Předdefinované definice Azure Policy pro servery s podporou Azure Arc
Tato stránka je indexem předdefinovaných definic zásad služby Azure Policy pro servery s podporou Azure Arc. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy na GitHubu.
Servery s podporou služby Azure Arc
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Spravovaná identita by měla být na vašich počítačích povolená. | Prostředky spravované službou Automanage by měly mít spravovanou identitu. | Audit, zakázáno | 1.0.0-preview |
| [Preview]: Přiřazení automatického konfiguračního profilu by mělo být v souladu | Prostředky spravované službou Automanage by měly mít stav Conformant nebo ConformantCorrected. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Agent zabezpečení Azure by měl být nainstalovaný na počítačích s Linuxem Arc. | Nainstalujte na počítače s Linuxem Arc agenta zabezpečení Azure, abyste mohli monitorovat konfigurace zabezpečení a ohrožení zabezpečení počítačů. Výsledky posouzení se dají zobrazit a spravovat ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Agent zabezpečení Azure by měl být nainstalovaný na počítačích s Windows Arc. | Nainstalujte na počítače s Windows Arc agenta zabezpečení Azure, abyste mohli monitorovat konfigurace zabezpečení a ohrožení zabezpečení počítačů. Výsledky posouzení se dají zobrazit a spravovat ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Rozšíření ChangeTracking by se mělo nainstalovat na počítač s Linuxem Arc | Nainstalujte rozšíření ChangeTracking na počítače s Linuxem Arc, abyste povolili monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Rozšíření ChangeTracking by mělo být nainstalované na počítači s Windows Arc | Nainstalujte rozšíření ChangeTracking na počítače s Windows Arc, abyste povolili monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace linuxových počítačů s podporou Služby Azure Arc s agenty Log Analytics připojenými k výchozímu pracovnímu prostoru služby Log Analytics | Chraňte své počítače s Linuxem s podporou Azure Arc pomocí funkcí Microsoft Defenderu pro cloud tím, že nainstalujete agenty Log Analytics, kteří odesílají data do výchozího pracovního prostoru služby Log Analytics vytvořeného microsoft defenderem pro cloud. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace počítačů s Windows s podporou Služby Azure Arc s agenty Log Analytics připojenými k výchozímu pracovnímu prostoru služby Log Analytics | Chraňte počítače s Windows s podporou Azure Arc pomocí funkcí Microsoft Defenderu pro cloud tím, že nainstalujete agenty Log Analytics, kteří odesílají data do výchozího pracovního prostoru služby Log Analytics vytvořeného v programu Microsoft Defender for Cloud. | DeployIfNotExists, zakázáno | 1.1.0-preview |
| [Preview]: Konfigurace rozšíření ChangeTracking pro počítače s Linuxem Arc | Nakonfigurujte počítače s Linuxem Arc tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby bylo možné povolit monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem služby Azure Monitor. | DeployIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace rozšíření ChangeTracking pro počítače s Windows Arc | Nakonfigurujte počítače s Windows Arc tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby bylo možné povolit monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem služby Azure Monitor. | DeployIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace počítačů s podporou arc s Linuxem pro přidružení k pravidlu shromažďování dat pro ChangeTracking a Inventory | Nasaďte přidružení pro propojení počítačů s linuxovým arc s určeným pravidlem shromažďování dat, které povolí changeTracking a inventory. Seznam umístění se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace počítačů s podporou Arc s Linuxem pro instalaci AMA pro ChangeTracking a Inventory | Automatizujte nasazení rozšíření agenta Azure Monitoru na počítačích s podporou Arc s Linuxem pro povolení řešení ChangeTracking a Inventory. Tato zásada nainstaluje rozšíření, pokud je oblast podporovaná. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.3.0-preview |
| [Preview]: Konfigurace podporovaných počítačů s Linuxem Arc pro automatickou instalaci agenta zabezpečení Azure | Nakonfigurujte podporované počítače s Linuxem Arc tak, aby automaticky nainstalovaly agenta zabezpečení Azure. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Cílové počítače Se systémem Linux Arc musí být v podporovaném umístění. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace podporovaných počítačů s Windows Arc pro automatickou instalaci agenta zabezpečení Azure | Nakonfigurujte podporované počítače s Windows Arc tak, aby automaticky nainstalovaly agenta zabezpečení Azure. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Cílové počítače s Windows Arc musí být v podporovaném umístění. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace počítačů s podporou služby Windows Arc pro přidružení k pravidlu shromažďování dat pro ChangeTracking a Inventory | Nasaďte přidružení pro propojení počítačů s podporou služby Windows Arc se zadaným pravidlem shromažďování dat, které povolí changeTracking a Inventory. Seznam umístění se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace počítačů s podporou služby Windows Arc pro instalaci AMA pro ChangeTracking a Inventory | Automatizujte nasazení rozšíření agenta Služby Azure Monitor na počítačích s podporou služby Windows Arc pro povolení řešení ChangeTracking a Inventory. Tato zásada nainstaluje rozšíření, pokud je podporovaný operační systém a oblast a je povolená spravovaná identita přiřazená systémem, a jinak tuto instalaci přeskočí. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Nakonfigurujte Windows Server tak, aby zakázal místní uživatele. | Vytvoří přiřazení konfigurace hosta pro konfiguraci zakázání místních uživatelů na Windows Serveru. Tím zajistíte, že k Windows Serverům bude mít přístup jenom účet AAD (Azure Active Directory) nebo seznam explicitně povolených uživatelů pomocí této zásady, což zlepšuje celkový stav zabezpečení. | DeployIfNotExists, zakázáno | 1.2.0-preview |
| [Preview]: Odepřít vytvoření nebo úpravu licence rozšířeného zabezpečení Aktualizace (ESU). | Tato zásada umožňuje omezit vytváření nebo úpravy licencí ESU pro počítače s Windows Serverem 2012 Arc. Další podrobnosti o cenách najdete na stránce https://aka.ms/ArcWS2012ESUPricing | Odepřít, zakázáno | 1.0.0-preview |
| [Preview]: Nasazení agenta Microsoft Defender for Endpoint na hybridních počítačích s Linuxem | Nasadí agenta Microsoft Defender for Endpoint na hybridní počítače s Linuxem. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Preview]: Nasazení agenta Microsoft Defenderu for Endpoint na počítačích s Windows Azure Arc | Nasadí Microsoft Defender for Endpoint na počítačích s Windows Azure Arc. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Preview]: Povolení licence rozšířeného zabezpečení Aktualizace (ESU) pro zachování ochrany počítačů s Windows 2012 po ukončení jejich životního cyklu podpory | Povolte licenci rozšířeného zabezpečení Aktualizace (ESU), aby byly počítače s Windows 2012 chráněné i po ukončení jejich životního cyklu podpory. Přečtěte si, jak se připravit na doručování rozšířených Aktualizace zabezpečení pro Windows Server 2012 prostřednictvím AzureArc, navštivte prosím https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updatesstránku . Další podrobnosti o cenách najdete na stránce https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Rozšířená Aktualizace zabezpečení by měla být nainstalovaná na počítačích s Windows Serverem 2012 Arc. | Počítače s Windows Serverem 2012 Arc by měly mít nainstalované všechny rozšířené bezpečnostní Aktualizace vydané Microsoftem. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete v tématu |
AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení Azure pro hostitele Dockeru. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítač není správně nakonfigurovaný pro jedno z doporučení v standardních hodnotách zabezpečení Azure pro hostitele Dockeru. | AuditIfNotExists, zakázáno | 1.2.0-preview |
| [Preview]: Počítače s Linuxem by měly splňovat požadavky na dodržování předpisů STIG pro výpočetní prostředky Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení v požadavcích na dodržování předpisů STIG pro výpočetní prostředky Azure. DISA (Defense Information Systems Agency) poskytuje technické příručky STIG (Průvodce technickou implementací zabezpečení) k zabezpečení výpočetního operačního systému podle požadavků ministerstva obrany (DoD). Další podrobnosti https://public.cyber.mil/stigs/získáte. | AuditIfNotExists, zakázáno | 1.2.0-preview |
| [Preview]: Počítače s Linuxem s nainstalovaným OMI by měly mít verzi 1.6.8-1 nebo novější. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Vzhledem k opravě zabezpečení, která je součástí balíčku OMI verze 1.6.8-1 pro Linux, by se všechny počítače měly aktualizovat na nejnovější verzi. Upgradujte aplikace nebo balíčky, které k vyřešení problému používají OMI. Další informace najdete na webu https://aka.ms/omiguidance. | AuditIfNotExists, zakázáno | 1.2.0-preview |
| [Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem. | Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc | Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Výpočetní počítače Nexus by měly splňovat standardní hodnoty zabezpečení. | Využívá agenta konfigurace hosta Azure Policy k auditování. Tato zásada zajišťuje, aby počítače dodržovaly standardní hodnoty zabezpečení pro výpočty Nexus, včetně různých doporučení navržených k zajištění řady ohrožení zabezpečení a nebezpečných konfigurací (pouze Linux). | AuditIfNotExists, zakázáno | 1.1.0-preview |
| [Preview]: Aktualizace systému by se měly nainstalovat na vaše počítače (s využitím Update Center). | V počítačích chybí systém, zabezpečení a důležité aktualizace. Aktualizace softwaru často zahrnují kritické opravy bezpečnostních otvorů. Takové díry se často využívají při malwarových útocích, takže je důležité udržovat software aktualizovaný. Pokud chcete nainstalovat všechny nevyhrazené opravy a zabezpečit počítače, postupujte podle kroků pro nápravu. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Počítače s Windows by měly splňovat požadavky na dodržování předpisů STIG pro výpočetní prostředky Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení v požadavcích na dodržování předpisů STIG pro výpočetní prostředky Azure. DISA (Defense Information Systems Agency) poskytuje technické příručky STIG (Průvodce technickou implementací zabezpečení) k zabezpečení výpočetního operačního systému podle požadavků ministerstva obrany (DoD). Další podrobnosti https://public.cyber.mil/stigs/získáte. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | AuditIfNotExists, zakázáno | 3.1.0 |
| Auditování počítačů s Linuxem, které nemají nastavená oprávnění k souboru passwd nastavená na 0644 | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, u kterých nejsou nastavená oprávnění k souborům passwd nastavená na 0644 | AuditIfNotExists, zakázáno | 3.1.0 |
| Auditovat počítače s Linuxem, které nemají nainstalované zadané aplikace | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud prostředek Chef InSpec indikuje, že jeden nebo více balíčků poskytovaných parametrem nejsou nainstalovány. | AuditIfNotExists, zakázáno | 4.2.0 |
| Auditování počítačů s Linuxem, které mají účty bez hesel | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které mají účty bez hesel | AuditIfNotExists, zakázáno | 3.1.0 |
| Auditovat počítače s Linuxem, které mají nainstalované zadané aplikace | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud prostředek Chef InSpec indikuje, že jsou nainstalovány některé balíčky poskytované parametrem. | AuditIfNotExists, zakázáno | 4.2.0 |
| Auditovat počítače s Windows, u které chybí některý ze zadaných členů ve skupině Správa istrators | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud místní skupina Správa istrators neobsahuje jeden nebo více členů uvedených v parametru zásad. | auditIfNotExists | 2.0.0 |
| Audit síťového připojení počítačů s Windows | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud stav síťového připojení k IP adrese a port TCP neodpovídá parametru zásad. | auditIfNotExists | 2.0.0 |
| Auditování počítačů s Windows, na kterých konfigurace DSC nedodržuje předpisy | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud příkaz Prostředí Windows PowerShell Get-DSCConfigurationStatus vrátí, že konfigurace DSC pro daný počítač nedodržuje předpisy. | auditIfNotExists | 3.0.0 |
| Auditování počítačů s Windows, na kterých není agent Log Analytics připojený podle očekávání | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud agent není nainstalovaný nebo pokud je nainstalovaný, ale objekt AgentConfigManager.MgmtSvcCfg objektu COM vrátí, že je zaregistrovaný do jiného pracovního prostoru, než je ID zadané v parametru zásady. | auditIfNotExists | 2.0.0 |
| Auditujte počítače s Windows, na kterých nejsou zadané služby nainstalovány, a "Spuštěno". | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud výsledek příkazu Prostředí Windows PowerShell Get-Service neobsahuje název služby s odpovídajícím stavem zadaným parametrem zásady. | auditIfNotExists | 3.0.0 |
| Auditovat počítače s Windows, na kterých není povolená sériová konzola systému Windows | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač nemá nainstalovaný software sériové konzoly nebo pokud číslo portu EMS nebo přenosová rychlost nejsou nakonfigurované se stejnými hodnotami jako parametry zásad. | auditIfNotExists | 3.0.0 |
| Auditujte počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. Výchozí hodnota pro jedinečná hesla je 24 | AuditIfNotExists, zakázáno | 2.1.0 |
| Auditovat počítače s Windows, které nejsou připojené k zadané doméně | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud hodnota vlastnosti Domain ve třídě služby WMI win32_computersystem neodpovídá hodnotě v parametru zásady. | auditIfNotExists | 2.0.0 |
| Auditovat počítače s Windows, které nejsou nastavené na zadané časové pásmo | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud hodnota vlastnosti StandardName ve třídě WMI Win32_TimeZone neodpovídá vybranému časovému pásmu pro parametr zásady. | auditIfNotExists | 3.0.0 |
| Auditovat počítače s Windows, které obsahují certifikáty, jejichž platnost vyprší během zadaného počtu dnů | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud certifikáty v zadaném úložišti mají datum vypršení platnosti pro počet dnů zadaných jako parametr. Tato zásada také nabízí možnost zkontrolovat pouze konkrétní certifikáty nebo vyloučit konkrétní certifikáty a jestli se mají hlásit certifikáty s vypršenou platností. | auditIfNotExists | 2.0.0 |
| Auditovat počítače s Windows, které neobsahují zadané certifikáty v důvěryhodném kořenovém adresáři | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud úložiště důvěryhodných kořenových certifikátů počítače (Cert:\LocalMachine\Root) neobsahuje jeden nebo více certifikátů uvedených parametrem zásad. | auditIfNotExists | 3.0.0 |
| Auditování počítačů s Windows, které nemají maximální stáří hesla nastavené na zadaný počet dnů | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které nemají nastavený maximální věk hesla na zadaný počet dní. Výchozí hodnota maximálního stáří hesla je 70 dnů. | AuditIfNotExists, zakázáno | 2.1.0 |
| Auditovat počítače s Windows, které nemají nastavený minimální věk hesla na zadaný počet dnů | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, u kterých není nastavený minimální věk hesla nastavený na zadaný počet dní. Výchozí hodnota pro minimální stáří hesla je 1 den. | AuditIfNotExists, zakázáno | 2.1.0 |
| Auditovat počítače s Windows, které nemají povolené nastavení složitosti hesla | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které nemají povolené nastavení složitosti hesla | AuditIfNotExists, zakázáno | 2.0.0 |
| Auditovat počítače s Windows, které nemají zadané zásady spouštění Windows PowerShellu | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud příkaz Prostředí Windows PowerShell Get-ExecutionPolicy vrátí jinou hodnotu, než která byla vybrána v parametru zásady. | AuditIfNotExists, zakázáno | 3.0.0 |
| Auditování počítačů s Windows, které nemají nainstalované zadané moduly Windows PowerShellu | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud modul není k dispozici v umístění určeném proměnnou prostředí PSModulePath. | AuditIfNotExists, zakázáno | 3.0.0 |
| Auditovat počítače s Windows, které neomezují minimální délku hesla na zadaný počet znaků | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows neomezují minimální délku hesla na zadaný počet znaků. Výchozí hodnota minimální délky hesla je 14 znaků. | AuditIfNotExists, zakázáno | 2.1.0 |
| Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které neukládají hesla pomocí reverzibilního šifrování | AuditIfNotExists, zakázáno | 2.0.0 |
| Auditování počítačů s Windows, které nemají nainstalované zadané aplikace | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud se název aplikace nenajde v žádné z následujících cest registru: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditování počítačů s Windows, které mají ve skupině Správa istrators další účty | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud místní skupina Správa istrators obsahuje členy, které nejsou uvedené v parametru zásad. | auditIfNotExists | 2.0.0 |
| Auditovat počítače s Windows, které se nerestartovaly během zadaného počtu dnů | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nejsou kompatibilní, pokud vlastnost WMI LastBootUpTime ve třídě Win32_Operatingsystem je mimo rozsah dnů poskytovaných parametrem zásady. | auditIfNotExists | 2.0.0 |
| Auditování počítačů s Windows, které mají nainstalované zadané aplikace | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud se název aplikace nachází v některé z následujících cest registru: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditování počítačů s Windows se zadanými členy ve skupině Správa istrators | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud místní skupina Správa istrators obsahuje jeden nebo více členů uvedených v parametru zásad. | auditIfNotExists | 2.0.0 |
| Auditování virtuálních počítačů s Windows s čekající restartováním | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač čeká na restartování z některého z následujících důvodů: údržba založená na komponentách, služba Windows Update, čekající přejmenování souboru, čekající přejmenování počítače, čekající na restartování správce konfigurace. Každá detekce má jedinečnou cestu registru. | auditIfNotExists | 2.0.0 |
| Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. | I když samotný SSH poskytuje šifrované připojení, používání hesel s protokolem SSH stále opouští virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, zakázáno | 3.2.0 |
| Obory služby Azure Arc Private Link by měly být nakonfigurované s privátním koncovým bodem. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory služby Azure Arc Private Link se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/arc/privatelink. | Audit, zakázáno | 1.0.0 |
| Obory služby Azure Arc Private Link by měly zakázat veřejný přístup k síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby se prostředky Azure Arc nemohly připojit přes veřejný internet. Vytváření privátních koncových bodů může omezit vystavení prostředků Azure Arc. Další informace najdete tady: https://aka.ms/arc/privatelink. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Servery s podporou Služby Azure Arc by měly být nakonfigurované s oborem služby Azure Arc Private Link. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním serverů s podporou Služby Azure Arc na obor služby Azure Arc Private Link, který je nakonfigurovaný s privátním koncovým bodem, se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/arc/privatelink. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Nakonfigurujte servery s podporou arc s nainstalovaným rozšířením SQL Serveru a povolte nebo zakažte hodnocení osvědčených postupů SQL. | Povolte nebo zakažte hodnocení osvědčených postupů SQL na instancích SQL Serveru na serverech s podporou Arc a vyhodnoťte osvědčené postupy. Další informace najdete na adrese https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace SQL Serverů s podporou arc pro automatickou instalaci agenta Služby Azure Monitor | Automatizujte nasazení rozšíření agenta Služby Azure Monitor na SQL Serverech s podporou Služby Windows Arc. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.3.0 |
| Konfigurace SQL Serverů s podporou arc pro automatickou instalaci Microsoft Defenderu pro SQL | Nakonfigurujte SQL Servery s podporou služby Windows Arc tak, aby automaticky nainstalovaly agenta Microsoft Defenderu for SQL. Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). | DeployIfNotExists, zakázáno | 1.2.0 |
| Konfigurace SQL Serverů s podporou arc pro automatickou instalaci Microsoft Defenderu pro SQL a DCR s pracovním prostorem služby Log Analytics | Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvořte skupinu prostředků, pravidlo shromažďování dat a pracovní prostor služby Log Analytics ve stejné oblasti jako počítač. | DeployIfNotExists, zakázáno | 1.3.0 |
| Konfigurace SQL Serverů s podporou arc pro automatickou instalaci Programu Microsoft Defender pro SQL a DCR s uživatelsky definovaným pracovním prostorem LA | Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvořte skupinu prostředků a pravidlo shromažďování dat ve stejné oblasti jako uživatelsky definovaný pracovní prostor služby Log Analytics. | DeployIfNotExists, zakázáno | 1.4.0 |
| Konfigurace SQL serverů s podporou arc s přidružením pravidel shromažďování dat k Programu Microsoft Defender pro SQL DCR | Nakonfigurujte přidružení mezi SQL Servery s podporou arc a Microsoft Defenderem pro SQL DCR. Odstraněním tohoto přidružení dojde k narušení detekce ohrožení zabezpečení pro tyto SQL Servery s podporou arc. | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace SQL Serverů s podporou arc s přidružením pravidel shromažďování dat k programu Microsoft Defender pro uživatelem definované dcR v programu Microsoft Defender | Nakonfigurujte přidružení mezi SQL Servery s podporou arc a programem Microsoft Defender for SQL uživatelem definovaným řadičem domény. Odstraněním tohoto přidružení dojde k narušení detekce ohrožení zabezpečení pro tyto SQL Servery s podporou arc. | DeployIfNotExists, zakázáno | 1.2.0 |
| Konfigurace oborů služby Private Link služby Azure Arc pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro obor privátního propojení Azure Arc, aby se přidružené prostředky Azure Arc nemohly připojit ke službám Azure Arc přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/arc/privatelink. | Upravit, zakázáno | 1.0.0 |
| Konfigurace oborů služby Private Link služby Azure Arc s využitím privátních koncových bodů | Privátní koncové body propojují vaše virtuální sítě se službami Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na obory služby Azure Arc Private Link můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/arc/privatelink. | DeployIfNotExists, zakázáno | 2.0.0 |
| Konfigurace serverů s podporou Služby Azure Arc pro použití oboru služby Azure Arc Private Link | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním serverů s podporou Služby Azure Arc na obor služby Azure Arc Private Link, který je nakonfigurovaný s privátním koncovým bodem, se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/arc/privatelink. | Upravit, zakázáno | 1.0.0 |
| Konfigurace Azure Defenderu pro servery tak, aby byla zakázaná pro všechny prostředky (úroveň prostředků) | Azure Defender for Servers poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. Tato zásada zakáže plán Defenderu pro servery pro všechny prostředky (virtuální počítače, sady VMSS a počítače ARC) ve vybraném oboru (předplatné nebo skupina prostředků). | DeployIfNotExists, zakázáno | 1.0.0 |
| Nakonfigurujte Azure Defender pro servery tak, aby byly zakázané pro prostředky (úroveň prostředků) s vybranou značkou. | Azure Defender for Servers poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. Tato zásada zakáže plán Defenderu pro servery pro všechny prostředky (virtuální počítače, sady VMSS a počítače ARC), které mají vybraný název značky a hodnoty značek. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nakonfigurujte Azure Defender pro servery tak, aby byly povolené (podplán P1) pro všechny prostředky (úroveň prostředků) s vybranou značkou. | Azure Defender for Servers poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. Tato zásada povolí plán Defenderu pro servery (s podplánem P1) pro všechny prostředky (virtuální počítače a počítače ARC), které mají vybraný název značky a hodnoty značek. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nakonfigurujte Azure Defender pro servery tak, aby byly povolené (s dílčím plánem P1) pro všechny prostředky (úroveň prostředků). | Azure Defender for Servers poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. Tato zásada povolí plán Defenderu pro servery (s podplánem P1) pro všechny prostředky (virtuální počítače a počítače ARC) ve vybraném oboru (předplatné nebo skupina prostředků). | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace agenta závislostí na linuxových serverech s podporou Služby Azure Arc | Povolte přehledy virtuálních počítačů na serverech a počítačích připojených k Azure prostřednictvím serverů s podporou Arc instalací rozšíření virtuálního počítače agenta závislostí. Přehledy virtuálních počítačů používají agenta závislostí ke shromažďování síťových metrik a zjištěných dat o procesech spuštěných na počítači a závislostech externích procesů. Zobrazit více - https://aka.ms/vminsightsdocs. | DeployIfNotExists, zakázáno | 2.0.0 |
| Konfigurace agenta závislostí na linuxových serverech s podporou Služby Azure Arc pomocí nastavení agenta monitorování Azure | Povolte přehledy virtuálních počítačů na serverech a počítačích připojených k Azure prostřednictvím serverů s podporou Arc instalací rozšíření virtuálního počítače agenta závislostí s nastavením agenta monitorování Azure. Přehledy virtuálních počítačů používají agenta závislostí ke shromažďování síťových metrik a zjištěných dat o procesech spuštěných na počítači a závislostech externích procesů. Zobrazit více - https://aka.ms/vminsightsdocs. | DeployIfNotExists, zakázáno | 1.1.2 |
| Konfigurace agenta závislostí na serverech s Windows s podporou Služby Azure Arc | Povolte přehledy virtuálních počítačů na serverech a počítačích připojených k Azure prostřednictvím serverů s podporou Arc instalací rozšíření virtuálního počítače agenta závislostí. Přehledy virtuálních počítačů používají agenta závislostí ke shromažďování síťových metrik a zjištěných dat o procesech spuštěných na počítači a závislostech externích procesů. Zobrazit více - https://aka.ms/vminsightsdocs. | DeployIfNotExists, zakázáno | 2.0.0 |
| Konfigurace agenta závislostí na serverech s Windows s podporou Služby Azure Arc pomocí nastavení agenta monitorování Azure | Povolte přehledy virtuálních počítačů na serverech a počítačích připojených k Azure prostřednictvím serverů s podporou Arc instalací rozšíření virtuálního počítače agenta závislostí s nastavením agenta monitorování Azure. Přehledy virtuálních počítačů používají agenta závislostí ke shromažďování síťových metrik a zjištěných dat o procesech spuštěných na počítači a závislostech externích procesů. Zobrazit více - https://aka.ms/vminsightsdocs. | DeployIfNotExists, zakázáno | 1.1.2 |
| Konfigurace počítačů Se službou Linux Arc pro přidružení k pravidlu shromažďování dat nebo koncovému bodu shromažďování dat | Nasaďte přidružení pro propojení počítačů Se systémem Linux Arc se zadaným pravidlem shromažďování dat nebo zadaným koncovým bodem shromažďování dat. Seznam umístění se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 2.2.0 |
| Konfigurace počítačů s podporou Linuxu Arc pro spuštění agenta služby Azure Monitor | Automatizujte nasazení rozšíření agenta Azure Monitoru na počítačích s podporou Linuxu Arc pro shromažďování telemetrických dat z hostovaného operačního systému. Tato zásada nainstaluje rozšíření, pokud je oblast podporovaná. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 2.4.0 |
| Konfigurace počítačů s Linuxem pro přidružení k pravidlu shromažďování dat nebo koncovému bodu shromažďování dat | Nasaďte přidružení pro propojení virtuálních počítačů s Linuxem, škálovacích sad virtuálních počítačů a počítačů Arc se zadaným pravidlem shromažďování dat nebo zadaným koncovým bodem shromažďování dat. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 6.3.0 |
| Nakonfigurujte Linux Server tak, aby zakázal místní uživatele. | Vytvoří přiřazení konfigurace hosta pro konfiguraci zakázání místních uživatelů na Linux Serveru. Tím zajistíte, že k linuxovým serverům bude mít přístup jenom účet AAD (Azure Active Directory) nebo seznam explicitně povolených uživatelů pomocí této zásady, což zlepšuje celkový stav zabezpečení. | DeployIfNotExists, zakázáno | 1.3.0-preview |
| Konfigurace rozšíření Log Analytics na linuxových serverech s podporou Azure Arc Viz níže uvedené oznámení o vyřazení | Povolte přehledy virtuálních počítačů na serverech a počítačích připojených k Azure prostřednictvím serverů s podporou Arc instalací rozšíření virtuálního počítače Log Analytics. Přehledy virtuálních počítačů používají agenta Log Analytics ke shromažďování dat o výkonu hostovaného operačního systému a poskytují přehled o jejich výkonu. Zobrazit více - https://aka.ms/vminsightsdocs. Oznámení o vyřazení: Agent Log Analytics je na cestě vyřazení a po 31. srpnu 2024 se nepodporuje. Před tímto datem musíte provést migraci na náhradního agenta Služby Azure Monitor. | DeployIfNotExists, zakázáno | 2.1.1 |
| Konfigurace rozšíření Log Analytics na serverech s Windows s podporou Azure Arc | Povolte přehledy virtuálních počítačů na serverech a počítačích připojených k Azure prostřednictvím serverů s podporou Arc instalací rozšíření virtuálního počítače Log Analytics. Přehledy virtuálních počítačů používají agenta Log Analytics ke shromažďování dat o výkonu hostovaného operačního systému a poskytují přehled o jejich výkonu. Zobrazit více - https://aka.ms/vminsightsdocs. Oznámení o vyřazení: Agent Log Analytics je na cestě vyřazení a po 31. srpnu 2024 se nepodporuje. Před tímto datem musíte provést migraci na náhradního agenta Azure Monitoru. | DeployIfNotExists, zakázáno | 2.1.1 |
| Konfigurace počítačů pro příjem zprostředkovatele posouzení ohrožení zabezpečení | Azure Defender zahrnuje kontrolu ohrožení zabezpečení vašich počítačů bez dalších poplatků. Nepotřebujete licenci Qualys ani účet Qualys – všechno se bezproblémově zpracovává uvnitř security Center. Když tuto zásadu povolíte, Azure Defender automaticky nasadí poskytovatele posouzení ohrožení zabezpečení Qualys do všech podporovaných počítačů, které ho ještě nemají nainstalované. | DeployIfNotExists, zakázáno | 4.0.0 |
| Konfigurace pravidelné kontroly chybějících aktualizací systému na serverech s podporou azure Arc | Nakonfigurujte automatické posouzení (každých 24 hodin) pro aktualizace operačního systému na serverech s podporou Azure Arc. Rozsah přiřazení můžete řídit podle předplatného počítače, skupiny prostředků, umístění nebo značky. Přečtěte si další informace o tomto systému Windows: https://aka.ms/computevm-windowspatchassessmentmode, pro Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify (úprava) | 2.2.1 |
| Konfigurace zabezpečených komunikačních protokolů (TLS 1.1 nebo TLS 1.2) na počítačích s Windows | Vytvoří přiřazení konfigurace hosta pro konfiguraci zadané verze zabezpečeného protokolu (TLS 1.1 nebo TLS 1.2) na počítači s Windows. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace pracovního prostoru Microsoft Defenderu pro SQL Log Analytics | Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvořte skupinu prostředků a pracovní prostor služby Log Analytics ve stejné oblasti jako počítač. | DeployIfNotExists, zakázáno | 1.2.0 |
| Nakonfigurujte časové pásmo na počítačích s Windows. | Tato zásada vytvoří přiřazení konfigurace hosta pro nastavení zadaného časového pásma na virtuálních počítačích s Windows. | deployIfNotExists | 2.1.0 |
| Konfigurace nasazení virtuálních počítačů do služby Azure Automanage | Azure Automanage registruje, konfiguruje a monitoruje virtuální počítače s osvědčeným postupem definovaným v rozhraní Microsoft Cloud Adoption Framework pro Azure. Tuto zásadu použijte k použití automatické správy u vybraného oboru. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.4.0 |
| Konfigurace nasazení virtuálních počítačů do služby Azure Automanage s využitím vlastního konfiguračního profilu | Azure Automanage registruje, konfiguruje a monitoruje virtuální počítače s osvědčeným postupem definovaným v rozhraní Microsoft Cloud Adoption Framework pro Azure. Tuto zásadu použijte k použití automatické správy s vlastním přizpůsobeným konfiguračním profilem pro vybraný obor. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Konfigurace počítačů s Windows Arc pro přidružení k pravidlu shromažďování dat nebo koncovému bodu shromažďování dat | Nasaďte přidružení pro propojení počítačů s Windows Arc se zadaným pravidlem shromažďování dat nebo zadaným koncovým bodem shromažďování dat. Seznam umístění se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 2.2.0 |
| Konfigurace počítačů s podporou služby Windows Arc pro spuštění agenta služby Azure Monitor | Automatizujte nasazení rozšíření agenta Služby Azure Monitor na počítačích s podporou Služby Windows Arc pro shromažďování telemetrických dat z hostovaného operačního systému. Tato zásada nainstaluje rozšíření, pokud je podporovaný operační systém a oblast a je povolená spravovaná identita přiřazená systémem, a jinak tuto instalaci přeskočí. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 2.4.0 |
| Konfigurace počítačů s Windows tak, aby byly přidružené k pravidlu shromažďování dat nebo ke koncovému bodu shromažďování dat | Nasaďte přidružení pro propojení virtuálních počítačů s Windows, škálovacích sad virtuálních počítačů a počítačů Arc se zadaným pravidlem shromažďování dat nebo zadaným koncovým bodem shromažďování dat. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 4.5.0 |
| Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. | Vyřešte problémy se stavem služby Endpoint Protection na virtuálních počítačích, abyste je ochránili před nejnovějšími hrozbami a ohroženími zabezpečení. Podporovaná řešení ochrany koncových bodů ve službě Azure Security Center jsou zdokumentovaná zde – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Posouzení ochrany koncových bodů je zdokumentované zde - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, zakázáno | 1.0.0 |
| Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. | Pokud chcete chránit počítače před hrozbami a ohroženími zabezpečení, nainstalujte podporované řešení ochrany koncových bodů. | AuditIfNotExists, zakázáno | 1.0.0 |
| Počítače s podporou Služby Arc s Linuxem by měly mít nainstalovaného agenta Služby Azure Monitor. | Počítače s podporou Arc s Linuxem by se měly monitorovat a zabezpečit prostřednictvím nasazeného agenta služby Azure Monitor. Agent Služby Azure Monitor shromažďuje telemetrická data z hostovaného operačního systému. Tato zásada bude auditovat počítače s podporou Arc v podporovaných oblastech. Další informace: https://aka.ms/AMAOverview. | AuditIfNotExists, zakázáno | 1.2.0 |
| Počítače s Linuxem by měly mít nainstalovaného agenta Log Analytics ve službě Azure Arc. | Pokud na linuxovém serveru s podporou Azure Arc není nainstalovaný agent Log Analytics, počítače nevyhovují předpisům. | AuditIfNotExists, zakázáno | 1.1.0 |
| Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. | AuditIfNotExists, zakázáno | 2.2.0 |
| Počítače s Linuxem by měly mít jenom místní účty, které jsou povolené. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Správa uživatelských účtů pomocí Azure Active Directory je osvědčeným postupem pro správu identit. Omezení účtů místních počítačů pomáhá zabránit šíření identit spravovaných mimo centrální systém. Počítače nedodržují předpisy, pokud existují místní uživatelské účty, které jsou povolené a nejsou uvedené v parametru zásad. | AuditIfNotExists, zakázáno | 2.2.0 |
| Místní metody ověřování by měly být na počítačích s Linuxem zakázané. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud servery s Linuxem nemají zakázané místní metody ověřování. Tím ověříte, že k linuxovým serverům může přistupovat jenom účet AAD (Azure Active Directory) nebo seznam explicitně povolených uživatelů pomocí této zásady, což zlepšuje celkový stav zabezpečení. | AuditIfNotExists, zakázáno | 1.2.0-preview |
| Místní metody ověřování by měly být na Windows Serverech zakázané. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud servery s Windows nemají zakázané místní metody ověřování. Tím ověříte, že k Windows Serverům může přistupovat jenom účet AAD (Azure Active Directory) nebo seznam explicitně povolených uživatelů pomocí této zásady, což zlepšuje celkový stav zabezpečení. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| Počítače by měly být nakonfigurované tak, aby pravidelně kontrolovaly chybějící aktualizace systému. | Aby se zajistilo, že se pravidelná hodnocení chybějících aktualizací systému aktivují automaticky každých 24 hodin, měla by být vlastnost AssessmentMode nastavená na AutomaticByPlatform. Další informace o vlastnosti AssessmentMode pro Windows: https://aka.ms/computevm-windowspatchassessmentmode, pro Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Odepřít, Zakázáno | 3.7.0 |
| Plánování opakovaných aktualizací pomocí Azure Update Manageru | Pomocí Azure Update Manageru v Azure můžete ukládat opakované plány nasazení k instalaci aktualizací operačního systému pro počítače s Windows Serverem a Linuxem v Azure, v místních prostředích a v jiných cloudových prostředích připojených pomocí serverů s podporou Azure Arc. Tato zásada také změní režim oprav virtuálního počítače Azure na AutomaticByPlatform. Další informace: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, zakázáno | 3.10.0 |
| Vyřešené zjištění ohrožení zabezpečení u SQL serverů na počítačích | Posouzení ohrožení zabezpečení SQL zkontroluje ohrožení zabezpečení databáze a zpřístupňuje případné odchylky od osvědčených postupů, jako jsou chybné konfigurace, nadměrná oprávnění a nechráněná citlivá data. Řešení nalezených ohrožení zabezpečení může výrazně zlepšit stav zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.0 |
| Přihlaste se k odběru opravňujících instancí SQL Serverů s podporou arc k rozšířenému Aktualizace zabezpečení. | Přihlaste se k odběru oprávněných instancí SQL Serverů s podporou arc s typem licence nastaveným na placené nebo průběžné platby pro rozšířenou Aktualizace zabezpečení. Další informace o rozšířených aktualizacích https://go.microsoft.com/fwlink/?linkid=2239401zabezpečení . | DeployIfNotExists, zakázáno | 1.0.0 |
| Starší rozšíření Log Analytics by se nemělo instalovat na linuxové servery s podporou Azure Arc. | Automatické zabránění instalaci starší verze agenta Log Analytics jako poslední krok migrace ze starších agentů na agenta Azure Monitor. Po odinstalaci stávajících starších rozšíření tato zásada zakáže všechny budoucí instalace starší verze rozšíření agenta na linuxových serverech s podporou služby Azure Arc. Víc se uč: https://aka.ms/migratetoAMA | Odepřít, Auditovat, Zakázáno | 1.0.0 |
| Starší verze rozšíření Log Analytics by neměla být nainstalovaná na serverech s Windows s podporou Služby Azure Arc. | Automatické zabránění instalaci starší verze agenta Log Analytics jako poslední krok migrace ze starších agentů na agenta Azure Monitor. Po odinstalaci stávajících starších rozšíření tato zásada zakáže všechny budoucí instalace starší verze rozšíření agenta na serverech s Windows s podporou služby Azure Arc. Víc se uč: https://aka.ms/migratetoAMA | Odepřít, Auditovat, Zakázáno | 1.0.0 |
| Počítače s podporou Služby Windows Arc by měly mít nainstalovaného agenta Služby Azure Monitor. | Počítače s podporou Služby Windows Arc by se měly monitorovat a zabezpečit prostřednictvím nasazeného agenta služby Azure Monitor. Agent Služby Azure Monitor shromažďuje telemetrická data z hostovaného operačního systému. Počítače s podporou služby Windows Arc v podporovaných oblastech se monitorují pro nasazení agenta služby Azure Monitor. Další informace: https://aka.ms/AMAOverview. | AuditIfNotExists, zakázáno | 1.2.0 |
| Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). | AuditIfNotExists, zakázáno | 2.0.0 |
| Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. | AuditIfNotExists, zakázáno | 4.1.1 |
| Počítače s Windows by měly nakonfigurovat Program Windows Defender tak, aby aktualizoval podpisy ochrany do jednoho dne. | Aby bylo možné zajistit odpovídající ochranu proti nově vydanému malwaru, musí být podpisy ochrany v programu Windows Defender pravidelně aktualizovány tak, aby odpovídaly nově vydanému malwaru. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.0 |
| Počítače s Windows by měly povolit ochranu v reálném čase v programu Windows Defender. | Počítače s Windows by měly v programu Windows Defender povolit ochranu v reálném čase, aby poskytovaly odpovídající ochranu proti nově vydanému malwaru. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.0 |
| Počítače s Windows by měly mít nainstalovaného agenta Log Analytics ve službě Azure Arc. | Počítače nedodržují předpisy, pokud agent Log Analytics není nainstalovaný na Windows Serveru s podporou Služby Azure Arc. | AuditIfNotExists, zakázáno | 2.0.0 |
| Počítače s Windows by měly splňovat požadavky na "Správa istrativní šablony – Ovládací panely" | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii "Správa istrativní šablony – Ovládací panely" pro přizpůsobení vstupu a prevenci povolení zamykací obrazovky. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na "Správa istrativní šablony – MSS (starší verze) | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii "Správa istrativní šablony – MSS (starší verze) pro automatické přihlášení, spořič obrazovky, chování sítě, bezpečnou knihovnu DLL a protokol událostí. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky pro "Správa istrativní šablony – síť" | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii "Správa istrativní šablony – síť" pro přihlášení hostů, souběžná připojení, síťový most, ICS a překlad názvů vícesměrového vysílání. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na "Správa istrativní šablony – Systém" | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii "Správa istrativní šablony – systém" pro nastavení, která řídí možnosti správy a vzdálenou pomoc. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Účty. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Účty pro omezení použití prázdných hesel a stavu účtu hosta. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Audit | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Audit pro vynucení podkategorie zásad auditu a vypnutí, pokud se nedaří protokolovat audity zabezpečení. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zařízení | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Zařízení pro zrušení připojení bez přihlášení, instalace ovladačů tisku a formátování/vysunutí média. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Interaktivní přihlášení | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Interaktivní přihlášení pro zobrazení příjmení a vyžadování ctrl-alt-del. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Klient sítě Microsoftu. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Klient sítě Microsoft pro síťového klienta nebo serveru Microsoft a smb v1. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Microsoft Network Server. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Microsoft Network Server pro zakázání serveru SMB v1. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Přístup k síti | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Přístup k síti pro zahrnutí přístupu anonymních uživatelů, místních účtů a vzdáleného přístupu k registru. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Zabezpečení sítě, včetně chování místního systému, PKU2U, LAN Manageru, klienta LDAP a poskytovatele zabezpečení NTLM. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – konzola pro zotavení. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – konzola pro zotavení, aby bylo možné povolit kopírování diskety a přístup ke všem jednotkám a složkám. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Vypnutí | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Vypnutí pro povolení vypnutí bez přihlášení a vymazání stránkovacího souboru virtuální paměti. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Systémové objekty. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Systémové objekty pro případ necitlivost pro subsystémy a oprávnění interních systémových objektů. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Nastavení systému. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Nastavení systému pro pravidla certifikátů pro spustitelné soubory pro SRP a volitelné subsystémy. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Řízení uživatelských účtů. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Řízení uživatelských účtů pro správce, chování výzvy ke zvýšení oprávnění a virtualizaci selhání zápisu do souboru a registru. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zabezpečení Nastavení – Zásady účtu. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zabezpečení Nastavení – Zásady účtu pro historii hesel, věk, délku, složitost a ukládání hesel pomocí reverzibilního šifrování. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditování systému – přihlášení k účtu. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Přihlášení k účtu pro auditování ověření přihlašovacích údajů a dalších událostí přihlášení k účtu. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditování systému – Správa účtů. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Správa účtů pro auditování aplikací, zabezpečení a správy skupin uživatelů a dalších událostí správy. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Podrobné sledování pro auditování rozhraní DPAPI, vytváření/ukončení procesů, událostí RPC a aktivit PNP. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditu systému – Přihlášení | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Přihlášení pro auditování IPSec, zásad sítě, deklarací identity, uzamčení účtu, členství ve skupině a událostí přihlášení/odhlášení. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditu systému – Přístup k objektům. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Přístup k objektům pro auditování souborů, registru, SAM, úložiště, filtrování, jádra a dalších typů systému. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditu systému – Změna zásad. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Změna zásad pro auditování změn v zásadách auditu systému. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditu systému – použití oprávnění. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Použití oprávnění k auditování nesmyslů a dalších použití oprávnění. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditu systému – Systém. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Systém pro auditování ovladače IPsec, integrity systému, rozšíření systému, změny stavu a dalších systémových událostí. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na přiřazení uživatelských práv. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Přiřazení uživatelských práv pro povolení místního přihlášení, protokolu RDP, přístupu ze sítě a mnoha dalších aktivit uživatelů. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na součásti systému Windows. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Součásti systému Windows pro základní ověřování, nešifrovaný provoz, účty Microsoft, telemetrii, Cortanu a další chování systému Windows. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na vlastnosti brány Windows Firewall. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Vlastnosti brány firewall systému Windows pro stav brány firewall, připojení, správu pravidel a oznámení. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. | AuditIfNotExists, zakázáno | 2.0.0 |
| Počítače s Windows by měly mít jenom místní účty, které jsou povolené. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Tato definice není podporována ve Windows Serveru 2012 nebo 2012 R2. Správa uživatelských účtů pomocí Azure Active Directory je osvědčeným postupem pro správu identit. Omezení účtů místních počítačů pomáhá zabránit šíření identit spravovaných mimo centrální systém. Počítače nedodržují předpisy, pokud existují místní uživatelské účty, které jsou povolené a nejsou uvedené v parametru zásad. | AuditIfNotExists, zakázáno | 2.0.0 |
| Počítače s Windows by měly naplánovat, aby Program Windows Defender prováděl naplánovanou kontrolu každý den. | Pokud chcete zajistit detekci malwaru a minimalizovat jeho dopad na váš systém, doporučuje se, aby počítače s Windows Defenderem plánovala denní kontrolu. Ujistěte se, že je program Windows Defender podporovaný, předinstalovaný na zařízení a že jsou nasazené požadavky na konfiguraci hosta. Splnění těchto požadavků může vést k nepřesným výsledkům vyhodnocení. Další informace o konfiguraci hosta najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.2.0 |
| Počítače s Windows by měly používat výchozí server NTP. | Nastavte "time.windows.com" jako výchozí server NTP pro všechny počítače s Windows, aby se zajistilo, že protokoly ve všech systémech mají systémové hodiny, které jsou všechny synchronizované. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.0 |
Další kroky
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.
- Projděte si strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.