinonaktifkan	1.0.2
Agen Analitik Log harus diaktifkan untuk citra komputer virtual yang tercantum	Melaporkan komputer virtual sebagai tidak patuh jika citra komputer virtual tidak tercantum dalam daftar yang ditentukan dan agen tidak dipasang.	AuditIfNotExists, Dinonaktifkan	pratinjau-2.0.0
Agen Log Analytics harus diaktifkan dalam set skala komputer virtual untuk citra komputer virtual yang tercantum	Melaporkan set skala komputer virtual sebagai tidak patuh jika citra komputer virtual tidak tercantum dalam daftar yang ditentukan dan agen tidak dipasang.	AuditIfNotExists, Dinonaktifkan	2.0.0
Agen Analisis Log harus dipasang pada Virtual Machine Scale Sets	Kebijakan ini mengaudit Virtual Machine Scale Sets Windows/Linux jika agen Analisis Log tidak diinstal.	AuditIfNotExists, Dinonaktifkan	1.0.0
Agen Analytics Log harus dipasang di komputer virtual	Kebijakan ini mengaudit semua komputer virtual Windows/Linux jika agen Log Analytics tidak diinstal.	AuditIfNotExists, Dinonaktifkan	1.0.0
Komputer virtual harus terhubung ke ruang kerja yang ditentukan	Melaporkan komputer virtual sebagai tidak patuh jika tidak masuk ke ruang kerja Log Analytics yang ditentukan dalam penugasan kebijakan/inisiatif.	AuditIfNotExists, Nonaktif	1.1.0

Pastikan bahwa tindakan masing-masing pengguna sistem dapat dilacak secara unik ke pengguna tersebut, sehingga mereka dapat dimintai pertanggungjawaban atas tindakan mereka.

ID: NIST SP 800-171 R2 3.3.2 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Setelan diagnostik audit	Audit pengaturan diagnostik untuk jenis sumber daya yang dipilih	AuditIfNotExists	1.0.0
Pengauditan di server SQL harus diaktifkan	Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit.	AuditIfNotExists, Dinonaktifkan	2.0.0
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi	Audit server SQL tanpa Advanced Data Security	AuditIfNotExists, Dinonaktifkan	2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi	Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut.	AuditIfNotExists, Dinonaktifkan	1.0.2
Agen Analitik Log harus diaktifkan untuk citra komputer virtual yang tercantum	Melaporkan komputer virtual sebagai tidak patuh jika citra komputer virtual tidak tercantum dalam daftar yang ditentukan dan agen tidak dipasang.	AuditIfNotExists, Dinonaktifkan	pratinjau-2.0.0
Agen Log Analytics harus diaktifkan dalam set skala komputer virtual untuk citra komputer virtual yang tercantum	Melaporkan set skala komputer virtual sebagai tidak patuh jika citra komputer virtual tidak tercantum dalam daftar yang ditentukan dan agen tidak dipasang.	AuditIfNotExists, Dinonaktifkan	2.0.0
Agen Analisis Log harus dipasang pada Virtual Machine Scale Sets	Kebijakan ini mengaudit Virtual Machine Scale Sets Windows/Linux jika agen Analisis Log tidak diinstal.	AuditIfNotExists, Dinonaktifkan	1.0.0
Agen Analytics Log harus dipasang di komputer virtual	Kebijakan ini mengaudit semua komputer virtual Windows/Linux jika agen Log Analytics tidak diinstal.	AuditIfNotExists, Dinonaktifkan	1.0.0
Komputer virtual harus terhubung ke ruang kerja yang ditentukan	Melaporkan komputer virtual sebagai tidak patuh jika tidak masuk ke ruang kerja Log Analytics yang ditentukan dalam penugasan kebijakan/inisiatif.	AuditIfNotExists, Nonaktif	1.1.0

Peringatan jika terjadi kegagalan proses logging audit.

ID: NIST SP 800-171 R2 3.3.4 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Setelan diagnostik audit	Audit pengaturan diagnostik untuk jenis sumber daya yang dipilih	AuditIfNotExists	1.0.0
Pengauditan di server SQL harus diaktifkan	Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit.	AuditIfNotExists, Dinonaktifkan	2.0.0
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi	Audit server SQL tanpa Advanced Data Security	AuditIfNotExists, Dinonaktifkan	2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi	Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut.	AuditIfNotExists, Dinonaktifkan	1.0.2

Manajemen Konfigurasi

Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.

ID: NIST SP 800-171 R2 3.4.7 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda	Aktifkan kontrol aplikasi untuk menentukan daftar aplikasi yang diketahui aman yang sedang berjalan di komputer Anda, dan aktifkan pemberitahuan ketika aplikasi lain berjalan. Hal ini membantu memperkuat komputer Anda terhadap malware. Untuk menyederhanakan proses konfigurasi dan pemeliharaan aturan Anda, Security Center menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di setiap komputer dan menyarankan daftar aplikasi yang diketahui aman.	AuditIfNotExists, Dinonaktifkan	3.0.0

Terapkan kebijakan tolak-dengan-pengecualian (daftar hitam) untuk mencegah penggunaan perangkat lunak tidak sah atau tolak-semua, kebijakan izin-dengan-pengecualian (daftar putih) untuk mengizinkan eksekusi perangkat lunak resmi.

ID: NIST SP 800-171 R2 3.4.8 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda	Aktifkan kontrol aplikasi untuk menentukan daftar aplikasi yang diketahui aman yang sedang berjalan di komputer Anda, dan aktifkan pemberitahuan ketika aplikasi lain berjalan. Hal ini membantu memperkuat komputer Anda terhadap malware. Untuk menyederhanakan proses konfigurasi dan pemeliharaan aturan Anda, Security Center menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di setiap komputer dan menyarankan daftar aplikasi yang diketahui aman.	AuditIfNotExists, Dinonaktifkan	3.0.0

Kontrol dan pantau perangkat lunak yang diinstal pengguna.

ID: NIST SP 800-171 R2 3.4.9 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda	Aktifkan kontrol aplikasi untuk menentukan daftar aplikasi yang diketahui aman yang sedang berjalan di komputer Anda, dan aktifkan pemberitahuan ketika aplikasi lain berjalan. Hal ini membantu memperkuat komputer Anda terhadap malware. Untuk menyederhanakan proses konfigurasi dan pemeliharaan aturan Anda, Security Center menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di setiap komputer dan menyarankan daftar aplikasi yang diketahui aman.	AuditIfNotExists, Dinonaktifkan	3.0.0

Identifikasi dan Autentikasi

Identifikasi pengguna sistem, proses yang bertindak atas nama pengguna, dan perangkat.

ID: NIST SP 800-171 R2 3.5.1 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
MFA harus mengaktifkan akun dengan izin menulis pada langganan Anda	Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak tulis istimewa untuk mencegah pelanggaran akun atau sumber daya.	AuditIfNotExists, Dinonaktifkan	3.0.0
MFA harus diaktifkan pada akun dengan izin pemilik pada langganan Anda	Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya.	AuditIfNotExists, Dinonaktifkan	3.0.0

Autentikasi (atau verifikasi) identitas pengguna, proses, atau perangkat, sebagai prasyarat untuk mengizinkan akses ke sistem organisasi.

ID: NIST SP 800-171 R2 3.5.2 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas	Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	ubah	1.0.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna	Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	ubah	1.0.0
Mengaudit komputer Linux yang memiliki akun tanpa kata sandi	Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux memiliki akun tanpa kata sandi	AuditIfNotExists, Dinonaktifkan	1.0.0
Mesin Windows harus memenuhi persyaratan untuk 'Opsi Keamanan - Keamanan Jaringan'	Mesin Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Keamanan Jaringan' untuk menyertakan perilaku Sistem Lokal, PKU2U, Manajer LAN, klien LDAP, dan NTLM SSP. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol.	AuditIfNotExists, Dinonaktifkan	2.0.0

Gunakan autentikasi multifaktor untuk akses lokal dan jaringan ke akun istimewa dan untuk akses jaringan ke akun non-hak istimewa.

ID: NIST SP 800-171 R2 3.5.3 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
MFA harus mengaktifkan akun dengan izin menulis pada langganan Anda	Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak tulis istimewa untuk mencegah pelanggaran akun atau sumber daya.	AuditIfNotExists, Dinonaktifkan	3.0.0
MFA harus diaktifkan pada akun dengan izin pemilik pada langganan Anda	Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya.	AuditIfNotExists, Dinonaktifkan	3.0.0
MFA harus diaktifkan pada akun dengan izin baca pada langganan Anda	Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak baca istimewa untuk mencegah pelanggaran akun atau sumber daya.	AuditIfNotExists, Dinonaktifkan	3.0.0

Terapkan kompleksitas kata sandi minimum dan perubahan karakter saat kata sandi baru dibuat.

ID: NIST SP 800-171 R2 3.5.7 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas	Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	ubah	1.0.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna	Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	ubah	1.0.0
Mengaudit komputer Linux yang memiliki akun tanpa kata sandi	Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux memiliki akun tanpa kata sandi	AuditIfNotExists, Dinonaktifkan	1.0.0
Audit komputer Windows dengan setelan kompleksitas kata sandi tidak diaktifkan	Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak memiliki setelan kompleksitas kata sandi yang diaktifkan	AuditIfNotExists, Dinonaktifkan	1.0.0
Mengaudit komputer Windows yang tidak membatasi panjang kata sandi minimum hingga 14 karakter	Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak membatasi panjang kata sandi minimal hingga 14 karakter	AuditIfNotExists, Dinonaktifkan	1.0.0
Menyebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu di VM Windows	Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	deployIfNotExists	1.0.1
Mesin Windows harus memenuhi persyaratan untuk 'Opsi Keamanan - Keamanan Jaringan'	Mesin Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Keamanan Jaringan' untuk menyertakan perilaku Sistem Lokal, PKU2U, Manajer LAN, klien LDAP, dan NTLM SSP. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol.	AuditIfNotExists, Dinonaktifkan	2.0.0

Melarang penggunaan kembali kata sandi untuk sejumlah generasi tertentu.

ID: NIST SP 800-171 R2 3.5.8 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas	Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	ubah	1.0.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna	Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	ubah	1.0.0
Mengaudit komputer Windows yang mengizinkan penggunaan kembali 24 kata sandi sebelumnya	Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows mengizinkan penggunaan kembali 24 kata sandi sebelumnya	AuditIfNotExists, Dinonaktifkan	1.0.0
Menyebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu di VM Windows	Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	deployIfNotExists	1.0.1

Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografis.

ID: NIST SP 800-171 R2 3.5.10 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas	Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	ubah	1.0.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna	Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	ubah	1.0.0
Audit mesin Linux yang tidak memiliki izin file passwd diatur ke 0644	Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux izin file kata sandinya tidak diatur ke 0644	AuditIfNotExists, Dinonaktifkan	1.0.0
Mengaudit komputer Windows yang tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibalik	Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibatalkan	AuditIfNotExists, Dinonaktifkan	1.0.0
Menyebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu di VM Windows	Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	deployIfNotExists	1.0.1
Mesin Windows harus memenuhi persyaratan untuk 'Opsi Keamanan - Keamanan Jaringan'	Mesin Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Keamanan Jaringan' untuk menyertakan perilaku Sistem Lokal, PKU2U, Manajer LAN, klien LDAP, dan NTLM SSP. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol.	AuditIfNotExists, Dinonaktifkan	2.0.0

Tugas beresiko

Pindai kerentanan dalam sistem dan aplikasi organisasi secara berkala dan ketika kerentanan baru yang memengaruhi sistem dan aplikasi tersebut diidentifikasi.

ID: NIST SP 800-171 R2 3.11.2 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi	Audit server SQL tanpa Advanced Data Security	AuditIfNotExists, Dinonaktifkan	2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi	Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut.	AuditIfNotExists, Dinonaktifkan	1.0.2
Database SQL harus memiliki temuan kerentanan yang diselesaikan	Pantau hasil pemindaian penilaian kerentanan dan rekomendasi tentang cara memulihkan kerentanan basis data.	AuditIfNotExists, Dinonaktifkan	4.0.0
Kerentanan dalam konfigurasi keamanan kontainer harus diperbaiki	Audit kerentanan dalam konfigurasi keamanan pada mesin dengan Docker diinstal dan ditampilkan sebagai rekomendasi di Security Center.	AuditIfNotExists, Dinonaktifkan	3.0.0
Kerentanan dalam konfigurasi keamanan di komputer Anda harus diremediasi	Server yang tidak memenuhi baseline yang dikonfigurasi akan dipantau oleh Azure Security Center sebagai rekomendasi	AuditIfNotExists, Dinonaktifkan	3.0.0
Kerentanan dalam konfigurasi keamanan pada set skala komputer virtual Anda harus diperbaiki	Audit kerentanan OS pada set skala komputer virtual Anda untuk melindunginya dari serangan.	AuditIfNotExists, Dinonaktifkan	3.0.0

Perlindungan Sistem dan Komunikasi

Memantau, mengontrol, dan melindungi komunikasi (yaitu, informasi yang dikirim atau diterima oleh sistem organisasi) pada batas eksternal dan batas internal utama sistem organisasi.

ID: NIST SP 800-171 R2 3.13.1 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas	Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	ubah	1.0.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna	Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	ubah	1.0.0
Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan komputer virtual Anda	Azure Security Center telah mengidentifikasi beberapa aturan masuk grup keamanan jaringan Anda terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda.	AuditIfNotExists, Dinonaktifkan	3.0.0
API Apps seharusnya hanya dapat diakses melalui HTTPS	Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan.	Audit, Dinonaktifkan	1.0.0
Menyebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu di VM Windows	Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	deployIfNotExists	1.0.1
Aplikasi Fungsi seharusnya hanya dapat diakses melalui HTTPS	Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan.	Audit, Dinonaktifkan	1.0.0
Versi TLS terbaru harus digunakan di API Apps Anda	Mutakhirkan ke versi TLS terbaru	AuditIfNotExists, Dinonaktifkan	1.0.0
Versi TLS terbaru harus digunakan di Aplikasi Fungsi Anda	Mutakhirkan ke versi TLS terbaru	AuditIfNotExists, Dinonaktifkan	1.0.0
Versi TLS terbaru harus digunakan di Aplikasi Web Anda	Mutakhirkan ke versi TLS terbaru	AuditIfNotExists, Dinonaktifkan	1.0.0
Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan	Audit memungkinkan hanya koneksi melalui SSL ke Azure Cache for Redis. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking	Audit, Tolak, Dinonaktifkan	1.0.0
Transfer aman ke akun penyimpanan harus diaktifkan	Persyaratan audit Transfer aman di akun penyimpanan Anda. Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking	Audit, Tolak, Dinonaktifkan	2.0.0
Akun penyimpanan harus membatasi akses jaringan	Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik	Audit, Tolak, Dinonaktifkan	1.1.1
Aplikasi Web hanya dapat diakses melalui HTTPS	Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan.	Audit, Dinonaktifkan	1.0.0
Server web Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman	Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, server web Anda harus menggunakan versi terbaru dari protokol kriptografi standar industri, Transport Layer Security (TLS). TLS mengamankan komunikasi melalui jaringan dengan menggunakan sertifikat keamanan untuk mengenkripsi koneksi antar komputer.	AuditIfNotExists, Dinonaktifkan	3.0.0

Menerapkan subnetwork untuk komponen sistem yang dapat diakses publik yang secara fisik atau logis terpisah dari jaringan internal.

ID: NIST SP 800-171 R2 3.13.5 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan komputer virtual Anda	Azure Security Center telah mengidentifikasi beberapa aturan masuk grup keamanan jaringan Anda terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda.	AuditIfNotExists, Dinonaktifkan	3.0.0
Komputer virtual yang memiliki akses Internet harus dilindungi dengan kelompok keamanan jaringan	Lindungi komputer virtual Anda dari potensi ancaman dengan membatasi akses ke komputer virtual tersebut dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc	AuditIfNotExists, Dinonaktifkan	3.0.0
Akun penyimpanan harus membatasi akses jaringan	Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik	Audit, Tolak, Dinonaktifkan	1.1.1

Menerapkan mekanisme kriptografi untuk mencegah pengungkapan CUI yang tidak sah selama transmisi kecuali jika dilindungi oleh pengamanan fisik alternatif.

ID: NIST SP 800-171 R2 3.13.8 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas	Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	ubah	1.0.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna	Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	ubah	1.0.0
Aplikasi API seharusnya hanya dapat diakses melalui HTTPS	Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan.	Audit, Dinonaktifkan	1.0.0
Menyebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu di VM Windows	Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol.	deployIfNotExists	1.0.1
Aplikasi Fungsi seharusnya hanya dapat diakses melalui HTTPS	Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan.	Audit, Dinonaktifkan	1.0.0
Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan	Audit memungkinkan hanya koneksi melalui SSL ke Azure Cache for Redis. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking	Audit, Tolak, Dinonaktifkan	1.0.0
Transfer aman ke akun penyimpanan harus diaktifkan	Persyaratan audit Transfer aman di akun penyimpanan Anda. Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking	Audit, Tolak, Dinonaktifkan	2.0.0
Aplikasi Web hanya boleh diakses melalui HTTPS	Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan.	Audit, Dinonaktifkan	1.0.0
Server web Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman	Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, server web Anda harus menggunakan versi terbaru dari protokol kriptografi standar industri, Transport Layer Security (TLS). TLS mengamankan komunikasi melalui jaringan dengan menggunakan sertifikat keamanan untuk mengenkripsi koneksi antar komputer.	AuditIfNotExists, Dinonaktifkan	3.0.0

Lindungi kerahasiaan CUI saat tidak aktif.

ID: NIST SP 800-171 R2 3.13.16 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi	Audit server SQL tanpa Advanced Data Security	AuditIfNotExists, Dinonaktifkan	2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi	Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut.	AuditIfNotExists, Dinonaktifkan	1.0.2
Enkripsi Data Transparan pada database SQL harus diaktifkan	Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan	AuditIfNotExists, Dinonaktifkan	2.0.0
Komputer virtual harus mengenkripsi disk sementara, cache, serta aliran data antara sumber daya Komputasi dan Penyimpanan	Secara default, OS dan disk data mesin virtual dienkripsi saat tidak aktif menggunakan kunci yang dikelola platform. Disk sementara, cache data, dan data yang mengalir di antara komputasi dan penyimpanan tidak dienkripsi. Abaikan rekomendasi ini jika: 1. menggunakan enkripsi di host, atau 2. enkripsi sisi server pada Disk Terkelola memenuhi persyaratan keamanan Anda. Pelajari lebih lanjut di Enkripsi sisi server Azure Disk Storage dan Berbagai penawaran enkripsi disk.	AuditIfNotExists, Dinonaktifkan	2.0.2

Integritas Sistem dan Informasi

Identifikasi, laporkan, dan perbaiki kelemahan sistem secara tepat waktu.

ID: NIST SP 800-171 R2 3.14.1 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Pastikan ‘Versi HTTP’ adalah yang terbaru, jika digunakan untuk menjalankan aplikasi API	Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux.	AuditIfNotExists, Dinonaktifkan	2.0.0
Pastikan 'Versi HTTP' adalah yang terbaru, jika digunakan untuk menjalankan aplikasi Fungsi	Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux.	AuditIfNotExists, Dinonaktifkan	2.0.0
Pastikan 'Versi HTTP' adalah yang terbaru, jika digunakan untuk menjalankan aplikasi Web	Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux.	AuditIfNotExists, Dinonaktifkan	2.0.0
Pastikan 'Versi Java' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi API	Secara berkala, versi yang lebih baru dirilis untuk Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi API disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux.	AuditIfNotExists, Dinonaktifkan	2.0.0
Pastikan 'Versi Java' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi Fungsi	Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Java terbaru untuk aplikasi Fungsi disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux.	AuditIfNotExists, Dinonaktifkan	2.0.0
Pastikan 'Versi Java' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi Web	Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Java terbaru untuk aplikasi web disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux.	AuditIfNotExists, Dinonaktifkan	2.0.0
Pastikan 'versi PHP' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi API	Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak PHP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi PHP terbaru untuk aplikasi API disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux.	AuditIfNotExists, Dinonaktifkan	2.1.0
Pastikan 'versi PHP' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi WEB	Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak PHP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi PHP terbaru untuk aplikasi web disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux.	AuditIfNotExists, Dinonaktifkan	2.1.0
Pastikan 'Versi Python' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi API	Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi API disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux.	AuditIfNotExists, Dinonaktifkan	3.0.0
Pastikan 'versi Python' adalah yang terbaru, jika digunakan sebagai bagian dari Aplikasi fungsi	Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi Fungsi disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux.	AuditIfNotExists, Dinonaktifkan	3.0.0
Pastikan 'versi Python' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi Web	Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi web disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux.	AuditIfNotExists, Dinonaktifkan	3.0.0
Layanan Kubernetes harus ditingkatkan ke versi Kubernetes yang tidak rentan	Tingkatkan klaster layanan Kubernetes Anda ke versi Kubernetes yang lebih baru untuk melindungi dari kerentanan yang diketahui di versi Kubernetes Anda saat ini. Kerentanan CVE-2019-9946 telah di-patch di Kubernetes versi 1.11.9+, 1.12.7+, 1.13.5+, dan 1.14.0+	Audit, Dinonaktifkan	1.0.2
Versi TLS terbaru harus digunakan di API Apps Anda	Mutakhirkan ke versi TLS terbaru	AuditIfNotExists, Dinonaktifkan	1.0.0
Versi TLS terbaru harus digunakan di Aplikasi Fungsi Anda	Mutakhirkan ke versi TLS terbaru	AuditIfNotExists, Dinonaktifkan	1.0.0
Versi TLS terbaru harus digunakan di Aplikasi Web Anda	Mutakhirkan ke versi TLS terbaru	AuditIfNotExists, Dinonaktifkan	1.0.0
Database SQL harus memiliki temuan kerentanan yang diselesaikan	Pantau hasil pemindaian penilaian kerentanan dan rekomendasi tentang cara memulihkan kerentanan basis data.	AuditIfNotExists, Dinonaktifkan	4.0.0
Pembaruan sistem pada set skala komputer virtual harus dipasang	Audit apakah ada pembaruan keamanan sistem yang hilang dan pembaruan penting yang harus diinstal untuk memastikan bahwa set skala komputer virtual Windows dan Linux Anda aman.	AuditIfNotExists, Dinonaktifkan	3.0.0
Pembaruan sistem harus dipasang di komputer Anda	Pembaruan sistem keamanan yang hilang di server Anda akan dipantau oleh Azure Security Center sebagai rekomendasi	AuditIfNotExists, Dinonaktifkan	3.0.0
Kerentanan dalam konfigurasi keamanan di komputer Anda harus diremediasi	Server yang tidak memenuhi baseline yang dikonfigurasi akan dipantau oleh Azure Security Center sebagai rekomendasi	AuditIfNotExists, Dinonaktifkan	3.0.0
Kerentanan dalam konfigurasi keamanan pada set skala komputer virtual Anda harus diperbaiki	Audit kerentanan OS pada set skala komputer virtual Anda untuk melindunginya dari serangan.	AuditIfNotExists, Dinonaktifkan	3.0.0

Memberikan perlindungan dari kode berbahaya di lokasi yang ditentukan dalam sistem organisasi.

ID: NIST SP 800-171 R2 3.14.2 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Solusi perlindungan titik akhir harus diinstal di set skala komputer virtual	Audit keberadaan dan kesehatan solusi perlindungan titik akhir pada set skala komputer virtual Anda, untuk melindunginya dari ancaman dan kerentanan.	AuditIfNotExists, Dinonaktifkan	3.0.0
Ekstensi Microsoft IaaSAntimalware harus disebarkan di server Windows	Kebijakan ini mengaudit VM server Windows apa pun tanpa ekstensi Microsoft IaaSAntimalware yang diterapkan.	AuditIfNotExists, Dinonaktifkan	1.0.0
Memantau Perlindungan Titik Akhir yang tidak ada di Azure Security Center	Server tanpa agen Perlindungan Titik Akhir yang diinstal akan dipantau oleh Azure Security Center sebagai rekomendasi	AuditIfNotExists, Dinonaktifkan	3.1.0

Pantau sistem organisasi, termasuk lalu lintas komunikasi masuk dan keluar, untuk mendeteksi serangan dan indikator potensi serangan.

ID: NIST SP 800-171 R2 3.14.6 Kepemilikan: Bersama

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi	Audit server SQL tanpa Advanced Data Security	AuditIfNotExists, Dinonaktifkan	2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi	Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut.	AuditIfNotExists, Dinonaktifkan	1.0.2
Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan	Untuk memastikan pemilik langganan Anda diberitahu ketika ada potensi pelanggaran keamanan di langganan mereka, atur pemberitahuan email ke pemilik langganan untuk peringatan tingkat keparahan tinggi di Security Center.	AuditIfNotExists, Dinonaktifkan	2.0.0
Network Watcher harus diaktifkan	Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu.	AuditIfNotExists, Dinonaktifkan	3.0.0
Langganan harus memiliki alamat email kontak untuk masalah keamanan	Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Security Center.	AuditIfNotExists, Dinonaktifkan	1.0.1

Langkah berikutnya

Artikel tambahan tentang Azure Policy:

Ikhtisar Kepatuhan terhadap Peraturan.
Lihat struktur definisi inisiatif.
Tinjau contoh lain di Contoh Azure Policy.
Tinjau Memahami efek kebijakan.
Pelajari cara memulihkan sumber daya yang tidak sesuai syarat.

Additional resources

Definisi panduan tentang nist sp 800-101

Detail dari inisiatif bawaan Kepatuhan Peraturan NIST SP 800-171 R2 (Azure Government)

Dalam artikel ini

Access Control

Batasi akses sistem ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, dan perangkat (termasuk sistem lain).

Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.

Pisahkan tugas individu untuk mengurangi risiko aktivitas jahat tanpa kolusi.

Pantau dan kendalikan sesi akses jarak jauh.

Audit dan Akuntabilitas

Membuat dan menyimpan log dan catatan audit sistem sejauh yang diperlukan untuk memungkinkan pemantauan, analisis, investigasi, dan pelaporan aktivitas sistem yang melanggar hukum atau tidak sah.

Pastikan bahwa tindakan masing-masing pengguna sistem dapat dilacak secara unik ke pengguna tersebut, sehingga mereka dapat dimintai pertanggungjawaban atas tindakan mereka.

Peringatan jika terjadi kegagalan proses logging audit.

Manajemen Konfigurasi

Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.

Terapkan kebijakan tolak-dengan-pengecualian (daftar hitam) untuk mencegah penggunaan perangkat lunak tidak sah atau tolak-semua, kebijakan izin-dengan-pengecualian (daftar putih) untuk mengizinkan eksekusi perangkat lunak resmi.

Kontrol dan pantau perangkat lunak yang diinstal pengguna.

Identifikasi dan Autentikasi

Identifikasi pengguna sistem, proses yang bertindak atas nama pengguna, dan perangkat.

Autentikasi (atau verifikasi) identitas pengguna, proses, atau perangkat, sebagai prasyarat untuk mengizinkan akses ke sistem organisasi.

Gunakan autentikasi multifaktor untuk akses lokal dan jaringan ke akun istimewa dan untuk akses jaringan ke akun non-hak istimewa.

Terapkan kompleksitas kata sandi minimum dan perubahan karakter saat kata sandi baru dibuat.

Melarang penggunaan kembali kata sandi untuk sejumlah generasi tertentu.

Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografis.

Tugas beresiko

Pindai kerentanan dalam sistem dan aplikasi organisasi secara berkala dan ketika kerentanan baru yang memengaruhi sistem dan aplikasi tersebut diidentifikasi.

Perlindungan Sistem dan Komunikasi

Memantau, mengontrol, dan melindungi komunikasi (yaitu, informasi yang dikirim atau diterima oleh sistem organisasi) pada batas eksternal dan batas internal utama sistem organisasi.

Menerapkan subnetwork untuk komponen sistem yang dapat diakses publik yang secara fisik atau logis terpisah dari jaringan internal.

Menerapkan mekanisme kriptografi untuk mencegah pengungkapan CUI yang tidak sah selama transmisi kecuali jika dilindungi oleh pengamanan fisik alternatif.

Lindungi kerahasiaan CUI saat tidak aktif.

Integritas Sistem dan Informasi

Identifikasi, laporkan, dan perbaiki kelemahan sistem secara tepat waktu.

Memberikan perlindungan dari kode berbahaya di lokasi yang ditentukan dalam sistem organisasi.

Pantau sistem organisasi, termasuk lalu lintas komunikasi masuk dan keluar, untuk mendeteksi serangan dan indikator potensi serangan.

Langkah berikutnya

Additional resources

Pos Terkait

Periklanan

BERITA TERKINI

Toplist Popular

Periklanan

Terpopuler

Periklanan

Tentang Kami

Legal

Dukungan

Social