Integrierte Azure Policy-Definitionen für Azure Arc-fähige Server
Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen für Azure Arc-fähige Server. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Server mit Azure Arc-Unterstützung
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Eine verwaltete Identität muss auf Ihren Computern aktiviert sein | Ressourcen, die von Automanage verwaltet werden, sollten über eine verwaltete Identität verfügen. | Audit, Disabled | 1.0.0-preview |
| [Vorschau]: Automanage-Konfigurationsprofilzuweisung muss konform sein | Ressourcen, die von Automanage verwaltet werden, sollten einen Status besitzen, der entweder „Conformant“ oder „ConformantCorrected“ lautet. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Azure-Sicherheits-Agent muss auf Linux-Arc-Computern installiert werden | Hiermit installieren Sie den Azure-Sicherheits-Agent auf Ihren Linux-Arc-Computern, um Ihre Computer auf Sicherheitskonfigurationen und Sicherheitsrisiken zu überwachen. Die Ergebnisse der Bewertungen können in Azure Security Center eingesehen und verwaltet werden. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Azure-Sicherheits-Agent muss auf Windows-Arc-Computern installiert sein | Hiermit installieren Sie den Azure-Sicherheits-Agent auf Ihren Windows-Arc-Computern, um Ihre Computer auf Sicherheitskonfigurationen und Sicherheitsrisiken zu überwachen. Die Ergebnisse der Bewertungen können in Azure Security Center eingesehen und verwaltet werden. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Die ChangeTracking-Erweiterung sollte auf Ihrem Linux Arc-Computer installiert sein | Installieren Sie die ChangeTracking-Erweiterung auf Linux Arc-Computern, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitoring-Agent unterstützt werden. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Die ChangeTracking-Erweiterung sollte auf Ihrem Windows Arc-Computer installiert sein | Installieren Sie die ChangeTracking-Erweiterung auf Windows Arc-Computern, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitoring-Agent unterstützt werden. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Konfigurieren Sie Azure Arc-fähige Linux-Computer mit Log Analytics-Agents, die mit dem Log Analytics-Standardarbeitsbereich verbunden sind | Schützen Sie Ihre Azure Arc-fähigen Linux-Computer mit Microsoft Defender für Cloud-Funktionen, indem Sie Log Analytics-Agents installieren, die Daten an einen von Microsoft Defender für Cloud erstellten Log Analytics-Standardarbeitsbereich senden. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Konfigurieren Sie Azure Arc-fähige Windows-Computer mit Log Analytics-Agents, die mit dem Log Analytics-Standardarbeitsbereich verbunden sind | Schützen Sie Ihre Azure Arc-fähigen Windows-Computer mit Microsoft Defender für Cloud-Funktionen, indem Sie Log Analytics-Agents installieren, die Daten an einen von Microsoft Defender für Cloud erstellten Log Analytics-Standardarbeitsbereich senden. | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Vorschau]: Konfigurieren der ChangeTracking-Erweiterung für Linux Arc-Computer | Konfigurieren Sie Linux Arc-Computer so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitor-Agent unterstützt werden. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Vorschau]:Konfigurieren der ChangeTracking-Erweiterung für Windows Arc-Computer | Konfigurieren Sie Windows Arc-Computer so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitor-Agent unterstützt werden. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Vorschau]: Konfigurieren von Linux-Computern mit Arc-Unterstützung für die Zuordnung zu einer Datensammlungsregel für Änderungsnachverfolgung und Bestand | Stellen Sie eine Zuordnung bereit, um Linux-Computer mit Arc-Unterstützung mit der angegebenen Datensammlungsregel zu verknüpfen und so Änderungsnachverfolgung und Bestand zu aktivieren. Die Liste der Standorte wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Konfigurieren von Linux-Computern mit Arc-Unterstützung zum Installieren von AMA für Änderungsnachverfolgung und Bestand | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren Linux-Computern mit Arc-Unterstützung zum Aktivieren von Änderungsnachverfolgung und Bestand. Mit dieser Richtlinie wird die Erweiterung installiert, wenn die Region unterstützt wird. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0-preview |
| [Vorschau]: Unterstützte Linux-Arc-Computer zum automatischen Installieren des Azure Security-Agents konfigurieren | Konfigurieren Sie unterstützte Linux-Arc-Computer so, dass der Azure Security-Agent automatisch installiert wird. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Arc-Zielcomputer unter Linux müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Unterstützte Windows-Arc-Computer zur automatischen Installation des Azure-Sicherheits-Agents konfigurieren | Konfigurieren Sie unterstützte Windows-Arc-Computer so, dass der Azure Security-Agent automatisch installiert wird. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Arc-Zielcomputer unter Windows müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Konfigurieren von Windows-Computern mit Arc-Unterstützung für die Zuordnung zu einer Datensammlungsregel für Änderungsnachverfolgung und Bestand | Stellen Sie eine Zuordnung bereit, um Windows-Computer mit Arc-Unterstützung mit der angegebenen Datensammlungsregel zu verknüpfen und so Änderungsnachverfolgung und Bestand zu aktivieren. Die Liste der Standorte wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Konfigurieren von Windows-Computern mit Arc-Unterstützung zum Installieren von AMA für Änderungsnachverfolgung und Bestand | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren Windows-Computern mit Arc-Unterstützung zum Aktivieren von Änderungsnachverfolgung und Bestand. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Konfigurieren von Windows Server, um lokale Benutzer zu deaktivieren. | Erstellt eine Gastkonfigurationszuweisung, um die Deaktivierung lokaler Benutzer unter Windows Server zu konfigurieren. Dadurch wird sichergestellt, dass auf Windows Server nur über ein AAD-Konto (Azure Active Directory) oder durch explizit durch diese Richtlinie zugelassene Benutzer zugegriffen werden kann, um den allgemeinen Sicherheitsstatus zu verbessern. | DeployIfNotExists, Disabled | 1.2.0-preview |
| [Vorschau]: Die Erstellung oder Änderung der erweiterten Sicherheitsupdates (ESUs) verweigern. | Mit dieser Richtlinie können Sie die Erstellung oder Änderung von ESU-Lizenzen für Windows Server 2012 Arc-Computer einschränken. Weitere Details zu den Preisen finden Sie unter https://aka.ms/ArcWS2012ESUPricing | Verweigern, deaktiviert | 1.0.0-preview |
| [Vorschau]: Bereitstellen des Agents für Microsoft Defender für Endpunkt auf hybriden Linux-Computern | Stellen Sie den Agent für Microsoft Defender für Endpunkt auf hybriden Linux-Computern bereit. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Vorschau]: Bereitstellen des Agents für Microsoft Defender für Endpunkt auf Windows Azure Arc-Computern | Stellen Sie Microsoft Defender für Endpunkt auf Windows Azure Arc-Computern bereit. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Vorschau]: Aktivieren Sie die Lizenz für erweiterte Sicherheitsupdates (Extended Security Updates, ESUs), um Windows 2012-Computer nach Beendigung des Supportlebenszyklus zu schützen. | Aktivieren Sie die Lizenz für erweiterte Sicherheitsupdates (Extended Security Updates, ESUs), um Windows 2012-Computer auch nach Beendigung des Supportlebenszyklus zu schützen. Um zu erfahren, wie Sie sich darauf vorbereiten, erweiterte Sicherheitsupdates für Windows Server 2012 über AzureArc bereitzustellen, besuchen Sie bitte https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Weitere Details zu den Preisen finden Sie unter https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Erweiterte Sicherheitsupdates sollten auf Windows Server 2012 Arc-Computern installiert werden. | Windows Server 2012 Arc-Computer sollten alle von Microsoft veröffentlichten erweiterten Sicherheitsupdates installiert haben. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Preview]: Linux-Computer müssen die Anforderungen der Azure-Sicherheitsbaseline für Docker-Hosts erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Der Computer ist nicht richtig für eine der Empfehlungen in der Azure-Sicherheitsbaseline für Docker-Hosts konfiguriert. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Vorschau]: Linux-Computer müssen die STIG-Complianceanforderung für Azure Compute erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in den STIG-Konformitätsanforderungen für Azure Compute nicht richtig konfiguriert ist. DISA (Defense Information Systems Agency) bietet technische Leitfäden, STIG (Security Technical Implementation Guide), zur Sicherung des Compute-Betriebssystems gemäß den Anforderungen des US-Verteidigungsministeriums (Department of Defense, DoD). Weitere Details finden Sie unter https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Vorschau]: Auf Linux-Computern mit installierter OMI muss mindestens Version 1.6.8-1 installiert sein | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Aufgrund eines Sicherheitsfixes, der in Version 1.6.8-1 des OMI-Pakets für Linux enthalten ist, sollten alle Computer auf das neueste Release aktualisiert werden. Upgraden Sie Apps/Pakete, die OMI verwenden, um das Problem zu beheben. Weitere Informationen finden Sie unter https://aka.ms/omiguidance. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Linux installiert sein | Diese Richtlinie überwacht Azure Arc-Computer unter Linux, wenn die Log Analytics-Erweiterung nicht installiert ist. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Windows installiert sein | Diese Richtlinie überwacht Azure Arc-Computer unter Windows, wenn die Log Analytics-Erweiterung nicht installiert ist. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Vorschau]: Nexus Compute Machines sollten die Sicherheitsbasis einhalten | Verwendet den Azure Policy-Gastkonfigurations-Agent für die Überwachung. Diese Richtlinie stellt sicher, dass Computer die Nexus Compute-Sicherheitsbasis einhalten, die verschiedene Empfehlungen umfasst, um Computer gegen einer Reihe an Sicherheitsrisiken und unsicheren Konfigurationen (nur Linux) zu schützen. | AuditIfNotExists, Disabled | 1.1.0-preview |
| [Vorschau]: Systemupdates sollten auf Ihren Computern installiert sein (über Update Center) | Auf Ihren Computern fehlen System-, Sicherheits- und kritische Updates. Softwareupdates enthalten häufig wichtige Patches für Sicherheitslücken. Da diese Lücken bei Angriffen mit Schadsoftware häufig ausgenutzt werden, ist es sehr wichtig, dass Sie Ihre Software immer auf dem aktuellen Stand halten. Führen Sie die Schritte zur Problembehebung aus, um alle ausstehenden Patches zu installieren und Ihre Computer zu schützen. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vorschau]: Windows-Computer müssen die STIG-Konformitätsanforderungen für Azure Compute erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in den STIG-Konformitätsanforderungen nicht richtig konfiguriert ist. DISA (Defense Information Systems Agency) bietet technische Leitfäden, STIG (Security Technical Implementation Guide), zur Sicherung des Compute-Betriebssystems gemäß den Anforderungen des US-Verteidigungsministeriums (Department of Defense, DoD). Weitere Details finden Sie unter https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.0.0-preview |
| Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die Remoteverbindungen über Konten ohne Kennwörter zulassen. | AuditIfNotExists, Disabled | 3.1.0 |
| Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind. | AuditIfNotExists, Disabled | 3.1.0 |
| Linux-Computer überwachen, auf denen die angegebenen Anwendungen nicht installiert sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die Chef InSpec-Ressource angibt, dass mindestens eins der durch den Parameter angegebenen Pakete nicht installiert ist. | AuditIfNotExists, Disabled | 4.2.0 |
| Linux-Computer überwachen, die Konten ohne Kennwörter verwenden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die über Konten ohne Kennwörter verfügen. | AuditIfNotExists, Disabled | 3.1.0 |
| Linux-Computer überwachen, auf denen die angegebenen Anwendungen installiert sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die Chef InSpec-Ressource angibt, dass mindestens eins der durch den Parameter angegebenen Pakete installiert ist. | AuditIfNotExists, Disabled | 4.2.0 |
| Windows-Computer überwachen, auf denen angegebene Mitglieder in der Administratorengruppe fehlen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn mindestens eins der im Richtlinienparameter angegebenen Mitglieder nicht in der lokalen Administratorgruppe enthalten ist. | auditIfNotExists | 2.0.0 |
| Netzwerkkonnektivität von Windows-Computern überwachen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn ein Netzwerkverbindungsstatus für eine IP-Adresse oder einen TCP-Port nicht dem Richtlinienparameter entspricht. | auditIfNotExists | 2.0.0 |
| Windows-Computer mit nicht konformer DSC-Konfiguration überwachen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn durch den Windows PowerShell-Befehl „Get-DSCConfigurationStatus“ zurückgegeben wird, dass die DSC-Konfiguration für den Computer nicht konform ist. | auditIfNotExists | 3.0.0 |
| Windows-Computer überwachen, auf denen der Log Analytics-Agent nicht wie erwartet verbunden ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Agent nicht installiert ist, oder wenn er installiert ist, das COM-Objekt „AgentConfigManager.MgmtSvcCfg“ jedoch zurückgibt, dass er nicht bei dem Arbeitsbereich registriert ist, der der im Richtlinienparameter angegebenen ID entspricht. | auditIfNotExists | 2.0.0 |
| Windows-Computer überwachen, auf denen die angegebenen Dienste nicht installiert sind und ausgeführt werden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn das Ergebnis des Windows PowerShell-Befehls „Get-Service“ nicht den Dienstnamen mit entsprechendem Status enthält (gemäß Angabe durch den Richtlinienparameter). | auditIfNotExists | 3.0.0 |
| Windows-Computer ohne aktivierte serielle Windows-Konsole überwachen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn auf dem Computer die Software der seriellen Konsole nicht installiert ist oder wenn die EMS-Portnummer oder die Baudrate nicht mit den Werten aus den Richtlinienparametern konfiguriert ist. | auditIfNotExists | 3.0.0 |
| Windows-Computer überwachen, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen. Der Standardwert für eindeutige Kennwörter ist 24. | AuditIfNotExists, Disabled | 2.1.0 |
| Windows-Computer überwachen, die nicht in die angegebene Domäne eingebunden sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Wert der Eigenschaft „Domain“ in der WMI-Klasse „win32_computersystem“ nicht dem Wert im Richtlinienparameter entspricht. | auditIfNotExists | 2.0.0 |
| Windows-Computer überwachen, die nicht auf die angegebene Zeitzone festgelegt sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Wert der Eigenschaft „StandardName“ in der WMI-Klasse „Win32_TimeZone“ nicht der für den Richtlinienparameter ausgewählten Zeitzone entspricht. | auditIfNotExists | 3.0.0 |
| Windows-Computer überwachen, auf denen Zertifikate innerhalb der angegebenen Anzahl von Tagen ablaufen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn das Ablaufdatum von Zertifikaten im angegebenen Speicher außerhalb der als Parameter angegeben Anzahl von Tagen liegt. Die Richtlinie bietet auch die Möglichkeit, nur bestimmte Zertifikate zu überprüfen oder bestimmte Zertifikate auszuschließen, und Sie können angeben, ob abgelaufene Zertifikate gemeldet werden sollen. | auditIfNotExists | 2.0.0 |
| Windows-Computer überwachen, die nicht die angegebenen Zertifikate im vertrauenswürdigen Stamm enthalten | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn mindestens eines der durch den Richtlinienparameter angegebenen Zertifikate nicht im vertrauenswürdigen Stammzertifikatspeicher des Computers (Cert:\LocalMachine\Root) enthalten ist. | auditIfNotExists | 3.0.0 |
| Windows-Computer überwachen, für die nicht das maximale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, auf denen das maximale Kennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das maximale Kennwortalter beträgt 70 Tage. | AuditIfNotExists, Disabled | 2.1.0 |
| Windows-Computer überwachen, für die nicht das minimale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, auf denen das Mindestkennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das Mindestalter des Kennworts beträgt 1 Tag. | AuditIfNotExists, Disabled | 2.1.0 |
| Windows-Computer überwachen, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist. | AuditIfNotExists, Disabled | 2.0.0 |
| Windows-VMs ohne die angegebene Windows PowerShell-Ausführungsrichtlinie überwachen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Windows PowerShell-Befehl „Get-ExecutionPolicy“ einen anderen Wert zurückgibt als denjenigen, der im Richtlinienparameter angegeben wurde. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-VMs ohne Installation der angegebenen Windows PowerShell-Module überwachen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn ein Modul an einem durch die Umgebungsvariable „PSModulePath“ angegebenen Speicherort nicht verfügbar ist. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer überwachen, bei denen keine Mindestkennwortlänge auf eine bestimmte Anzahl von Zeichen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, für die keine Mindestkennwortlänge festgelegt ist. Der Standardwert für die Mindestkennwortlänge beträgt 14 Zeichen | AuditIfNotExists, Disabled | 2.1.0 |
| Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern. | AuditIfNotExists, Disabled | 2.0.0 |
| Windows-Computer überwachen, auf denen die angegebenen Anwendungen nicht installiert sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Anwendungsname an keinem der folgenden Registrierungspfade gefunden wird: „HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall“, „HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall“, „HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall“. | auditIfNotExists | 2.0.0 |
| Windows-Computer überwachen, die zusätzliche Konten in der Administratorgruppe enthalten | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die lokale Administratorgruppe Mitglieder enthält, die im Richtlinienparameter nicht angegeben sind. | auditIfNotExists | 2.0.0 |
| Windows-Computer überwachen, die nicht innerhalb der angegebenen Anzahl von Tagen neu gestartet wurden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die WMI-Eigenschaft „LastBootUpTime“ in der Klasse „Win32_Operatingsystem“ außerhalb des durch den Richtlinienparameter angegebenen Bereichs von Tagen liegt. | auditIfNotExists | 2.0.0 |
| Windows-Computer überwachen, auf denen die angegebenen Anwendungen installiert sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Anwendungsname an einem der folgenden Registrierungspfade gefunden wird: „HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall“, „HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall“, „HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall“. | auditIfNotExists | 2.0.0 |
| Windows-Computer überwachen, auf denen die angegebenen Mitglieder in der Administratorengruppe enthalten sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die lokale Administratorgruppe mindestens eins der Mitglieder enthält, die im Richtlinienparameter angegeben sind. | auditIfNotExists | 2.0.0 |
| Windows-VMs mit ausstehendem Neustart überwachen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn aus einem der folgenden Gründe ein Neustart des Computers aussteht: komponentenbasierte Wartung, Windows-Update, ausstehende Dateiumbenennung, ausstehende Computerumbenennung, ausstehender Neustart durch den Konfigurations-Manager. Jede Erkennung verfügt über einen eigenen Registrierungspfad. | auditIfNotExists | 2.0.0 |
| Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein | SSH stellt zwar bereits eine verschlüsselte Verbindung bereit, bei Verwendung von Kennwörtern für SSH ist der virtuelle Computer jedoch weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem virtuellen Azure-Computer unter Linux über SSH besteht in der Verwendung eines Schlüsselpaars aus öffentlichem und privatem Schlüssel (SSH-Schlüssel). Weitere Informationen finden Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Azure Arc Private Link-Bereiche sollten mit einem privaten Endpunkt konfiguriert werden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Private Link-Bereichen mit Azure Arc-Unterstützung können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/arc/privatelink. | Audit, Disabled | 1.0.0 |
| Private Link-Bereiche mit Azure Arc-Unterstützung sollten den Zugriff auf öffentliche Netzwerke deaktivieren | Das Deaktivieren des Zugriffs auf öffentliche Netzwerke verbessert die Sicherheit, indem sichergestellt wird, dass Azure Arc-Ressourcen keine Verbindung über das öffentliche Internet herstellen können. Durch das Erstellen privater Endpunkte können Sie die Offenlegung von Azure Arc-Ressourcen einschränken. Weitere Informationen finden Sie unter https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| Server mit Azure Arc-Unterstützung sollten mit einem Azure Arc Private Link-Bereich konfiguriert werden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch Zuordnen von Servern mit Azure Arc-Unterstützung zu einem Azure Arc Private Link-Bereich, der mit einem privaten Endpunkt konfiguriert ist, werden Datenleckrisiken verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| Konfigurieren von Servern mit Arc-Unterstützung mit installierter SQL Server-Erweiterung zum Aktivieren oder Deaktivieren der SQL-Best-Practices-Bewertung. | Aktivieren oder deaktivieren Sie die SQL-Best-Practices-Bewertung für die SQL Server-Instanzen auf Ihren Arc-fähigen Servern, um bewährte Methoden auszuwerten. Weitere Informationen finden Sie unter https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurieren von arcfähigen SQL-Servern für die automatische Installation von Azure Monitor Agent | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren Arc-fähigen Windows-SQL-Servern. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0 |
| Konfigurieren von arcfähigen SQL-Servern für die automatische Installation von Microsoft Defender für SQL | Konfigurieren Sie Arc-fähige Windows-SQL-Server so, dass der Microsoft Defender for SQL-Agent automatisch installiert wird. Microsoft Defender for SQL erfasst Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurieren von arcfähigen SQL-Servern für die automatische Installation von Microsoft Defender für SQL und DCR mit einem Log Analytics-Arbeitsbereich | Microsoft Defender for SQL erfasst Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe, eine Datensammlungsregel und einen Log Analytics-Arbeitsbereich in der gleichen Region, in der sich der Computer befindet. | DeployIfNotExists, Disabled | 1.4.0 |
| Konfigurieren von arcfähigen SQL-Servern für die automatische Installation von Microsoft Defender für SQL und DCR mit einem benutzerdefinierten LA-Arbeitsbereich | Microsoft Defender for SQL erfasst Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe und eine Datensammlungsregel in der gleichen Region, in der sich der benutzerdefinierte Log Analytics-Arbeitsbereich befindet. | DeployIfNotExists, Disabled | 1.5.0 |
| Konfigurieren von arcfähigen SQL-Servern mit der Datensammlungsregelzuordnung zu Microsoft Defender für SQL DCR | Konfigurieren Sie die Zuordnung zwischen Arc-fähigen SQL Servern und dem Microsoft Defender for SQL-DCR. Durch das Löschen dieser Zuordnung wird die Erkennung von Sicherheitsrisiken für diese Arc-fähigen SQL-Server unterbrochen. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurieren von arcfähigen SQL-Servern mit der Datensammlungsregelzuordnung in Microsoft Defender für SQL benutzerdefinierte DCR | Konfigurieren Sie die Zuordnung zwischen Arc-fähigen SQL Servern und dem benutzerdefinierten Microsoft Defender for SQL-DCR. Durch das Löschen dieser Zuordnung wird die Erkennung von Sicherheitsrisiken für diese Arc-fähigen SQL-Server unterbrochen. | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurieren von Azure Arc Private Link-Bereichen zum Deaktivieren des Zugriffs auf öffentliche Netzwerke | Deaktivieren Sie den Zugriff auf öffentliche Netzwerke für Ihren Azure Arc Private Link-Bereich, damit zugeordnete Azure Arc-Ressourcen nicht über das öffentliche Internet eine Verbindung mit Azure Arc-Diensten herstellen können. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/arc/privatelink. | Modify, Disabled | 1.0.0 |
| Konfigurieren von Azure Arc Private Link-Bereichen mit privaten Endpunkten | Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Azure Arc Private Link-Bereichen können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 2.0.0 |
| Konfigurieren von Servern mit Azure Arc-Unterstützung für die Verwendung eines Azure Arc Private Link-Bereichs | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch Zuordnen von Servern mit Azure Arc-Unterstützung zu einem Azure Arc Private Link-Bereich, der mit einem privaten Endpunkt konfiguriert ist, werden Datenleckrisiken verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/arc/privatelink. | Modify, Disabled | 1.0.0 |
| Konfigurieren von Azure Defender for Servers als deaktiviert für alle Ressourcen (Ressourcenebene) | Azure Defender for Servers verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. Diese Richtlinie deaktiviert den Defender for Servers-Plan für alle Ressourcen (VMs, VMSSs und ARC-Computer) im ausgewählten Bereich (Abonnement oder Ressourcengruppe). | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Azure Defender for Servers als deaktiviert für Ressourcen (Ressourcenebene) mit dem ausgewählten Tag | Azure Defender for Servers verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. Diese Richtlinie deaktiviert den Defender for Servers-Plan für alle Ressourcen (VMs, VMSSs und ARC-Computer) mit den ausgewählten Tagnamen und -wert(en). | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Azure Defender for Servers als aktiviert (Unterplan „P1“) für alle Ressourcen (Ressourcenebene) mit dem ausgewählten Tag | Azure Defender for Servers verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. Diese Richtlinie aktiviert den Defender for Servers-Plan (mit Unterplan „P1“) für alle Ressourcen (VMs, VMSSs und ARC-Computer) mit den ausgewählten Tagnamen und -wert(en). | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Azure Defender for Servers als aktiviert (mit Unterplan „P1“) für alle Ressourcen (Ressourcenebene) | Azure Defender for Servers verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. Diese Richtlinie aktiviert den Defender for Servers-Plan (mit Unterplan „P1“) für alle Ressourcen (VMs und ARC-Computer) im ausgewählten Bereich (Abonnement oder Ressourcengruppe). | DeployIfNotExists, Disabled | 1.0.0 |
| Dependency-Agent für Linux-Server mit Azure Arc-Unterstützung konfigurieren | Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die VM-Erweiterung für den Dependency-Agent installieren. VM Insights nutzt den Dependency-Agent, um Netzwerkmetriken zu sammeln und Daten zu auf dem Computer ausgeführten Prozessen sowie externe Prozessabhängigkeiten zu erfassen. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.0.0 |
| Konfigurieren des Dependency-Agents auf Azure Arc-aktivierten Linux-Servern mit den Azure Monitoring-Agent-Einstellungen | Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die VM-Erweiterung für den Dependency-Agent mit Azure Monitoring-Agent-Einstellungen installieren. VM Insights nutzt den Dependency-Agent, um Netzwerkmetriken zu sammeln und Daten zu auf dem Computer ausgeführten Prozessen sowie externe Prozessabhängigkeiten zu erfassen. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 1.1.2 |
| Dependency-Agent für Windows-Server mit Azure Arc-Unterstützung konfigurieren | Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die VM-Erweiterung für den Dependency-Agent installieren. VM Insights nutzt den Dependency-Agent, um Netzwerkmetriken zu sammeln und Daten zu auf dem Computer ausgeführten Prozessen sowie externe Prozessabhängigkeiten zu erfassen. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.0.0 |
| Konfigurieren des Dependency-Agents auf Azure Arc-aktivierten Windows-Servern mit Azure Monitoring-Agent-Einstellungen | Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die VM-Erweiterung für den Dependency-Agent mit Azure Monitoring-Agent-Einstellungen installieren. VM Insights nutzt den Dependency-Agent, um Netzwerkmetriken zu sammeln und Daten zu auf dem Computer ausgeführten Prozessen sowie externe Prozessabhängigkeiten zu erfassen. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 1.1.2 |
| Konfigurieren von Linux-Computern mit Arc-Unterstützung für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt | Stellen Sie eine Zuordnung bereit, um Linux-Computer mit Arc-Unterstützung mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 2.2.0 |
| Konfigurieren von Arc-fähigen Linux-Computern zum Ausführen des Azure Monitor-Agents | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren Arc-fähigen Linux-Computern zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn die Region unterstützt wird. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 2.4.0 |
| Konfigurieren von Linux-Computern für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt | Stellen Sie eine Zuordnung bereit, um virtuelle Linux-Computer, VM-Skalierunggruppen und Arc-Computer mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 6.3.0 |
| Konfigurieren eines Linux-Servers zum Deaktivieren lokaler Benutzer | Erstellt eine Gastkonfigurationszuweisung, um die Deaktivierung lokaler Benutzer auf einem Linux-Server zu konfigurieren. Dadurch wird sichergestellt, dass auf Linux-Server nur über ein AAD-Konto (Azure Active Directory) oder durch explizit durch diese Richtlinie zugelassene Benutzer zugegriffen werden kann, um den allgemeinen Sicherheitsstatus zu verbessern. | DeployIfNotExists, Disabled | 1.3.0-preview |
| Konfigurieren der Log Analytics-Erweiterung auf Linux-Servern mit Azure Arc-Unterstützung. Weitere Informationen finden Sie weiter unten im „Hinweis zur Einstellung der Unterstützung“. | Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die Log Analytics-VM-Erweiterung installieren. VM Insights nutzt den Log Analytics-Agent, um Daten zum Gastbetriebssystem zu sammeln und liefert Erkenntnisse zu dessen Leistung. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. Hinweis zur Einstellung der Unterstützung: Der Log Analytics-Agent befindet sich in einem veralteten Pfad und wird nach dem 31. August 2024 nicht mehr unterstützt. Sie müssen vor diesem Datum zum Azure Monitor-Agent als Ersatz migrieren. | DeployIfNotExists, Disabled | 2.1.1 |
| Konfigurieren der Log Analytics-Erweiterung auf Windows-Servern mit Azure Arc-Unterstützung | Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die Log Analytics-VM-Erweiterung installieren. VM Insights nutzt den Log Analytics-Agent, um Daten zum Gastbetriebssystem zu sammeln und liefert Erkenntnisse zu dessen Leistung. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. Hinweis zur Einstellung der Unterstützung: Der Log Analytics-Agent befindet sich in einem veralteten Pfad und wird nach dem 31. August 2024 nicht mehr unterstützt. Sie müssen vor diesem Datum zum Azure Monitor-Agent als Ersatz migrieren. | DeployIfNotExists, Disabled | 2.1.1 |
| Konfigurieren von Computern für den Empfang eines Anbieters für Sicherheitsrisikobewertung | Azure Defender umfasst eine kostenlose Überprüfung auf Sicherheitsrisiken für Ihre Computer. Sie benötigen keine Qualys-Lizenz und auch kein Qualys-Konto – alles erfolgt nahtlos innerhalb von Security Center. Wenn Sie diese Richtlinie aktivieren, stellt Azure Defender automatisch den Qualys-Anbieter zur Bewertung von Sicherheitsrisiken auf allen unterstützten Computern bereit, auf denen er noch nicht installiert ist. | DeployIfNotExists, Disabled | 4.0.0 |
| Konfigurieren der regelmäßigen Überprüfung auf fehlende Systemupdates auf Azure Arc-fähigen Servern | Konfigurieren Sie die automatische Bewertung (alle 24 Stunden) für Betriebssystemupdates auf Servern mit Azure Arc-Unterstützung. Sie können den Zuweisungsbereich gemäß Computerabonnement, Ressourcengruppe, Standort oder Tag steuern. Weitere Informationen für Windows: https://aka.ms/computevm-windowspatchassessmentmode, für Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 2.2.1 |
| Konfigurieren sicherer Kommunikationsprotokolle (TLS 1.1 oder TLS 1.2) auf Windows-Computern | Erstellt eine Gastkonfigurationszuweisung zum Konfigurieren der angegebenen sicheren Protokollversion (TLS 1.1 oder TLS 1.2) auf einem Windows-Computer. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurieren des Microsoft Defender für SQL Log Analytics-Arbeitsbereichs | Microsoft Defender for SQL erfasst Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe und einen Log Analytics-Arbeitsbereich in der gleichen Region, in der sich der Computer befindet. | DeployIfNotExists, Disabled | 1.3.0 |
| Konfigurieren Sie die Zeitzone auf Windows-Computern. | Diese Richtlinie erstellt eine Gastkonfigurationszuweisung, um die angegebene Zeitzone auf virtuellen Windows-Computern festzulegen. | deployIfNotExists | 2.1.0 |
| VMs für das Onboarding in Azure Automanage konfigurieren | Azure Automanage registriert, konfiguriert und überwacht VMs anhand von Best Practices, die im Microsoft Cloud Adoption Framework für Azure definiert sind. Verwenden Sie diese Richtlinie, um die automatische Verwaltung auf den ausgewählten Bereich anzuwenden. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.4.0 |
| Konfigurieren Sie VMs für das Onboarding in Azure Automanage mit benutzerdefiniertem Konfigurationsprofil | Azure Automanage registriert, konfiguriert und überwacht VMs anhand von Best Practices, die im Microsoft Cloud Adoption Framework für Azure definiert sind. Verwenden Sie diese Richtlinie, um Automanage mit Ihrem eigenen angepassten Konfigurationsprofil auf Ihren ausgewählten Bereich anzuwenden. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Konfigurieren von Windows-Computern mit Arc-Unterstützung für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt | Stellen Sie eine Zuordnung bereit, um Windows-Computer mit Arc-Unterstützung mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 2.2.0 |
| Konfigurieren von Arc-fähigen Windows-Computern für die Ausführung des Azure Monitor-Agents | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren Arc-fähigen Windows-Computern zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 2.4.0 |
| Konfigurieren von Windows-Computern für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt | Stellen Sie eine Zuordnung bereit, um virtuelle Windows-Computer, VM-Skalierunggruppen und Arc-Computer mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 4.5.0 |
| Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Von Azure Security Center unterstützte Endpoint Protection-Lösungen sind unter https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions dokumentiert. Die Endpoint Protection-Bewertung ist unter https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection dokumentiert. | AuditIfNotExists, Disabled | 1.0.0 |
| Endpoint Protection sollte auf Ihren Computern installiert sein | Installieren Sie eine unterstützte Endpoint Protection-Lösung, um Ihre Computer vor Bedrohungen und Sicherheitsrisiken zu schützen. | AuditIfNotExists, Disabled | 1.0.0 |
| Auf Arc-fähigen Linux-Computern sollte der Azure Monitor-Agent installiert sein | Arc-fähige Linux-Computer sollten über den bereitgestellten Azure Monitor-Agent überwacht und gesichert werden. Der Azure Monitor-Agent sammelt Telemetriedaten vom Gastbetriebssystem. Diese Richtlinie überwacht Arc-fähige Computer in unterstützten Regionen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 1.2.0 |
| Auf Linux-Computern muss der Log Analytics-Agent auf Azure Arc installiert sein | Computer werden als nicht konform eingestuft, wenn der Log Analytics-Agent nicht auf einem Linux-Server mit Azure Arc-Unterstützung installiert ist. | AuditIfNotExists, Disabled | 1.1.0 |
| Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen. | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. | AuditIfNotExists, Disabled | 2.2.0 |
| Linux-Computer sollten nur lokale Konten enthalten, die zulässig sind. | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Die Verwaltung von Benutzerkonten mit Azure Active Directory ist eine bewährte Methode für die Verwaltung von Identitäten. Das Reduzieren lokaler Computerkonten trägt dazu bei, die Verbreitung von Identitäten zu verhindern, die außerhalb eines zentralen Systems verwaltet werden. Computer sind nicht konform, wenn lokale Benutzerkonten vorhanden sind, die aktiviert und nicht im Richtlinienparameter aufgeführt sind. | AuditIfNotExists, Disabled | 2.2.0 |
| Lokale Authentifizierungsmethoden sollten auf Linux-Servern deaktiviert werden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn lokale Authentifizierungsmethoden auf Linux-Servern nicht deaktiviert sind. Dadurch wird validiert, dass auf Linux-Server nur über ein AAD-Konto (Azure Active Directory) oder durch explizit durch diese Richtlinie zugelassene Benutzer zugegriffen werden kann, um den allgemeinen Sicherheitsstatus zu verbessern. | AuditIfNotExists, Disabled | 1.2.0-preview |
| Lokale Authentifizierungsmethoden sollten auf Windows-Servern deaktiviert werden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn lokale Authentifizierungsmethoden auf Windows-Servern nicht deaktiviert sind. Dadurch wird validiert, dass auf Windows-Server nur über ein AAD-Konto (Azure Active Directory) oder durch explizit durch diese Richtlinie zugelassene Benutzer zugegriffen werden kann, um den allgemeinen Sicherheitsstatus zu verbessern. | AuditIfNotExists, Disabled | 1.0.0-preview |
| Computer sollten so konfiguriert werden, dass regelmäßig nach fehlenden Systemupdates gesucht wird | Um sicherzustellen, dass regelmäßige Bewertungen fehlender Systemupdates automatisch alle 24 Stunden ausgelöst werden, sollte die AssessmentMode-Eigenschaft auf „AutomaticByPlatform“ festgelegt werden. Erfahren Sie mehr über die AssessmentMode-Eigenschaft für Windows: https://aka.ms/computevm-windowspatchassessmentmode, für Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Deny, Disabled | 3.7.0 |
| Planen wiederkehrender Updates mit dem Azure Update-Manager | Sie können den Azure Update-Manager in Azure zum Speichern wiederkehrender Bereitstellungszeitpläne verwenden, um Betriebssystemupdates für Ihre Windows Server- und Linux-Computer in Azure, in lokalen Umgebungen und in anderen Cloudumgebungen zu installieren, die mit Servern mit Azure Arc-Unterstützung verbunden sind. Diese Richtlinie ändert auch den Patchmodus für die Azure Virtual Machine-VM in „AutomaticByPlatform“. Weitere Informationen: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.10.0 |
| Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden | Die SQL-Sicherheitsrisikobewertung überprüft Ihre Datenbank auf Sicherheitsrisiken und zeigt Abweichungen von Best Practices wie Fehlkonfigurationen, übermäßige Berechtigungen und ungeschützte vertrauliche Daten an. Durch das Beseitigen der Sicherheitsrisiken kann der Sicherheitsstatus Ihrer Datenbank deutlich verbessert werden. | AuditIfNotExists, Disabled | 1.0.0 |
| Berechtigte Arc-fähige SQL Server-Instanzen sollten erweiterte Sicherheitsupdates abonnieren | Abonnieren Sie für berechtigte Arc-fähige SQL Server-Instanzen erweiterte Sicherheitsupdates. Dazu benötigen Sie den Lizenztyp „Kostenpflichtig“ oder „Nutzungsbasierte Zahlung“ (PAYG). Erfahren Sie mehr über erweiterte Sicherheitsupdates: https://go.microsoft.com/fwlink/?linkid=2239401. | DeployIfNotExists, Disabled | 1.0.0 |
| Die Legacy-Log Analytics-Erweiterung sollte nicht auf Azure Arc-aktivierten Linux-Servern installiert werden. | Verhindern Sie automatisch die Installation des Legacy-Log Analytics-Agents als letzten Schritt der Migration von Legacy-Agents zum Azure Monitor-Agent. Nachdem Sie vorhandene Legacyerweiterungen deinstalliert haben, verhindert diese Richtlinie alle zukünftigen Installationen der Erweiterung für einen Agent einer Vorgängerversion auf Azure Arc-fähigen Linux-Servern. Weitere Informationen: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| Die Legacy-Log Analytics-Erweiterung sollte nicht auf Azure Arc-aktivierten Windows-Servern installiert werden. | Verhindern Sie automatisch die Installation des Legacy-Log Analytics-Agents als letzten Schritt der Migration von Legacy-Agents zum Azure Monitor-Agent. Nachdem Sie vorhandene Legacyerweiterungen deinstalliert haben, verhindert diese Richtlinie alle zukünftigen Installationen der Erweiterung für einen Agent einer Vorgängerversion auf Azure Arc-fähigen Windows-Servern. Weitere Informationen: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| Auf Arc-fähigen Windows-Computern sollte der Azure Monitor-Agent installiert sein | Arc-fähige Windows-Computer sollten über den bereitgestellten Azure Monitor-Agent überwacht und gesichert werden. Der Azure Monitor-Agent sammelt Telemetriedaten vom Gastbetriebssystem. Arc-fähige Windows-Computer in unterstützten Regionen werden für die Azure Monitor-Agent-Bereitstellung überwacht. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 1.2.0 |
| Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). | AuditIfNotExists, Disabled | 2.0.0 |
| Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Disabled | 4.1.1 |
| Auf Windows-Computern muss Windows Defender so konfiguriert werden, dass Schutzsignaturen innerhalb eines Tages aktualisiert werden. | Um einen angemessenen Schutz vor neu veröffentlichter Schadsoftware bereitzustellen, müssen Windows Defender-Schutzsignaturen regelmäßig aktualisiert werden, um neu veröffentlichte Schadsoftware zu berücksichtigen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| Windows-Computer müssen Windows Defender-Echtzeitschutz aktivieren. | Windows-Computer müssen den Echtzeitschutz in Windows Defender aktivieren, um ausreichenden Schutz vor neu veröffentlichter Schadsoftware zu bieten. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| Auf Windows-Computern muss der Log Analytics-Agent auf Azure Arc installiert sein | Computer werden als nicht konform eingestuft, wenn der Log Analytics-Agent nicht auf einem Windows-Server mit Azure Arc-Unterstützung installiert ist. | AuditIfNotExists, Disabled | 2.0.0 |
| Windows-Computer müssen die Anforderungen für „Administrative Vorlagen: Systemsteuerung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Administrative Vorlagen: Systemsteuerung“ für die Eingabepersonalisierung und das Verhindern der Aktivierung von Sperrbildschirmen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Administrative Vorlagen: MSS (Legacy)“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Administrative Vorlagen: MSS (Legacy)“ für automatische Anmeldung, Bildschirmschoner, Netzwerkverhalten, sichere DLLs und Ereignisprotokoll aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Administrative Vorlagen: Netzwerk“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Administrative Vorlagen: Netzwerk“ für Gastanmeldungen, gleichzeitige Verbindungen, Netzwerkbrücken, ICS und Multicastnamensauflösung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Administrative Vorlagen: System“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Administrative Vorlagen: System“ für Einstellungen zur Steuerung von Verwaltungsfunktionalität und Remoteunterstützung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Konten“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Konten“ für die Einschränkung der Verwendung lokaler Konten mit leeren Kennwörtern und den Gastkontostatus aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Überwachen“ erfüllen | Windows-Computer müssen über die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Überwachen“ zum Erzwingen der Unterkategorie der Überwachungsrichtlinie und zum Herunterfahren verfügen, wenn Sicherheitsüberwachungen nicht protokolliert werden können. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Geräte“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Geräte“ für das Abdocken ohne Anmeldung, für die Installation von Druckertreibern und das Formatieren/Auswerfen von Medien aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Interaktive Anmeldung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Interaktive Anmeldung“ zur Anzeige des Namens des letzten Benutzers und zum Anfordern von STRG+ALT+ENT aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Microsoft-Netzwerk (Client)“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Microsoft-Netzwerk (Client)“ für das Microsoft-Netzwerk (Client/Server) und SMB v1 aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Microsoft-Netzwerk (Server)“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Microsoft-Netzwerk (Server)“ zum Deaktivieren des SMB v1-Servers aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerkzugriff“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Netzwerkzugriff“ für anonyme Benutzer, lokale Konten und den Remotezugriff auf die Registrierung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerksicherheit“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Netzwerksicherheit“ für lokales Systemverhalten, PKU2U, LAN Manager, LDAP-Client und NTLM-SSP aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Wiederherstellungskonsole“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Wiederherstellungskonsole“ für das Zulassen von Diskettenkopiervorgängen und den Zugriff auf alle Laufwerke und Ordner aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Herunterfahren“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Herunterfahren“ zum Zulassen des Herunterfahrens ohne Anmeldung und zum Löschen der Auslagerungsdatei des virtuellen Arbeitsspeichers aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Systemobjekte“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Systemobjekte“ zur Groß-/Kleinschreibung für Nicht-Windows-Subsysteme und den Berechtigungen interner Systemobjekte aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Systemeinstellungen“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Systemeinstellungen“ für Zertifikatregeln ausführbarer Dateien für SRP und optionale Subsysteme aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Benutzerkontensteuerung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Benutzerkontensteuerung“ für Administratormodus, Verhalten der Eingabeaufforderung für erhöhte Rechte und die Virtualisierung von Fehlern bei Schreibvorgängen für Dateien und Registrierung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Sicherheitseinstellungen: Kontorichtlinien“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitseinstellungen: Kontorichtlinien“ für Kennwortverlauf, Kennwortalter, Kennwortlänge, Kennwortkomplexität und die Speicherung von Kennwörtern mit umkehrbarer Verschlüsselung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Kontoanmeldung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Kontoanmeldung“ zum Überwachen der Überprüfung von Anmeldeinformationen und anderer Kontoanmeldeereignisse aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Kontoverwaltung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Kontoverwaltung“ zum Überwachen der Anwendungs-, Sicherheits- und Benutzergruppenverwaltung und anderer Verwaltungsereignisse aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ zum Überwachen von DPAPI, Prozesserstellung/-beendigung, RPC-Ereignissen und PNP-Aktivität aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Anmelden/Abmelden“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Anmelden/Abmelden“ zum Überwachen von IPSec, Netzwerkrichtlinie, Ansprüchen, Kontosperrung, Gruppenmitgliedschaft und Anmelde-/Abmeldeereignissen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Objektzugriff“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Objektzugriff“ zum Überwachen von Dateien, Registrierung, SAM, Speicher, Filterung, Kernel und weiteren Systemtypen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Richtlinienänderung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Kontoanmeldung“ zum Überwachen von Änderungen an Systemüberwachungsrichtlinien aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Rechteverwendung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Rechteverwendung“ zum Überwachen nicht sensibler und anderer Rechte aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: System“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: System“ zum Überwachen von IPsec-Treiber, Systemintegrität, Systemerweiterungen, Statusänderungen und weiteren Systemereignissen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Zuweisen von Benutzerrechten“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Zuweisen von Benutzerrechten“ für lokale Anmeldung, RDP, Zugriff aus dem Netzwerk und viele weitere Benutzeraktivitäten aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Windows-Komponenten“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Windows-Komponenten“ für Standardauthentifizierung, unverschlüsselten Datenverkehr, Microsoft-Konten, Telemetrie, Cortana und das Windows-Verhalten in Bezug auf weitere Aspekte aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen für „Windows-Firewalleigenschaften“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Windows-Firewalleigenschaften“ für Firewallzustand, Verbindungen, Regelverwaltung und Benachrichtigungen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. | AuditIfNotExists, Disabled | 2.0.0 |
| Windows-Computer sollten nur lokale Konten enthalten, die zulässig sind. | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Diese Definition wird unter Windows Server 2012 oder 2012 R2 nicht unterstützt. Die Verwaltung von Benutzerkonten mit Azure Active Directory ist eine bewährte Methode für die Verwaltung von Identitäten. Das Reduzieren lokaler Computerkonten trägt dazu bei, die Verbreitung von Identitäten zu verhindern, die außerhalb eines zentralen Systems verwaltet werden. Computer sind nicht konform, wenn lokale Benutzerkonten vorhanden sind, die aktiviert und nicht im Richtlinienparameter aufgeführt sind. | AuditIfNotExists, Disabled | 2.0.0 |
| Windows-Computer müssen Windows Defender planen, um jeden Tag eine geplante Überprüfung durchzuführen. | Um die sofortige Erkennung von Schadsoftware zu gewährleisten und die Auswirkungen auf Ihr System zu minimieren, wird empfohlen, dass Windows-Computer mit Windows Defender eine tägliche Überprüfung planen. Stellen Sie sicher, dass Windows Defender unterstützt, auf dem Gerät vorinstalliert und die Voraussetzungen für die Gastkonfiguration bereitgestellt werden. Die Nichteinhaltung dieser Anforderungen kann zu ungenauen Bewertungsergebnissen führen. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.0 |
| Windows-Computer müssen den Standard-NTP-Server verwenden. | Richten Sie „time.windows.com“ als Standard-NTP-Server für alle Windows-Computer ein, um sicherzustellen, dass Protokolle auf allen Systemen über Systemuhren verfügen, die alle synchron sind. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
Nächste Schritte
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.