تعريفات Azure Policy المضمنة لأجهزة Azure الظاهرية
ينطبق على: ✔️ أجهزة ظاهرية بنظام التشغيل Linux ✔️ أجهزة ظاهرية بنظام التشغيل Windows ✔️ مجموعات التوسعة المرنة ✔️ مجموعات التوسعة الموحدة
هذه الصفحة عبارة عن فهرس تعريفات نهج Azure Policy المضمنة لأجهزة Azure الظاهرية. للحصول على مزيد من البنى الإضافية لـ Azure Policy للخدمات الأخرى، راجع التعريفات المضمنة في Azure Policy.
اسم كل ارتباط لتعريف سياسة مضمنة لتعريف سياسة في مدخل Azure. أستخدم الرابط الموجود في العمود Version لعرض المصدر على Azure Policy GitHub repo.
Microsoft.Compute
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب تمكين هوية مدارة على أجهزتك | يجب أن يكون للموارد المدارة بواسطة Automanage هوية مدارة. | المراجعة، معطلة | 1.0.0-المعاينة |
| [معاينة]: إضافة هوية مدارة يعينها المستخدم لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية | يضيف هذا النهج هوية مُدارة يعينها المستخدم إلى الأجهزة الظاهرية المستضافة في Azure والمدعومة من قبل تكوين الضيف. يعد الهوية المُدارة التي يعيّنها المستخدم شرطًا أساسيًا لجميع تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أي تعريفات لسياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | AuditIfNotExists، DeployIfNotExists، مُعطل | -preview 2.1.0 |
| [معاينة]: تعيين هوية مدارة معينة من قبل المستخدم إلى مجموعات مقياس الجهاز الظاهري | قم بإنشاء وتعيين هوية مُدارة مضمنة من قبل المستخدم أو قم بتعيين هوية مُدارة مُنشأة مسبقًا من قبل المستخدم على نطاق واسع لمجموعات مقياس الجهاز الافتراضي. لمزيد من الوثائق التفصيلية، تفضل بزيارة aka.ms/managedidentitypolicy. | AuditIfNotExists، DeployIfNotExists، مُعطل | 1.1.0-preview |
| [معاينة]: تعيين هوية مدارة مخصصة من قبل المستخدم للأجهزة الظاهرية | قم بإنشاء وتعيين هوية مُدارة مضمنة من قبل المستخدم أو قم بتعيين هوية مُدارة مُنشأة مسبقًا من قبل المستخدم على نطاق واسع للأجهزة الظاهرية. لمزيد من الوثائق التفصيلية، تفضل بزيارة aka.ms/managedidentitypolicy. | AuditIfNotExists، DeployIfNotExists، مُعطل | 1.1.0-preview |
| [معاينة]: يجب أن يكون تعيين ملف تعريف تكوين الإدارة التلقائية متوافقا | يجب أن يكون للموارد التي تديرها Automanage حالة مطابقة أو متوافقة مع التصحيح. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تمكين Azure Backup للأقراص المدارة | تأكد من حماية الأقراص المدارة عن طريق تمكين Azure Backup. النسخ الاحتياطي Azure هو حل آمن وفعال من حيث التكلفة لحماية البيانات لـ Azure. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تثبيت عامل أمان Azure على مجموعات مقياس الجهاز الظاهري Linux | قم بتثبيت عامل أمان Azure على مجموعات مقاييس أجهزة Linux الظاهرية لمراقبة أجهزتك بحثًا عن تكوينات الأمان والثغرات الأمنية. يمكن رؤية نتائج التقييمات وإدارتها في مركز أمان Azure. | AuditIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: يجب تثبيت عامل أمان Azure على أجهزة Linux الظاهرية | قم بتثبيت عامل أمان Azure على أجهزة Linux الظاهرية لمراقبة أجهزتك بحثًا عن تكوينات الأمان والثغرات الأمنية. يمكن رؤية نتائج التقييمات وإدارتها في مركز أمان Azure. | AuditIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: يجب تثبيت عامل أمان Azure على مجموعات مقياس الجهاز الظاهري ل Windows | قم بتثبيت عامل أمان Azure على مجموعات مقاييس أجهزة Windows الظاهرية لمراقبة أجهزتك بحثًا عن تكوينات الأمان والثغرات الأمنية. يمكن رؤية نتائج التقييمات وإدارتها في مركز أمان Azure. | AuditIfNotExists، معطل | -preview 2.1.0 |
| [معاينة]: يجب تثبيت عامل أمان Azure على الأجهزة الظاهرية التي تعمل بنظام Windows | قم بتثبيت عامل أمان Azure على أجهزة Windows الظاهرية لمراقبة أجهزتك بحثًا عن تكوينات الأمان والثغرات الأمنية. يمكن رؤية نتائج التقييمات وإدارتها في مركز أمان Azure. | AuditIfNotExists، معطل | -preview 2.1.0 |
| [معاينة]: يجب تمكين تشخيصات التمهيد على الأجهزة الظاهرية | يجب أن تكون أجهزة Azure الظاهرية ممكنة ل diagniostics التمهيد. | المراجعة، معطلة | 1.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق ChangeTracking على جهازك الظاهري الذي يعمل بنظام Linux | قم بتثبيت ملحق ChangeTracking على أجهزة Linux الظاهرية لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitoring Agent. | AuditIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق ChangeTracking على مجموعات مقياس الجهاز الظاهري Linux | قم بتثبيت ملحق ChangeTracking على مجموعات مقياس أجهزة Linux الظاهرية لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitoring Agent. | AuditIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق ChangeTracking على جهازك الظاهري الذي يعمل بنظام Windows | قم بتثبيت ملحق ChangeTracking على أجهزة Windows الظاهرية لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitoring Agent. | AuditIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق ChangeTracking على مجموعات مقياس الجهاز الظاهري ل Windows | قم بتثبيت ملحق ChangeTracking على مجموعات مقياس أجهزة Windows الظاهرية لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitoring Agent. | AuditIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين Azure Defender لعامل SQL على الجهاز الظاهري | تكوين أجهزة Windows لتثبيت Azure Defender لوكيل SQL تلقائيًا حيث تم تثبيت Azure Monitor Agent. يجمع Security Center الأحداث من الوكيل، ويستخدمها لتقديم تنبيهات أمنية ومهام تقوية مخصصة (توصيات). يُنشئ مجموعة موارد ومساحة عمل تحليلات السجل في نفس منطقة الجهاز. يجب أن تكون الأجهزة الظاهرية المستهدفة في موقع مدعوم. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين النسخ الاحتياطي لأقراص Azure (الأقراص المدارة) مع علامة معينة إلى مخزن نسخ احتياطي موجود في نفس المنطقة | فرض النسخ الاحتياطي لجميع أقراص Azure (الأقراص المدارة) التي تحتوي على علامة معينة إلى مخزن النسخ الاحتياطي المركزي. تعرّف على المزيد من خلال: https://aka.ms/AB-DiskBackupAzPolicies. | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين النسخ الاحتياطي لأقراص Azure (الأقراص المدارة) دون علامة معينة إلى مخزن نسخ احتياطي موجود في نفس المنطقة | فرض النسخ الاحتياطي لجميع أقراص Azure (الأقراص المدارة) التي لا تحتوي على علامة معينة إلى مخزن النسخ الاحتياطي المركزي. تعرّف على المزيد من خلال: https://aka.ms/AB-DiskBackupAzPolicies. | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين ChangeTracking Extension لمجموعات مقياس الجهاز الظاهري Linux | قم بتكوين مجموعات مقياس جهاز Linux الظاهري لتثبيت ملحق ChangeTracking تلقائياً لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitor Agent. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين ChangeTracking Extension لأجهزة Linux الظاهرية | قم بتكوين أجهزة Linux الظاهرية لتثبيت ملحق ChangeTracking تلقائياً لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitor Agent. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين ChangeTracking Extension لمجموعات مقياس الجهاز الظاهري ل Windows | قم بتكوين مجموعات مقياس جهاز Windows الظاهري لتثبيت ملحق ChangeTracking تلقائياً لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitor Agent. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين ChangeTracking Extension للأجهزة الظاهرية التي تعمل بنظام Windows | قم بتكوين أجهزة Windows الظاهرية لتثبيت ملحق ChangeTracking تلقائياً لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitor Agent. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين أجهزة Linux الظاهرية ليتم ربطها بقاعدة تجميع البيانات ل ChangeTracking and Inventory | نشر الاقتران لربط أجهزة Linux الظاهرية بقاعدة تجميع البيانات المحددة لتمكين ChangeTracking and Inventory. يتم تحديث قائمة المواقع وصور نظام التشغيل بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين أجهزة Linux الظاهرية لتثبيت AMA ل ChangeTracking والمخزون باستخدام الهوية المدارة المعينة من قبل المستخدم | أتمتة نشر ملحق Azure Monitor Agent على أجهزة Linux الظاهرية لتمكين ChangeTracking and Inventory. ستعمل هذه النهج على تثبيت الملحق وتكوينه لاستخدام هوية مُدارة محددة يعينها المستخدم إذا كان نظام التشغيل والمنطقة مدعومين، وتخطي التثبيت بخلاف ذلك. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | معاينة 1.5.0 |
| [معاينة]: تكوين Linux VMSS ليتم ربطه بقاعدة تجميع البيانات ل ChangeTracking and Inventory | انشر Association لربط مجموعات مقياس الجهاز الظاهري Linux بقاعدة تجميع البيانات المحددة لتمكين ChangeTracking and Inventory. يتم تحديث قائمة المواقع وصور نظام التشغيل بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين Linux VMSS لتثبيت AMA ل ChangeTracking والمخزون باستخدام الهوية المدارة المعينة من قبل المستخدم | أتمتة نشر ملحق Azure Monitor Agent على مجموعات مقياس الجهاز الظاهري Linux لتمكين ChangeTracking and Inventory. ستعمل هذه النهج على تثبيت الملحق وتكوينه لاستخدام هوية مُدارة محددة يعينها المستخدم إذا كان نظام التشغيل والمنطقة مدعومين، وتخطي التثبيت بخلاف ذلك. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | معاينة 1.4.0 |
| [معاينة]: تكوين مجموعات مقياس الجهاز الظاهري ل Linux المدعومة لتثبيت عامل أمان Azure تلقائيا | تكوين مجموعات مقاييس أجهزة Linux الظاهرية المدعومة لتثبيت عامل أمان Azure تلقائيًا. يجمع Security Center الأحداث من الوكيل، ويستخدمها لتقديم تنبيهات أمنية ومهام تقوية مخصصة (توصيات). يجب أن تكون الأجهزة الظاهرية المستهدفة في موقع مدعوم. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين مجموعات مقياس الجهاز الظاهري ل Linux المدعومة لتثبيت ملحق Guest Attestation تلقائيا | تكوين مجموعات مقياس أجهزة Linux الظاهرية المدعومة لتثبيت ملحق Guest Attestation تلقائيًا للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد ومراقبته بشكل استباقي. يتم التحقق من تكامل التمهيد من خلال Remote Attestation. | DeployIfNotExists، معطل | 6.1.0-إصدار أولي |
| [معاينة]: تكوين أجهزة Linux الظاهرية المدعومة لتمكين التمهيد الآمن تلقائيا | تكوين أجهزة Linux الظاهرية المدعومة لتمكين التمهيد الآمن تلقائيًا للتخفيف من التغييرات الضارة وغير المصرح بها لسلسلة التمهيد. بمجرد التمكين، سيتم السماح بتشغيل أدوات تحميل التشغيل وkernel وبرامج تشغيله فقط. | DeployIfNotExists، معطل | معاينة 5.0.0 |
| [معاينة]: تكوين أجهزة Linux الظاهرية المدعومة لتثبيت عامل أمان Azure تلقائيا | تكوين أجهزة Linux الظاهرية المدعومة لتثبيت وكيل Azure Security تلقائيًا. يجمع Security Center الأحداث من الوكيل، ويستخدمها لتقديم تنبيهات أمنية ومهام تقوية مخصصة (توصيات). يجب أن تكون الأجهزة الظاهرية المستهدفة في موقع مدعوم. | DeployIfNotExists، معطل | 7.0.0-معاينة |
| [معاينة]: تكوين أجهزة Linux الظاهرية المدعومة لتثبيت ملحق Guest Attestation تلقائيا | تكوين أجهزة Linux الظاهرية المدعومة لتثبيت ملحق Guest Attestation تلقائيًا للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد ومراقبته بشكل استباقي. يتم التحقق من تكامل التمهيد من خلال Remote Attestation. | DeployIfNotExists، معطل | 7.1.0-معاينة |
| [معاينة]: تكوين الأجهزة الظاهرية المدعومة لتمكين vTPM تلقائيا | تكوين الأجهزة الظاهرية المدعومة لتمكين vTPM تلقائيًا لتسهيل Measured Boot وميزات أمان نظام التشغيل الأخرى التي تتطلب TPM. بمجرد تمكين vTPM يمكن استخدامها لتشهد تكامل التمهيد. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين أجهزة Windows المدعومة لتثبيت عامل أمان Azure تلقائيا | تكوين أجهزة Windows المدعومة لتثبيت وكيل Azure Security تلقائيًا. يجمع Security Center الأحداث من الوكيل، ويستخدمها لتقديم تنبيهات أمنية ومهام تقوية مخصصة (توصيات). يجب أن تكون الأجهزة الظاهرية المستهدفة في موقع مدعوم. | DeployIfNotExists، معطل | معاينة 5.1.0 |
| [معاينة]: تكوين مجموعات مقياس الجهاز الظاهري ل Windows المدعومة لتثبيت عامل أمان Azure تلقائيا | تكوين مجموعات مقاييس أجهزة Windows الظاهرية المدعومة لتثبيت عامل أمان Azure تلقائيًا. يجمع Security Center الأحداث من الوكيل، ويستخدمها لتقديم تنبيهات أمنية ومهام تقوية مخصصة (توصيات). يجب أن تكون مجموعات مقاييس أجهزة Windows الظاهرية المستهدفة في موقع مدعوم. | DeployIfNotExists، معطل | -preview 2.1.0 |
| [معاينة]: تكوين مجموعات مقياس الجهاز الظاهري ل Windows المدعومة لتثبيت ملحق Guest Attestation تلقائيا | تكوين مجموعات مقياس أجهزة Windows الظاهرية المدعومة لتثبيت ملحق Guest Attestation تلقائيًا للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد ومراقبته بشكل استباقي. يتم التحقق من تكامل التمهيد من خلال Remote Attestation. | DeployIfNotExists، معطل | معاينة 4.1.0 |
| [معاينة]: تكوين أجهزة Windows الظاهرية المدعومة لتمكين التمهيد الآمن تلقائيا | تكوين أجهزة Windows الظاهرية المدعومة لتمكين التمهيد الآمن تلقائيًا للتخفيف من التغييرات الضارة وغير المصرح بها لسلسلة التمهيد. بمجرد التمكين، سيتم السماح بتشغيل أدوات تحميل التشغيل وkernel وبرامج تشغيله فقط. | DeployIfNotExists، معطل | 3.0.0 - المعاينة |
| [معاينة]: تكوين أجهزة Windows الظاهرية المدعومة لتثبيت ملحق Guest Attestation تلقائيا | تكوين أجهزة Windows الظاهرية المدعومة لتثبيت ملحق Guest Attestation تلقائيًا للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد ومراقبته بشكل استباقي. يتم التحقق من تكامل التمهيد من خلال Remote Attestation. | DeployIfNotExists، معطل | معاينة 5.1.0 |
| [معاينة]: تكوين الهوية المدارة المعينة من قبل النظام لتمكين تعيينات Azure Monitor على الأجهزة الظاهرية | تكوين هوية مدارة تم تعيينها من قِبل النظام إلى أجهزة ظاهرية مستضافة في Azure معتمدة بواسطة Azure Monitor ولا تملك هوية مدارة معينة من قِبل النظام. تعد الهوية المُدارة التي يعينها النظام شرطاً أساسياً لجميع تعيينات Azure Monitor ويجب إضافتها إلى الأجهزة قبل استخدام أي ملحقات لـ Azure Monitor. يجب أن تكون الأجهزة الظاهرية المستهدفة في موقع مدعوم. | تعديل، تعطيل | 6.0.0-المعاينة |
| [معاينة]: تكوين الأجهزة الظاهرية التي تم إنشاؤها باستخدام صور معرض الصور المشتركة لتثبيت ملحق Guest Attestation | قم بتكوين الأجهزة الظاهرية التي تم إنشاؤها باستخدام صور Shared Image Gallery لتثبيت ملحق Guest Attestation تلقائياً للسماح لمركز أمان Azure بالتصديق على تكامل التشغيل ومراقبته بشكل استباقي. يتم التحقق من تكامل التمهيد من خلال Remote Attestation. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين VMSS الذي تم إنشاؤه باستخدام صور معرض الصور المشتركة لتثبيت ملحق Guest Attestation | قم بتكوين مجموعات مقياس الأجهزة الظاهرية (VMSS) التي تم إنشاؤها باستخدام صور Shared Image Gallery لتثبيت ملحق Guest Attestation تلقائياً للسماح لمركز أمان Azure بالتصديق على تكامل التشغيل ومراقبته بشكل استباقي. يتم التحقق من تكامل التمهيد من خلال Remote Attestation. | DeployIfNotExists، معطل | -preview 2.1.0 |
| [معاينة]: تكوين Windows Server لتعطيل المستخدمين المحليين. | إنشاء تعيين تكوين الضيف لتكوين تعطيل المستخدمين المحليين على Windows Server. يضمن هذا إمكانية الوصول إلى خوادم Windows فقط بواسطة حساب AAD (دليل Azure النشط) أو قائمة المستخدمين المسموح بهم صراحة بواسطة هذا النهج، ما يحسن وضع الأمان العام. | DeployIfNotExists، معطل | 1.2.0-preview |
| [معاينة]: تكوين أجهزة Windows الظاهرية ليتم ربطها بقاعدة تجميع البيانات ل ChangeTracking and Inventory | نشر الاقتران لربط أجهزة Windows الظاهرية بقاعدة تجميع البيانات المحددة لتمكين ChangeTracking and Inventory. يتم تحديث قائمة المواقع وصور نظام التشغيل بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين أجهزة Windows الظاهرية لتثبيت AMA ل ChangeTracking والمخزون باستخدام الهوية المدارة المعينة من قبل المستخدم | أتمتة نشر ملحق Azure Monitor Agent على أجهزة Windows الظاهرية لتمكين ChangeTracking and Inventory. ستعمل هذه النهج على تثبيت الملحق وتكوينه لاستخدام هوية مُدارة محددة يعينها المستخدم إذا كان نظام التشغيل والمنطقة مدعومين، وتخطي التثبيت بخلاف ذلك. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 1.1.0-preview |
| [معاينة]: تكوين Windows VMSS ليتم ربطه بقاعدة تجميع البيانات ل ChangeTracking and Inventory | نشر الاقتران لربط مجموعات مقياس الجهاز الظاهري ل Windows بقاعدة تجميع البيانات المحددة لتمكين ChangeTracking and Inventory. يتم تحديث قائمة المواقع وصور نظام التشغيل بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين Windows VMSS لتثبيت AMA ل ChangeTracking and Inventory باستخدام الهوية المدارة المعينة من قبل المستخدم | أتمتة نشر ملحق Azure Monitor Agent على مجموعات مقياس الجهاز الظاهري Windows لتمكين ChangeTracking and Inventory. ستعمل هذه النهج على تثبيت الملحق وتكوينه لاستخدام هوية مُدارة محددة يعينها المستخدم إذا كان نظام التشغيل والمنطقة مدعومين، وتخطي التثبيت بخلاف ذلك. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 1.1.0-preview |
| [معاينة]: نشر عامل Microsoft Defender لنقطة النهاية على أجهزة Linux الظاهرية | يوزع عامل Microsoft Defender لنقطة النهاية على صور جهاز Linux الظاهري القابلة للتطبيق. | DeployIfNotExists، AuditIfNotExists، معطل | 3.0.0 - المعاينة |
| [معاينة]: نشر عامل Microsoft Defender لنقطة النهاية على أجهزة Windows الظاهرية | يوزع Microsoft Defender لنقطة النهاية على صور أجهزة Windows الظاهرية القابلة للتطبيق. | DeployIfNotExists، AuditIfNotExists، معطل | 2.0.1-معاينة |
| [معاينة]: تمكين الهوية المعينة من قبل النظام إلى SQL VM | تمكين الهوية المعينة من قبل النظام على نطاق واسع لأجهزة SQL الظاهرية. تحتاج إلى تعيين هذا النهج على مستوى الاشتراك. لن يعمل التعيين على مستوى مجموعة الموارد كما هو متوقع. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على أجهزة Linux الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على أجهزة Linux الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق بشكل استباقي على سلامة التمهيد ومراقبتها. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على أجهزة التشغيل الموثوقة وLinux الظاهرية السرية. | AuditIfNotExists، معطل | 6.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على مجموعات مقياس أجهزة Linux الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على مجموعات مقياس أجهزة Linux الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد، ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على مجموعات مقياس الجهاز الظاهري Trusted Launch و Confidential Linux. | AuditIfNotExists، معطل | معاينة 5.1.0 |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على الأجهزة Windows الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على الأجهزة الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق بشكل استباقي على سلامة التمهيد ومراقبتها. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على الأجهزة الظاهرية الموثوق بها التي تعمل بنظام التشغيل Windows والسرية. | AuditIfNotExists، معطل | معاينة 4.0.0 |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على مجموعات مقياس الأجهزة Windows الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على مجموعات مقياس الأجهزة الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد، ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على مجموعات مقياس الجهاز الظاهري الموثوق بها وWindows السرية. | AuditIfNotExists، معطل | 3.1.0-المعاينة |
| [إصدار أولي]: يجب أن تفي أجهزة Linux بمتطلبات خط أساس أمان Azure لمضيفي Docker | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات في أساس أمان Azure لمضيفي Docker. | AuditIfNotExists، معطل | 1.2.0-preview |
| [معاينة]: يجب أن تفي أجهزة Linux بمتطلبات امتثال STIG لحساب Azure | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا لم يتم تكوين الجهاز بشكل صحيح لأحد التوصيات في متطلبات التوافق STIG لحساب Azure. توفر DISA (وكالة نظم المعلومات الدفاعية) أدلة فنية STIG (دليل التنفيذ الفني للأمان) لتأمين نظام تشغيل الحساب كما هو مطلوب من قبل وزارة الدفاع (DoD). لمزيد من التفاصيل، https://public.cyber.mil/stigs/. | AuditIfNotExists، معطل | 1.2.0-preview |
| [معاينة]: يجب أن تحتوي أجهزة Linux المثبت عليها OMI على الإصدار 1.6.8-1 أو أحدث | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. نظرًا إلى إصلاح الأمان المضمن في الإصدار 1.6.8-1 من حزمة OMI لنظام التشغيل Linux، يجب تحديث جميع الأجهزة إلى أحدث إصدار. قم بترقية التطبيقات/الحزم التي تستخدم OMI لحل المشكلة. لمزيد من المعلومات، انظر https://aka.ms/omiguidance. | AuditIfNotExists، معطل | 1.2.0-preview |
| [معاينة]: يجب أن تستخدم أجهزة Linux الظاهرية مكونات التمهيد الموقعة والموثوق بها فقط | يجب توقيع جميع مكونات تمهيد نظام التشغيل (محمل التمهيد، النواة، برامج تشغيل النواة) من قبل ناشرين موثوق بهم. حدد Defender for Cloud مكونات تمهيد نظام التشغيل غير الموثوق بها على واحد أو أكثر من أجهزة Linux الخاصة بك. لحماية أجهزتك من المكونات الضارة المحتملة، أضفها إلى قائمة السماح أو قم بإزالة المكونات المحددة. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تستخدم أجهزة Linux الظاهرية التمهيد الآمن | للحماية من تثبيت أدوات التشغيل الجذرية ومجموعات التمهيد المستندة إلى البرامج الضارة، قم بتمكين Secure Boot على أجهزة Linux الافتراضية المدعومة. يضمن Secure Boot السماح بتشغيل أنظمة التشغيل وبرامج التشغيل الموقعة فقط. ينطبق هذا التقييم فقط على أجهزة Linux الظاهرية التي تم تثبيت Azure Monitor Agent عليها. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تمكين "Log Analytics Extension" لصور الأجهزة الظاهرية المدرجة | يُبلغ عن الأجهزة الظاهرية على أنها غير متوافقة إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يتم تثبيت الملحق. | AuditIfNotExists، معطل | 2.0.1-معاينة |
| [معاينة]: يجب أن يكون لدى الأجهزة منافذ مغلقة قد تعرض ناقلات الهجوم | تحظر شروط استخدام Azure استخدام خدمات Azure بطرق قد تؤدي إلى إتلاف أو تعطيل أو زيادة العبء أو الإضرار بأي خادم أو شبكة Microsoft. يجب إغلاق المنافذ المكشوفة التي حددتها هذه التوصية للحفاظ على أمانك. وتقدم التوصية أيضاً تفسيراً للتهديد المحتمل لكل منفذ محدد. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون الأقراص المدارة مرنة في المنطقة | يمكن تكوين الأقراص المدارة لتكون إما محاذاة المنطقة أو المنطقة المكررة أو لا. الأقراص المدارة مع تعيين منطقة واحدة بالضبط هي محاذاة المنطقة. الأقراص المدارة مع اسم sku الذي ينتهي ب ZRS هي المنطقة المكررة. يساعد هذا النهج في تحديد وفرض تكوينات المرونة هذه للأقراص المدارة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تمكين التشغيل الآمن على الأجهزة Windows الظاهرية المعتمدة | قم بتمكين التمهيد الآمن على أجهزة Windows الظاهرية المدعومة؛ للتخفيف من التغييرات الضارة وغير المصرح بها لسلسلة التمهيد. بمجرد التمكين، سيتم السماح بتشغيل أدوات تحميل التشغيل وkernel وبرامج تشغيله فقط. ينطبق هذا التقييم على الأجهزة الظاهرية الموثوق بها التي تعمل بنظام التشغيل Windows والسرية. | المراجعة، معطلة | معاينة 4.0.0 |
| [معاينة]: تعيين المتطلبات الأساسية لجدولة التحديثات المتكررة على أجهزة Azure الظاهرية. | سيقوم هذا النهج بتعيين المتطلبات الأساسية اللازمة لجدولة التحديثات المتكررة على Azure Update Manager عن طريق تكوين تنسيق التصحيح إلى "الجداول المدارة من قبل العملاء". سيقوم هذا التغيير تلقائيا بتعيين وضع التصحيح إلى "AutomaticByPlatform" وتمكين "BypassPlatformSafetyChecksOnUserSchedule" إلى "True" على أجهزة Azure الظاهرية. المتطلبات الأساسية غير قابلة للتطبيق على الخوادم الممكنة بواسطة Arc. التعرف على المزيد- https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists، معطل | 1.1.0-preview |
| [معاينة]: يجب أن تكون مجموعات مقياس الجهاز الظاهري مرنة في المنطقة | يمكن تكوين مجموعات مقياس الجهاز الظاهري لتكون إما محاذاة المنطقة أو المنطقة الزائدة عن الحاجة أو لا. تعتبر مجموعات مقياس الجهاز الظاهري التي تحتوي على إدخال واحد بالضبط في صفيف المناطق الخاصة بها محاذاة المنطقة. في المقابل، يتم التعرف على مجموعات مقياس الجهاز الظاهري مع 3 إدخالات أو أكثر في صفيف المناطق الخاصة بها وسعة 3 على الأقل كمنطقة زائدة عن الحاجة. يساعد هذا النهج في تحديد تكوينات المرونة هذه وفرضها. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون حالة إثبات ضيف الأجهزة الظاهرية سليمة | يتم إجراء تصديق الضيف عن طريق إرسال سجل موثوق به (TCGLog) إلى خادم تصديق. يستخدم الخادم هذه السجلات لتحديد ما إذا كانت مكونات التمهيد جديرة بالثقة. يهدف هذا التقييم إلى اكتشاف الاختراقات في سلسلة التمهيد التي قد تكون نتيجة التعرض إلى bootkit أو rootkit. ينطبق هذا التقييم فقط على الأجهزة الظاهرية التي تم تمكين Trusted Launch عليها، والتي تم تثبيت ملحق Guest Attestation عليها. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون الأجهزة الظاهرية محاذاة المنطقة | يمكن تكوين الأجهزة الظاهرية لتكون محاذاة المنطقة أم لا. تعتبر محاذاة المنطقة إذا كان لديهم إدخال واحد فقط في صفيف المناطق الخاصة بهم. يضمن هذا النهج تكوينها للعمل داخل منطقة توفر واحدة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب تمكين vTPM على الأجهزة الظاهرية المعتمدة | تمكين جهاز TPM الظاهري على الأجهزة الظاهرية المدعومة لتسهيل Measured Boot، وميزات أمان نظام التشغيل الأخرى التي تتطلب TPM. بمجرد تمكين vTPM يمكن استخدامها لتشهد تكامل التمهيد. ينطبق هذا التقييم فقط على الأجهزة الظاهرية الموثوق بها التي تم تمكينها من التشغيل. | المراجعة، معطلة | 2.0.0-المعاينة |
| [معاينة]: يجب أن تفي أجهزة Windows بمتطلبات التوافق STIG لحساب Azure | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات الواردة في متطلبات توافق STIG لحساب Azure. توفر DISA (وكالة نظم المعلومات الدفاعية) أدلة فنية STIG (دليل التنفيذ الفني للأمان) لتأمين نظام تشغيل الحساب كما هو مطلوب من قبل وزارة الدفاع (DoD). لمزيد من التفاصيل، https://public.cyber.mil/stigs/. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك. | AuditIfNotExists، معطل | 3.0.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات | يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 4.1.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم | تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 4.1.0 |
| يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
| وحدات SKU المسموح بها لحجم الجهاز الظاهري | يتيح لك هذا النهج تحديد مجموعة من وحدات SKU بحجم الجهاز الظاهري والتي يمكن لمؤسستك توزيعها. | الرفض | 1.0.1 |
| مراجعة أجهزة Linux التي تسمح بالاتصالات عن بُعد من الحسابات من دون كلمات مرور | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux تسمح بالاتصال عن بعد من الحسابات بدون كلمات مرور | AuditIfNotExists، معطل | 3.1.0 |
| تدقيق أجهزة Linux التي ليس لديها أذونات ملف passwd المعينة على 0644 | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا تم تعيين أجهزة Linux التي لا تحتوي على أذونات ملف passwd على 0644 | AuditIfNotExists، معطل | 3.1.0 |
| تدقيق أجهزة Linux التي لم يتم تثبيت التطبيقات المحددة عليها | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا أشار مورد Chef InSpec إلى أن واحدة أو أكثر من الحزم التي توفرها المحددة لم يتم تثبيتها. | AuditIfNotExists، معطل | 4.2.0 |
| تدقيق أجهزة Linux التي لديها حسابات بدون كلمات مرور | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux التي لها حسابات بدون كلمات مرور | AuditIfNotExists، معطل | 3.1.0 |
| تدقيق أجهزة Linux التي تم تثبيت التطبيقات المحددة عليها | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا أشار مورد Chef InSpec إلى وجود تثبيت حزمة واحدة أو أكثر من الحزم التي توفرها المحددة. | AuditIfNotExists، معطل | 4.2.0 |
| تدقيق وضع أمان SSH لنظام Linux (مدعوم من OSConfig) | يدقق هذا النهج تكوين أمان خادم SSH على أجهزة Linux (أجهزة Azure الظاهرية والأجهزة التي تدعم Arc). لمزيد من المعلومات بما في ذلك المتطلبات المسبقة والإعدادات في النطاق والإعدادات الافتراضية والتخصيص، راجع https://aka.ms/SshPostureControlOverview | AuditIfNotExists، معطل | 1.0.1 |
| تدقيق الأجهزة الظاهرية دون تكوين استرداد بعد عطل فادح | مراجعة الأجهزة الظاهرية التي لم يتم تكوين استردادها بعد عطل فادح. لمعرفة المزيد حول الاسترداد بعد الأخطاء الفادحة، تفضل بزيارة https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| تدقيق الأجهزة الظاهرية التي لا تستخدم الأقراص المُدارة | يعمل هذا النهج على تدقيق الأجهزة الظاهرية التي لا تستخدم الأقراص المُدارة | تحقق | 1.0.0 |
| تفقد أجهزة Windows التي تعمل بنظام التشغيل أيّ أعضاء محددين في مجموعة المسؤولين | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت مجموعة Administrators المحلية لا تحتوي على عضو واحد أو أكثر مدرجين في معلمة النهج. | auditIfNotExists | 2.0.0 |
| تدقيق اتصال شبكة أجهزة Windows | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا كانت حالة اتصال الشبكة بمنفذ IP وTCP لا تتطابق مع محددة السياسة. | auditIfNotExists | 2.0.0 |
| تدقيق Windows الأجهزة التي التكوين DSC غير متوافقة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كان الأمر Get-DSCConfigurationStatus في Windows PowerShell يعرض أن تكوين DSC للجهاز غير متوافق. | auditIfNotExists | 3.0.0 |
| تدقيق Windows الأجهزة التي لا يتصل بها عامل Log Analytics كما هو متوقع | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا لم يتم تثبيت العامل، أو إذا تم تثبيته ولكن كائن COM AgentConfigManager.MgmtSvcCfg يعيد أنه تم تسجيله في مساحة عمل غير المعرف المحدد في محددة السياسة. | auditIfNotExists | 2.0.0 |
| تدقيق Windows الأجهزة التي لم يتم تثبيت الخدمات المحددة عليها و"قيد التشغيل" | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت نتيجة أمر الحصول على خدمة Windows PowerShell لا تتضمن اسم الخدمة مع حالة المطابقة كما هو محدد بواسطة محددة السياسة. | auditIfNotExists | 3.0.0 |
| تدقيق Windows الأجهزة التي لم يتم تمكين وحدة التحكم التسلسلية Windows | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا لم يتم تثبيت برنامج Serial Console على الجهاز أو إذا لم يتم تكوين رقم منفذ EMS أو معدل سرعة المودم بنفس قيم محددة السياسة. | auditIfNotExists | 3.0.0 |
| تدقيق أجهزة Windows التي تسمح بإعادة استخدام كلمات المرور بعد العدد المحدد من كلمات المرور الفريدة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت أجهزة Windows تسمح بإعادة استخدام كلمات المرور بعد العدد المحدد من كلمات المرور الفريدة. القيمة الافتراضية لكلمات المرور الفريدة هي 24 | AuditIfNotExists، معطل | 2.1.0 |
| تدقيق أجهزة Windows غير المنضمة إلى المجال المحدد | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت قيمة خاصية المجال في فئةWMI win32_computersystem لا تتطابق مع القيمة الموجودة في محددة السياسة. | auditIfNotExists | 2.0.0 |
| تدوين Windows الأجهزة التي لم يتم تعيينها إلى المنطقة الزمنية المحددة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت قيمة الخاصية StandardName في فئة WMI Win32_TimeZone لا تتطابق مع المنطقة الزمنية المحددة لمحددة السياسة. | auditIfNotExists | 3.0.0 |
| تدقيق أجهزة Windows التي تحتوي على شهادات تنتهي صلاحيتها خلال مدة الأيام المحددة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت الشهادات في المخزن المحدد لها تاريخ انتهاء صلاحية خارج النطاق لمدة الأيام المحددة كمحددة. توفر السياسة أيضًا خيار التحقق من وجود شهادات معينة فقط أو استبعاد شهادات معينة، وما إذا كنت تريد الإبلاغ عن الشهادات منتهية الصلاحية. | auditIfNotExists | 2.0.0 |
| تدقيق أجهزة Windows التي لا تحتوي على الشهادات المحددة في جذر موثوق | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كان مخزن شهادات الجذر الموثوق به للجهاز (Cert: \ LocalMachine \ Root) لا يحتوي على شهادة واحدة أو أكثر من الشهادات المدرجة بواسطة محددة السياسة. | auditIfNotExists | 3.0.0 |
| تدقيق أجهزة Windows التي لم يتم تعيين الحد الأقصى لعمر كلمة المرور على عدد محدد من الأيام | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا كانت أجهزة Windows التي لا تحتوي على الحد الأقصى لعمر كلمة المرور معينة على عدد محدد من الأيام. القيمة الافتراضية للحد الأقصى لعمر كلمة المرور هي 70 يوما | AuditIfNotExists، معطل | 2.1.0 |
| تدقيق أجهزة Windows التي لا تحتوي على الحد الأدنى لعمر كلمة المرور المعين لعدد محدد من الأيام | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا تم تعيين الحد الأدنى لعمر كلمة المرور على عدد محدد من الأيام في أجهزة Windows التي لا تحتوي على الحد الأدنى لعمر كلمة المرور. القيمة الافتراضية للحد الأدنى لعمر كلمة المرور هي يوم واحد | AuditIfNotExists، معطل | 2.1.0 |
| تدقيق Windows الأجهزة التي ليس لديها إعداد تعقيد كلمة المرور ممكن | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة في حالة تمكين الأجهزة التي تعمل بنظام التشغيل Windows التي لا تحتوي على إعداد تعقيد كلمة المرور | AuditIfNotExists، معطل | 2.0.0 |
| تدقيق أجهزة Windows التي لا تتضمن سياسة تنفيذ Windows PowerShell المحددة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا كان الأمر Get-ExecutionPolicy في Windows PowerShell يُرجع قيمة غير ما تم تحديده في معلمة النهج. | AuditIfNotExists، معطل | 3.0.0 |
| تدقيق Windows الأجهزة التي لم يتم تثبيت الوحدات النمطية Windows PowerShell المحددة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا لم تكن الوحدة النمطية متوفرة في موقع محدد بواسطة متغير البيئة PSModulePath. | AuditIfNotExists، معطل | 3.0.0 |
| تدقيق أجهزة Windows التي لا تقيد الحد الأدنى لطول كلمة المرور بعدد محدد من الأحرف | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا كانت أجهزة Windows التي لا تقيد الحد الأدنى لطول كلمة المرور لعدد محدد من الأحرف. القيمة الافتراضية للحد الأدنى لطول كلمة المرور هي 14 حرفا | AuditIfNotExists، معطل | 2.1.0 |
| تدقيق أجهزة Windows التي لا تخزن كلمات المرور باستخدام تشفير عكسي | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت الأجهزة التي تعمل بنظام Windows لا تخزن كلمات المرور باستخدام تشفير قابل للعكس | AuditIfNotExists، معطل | 2.0.0 |
| تدقيق Windows الأجهزة التي لا تحتوي على التطبيقات المحددة مثبتة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا لم يتم العثور على اسم التطبيق في أي من مسارات التسجيل التالية: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| تدقيق Windows الأجهزة التي لها حسابات إضافية في مجموعة المسؤولين | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت مجموعة المسؤولين المحليين تحتوي على أعضاء غير مدرجين في معلمة النهج. | auditIfNotExists | 2.0.0 |
| تدقيق أجهزة Windows التي لم يتم إعادة تشغيلها خلال عدد الأيام المحددة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت خاصية WMI LastBootUpTime في فئة Win32_Operatingsystem خارج نطاق الأيام التي توفرها محددة السياسة. | auditIfNotExists | 2.0.0 |
| تدقيق أجهزة Windows المثبت عليها التطبيقات المحددة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا لم يتم العثور على اسم التطبيق في أي من مسارات التسجيل التالية: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| تدوين Windows الأجهزة التي تحتوي على الأعضاء المحددين في مجموعة المسؤولين | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت مجموعة المسؤولين المحليين تحتوي على واحد أو أكثر من الأعضاء المدرجين في معلمة النهج. | auditIfNotExists | 2.0.0 |
| تدقيق أجهزة Windows الظاهرية مع إعادة تشغيل معلقة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كان الجهاز في انتظار إعادة التشغيل لأي من الأسباب التالية: الخدمة المستندة إلى المكونات، Windows Update، إعادة تسمية الملف المعلقة، إعادة تسمية الكمبيوتر المعلقة، مدير التكوين في انتظار إعادة التشغيل. كل اكتشاف له مسار تسجيل فريد. | auditIfNotExists | 2.0.0 |
| يجب أن تتطلب المصادقة على أجهزة Linux مفاتيح SSH | على الرغم من أن SSH نفسه يوفر اتصالاً مشفراً، فإن استخدام كلمات المرور مع SSH لا يزال يترك الجهاز الظاهري عرضة لهجمات القوة الغاشمة. الخيار الأكثر أماناً للمصادقة إلى جهاز ظاهري Azure Linux عبر SSH يكون باستخدام زوج مفاتيح public-private والذي يُعرف أيضًا باسم مفاتيح SSH. اعرف المزيد:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists، معطل | 3.2.0 |
| يجب تمكين النسخ الاحتياطي لأجهزة Azure الظاهرية | تأكد من حماية الأجهزة الظاهرية Azure الخاصة بك عن طريق تمكين النسخ الاحتياطي Azure. النسخ الاحتياطي Azure هو حل آمن وفعال من حيث التكلفة لحماية البيانات لـ Azure. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تكوين مثيلات دور الخدمات السحابية (الدعم الموسع) بشكل آمن | قم بحماية مثيلات دور الخدمة السحابية (الدعم الممتد) من الهجمات من خلال ضمان عدم تعرضها لأي ثغرات أمنية في نظام التشغيل. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تحتوي مثيلات دور الخدمات السحابية (الدعم الموسع) على حل حماية نقطة نهاية مثبت | قم بحماية مثيلات دور الخدمات السحابية (الدعم الممتد) من التهديدات، ونقاط الضعف من خلال ضمان تثبيت حل حماية نقطة النهاية عليها. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تحتوي مثيلات دور الخدمات السحابية (الدعم الموسع) على تحديثات النظام مثبتة | قم بتأمين مثيلات دور الخدمات السحابية (الدعم الممتد) من خلال ضمان تثبيت أحدث تحديثات الأمان والتحديثات الهامة عليها. | AuditIfNotExists، معطل | 1.0.0 |
| تكوين Azure Defender for Servers ليتم تعطيله لجميع الموارد (مستوى المورد) | يوفر Azure Defender for Servers الحماية من التهديدات في الوقت الفعلي لأحمال عمل الخادم وينشئ توصيات متصلبة بالإضافة إلى تنبيهات حول الأنشطة المشبوهة. سيقوم هذا النهج بتعطيل خطة Defender for Servers لجميع الموارد (VMs وVMSSs وأجهزة ARC) في النطاق المحدد (الاشتراك أو مجموعة الموارد). | DeployIfNotExists، معطل | 1.0.0 |
| تكوين Azure Defender for Servers ليتم تعطيله للموارد (مستوى المورد) باستخدام العلامة المحددة | يوفر Azure Defender for Servers الحماية من التهديدات في الوقت الفعلي لأحمال عمل الخادم وينشئ توصيات متصلبة بالإضافة إلى تنبيهات حول الأنشطة المشبوهة. سيقوم هذا النهج بتعطيل خطة Defender for Servers لجميع الموارد (VMs وVMSSs وأجهزة ARC) التي لها اسم العلامة المحدد وقيمة (قيم) العلامة. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين Azure Defender for Servers ليتم تمكينه (الخطة الفرعية 'P1' لجميع الموارد (مستوى المورد) باستخدام العلامة المحددة | يوفر Azure Defender for Servers الحماية من التهديدات في الوقت الفعلي لأحمال عمل الخادم وينشئ توصيات متصلبة بالإضافة إلى تنبيهات حول الأنشطة المشبوهة. سيمكن هذا النهج خطة Defender for Servers (مع الخطة الفرعية "P1" لجميع الموارد (الأجهزة الظاهرية وأجهزة ARC) التي لها اسم العلامة المحدد وقيمة (قيم) العلامة. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين Azure Defender for Servers ليتم تمكينه (مع الخطة الفرعية "P1" لجميع الموارد (مستوى المورد) | يوفر Azure Defender for Servers الحماية من التهديدات في الوقت الفعلي لأحمال عمل الخادم وينشئ توصيات متصلبة بالإضافة إلى تنبيهات حول الأنشطة المشبوهة. سيمكن هذا النهج خطة Defender for Servers (مع الخطة الفرعية "P1" لجميع الموارد (الأجهزة الظاهرية وأجهزة ARC) في النطاق المحدد (الاشتراك أو مجموعة الموارد). | DeployIfNotExists، معطل | 1.0.0 |
| تكوين النسخ الاحتياطي على الأجهزة الظاهرية باستخدام علامة معينة إلى حاوية خدمات للنسخ الاحتياطي جديد باستخدام نهج افتراضي | فرض النسخ الاحتياطي لكافة الأجهزة الظاهرية عن طريق نشر حاوية خدمات النسخ الاحتياطي في نفس الموقع ومجموعة الموارد مثل الجهاز الظاهري. يعد القيام بذلك أمرًا مفيدًا عندما يتم تخصيص مجموعات موارد منفصلة لفرق التطبيقات المختلفة في مؤسستك وتحتاج إلى إدارة النسخ الاحتياطية الخاصة بها والاستعادة. يمكنك اختياريًا تضمين الأجهزة الظاهرية المحتوية على علامة محددة للتحكم في نطاق التعيين. راجع https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.3.0 |
| تكوين النسخ الاحتياطي على الأجهزة الظاهرية باستخدام علامة معينة إلى حاوية حالية لخدمات للنسخ الاحتياطي في نفس الموقع | فرض النسخ الاحتياطي على جميع الأجهزة الظاهرية عن طريق نسخها احتياطيًا إلى حاوية مركزية حالية لخدمات النسخ الاحتياطي في نفس الموقع والاشتراك مثل الجهاز الظاهري. يعد القيام بذلك أمرًا مفيدًا عندما يكون هناك فريق مركزي في مؤسستك يدير النسخ الاحتياطية لكافة الموارد في الاشتراك. يمكنك اختياريًا تضمين الأجهزة الظاهرية المحتوية على علامة محددة للتحكم في نطاق التعيين. راجع https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.3.0 |
| تكوين النسخ الاحتياطي على الأجهزة الظاهرية بدون علامة معينة إلى حاوية جديدة لخدمات النسخ الاحتياطي باستخدام نهج افتراضي | فرض النسخ الاحتياطي لكافة الأجهزة الظاهرية عن طريق نشر حاوية خدمات النسخ الاحتياطي في نفس الموقع ومجموعة الموارد مثل الجهاز الظاهري. يعد القيام بذلك أمرًا مفيدًا عندما يتم تخصيص مجموعات موارد منفصلة لفرق التطبيقات المختلفة في مؤسستك وتحتاج إلى إدارة النسخ الاحتياطية الخاصة بها والاستعادة. يمكنك اختياريًا استبعاد الأجهزة الظاهرية المحتوية على علامة محددة للتحكم في نطاق التعيين. راجع https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.3.0 |
| تكوين النسخ الاحتياطي على الأجهزة الظاهرية بدون علامة معينة إلى حاوية حالية لخدمات للنسخ الاحتياطي في نفس الموقع | فرض النسخ الاحتياطي على جميع الأجهزة الظاهرية عن طريق نسخها احتياطيًا إلى حاوية مركزية حالية لخدمات النسخ الاحتياطي في نفس الموقع والاشتراك مثل الجهاز الظاهري. يعد القيام بذلك أمرًا مفيدًا عندما يكون هناك فريق مركزي في مؤسستك يدير النسخ الاحتياطية لكافة الموارد في الاشتراك. يمكنك اختياريًا استبعاد الأجهزة الظاهرية المحتوية على علامة محددة للتحكم في نطاق التعيين. راجع https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.3.0 |
| تكوين الإصلاح بعد كارثة على الأجهزة الظاهرية عن طريق استرداد موقع Azure | الأجهزة الظاهرية التي لا تحتوي على تكوينات للاسترداد بعد حدوث الأخطاء الفادحة معرضة للانقطاع والأعطال الأخرى. إذا لم يكن الجهاز الظاهري قد تم تكوينه بالفعل للاسترداد بعد الأخطاء الفادحة، فسيبدأ ذلك من خلال تمكين النسخ المتماثل باستخدام التكوينات المعدة مسبقًا لتسهيل استمرارية الأعمال. يمكنك اختياريًا تضمين/استثناء الأجهزة الظاهرية المحتوية على علامة محددة للتحكم في نطاق التعيين. لمعرفة المزيد حول الاسترداد بعد الأخطاء الفادحة، تفضل بزيارة https://aka.ms/asr-doc. | DeployIfNotExists، معطل | 2.1.0 |
| تكوين موارد الوصول إلى القرص باستخدام نقاط النهاية الخاصة | تعمل نقاط النهاية الخاصة على توصيل شبكاتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. عن طريق تعيين نقاط النهاية الخاصة إلى موارد الوصول إلى القرص، يمكنك تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين أجهزة Linux ليتم إقرانها بقاعدة تجميع البيانات أو نقطة نهاية تجميع البيانات | انشر Association لربط أجهزة Linux الظاهرية ومجموعات مقياس الجهاز الظاهري وأجهزة Arc بقاعدة تجميع البيانات المحددة أو نقطة نهاية مجموعة البيانات المحددة. يتم تحديث قائمة المواقع وصور نظام التشغيل بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 6.5.1 |
| تكوين خادم Linux لتعطيل المستخدمين المحليين. | إنشاء تعيين تكوين الضيف لتكوين تعطيل المستخدمين المحليين على Linux Server. وهذا يضمن أنه لا يمكن الوصول إلى خوادم Linux إلا من خلال حساب AAD (Azure Active Directory) أو قائمة المستخدمين المسموح بهم صراحة بواسطة هذا النهج، ما يحسن وضع الأمان العام. | DeployIfNotExists، معطل | معاينة 1.3.0 |
| تكوين مجموعات مقياس الجهاز الظاهري Linux ليتم إقرانها بقاعدة تجميع البيانات أو نقطة نهاية تجميع البيانات | انشر Association لربط مجموعات مقياس الجهاز الظاهري Linux بقاعدة تجميع البيانات المحددة أو نقطة نهاية مجموعة البيانات المحددة. يتم تحديث قائمة المواقع وصور نظام التشغيل بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 4.4.1 |
| قم بتكوين مجموعات تغيير سعة الجهاز الظاهري لنظام Linux لتشغيل Azure Monitor Agent باستخدام مصادقة مستندة إلى هوية مُدارة يعينها النظام | أتمتة توزيع ملحق Azure Monitor Agent على مجموعات مقياس جهاز Linux الظاهري لجمع بيانات تتبع الاستخدام من نظام التشغيل الضيف. سيقوم هذا النهج بتثبيت الملحق في حال توفر دعم لنظام التشغيل والمنطقة وتمكين الهوية المُدارة المعينة من قِبل النظام، وتخطي التثبيت بطريقة أخرى. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 3.6.0 |
| تكوين مجموعات تغيير سعة الجهاز الظاهري Linux لتشغيل Azure Monitor Agent باستخدام مصادقة مستندة إلى هوية مُدارة يعينها المستخدم | أتمتة توزيع ملحق Azure Monitor Agent على مجموعات مقياس جهاز Linux الظاهري لجمع بيانات تتبع الاستخدام من نظام التشغيل الضيف. ستعمل هذه النهج على تثبيت الملحق وتكوينه لاستخدام هوية مُدارة محددة يعينها المستخدم إذا كان نظام التشغيل والمنطقة مدعومين، وتخطي التثبيت بخلاف ذلك. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 3.8.0 |
| تكوين أجهزة Linux الظاهرية ليتم إقرانها بقاعدة تجميع البيانات أو نقطة نهاية تجميع البيانات | نشر الاقتران لربط أجهزة Linux الظاهرية بقاعدة تجميع البيانات المحددة أو نقطة نهاية مجموعة البيانات المحددة. يتم تحديث قائمة المواقع وصور نظام التشغيل بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 4.4.1 |
| تكوين أجهزة Linux الظاهرية لتشغيل Azure Monitor Agent باستخدام المصادقة المستندة إلى هوية مُدارة يعينها النظام | أتمتة توزيع ملحق Azure Monitor Agent على أجهزة Linux الظاهرية لجمع بيانات تتبع الاستخدام من نظام التشغيل الضيف. سيقوم هذا النهج بتثبيت الملحق في حال توفر دعم لنظام التشغيل والمنطقة وتمكين الهوية المُدارة المعينة من قِبل النظام، وتخطي التثبيت بطريقة أخرى. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 3.6.0 |
| تكوين أجهزة Linux الظاهرية لتشغيل Azure Monitor Agent باستخدام المصادقة المستندة إلى هوية مُدارة يعينها المستخدم | أتمتة توزيع ملحق Azure Monitor Agent على أجهزة Linux الظاهرية لجمع بيانات تتبع الاستخدام من نظام التشغيل الضيف. ستعمل هذه النهج على تثبيت الملحق وتكوينه لاستخدام هوية مُدارة محددة يعينها المستخدم إذا كان نظام التشغيل والمنطقة مدعومين، وتخطي التثبيت بخلاف ذلك. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 3.8.0 |
| تكوين الأجهزة لاستلام موفر تقييم الثغرات الأمنية | يتضمن Azure Defender فحص الثغرات الأمنية لأجهزتك دون أي تكلفة إضافية. لا تحتاج إلى ترخيص Qualys أو حتى حساب Qualys - يتم التعامل مع كل شيء بسلاسة داخل Security Center. عند تمكين هذا النهج، يقوم Azure Defender تلقائيًا بتوزيع موفر تقييم الثغرات الأمنية Qualys على جميع الأجهزة المدعومة التي لم يتم تثبيته عليها بالفعل. | DeployIfNotExists، معطل | 4.0.0 |
| تكوين الأقراص المدارة لتعطيل الوصول إلى الشبكة العامة | عطِّل الوصول إلى الشبكة العامة لمورد القرص المدار بحيث لا يمكن الوصول إليه عبر الإنترنت العام. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/disksprivatelinksdoc. | تعديل، تعطيل | 2.0.0 |
| تكوين التحقق الدوري من وجود تحديثات نظام مفقودة على أجهزة Azure الظاهرية | قم بتكوين التقييم التلقائي (كل 24 ساعة) لتحديثات نظام التشغيل على أجهزة Azure الظاهرية الأصلية. يمكنك التحكم في نطاق التعيين وفقاً لاشتراك الجهاز، أو مجموعة الموارد، أو الموقع، أو العلامة. تعرف على المزيد حول هذا لنظام التشغيل Windows: https://aka.ms/computevm-windowspatchassessmentmode، لنظام التشغيل Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | تعديل | 4.8.0 |
| تكوين بروتوكولات الاتصال الآمنة (TLS 1.1 أو TLS 1.2) على أجهزة Windows | إنشاء تعيين تكوين الضيف لتكوين إصدار بروتوكول آمن محدد (TLS 1.1 أو TLS 1.2) على جهاز Windows. | DeployIfNotExists، معطل | 1.0.1 |
| تكوين أجهزة SQL الظاهرية لتثبيت عامل Azure Monitor تلقائيا | أتمتة نشر ملحق Azure Monitor Agent على أجهزة Windows SQL الظاهرية. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 1.5.0 |
| تكوين أجهزة SQL الظاهرية لتثبيت Microsoft Defender ل SQL تلقائيا | تكوين أجهزة Windows SQL الظاهرية لتثبيت ملحق Microsoft Defender for SQL تلقائيا. يجمع Microsoft Defender for SQL الأحداث من العامل ويستخدمها لتوفير تنبيهات الأمان ومهام التصلب المخصصة (التوصيات). | DeployIfNotExists، معطل | 1.5.0 |
| تكوين وضع أمان SSH لنظام Linux (مدعوم من OSConfig) | يقوم هذا النهج بمراجعة تكوين أمان خادم SSH وتكوينه على أجهزة Linux (أجهزة Azure الظاهرية والأجهزة التي تدعم Arc). لمزيد من المعلومات بما في ذلك المتطلبات المسبقة والإعدادات في النطاق والإعدادات الافتراضية والتخصيص، راجع https://aka.ms/SshPostureControlOverview | DeployIfNotExists، معطل | 1.0.1 |
| تكوين المنطقة الزمنية على Windows الأجهزة. | تقوم هذه السياسة بإنشاء مهمة "تكوين الضيف" لتعيين منطقة زمنية محددة على أجهزة Windows الظاهرية. | deployIfNotExists | 2.1.0 |
| تكوين الأجهزة الظاهرية ليتم إلحاقها ب Azure Automanage | يقوم Azure Automanage بتسجيل الأجهزة الظاهرية وتكوينها، ومراقبتها مع أفضل الممارسات كما هو محدد في إطار اعتماد سحابة Microsoft لـ Azure. استخدم هذا النهج لتطبيق Automanage على النطاق المحدد. | AuditIfNotExists، DeployIfNotExists، مُعطل | 2.4.0 |
| تكوين الأجهزة الظاهرية ليتم إعدادها في Azure Automanage باستخدام ملف تعريف التكوين المخصص | يقوم Azure Automanage بتسجيل الأجهزة الظاهرية وتكوينها، ومراقبتها مع أفضل الممارسات كما هو محدد في إطار اعتماد سحابة Microsoft لـ Azure. استخدم هذه النهج لتطبيق Automanage مع ملف تعريف التكوين المخصص الخاص بك على النطاق المحدد. | AuditIfNotExists، DeployIfNotExists، مُعطل | 1.4.0 |
| تكوين أجهزة Windows ليتم إقرانها بقاعدة تجميع البيانات أو نقطة نهاية تجميع البيانات | انشر الاقتران لربط أجهزة Windows الظاهرية ومجموعات مقياس الجهاز الظاهري وأجهزة Arc بقاعدة تجميع البيانات المحددة أو نقطة نهاية مجموعة البيانات المحددة. يتم تحديث قائمة المواقع وصور نظام التشغيل بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 4.5.1 |
| تكوين مجموعات مقياس الجهاز الظاهري ل Windows ليتم إقرانها بقاعدة تجميع البيانات أو نقطة نهاية تجميع البيانات | انشر الاقتران لربط مجموعات مقياس الجهاز الظاهري ل Windows بقاعدة تجميع البيانات المحددة أو نقطة نهاية مجموعة البيانات المحددة. يتم تحديث قائمة المواقع وصور نظام التشغيل بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 3.3.1 |
| تكوين مجموعات تغيير سعة الجهاز الظاهري لنظام التشغيل Windows لتشغيل Azure Monitor Agent باستخدام هوية مُدارة يعينها النظام | أتمتة توزيع ملحق Azure Monitor Agent على مجموعات مقياس جهاز Windows الظاهري لجمع بيانات تتبع الاستخدام من نظام التشغيل الضيف. سيقوم هذا النهج بتثبيت الملحق في حال توفر دعم لنظام التشغيل والمنطقة وتمكين الهوية المُدارة المعينة من قِبل النظام، وتخطي التثبيت بطريقة أخرى. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 3.4.0 |
| تكوين مجموعات تغيير سعة الجهاز الظاهري لنظام التشغيل Windows لتشغيل Azure Monitor Agent باستخدام المصادقة المستندة إلى هوية مُدارة يعينها المستخدم | أتمتة توزيع ملحق Azure Monitor Agent على مجموعات مقياس جهاز Windows الظاهري لجمع بيانات تتبع الاستخدام من نظام التشغيل الضيف. ستعمل هذه النهج على تثبيت الملحق وتكوينه لاستخدام هوية مُدارة محددة يعينها المستخدم إذا كان نظام التشغيل والمنطقة مدعومين، وتخطي التثبيت بخلاف ذلك. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 1.6.0 |
| تكوين أجهزة Windows الظاهرية ليتم إقرانها بقاعدة تجميع البيانات أو نقطة نهاية تجميع البيانات | انشر الاقتران لربط أجهزة Windows الظاهرية بقاعدة تجميع البيانات المحددة أو نقطة نهاية مجموعة البيانات المحددة. يتم تحديث قائمة المواقع وصور نظام التشغيل بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 3.3.1 |
| تكوين أجهزة Windows الظاهرية لتشغيل Azure Monitor Agent باستخدام هوية مُدارة يعينها النظام | أتمتة توزيع ملحق Azure Monitor Agent على أجهزة Windows الظاهرية لجمع بيانات تتبع الاستخدام من نظام التشغيل الضيف. سيقوم هذا النهج بتثبيت الملحق في حال توفر دعم لنظام التشغيل والمنطقة وتمكين الهوية المُدارة المعينة من قِبل النظام، وتخطي التثبيت بطريقة أخرى. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 4.4.0 |
| تكوين أجهزة Windows الظاهرية لتشغيل Azure Monitor Agent باستخدام المصادقة المستندة إلى هوية مُدارة يعينها المستخدم | أتمتة توزيع ملحق Azure Monitor Agent على أجهزة Windows الظاهرية لجمع بيانات تتبع الاستخدام من نظام التشغيل الضيف. ستعمل هذه النهج على تثبيت الملحق وتكوينه لاستخدام هوية مُدارة محددة يعينها المستخدم إذا كان نظام التشغيل والمنطقة مدعومين، وتخطي التثبيت بخلاف ذلك. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 1.6.0 |
| إنشاء هوية مدارة معينة من قبل المستخدم وتعيينها | إنشاء وتعيين هوية مدارة مضمنة يعينها المستخدم على نطاق واسع لأجهزة SQL الظاهرية. | AuditIfNotExists، DeployIfNotExists، مُعطل | 1.7.0 |
| يجب تمكين عامل التبعية لصور الأجهزة الظاهرية المُدرجة | يُبلغ عن الأجهزة الظاهرية على أنها غير متوافقة إذا لم تكن صورة الجهاز الظاهري في القائمة المحددة ولم يتم تثبيت الوكيل. يتم تحديث قائمة صور نظام التشغيل بمرور الوقت مع تحديث الدعم. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين عامل التبعية في مجموعات مقياس الأجهزة الظاهرية لصور الأجهزة الظاهرية المُدرجة | يُبلغ عن تعيين مقياس الجهاز الظاهري على أنه غير متوافق إذا لم تكن صورة الجهاز الظاهري في القائمة المحددة ولم يتم تثبيت الوكيل. يتم تحديث قائمة صور نظام التشغيل بمرور الوقت مع تحديث الدعم. | AuditIfNotExists، معطل | 2.0.0 |
| نشر - تكوين عامل تبعية ليتم تمكينه على مجموعات نطاقات الأجهزة الظاهرية لـ Windows | انشر عامل التبعية لمجموعات نطاقات الأجهزة الظاهرية إذا لم تكن صورة الجهاز الظاهري في القائمة المعرفة ولم يُثبَّت العامل. إذا كان upgradePolicy لمجموعة النطاق الخاصة بك عُينت إلى "Manual"، فعندئذٍ تحتاج إلى تطبيق الملحق على كل الأجهزة الظاهرية في المجموعة عن طريق تحديثها. | DeployIfNotExists، معطل | 3.2.0 |
| نشر - تكوين عامل تبعية ليتم تمكينه على الأجهزة الظاهرية لـ Windows | انشر عامل التبعية للأجهزة الظاهرية إذا لم تكن صورة الجهاز الظاهري في القائمة المعرفة ولم يُثبَّت العامل. | DeployIfNotExists، معطل | 3.2.0 |
| نشر - تكوين عامل Log Analytics ليتم تمكينه على مجموعات نطاقات الأجهزة الظاهرية لـ Windows | توزيع ملحق Log Analytics لمجموعات مقياس أجهزة Windows الظاهرية إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يُثبَّت الملحق. إذا كان upgradePolicy لمجموعة النطاق الخاصة بك عُينت إلى "Manual"، فعندئذٍ تحتاج إلى تطبيق الملحق على كل الجهاز الظاهري في المجموعة عن طريق تحديثه. إشعار الإهمال: عامل Log Analytics في مسار إهمال، ولن يتم دعمه بعد 31 أغسطس 2024. يجب الترحيل إلى البديل "عامل Azure Monitor" قبل ذلك التاريخ. | DeployIfNotExists، معطل | 3.1.0 |
| توزيع - تكوين ملحق Log Analytics ليتم تمكينه على أجهزة Windows الظاهرية | توزيع ملحق Log Analytics لأجهزة Windows الظاهرية إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يُثبَّت الملحق. إشعار الإهمال: عامل Log Analytics في مسار إهمال، ولن يتم دعمه بعد 31 أغسطس 2024. يجب الترحيل إلى البديل "عامل Azure Monitor" قبل ذلك التاريخ. | DeployIfNotExists، معطل | 3.1.0 |
| توزيع ملحق حماية Microsoft IaaSAntimalware الافتراضي على خوادم Windows | يوزع هذا النهج ملحق Microsoft IaaSAntimalware مع تكوين افتراضي عندما لا يتم تكوين VM مع ملحق مكافحة البرامج الضارة. | deployIfNotExists | 1.1.0 |
| نشر عامل تبعية لمجموعات نطاقات أجهزة Linux الظاهرية | انشر عامل التبعية لمجموعات نطاقات أجهزة Linux الظاهرية إذا لم تكن صورة الجهاز الظاهري (نظام التشغيل) في القائمة المعرفة ولم يُثبَّت العامل. ملاحظة: إذا كان upgradePolicy لمجموعة المقياس الخاصة بك عُينت إلى "Manual"، تحتاج إلى تطبيق الملحق على جميع الأجهزة الظاهرية في المجموعة عن طريق استدعاء الترقية عليها. في CLI، سيكون ذلك az vmss update-instances. | deployIfNotExists | 5.1.0 |
| توزيع عامل التبعية لمجموعات تغيير حجم الجهاز الظاهري Linux مع إعدادات عامل مراقبة Azure | وزع عامل التبعية لمجموعات تغيير حجم الجهاز الظاهري Linux مع إعدادات عامل مراقبة Azure إذا لم تكن صورة الجهاز الظاهري (نظام التشغيل) في القائمة المعرفة ولم يُثبَّت العامل. ملاحظة: إذا كان upgradePolicy لمجموعة المقياس الخاصة بك عُينت إلى "Manual"، تحتاج إلى تطبيق الملحق على جميع الأجهزة الظاهرية في المجموعة عن طريق استدعاء الترقية عليها. في CLI، سيكون ذلك az vmss update-instances. | DeployIfNotExists، معطل | 3.2.0 |
| نشر عامل تبعية لأجهزة Linux الظاهرية | انشر عامل التبعية لأجهزة Linux الظاهرية إذا لم تكن صورة الجهاز الظاهري (نظام التشغيل) في القائمة المعرفة ولم يُثبَّت العامل. | deployIfNotExists | 5.1.0 |
| نشر عامل التبعية لأجهزة Linux الظاهرية باستخدام إعدادات عامل مراقبة Azure | وزع عامل التبعية لأجهزة Linux الظاهرية مع إعدادات عامل مراقبة Azure إذا لم تكن صورة الجهاز الظاهري (نظام التشغيل) في القائمة المعرفة ولم يُثبَّت العامل. | DeployIfNotExists، معطل | 3.2.0 |
| توزيع عامل التبعية ليتم تمكينه على مجموعات تغيير حجم الجهاز الظاهري Windows مع إعدادات عامل مراقبة Azure | وزع عامل التبعية لمجموعات تغيير حجم الجهاز الظاهري Windows مع إعدادات عامل مراقبة Azure إذا لم تكن صورة الجهاز الظاهري في القائمة المعرفة ولم يُثبَّت العامل. إذا كان upgradePolicy لمجموعة النطاق الخاصة بك عُينت إلى "Manual"، فعندئذٍ تحتاج إلى تطبيق الملحق على كل الأجهزة الظاهرية في المجموعة عن طريق تحديثها. | DeployIfNotExists، معطل | 1.3.0 |
| توزيع عامل التبعية ليتم تمكينه على الأجهزة الظاهرية لـ Windows باستخدام إعدادات عامل مراقبة Azure | وزع عامل التبعية للأجهزة الظاهرية لـ Windows مع إعدادات عامل مراقبة Azure إذا لم تكن صورة الجهاز الظاهري في القائمة المعرفة ولم يُثبَّت العامل. | DeployIfNotExists، معطل | 1.3.0 |
| وزع ملحق Log Analytics لمجموعات تغيير حجم أجهزة Linux الظاهرية. مراجعة إشعار الإهمال أدناه | توزيع ملحق Log Analytics لمجموعات مقياس جهاز Linux الظاهري إذا كانت صورة الجهاز الظاهري (نظام التشغيل) في القائمة المحددة والملحق غير مثبت. ملاحظة: إذا كان upgradePolicy لمجموعة المقياس الخاصة بك عينت إلى يدوي، تحتاج إلى تطبيق الملحق على كافة VMs في المجموعة عن طريق استدعاء الترقية عليها. في CLI، سيكون ذلك az vmss update-instances. إشعار الإهمال: لن يتم دعم عامل Log Analytics بعد 31 أغسطس 2024. يجب الترحيل إلى البديل "عامل Azure Monitor" قبل ذلك التاريخ | deployIfNotExists | 3.0.0 |
| وزع ملحق Log Analytics لأجهزة Linux الظاهرية. مراجعة إشعار الإهمال أدناه | توزيع ملحق Log Analytics لأجهزة Linux الظاهرية إذا كانت صورة الجهاز الظاهري (نظام التشغيل) مدرجة في القائمة المحددة والملحق غير مثبت. إشعار الإهمال: عامل Log Analytics في مسار إهمال، ولن يتم دعمه بعد 31 أغسطس 2024. يجب الترحيل إلى البديل "عامل Azure Monitor" قبل ذلك التاريخ | deployIfNotExists | 3.0.0 |
| توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux | ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows | تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تدعم الأقراص وصورة نظام التشغيل TrustedLaunch | يعمل TrustedLaunch على تحسين أمان الجهاز الظاهري الذي يتطلب قرص نظام التشغيل وصورة نظام التشغيل لدعمه (Gen 2). لمعرفة المزيد حول TrustedLaunch، تفضل بزيارة https://aka.ms/trustedlaunch | المراجعة، معطلة | 1.0.0 |
| يجب حل المشاكل المتعلقة بحماية نقطة النهاية على أجهزتك | حل مشكلات صحة حماية نقطة النهاية على أجهزتك الظاهرية لحمايتها من أحدث التهديدات ونقاط الضعف. يتم توثيق حلول حماية نقطة النهاية المدعومة من Azure Security Center هنا - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. يتم توثيق تقييم حماية نقطة النهاية هنا - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت حماية نقطة النهاية على أجهزتك | لحماية أجهزتك من التهديدات والثغرات، قم بتثبيت حل مدعوم لحماية نقطة النهاية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري | قم بتدقيق وجود حل حماية نقطة النهاية وسلامته على مجموعات نطاقات الأجهزة الظاهرية، لحمايتها من التهديدات والثغرات الأمنية. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين التصحيح السريع للأجهزة الظاهرية Windows Server Azure Edition | تقليل عمليات إعادة التشغيل وتثبيت التحديثات بسرعة باستخدام التصحيح السريع. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/automanage/automanage-hotpatch. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة | قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تلبي أجهزة Linux المتطلبات الأساسية لأمان حساب Azure | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure. | AuditIfNotExists، معطل | 2.2.0 |
| يجب أن تحتوي أجهزة Linux على حسابات محلية مسموح بها فقط | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تعد إدارة حسابات المستخدمين باستخدام Azure Active Directory أفضل ممارسة لإدارة الهويات. يساعد تقليل حسابات الأجهزة المحلية على منع انتشار الهويات المدارة خارج نظام مركزي. الأجهزة غير متوافقة في حالة وجود حسابات مستخدمين محليين تم تمكينها وغير مدرجة في محددة السياسة. | AuditIfNotExists، معطل | 2.2.0 |
| يجب أن تحتوي مجموعات مقياس جهاز Linux الظاهري على Azure Monitor Agent مثبت | يجب مراقبة مجموعات مقياس جهاز Linux الظاهري وتأمينها من خلال توزيع Azure Monitor Agent. يقوم Azure Monitor Agent. بتجميع بيانات تتبع الاستخدام من نظام التشغيل الضيف. سيدقق هذا النهج مجموعات مقياس الجهاز الظاهري باستخدام صور نظام التشغيل المدعومة في المناطق المدعومة. اعرف المزيد:https://aka.ms/AMAOverview. | AuditIfNotExists، معطل | 3.3.0 |
| يجب أن تمكن أجهزة Linux الظاهرية تشفير قرص Azure أو EncryptionAtHost. | على الرغم من أن نظام تشغيل الجهاز الظاهري وأقراص البيانات مشفرة في حالة عدم التشغيل بشكل افتراضي باستخدام مفاتيح مدارة بواسطة النظام الأساسي؛ لا يتم تشفير أقراص الموارد (الأقراص المؤقتة) وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين موارد الحوسبة والتخزين. استخدم تشفير قرص Azure أو EncryptionAtHost للمعالجة. تفضل بزيارة https://aka.ms/diskencryptioncomparison لمقارنة عروض التشفير. يتطلب هذا النهج شرطين أساسيين لنشرهما في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.2.1 |
| يجب أن تحتوي أجهزة Linux الظاهرية على Azure Monitor Agent مثبتاً | يجب مراقبة أجهزة Linux الظاهرية وتأمينها من خلال توزيع Azure Monitor Agent. يقوم Azure Monitor Agent. بتجميع بيانات تتبع الاستخدام من نظام التشغيل الضيف. سيدقق هذا النهج الأجهزة الظاهرية باستخدام صور نظام التشغيل المدعومة في المناطق المدعومة. اعرف المزيد:https://aka.ms/AMAOverview. | AuditIfNotExists، معطل | 3.3.0 |
| يجب تعطيل أساليب المصادقة المحلية على أجهزة Linux | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا لم يتم تعطيل أساليب المصادقة المحلية لخوادم Linux. هذا للتحقق من أنه لا يمكن الوصول إلى خوادم Linux إلا بواسطة حساب AAD (دليل Azure النشط) أو قائمة المستخدمين المسموح بهم صراحة بواسطة هذا النهج، ما يحسن وضع الأمان العام. | AuditIfNotExists، معطل | 1.2.0-preview |
| يجب تعطيل أساليب المصادقة المحلية على خوادم Windows | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا لم يتم تعطيل أساليب المصادقة المحلية لخوادم Windows. هذا للتحقق من أنه لا يمكن الوصول إلى خوادم Windows إلا بواسطة حساب AAD (دليل Azure النشط) أو قائمة المستخدمين المسموح بهم صراحة بواسطة هذا النهج، ما يحسن وضع الأمان العام. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| يجب تثبيت عامل Log Analytics على مثيلات دور الخدمات السحابية (الدعم الموسع) | يجمع مركز الأمان البيانات من مثيلات دور الخدمات السحابية (الدعم الممتد) لمراقبة الثغرات الأمنية والتهديدات. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين ملحق Log Analytics في مجموعات مقياس الأجهزة الظاهرية لصور الأجهزة الظاهرية المدرجة | يُبلغ عن مجموعات مقياس الجهاز الظاهري على أنها غير متوافقة إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يتم تثبيت الملحق. | AuditIfNotExists، معطل | 2.0.1 |
| يجب تكوين الأجهزة للتحقق بشكل دوري من وجود تحديثات نظام مفقودة | لضمان تشغيل التقييمات الدورية لتحديثات النظام المفقودة تلقائياً كل 24 ساعة، يجب تعيين خاصية "AssessmentMode" على "AutomaticByPlatform". تعرف على المزيد حول خاصية "AssessmentMode" لنظام التشغيل Windows: https://aka.ms/computevm-windowspatchassessmentmode، لنظام التشغيل Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | التدقيق، الرفض، التعطيل | 3.7.0 |
| يجب أن يكون لدى الأجهزة نتائج سرية تم حلها | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تحتوي على نتائج سرية من حلول مسح البيانات السرية على أجهزتك الظاهرية. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تشفير الأقراص المدارة مرتين باستخدام كل من المفاتيح المدارة من النظام الأساسي والمفاتيح التي يديرها العملاء | يمكن للعملاء ذوي الحساسية الأمنية العالية الذين يشعرون بالقلق من المخاطر المرتبطة بأي خوارزمية تشفير معينة أو تنفيذ أو مفتاح يتم اختراقه اختيار طبقة إضافية من التشفير باستخدام خوارزمية /وضع تشفير مختلف في طبقة البنية التحتية باستخدام مفاتيح التشفير المدارة من النظام الأساسي. مجموعات تشفير القرص مطلوبة لاستخدام التشفير المزدوج. تعرّف على المزيد من خلال https://aka.ms/disks-doubleEncryption. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب على الأقراص المدارة تعطيل الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم تعرض قرص مدار على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض الأقراص المدارة. تعرف على المزيد من خلال: https://aka.ms/disksprivatelinksdoc. | المراجعة، معطلة | 2.0.0 |
| يجب أن تستخدم الأقراص المدارة مجموعة معينة من مجموعات تشفير القرص لتشفير المفاتيح المدارة من قبل العميل | يمنحك طلب مجموعة محددة من مجموعات تشفير الأقراص لاستخدامها مع الأقراص المُدارة التحكم في المفاتيح المستخدمة للتشفير الثابت. يمكنك تحديد المجموعات المشفرة المسموح بها، ويتم رفض كافة المجموعات الأخرى عند إرفاقها بقرص. تعرّف على المزيد من خلال https://aka.ms/disks-cmk. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تكوين برامج Microsoft Antimalware المضادة للبرمجيات الخبيثة لـ Azure بحيث تُحدّث توقيعات الحماية تلقائيًا | يقوم هذا النهج بمراجعة أي جهاز Windows ظاهري لم يتم تكوينه مع التحديث التلقائي لتوقيعات حماية Microsoft Antimalware. | AuditIfNotExists، معطل | 1.0.0 |
| يجب توزيع ملحق حماية Microsoft IaaSAntimalware على خوادم Windows | يقوم هذا النهج بتدقيق أي جهاز ظاهري لخادم Windows بدون نشر امتداد Microsoft IaaSAntimalware. | AuditIfNotExists، معطل | 1.1.0 |
| مراقبة حماية نقطة النهاية المفقودة في Azure Security Center | ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة | قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب تثبيت امتدادات الجهاز الظاهري المعتمدة فقط | يحكم هذا النهج ملحقات الجهاز الظاهري غير المعتمدة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تشفير نظام التشغيل وأقراص البيانات باستخدام مفتاح يُديره العميل | استخدم المفاتيح المدارة من قبل العميل لإدارة تشفير البيانات الثابتة محتويات الأقراص المدارة. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح المدارة من خلال النظام الأساسي، ولكن عادة ما تكون المفاتيح التي يديرها العملاء مطلوبة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/disks-cmk. | التدقيق، الرفض، التعطيل | 3.0.0 |
| يجب تمكين نقاط النهاية الخاصة لتعيينات تكوين الضيف | تفرض اتصالات نقطة النهاية الخاصة اتصالاً آمنًا من خلال تمكين الاتصال الخاص بتكوين الضيف للأجهزة الظاهرية. لن تكون الأجهزة الظاهرية متوافقة إلا إذا كانت تحمل العلامة "EnablePrivateNetworkGC". تفرض هذه العلامة اتصالاً آمنًا من خلال اتصال خاص بتكوين الضيف للأجهزة الظاهرية. يحد الاتصال الخاص من الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ويمنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | التدقيق، الرفض، التعطيل | 1.1.0 |
| حماية بياناتك بمتطلبات المصادقة عند التصدير أو التحميل إلى قرص أو لقطة. | عند استخدام عنوان URL للتصدير/التحميل، يتحقق النظام من أن المستخدم لديه هوية في Azure Active Directory ولديه الأذونات اللازمة لتصدير/تحميل البيانات. يرجى الرجوع إلى aka.ms/DisksAzureADAuth. | تعديل، تعطيل | 1.0.0 |
| تتطلب التصحيح التلقائي لصورة نظام التشغيل على مجموعات مقياس الجهاز الظاهري | يفرض هذا النهج تمكين تصحيح صور نظام التشغيل التلقائي على مجموعات مقياس الجهاز الظاهري للحفاظ على أمان الأجهزة الظاهرية دائمًا من خلال تطبيق أحدث تصحيحات الأمان كل شهر بشكل آمن. | رفض | 1.0.0 |
| جدولة التحديثات المتكررة باستخدام Azure Update Manager | يمكنك استخدام Azure Update Manager في Azure لحفظ جداول التوزيع المتكررة لتثبيت تحديثات نظام التشغيل لأجهزة Windows Server وLinux في Azure وفي البيئات المحلية وفي بيئات السحابة الأخرى المتصلة باستخدام خوادم Azure Arc الممكنة. ستعمل هذه النهج أيضاً على تغيير وضع التصحيح لـ Azure Virtual Machine إلى "AutomaticByPlatform". مشاهدة المزيد: https://aka.ms/umc-scheduled-patching | DeployIfNotExists، معطل | 3.12.0 |
| يجب أن يتم حل نتائج الثغرات الأمنية في خوادم SQL على الأجهزة | يقوم تقييم الثغرات الأمنية في SQL بفحص قاعدة البيانات بحثًا عن أي ثغرات أمنية، ويعرض أي انحرافات عن أفضل الممارسات مثل التكوينات الخاطئة والأذونات الزائدة والبيانات الحساسة غير المحمية. يمكن أن يؤدي حل الثغرات الأمنية التي عُثر عليها إلى تحسين كبير في حالة أمان قاعدة البيانات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت تحديثات النظام على الأجهزة الخاصة بك (مدعومة من مركز التحديث) | تفتقد أجهزتك إلى النظام والأمان والتحديثات الهامة. غالبًا ما تتضمن تحديثات البرامج تصحيحات حرجة لثقوب الأمان. يتم استغلال هذه الثقوب في كثير من الأحيان في هجمات البرامج الضارة لذلك من الضروري الحفاظ على تحديث برنامجك. لتثبيت جميع التصحيحات المعلقة وتأمين أجهزتك، اتبع خطوات المعالجة. | AuditIfNotExists، معطل | 1.0.1 |
| يجب عدم تثبيت ملحق Log Analytics القديم على مجموعات مقياس الجهاز الظاهري Linux | منع تثبيت عامل Log Analytics القديم تلقائيا كخطوة أخيرة للترحيل من العوامل القديمة إلى عامل Azure Monitor. بعد إلغاء تثبيت الملحقات القديمة الموجودة، سيرفض هذا النهج جميع عمليات التثبيت المستقبلية لملحق العامل القديم على مجموعات مقياس الجهاز الظاهري Linux. تعرَّف على المزيد: https://aka.ms/migratetoAMA | تعديل، تدقيق، مُعطل | 1.0.0 |
| يجب عدم تثبيت ملحق Log Analytics القديم على أجهزة Linux الظاهرية | منع تثبيت عامل Log Analytics القديم تلقائيا كخطوة أخيرة للترحيل من العوامل القديمة إلى عامل Azure Monitor. بعد إلغاء تثبيت الملحقات القديمة الموجودة، سيرفض هذا النهج جميع عمليات التثبيت المستقبلية لملحق العامل القديم على أجهزة Linux الظاهرية. تعرَّف على المزيد: https://aka.ms/migratetoAMA | تعديل، تدقيق، مُعطل | 1.0.0 |
| يجب عدم تثبيت ملحق Log Analytics القديم على مجموعات مقياس الجهاز الظاهري | منع تثبيت عامل Log Analytics القديم تلقائيا كخطوة أخيرة للترحيل من العوامل القديمة إلى عامل Azure Monitor. بعد إلغاء تثبيت الملحقات القديمة الموجودة، سيرفض هذا النهج جميع عمليات التثبيت المستقبلية لملحق العامل القديم على مجموعات مقياس الجهاز الظاهري ل Windows. تعرَّف على المزيد: https://aka.ms/migratetoAMA | تعديل، تدقيق، مُعطل | 1.0.0 |
| يجب عدم تثبيت ملحق Log Analytics القديم على الأجهزة الظاهرية | منع تثبيت عامل Log Analytics القديم تلقائيا كخطوة أخيرة للترحيل من العوامل القديمة إلى عامل Azure Monitor. بعد إلغاء تثبيت الملحقات القديمة الموجودة، سيرفض هذا النهج جميع عمليات التثبيت المستقبلية لملحق العامل القديم على الأجهزة الظاهرية التي تعمل بنظام Windows. تعرَّف على المزيد: https://aka.ms/migratetoAMA | تعديل، تدقيق، مُعطل | 1.0.0 |
| يجب تثبيت ملحق Log Analytics على مجموعات مقياس الجهاز الظاهري | يدقق هذا النهج أي مجموعات مقياس جهاز ظاهري في Windows/Linux إذا لم يكن ملحق Log Analytics مثبتاً. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين TrustedLaunch للجهاز الظاهري | تمكين TrustedLaunch على الجهاز الظاهري لتحسين الأمان، استخدم VM SKU (Gen 2) الذي يدعم TrustedLaunch. لمعرفة المزيد حول TrustedLaunch، تفضل بزيارة https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | المراجعة، معطلة | 1.0.0 |
| يجب تمكين التشفير على المضيف في الأجهزة الظاهرية ومجموعات مقياس الجهاز الظاهري | استخدم التشفير في المضيف للحصول على تشفير من طرف إلى طرف لجهازك الظاهري وبيانات مجموعة مقياس الجهاز الظاهري. التشفير في المضيف يتيح تشفير البيانات الثابتة للقرص المؤقت الخاص بك وذاكرة التخزين المؤقت لـ OS/قرص البيانات. يتم تشفير أقراص OS المؤقتة والزائلة باستخدام مفاتيح تتم إدارتها من خلال النظام الأساسي عند تمكين التشفير في المضيف. يتم تشفير ذاكرة التخزين المؤقت لأقراص OS/data في حالة راحة باستخدام مفتاح مدار من قبل العميل أو مفتاح مدار بواسطة النظام الأساسي، وذلك حسب نوع التشفير المحدد على القرص. تعرّف على المزيد من خلال https://aka.ms/vm-hbe. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب توصيل الأجهزة الظاهرية بمساحة عمل محددة | يُبلغ عن الأجهزة الظاهرية على أنها غير متوافقة إذا لم تقم بتسجيل الدخول إلى مساحة عمل Log Analytics المحددة في تعيين النهج/المبادرة. | AuditIfNotExists، معطل | 1.1.0 |
| يجب ترحيل الأجهزة الظاهرية إلى موارد Azure Resource Manager الجديدة | استخدم إدارة موارد Azure الجديدة للأجهزة الظاهرية لتوفير تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، والمراجعة الأفضل، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى خزنة المفاتيح للأسرار، والمصادقة المستندة إلى Azure AD، ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يكون لدى الأجهزة الظاهرية ملحق Log Analytics مثبتاً | يدقق هذا النهج أي أجهزة ظاهرية لنظامي التشغيل Windows/Linux إذا لم يتم تثبيت ملحق Log Analytics. | AuditIfNotExists، معطل | 1.0.1 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
| يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك | ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات | AuditIfNotExists، معطل | 3.1.0 |
| يجب تمكينWindows Defender Exploit Guard على أجهزتك | يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط). | AuditIfNotExists، معطل | 2.0.0 |
| يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة | لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة. | AuditIfNotExists، معطل | 4.1.1 |
| يجب أن تقوم أجهزة Windows بتكوين Windows Defender لتحديث تواقيع الحماية في غضون يوم واحد | لتوفير حماية كافية ضد البرامج الضارة التي تم إصدارها حديثًا، يجب تحديث تواقيع حماية Windows Defender بانتظام لحساب البرامج الضارة التي تم إصدارها حديثًا. لا يتم تطبيق هذا النهج على خوادم Arc المتصلة ويتطلب نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين النهج. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
| يجب أن تمكن أجهزة Windows الحماية في الوقت الحقيقي لـ Windows Defender | يجب أن تمكن أجهزة Windows الحماية في الوقت الحقيقي في Windows Defender لتوفير حماية كافية ضد البرامج الضارة التي تم إصدارها حديثًا. لا ينطبق هذا النهج على خوادم arc المتصلة ويتطلب نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين النهج. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
| يجب أن تفي أجهزة Windows بمتطلبات "القوالب الإدارية - لوحة التحكم" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "القوالب الإدارية - لوحة التحكم" لتخصيص الإدخال ومنع تمكين شاشات القفل. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "القوالب الإدارية - MSS (Legacy)" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "القوالب الإدارية - MSS (Legacy)" لتسجيل الدخول التلقائي وشاشة التوقف وسلوك الشبكة وDLL الآمن وسجل الأحداث. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "Administrative Templates - Network" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "Administrative Templates - Network" لتسجيلات دخول الضيوف، والاتصالات المتزامنة، وجسر الشبكة، وICS، وتحليل اسم الإرسال المتعدد. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "القوالب الإدارية - النظام" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "القوالب الإدارية - النظام" للإعدادات التي تتحكم في الخبرة الإدارية والمساعدة عن بُعد. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "خيارات الأمان -الحسابات" | يجب أن يكون لدى أجهزة Windows إعدادات "نهج المجموعة" المحددة في فئة "خيارات الأمان - الحسابات" للحد من استخدام الحساب المحلي لكلمات المرور الفارغة وحالة حساب الضيف. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "خيارات الأمان - التدقيق" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - التدقيق" لفرض فئة فرعية لسياسة التدقيق وإيقاف التشغيل إذا تعذر تسجيل عمليات تدقيق الأمان. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "خيارات الأمان - الأجهزة" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة"خيارات الأمان - الأجهزة"لإلغاء الإرساء دون تسجيل الدخول، وتثبيت برامج تشغيل الطباعة، وتنسيق / إخراج الوسائط. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "خيارات الأمان - تسجيل الدخول المحلى" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - تسجيل الدخول المحلى" لعرض اسم المستخدم الأخير والمطالبة بـ ctrl-alt-del. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "خيارات الأمان - عميل شبكة Microsoft" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في الفئة "خيارات الأمان - عميل شبكة Microsoft" لعميل / خادم شبكة Microsoft وSMB v1. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Microsoft Network Server" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "Security Options - Microsoft Network Server" لتعطيل خادم SMB v1. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Microsoft Network Server" | يجب أن يكون لدى أجهزة Windows إعدادات «نهج المجموعة» المحددة في الفئة "Security Options - Network Access" بما في ذلك الوصول للمستخدمين المجهولين، والحسابات المحلية، والوصول عن بُعد إلى السجل. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Network Security" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - أمان الشبكة" لتضمين سلوك النظام المحلي وPKU2U وLAN Manager وعميل LDAP وNTLM SSP. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Recovery console" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - وحدة التحكم بالاسترداد" للسماح بالنسخ المرن والوصول إلى جميع محركات الأقراص والمجلدات. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "خيارات الأمان - إيقاف التشغيل" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - إيقاف التشغيل" للسماح بإيقاف التشغيل بدون تسجيل الدخول ومسح ملف ترحيل الصفحات الخاص بالذاكرة الظاهرية. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "خيارات الأمان - كائنات النظام" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في الفئة "خيارات الأمان - كائنات النظام" لعدم حساسية الحالة للأنظمة الفرعية غير التابعة لـ Windows وأذونات كائنات النظام الداخلية. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "خيارات الأمان - إعدادات النظام" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في الفئة "خيارات الأمان - إعدادات النظام" لقواعد الشهادات على الملفات التنفيذية لـ SRP والأنظمة الفرعية الاختيارية. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات 'Security Options - User Account Control' | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - التحكم في حساب المستخدم" للوضع الخاص بالمسؤولين، وسلوك طلب تأكيد، والمحاكاة الافتراضية لإخفاقات كتابة الملف والسجل. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "إعدادات الأمان - نُهج الحساب" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "إعدادات الأمان - سياسات الحساب" لمحفوظات كلمات المرور والعمر والطول والتعقيد وتخزين كلمات المرور باستخدام التشفير القابل للعكس. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "سياسة تدقيق النظام - تسجيل الدخول إلى الحساب" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في الفئة "سياسات تدقيق النظام - تسجيل الدخول إلى الحساب" لتدقيق التحقق من صحة بيانات الاعتماد وأحداث تسجيل الدخول إلى الحسابات الأخرى. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "System Audit Policies - Account Management" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "سياسات تدقيق النظام - إدارة الحساب" لتدقيق التطبيقات والأمان وإدارة مجموعة المستخدمين وأحداث الإدارة الأخرى. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات"System Audit Policies - Detailed Tracking" | يجب أن يكون لدى أجهزة Windows إعدادات "نهج المجموعة" المحددة في الفئة "نهج تدقيق النظام - تعقب مفصل" لتدقيق DPAPI وإنشاء العملية/ إنهائها وأحداث RPC ونشاط PNP. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "سياسات تدقيق النظام - تسجيل الدخول - تسجيل الخروج" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "سياسات تدقيق النظام - تسجيل الدخول - تسجيل الخروج" لتدقيق IPSec، وسياسة الشبكة، والمطالبات، وإغلاق الحساب، وعضوية المجموعة، وأحداث تسجيل الدخول/ تسجيل الخروج. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "سياسات تدقيق النظام - الوصول إلى الكائنات" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "سياسات تدقيق النظام - الوصول إلى الكائنات" لملف التدقيق، والتسجيل، وSAM، والتخزين، والتصفية، وkernel، وأنواع الأنظمة الأخرى. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات"System Audit Policies - Policy Change" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "سياسة تدقيق النظام - تغيير السياسة" لتدقيق التغييرات في سياسات تدقيق النظام. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "سياسة تدقيق النظام - استخدام الامتياز" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في الفئة «نُهج تدقيق النظام - استخدام الامتياز» لتدقيق الاستخدام غير الحساس واستخدام الامتيازات الأخرى. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "سياسات تدقيق النظام - النظام" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "سياسات تدقيق النظام - النظام" لتدقيق برنامج تشغيل IPsec وتكامل النظام وامتداد النظام وتغيير الحالة وأحداث النظام الأخرى. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات Use" "Rights Assignment | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في الفئة 'تعيين حقوق المستخدم' للسماح بتسجيل الدخول محليًا، RDP، الوصول من الشبكة، والعديد من أنشطة المستخدم الأخرى. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "مكونات Windows" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "مكونات Windows" للمصادقة الأساسية وحركة المرور غير المشفرة وحسابات Microsoft والقياس عن بُعد وسلوكيات Cortana وسلوكيات Windows الأخرى. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "تعيين حقوق المستخدم" | يجب أن يكون لدى أجهزة Windows إعدادات "نهج المجموعة" المحددة في الفئة "خصائص جدار الحماية Windows" لحالة جدار الحماية والاتصالات وإدارة القواعد والإشعارات. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي الأجهزة التي تعمل بنظام التشغيل Windows بمتطلبات أساس أمان حساب Azure | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن يكون لأجهزة Windows حسابات محلية مسموح بها فقط | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. هذا التعريف غير مدعوم في Windows Server 2012 أو 2012 R2. تعد إدارة حسابات المستخدمين باستخدام Azure Active Directory أفضل ممارسة لإدارة الهويات. يساعد تقليل حسابات الأجهزة المحلية على منع انتشار الهويات المدارة خارج نظام مركزي. الأجهزة غير متوافقة في حالة وجود حسابات مستخدمين محليين تم تمكينها وغير مدرجة في محددة السياسة. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تحتوي مجموعات مقياس جهاز Windows الظاهري على Azure Monitor Agent مثبت | يجب مراقبة مجموعات مقياس جهاز Windows الظاهري وتأمينها من خلال توزيع Azure Monitor Agent. يقوم Azure Monitor Agent. بتجميع بيانات تتبع الاستخدام من نظام التشغيل الضيف. تتم مراقبة مجموعات مقياس الجهاز الظاهري المزود بنظام التشغيل المدعوم وفي المناطق المدعومة لتوزيع Azure Monitor Agent. اعرف المزيد:https://aka.ms/AMAOverview. | AuditIfNotExists، معطل | 3.2.0 |
| يجب أن تمكن أجهزة Windows الظاهرية تشفير قرص Azure أو EncryptionAtHost. | على الرغم من أن نظام تشغيل الجهاز الظاهري وأقراص البيانات مشفرة في حالة عدم التشغيل بشكل افتراضي باستخدام مفاتيح مدارة بواسطة النظام الأساسي؛ لا يتم تشفير أقراص الموارد (الأقراص المؤقتة) وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين موارد الحوسبة والتخزين. استخدم تشفير قرص Azure أو EncryptionAtHost للمعالجة. تفضل بزيارة https://aka.ms/diskencryptioncomparison لمقارنة عروض التشفير. يتطلب هذا النهج شرطين أساسيين لنشرهما في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.1.1 |
| يجب أن تحتوي أجهزة Windows الظاهرية على Azure Monitor Agent مثبتاً | يجب مراقبة أجهزة Windows الظاهرية وتأمينها من خلال توزيع Azure Monitor Agent. يقوم Azure Monitor Agent. بتجميع بيانات تتبع الاستخدام من نظام التشغيل الضيف. تتم مراقبة أجهزة Windows الظاهرية المزودة بنظام التشغيل المدعوم وفي المناطق المدعومة لتوزيع Azure Monitor Agent. اعرف المزيد:https://aka.ms/AMAOverview. | AuditIfNotExists، معطل | 3.2.0 |
Microsoft.VirtualMachineImages
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم قوالب منشئ صور الأجهزة الظاهرية رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموارد بناء VM Image Builder، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | تدقيق، تعطيل، رفض | 1.1.0 |
Microsoft.ClassicCompute
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
| تدقيق الأجهزة الظاهرية دون تكوين استرداد بعد عطل فادح | مراجعة الأجهزة الظاهرية التي لم يتم تكوين استردادها بعد عطل فادح. لمعرفة المزيد حول الاسترداد بعد الأخطاء الفادحة، تفضل بزيارة https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| يجب حل المشاكل المتعلقة بحماية نقطة النهاية على أجهزتك | حل مشكلات صحة حماية نقطة النهاية على أجهزتك الظاهرية لحمايتها من أحدث التهديدات ونقاط الضعف. يتم توثيق حلول حماية نقطة النهاية المدعومة من Azure Security Center هنا - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. يتم توثيق تقييم حماية نقطة النهاية هنا - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت حماية نقطة النهاية على أجهزتك | لحماية أجهزتك من التهديدات والثغرات، قم بتثبيت حل مدعوم لحماية نقطة النهاية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة | قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن يكون لدى الأجهزة نتائج سرية تم حلها | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تحتوي على نتائج سرية من حلول مسح البيانات السرية على أجهزتك الظاهرية. | AuditIfNotExists، معطل | 1.0.2 |
| يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. | AuditIfNotExists، معطل | 3.0.0 |
| مراقبة حماية نقطة النهاية المفقودة في Azure Security Center | ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة | قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب ترحيل الأجهزة الظاهرية إلى موارد Azure Resource Manager الجديدة | استخدم إدارة موارد Azure الجديدة للأجهزة الظاهرية لتوفير تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، والمراجعة الأفضل، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى خزنة المفاتيح للأسرار، والمصادقة المستندة إلى Azure AD، ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك | ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات | AuditIfNotExists، معطل | 3.1.0 |
الخطوات التالية
- راجع العناصر المضمنة في مستودع GitHub لنهج Azure.
- راجع بنية تعريف نهج Azure.
- راجع فهم تأثيرات النهج.