Definiciones integradas de Azure Policy para servidores habilitados para Azure Arc

Esta página es un índice de las definiciones de directivas integradas de Azure Policy para servidores habilitados para Azure Arc. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.

El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.

Servidores habilitados para Azure Arc

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: se debe habilitar una identidad administrada en las máquinas Los recursos administrados por Automanage deben tener una identidad administrada. Audit, Disabled 1.0.0-preview
[Versión preliminar]: la asignación del perfil de configuración de Automanage debe ser Conformant Los recursos administrados por Automanage deben tener el estado Conforme o ConformantCorrected. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: El agente de seguridad de Azure debe estar instalado en las máquinas de Linux Arc Instale el agente de seguridad de Azure en las máquinas virtuales Linux Arc con el fin de supervisar las configuraciones de seguridad y las vulnerabilidades de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: el agente de seguridad de Azure debe estar instalado en las máquinas de Windows Arc Instale el agente de seguridad de Azure en las máquinas virtuales Windows Arc con el fin de supervisar las configuraciones de seguridad y las vulnerabilidades de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. AuditIfNotExists, Disabled 1.0.0-preview
La extensión ChangeTracking debe instalarse en la máquina de Arc para Linux. Instale la extensión ChangeTracking en máquinas de Arc para Linux a fin de habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. AuditIfNotExists, Disabled 1.0.0-preview
La extensión ChangeTracking debe estar instalada en la máquina de Arc para Windows Instale la extensión ChangeTracking en máquinas de Arc para Windows a fin de habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: configuración de máquinas Linux habilitadas para Azure Arc con agentes de Log Analytics conectados al área de trabajo predeterminada de Log Analytics Proteja sus máquinas Linux habilitadas para Azure Arc con las funcionalidades de Microsoft Defender for Cloud mediante la instalación de agentes de Log Analytics que envían datos a un área de trabajo predeterminada de Log Analytics creada por Microsoft Defender for Cloud. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: configuración de máquinas Windows habilitadas para Azure Arc con agentes de Log Analytics conectados al área de trabajo predeterminada de Log Analytics Proteja sus máquinas Windows habilitadas para Azure Arc con las funcionalidades de Microsoft Defender for Cloud mediante la instalación de agentes de Log Analytics que envían datos a un área de trabajo predeterminada de Log Analytics creada por Microsoft Defender for Cloud. DeployIfNotExists, Disabled 1.1.0-preview
Configurar la extensión ChangeTracking para las máquinas de Linux Arc Configure máquinas de Arc para Linux para instalar automáticamente la extensión ChangeTracking a fin de habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. DeployIfNotExists, Disabled 2.0.0-preview
Configurar la extensión ChangeTracking para las máquinas de Windows Arc Configure máquinas de Arc para Windows para instalar automáticamente la extensión ChangeTracking a fin de habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. DeployIfNotExists, Disabled 2.0.0-preview
[Versión preliminar]: Configuración de máquinas habilitadas para Arc en Linux para asociarse a un regla de recopilación de datos para ChangeTracking e Inventario Implemente la asociación para vincular máquinas habilitadas para Arc en Linux a la regla de recopilación de datos especificada para habilitar Seguimiento de cambios e inventario. La lista de ubicaciones se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: configuración de máquinas habilitadas para Arc en Linux para instalar AMA para seguimiento de cambios e inventario Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas habilitadas para Arc en Linux a fin de habilitar el Seguimiento de cambios e inventario. Esta directiva instalará la extensión si se admite la región. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.3.0-preview
[Versión preliminar]: configurar las máquinas de Linux Arc para instalar automáticamente el agente de seguridad de Azure Configure máquinas Linux Arc para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas Linux Arc de destino deben estar en una ubicación admitida. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: configurar las máquinas Windows Arc admitidas para instalar automáticamente el agente de seguridad de Azure Configure las máquinas Windows Arc admitidas para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas Windows Arc de destino deben estar en una ubicación admitida. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: Configuración de máquinas habilitadas para Arc en Windows para asociarlas a una regla de recopilación de datos para el Seguimiento de cambios e inventario Implemente la asociación para vincular máquinas habilitadas para Arc en Windows a la regla de recopilación de datos especificada para habilitar el Seguimiento de cambios e inventario. La lista de ubicaciones se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: Configuración de máquinas habilitadas para Arc en Windows para instalar AMA para el Seguimiento de cambios e inventario Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas habilitadas para Arc en Windows a fin de habilitar el Seguimiento de cambios e inventario. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: Configuración de Windows Server para deshabilitar los usuarios locales Crea una asignación de configuración de invitado para configurar la deshabilitación de usuarios locales en Windows Server. Esto garantiza que solo la cuenta de AAD (Azure Active Directory) o una lista de usuarios permitidos explícitamente en esta directiva accedan a los servidores de Windows, lo que mejora la posición de seguridad general. DeployIfNotExists, Disabled 1.2.0-preview
[Versión preliminar]: denegar la creación o modificación de licencias de actualizaciones de seguridad extendidas (ESU). Esta directiva permite restringir la creación o modificación de licencias de ESU para máquinas Windows Server 2012 Arc. Para obtener más información sobre los precios, visite https://aka.ms/ArcWS2012ESUPricing Deny, Disabled 1.0.0-preview
[Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas híbridas de Linux Implementa el agente de Microsoft Defender para punto de conexión en máquinas híbridas de Linux. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.1-preview
[Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas de Azure Arc con sistema Windows Implementa el agente de Microsoft Defender para punto de conexión en máquinas de Azure Arc con sistema Windows. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.1-preview
[Versión preliminar]: habilite la licencia de actualizaciones de seguridad extendidas (ESUs) para mantener las máquinas Windows 2012 protegidas después de que finalice su ciclo de vida de soporte técnico (versión preliminar). Habilite la licencia de actualizaciones de seguridad extendidas (ESU) para mantener protegidas las máquinas Windows 2012 incluso después de que haya finalizado su ciclo de vida de soporte técnico. Para obtener información sobre cómo preparar la entrega de actualizaciones de seguridad extendidas para Windows Server 2012 a través de AzureArc, visite https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Para obtener más información sobre los precios, visite https://aka.ms/ArcWS2012ESUPricing DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: las actualizaciones de seguridad extendidas deben instalarse en las máquinas Windows Server 2012 Arc. Las máquinas de Windows Server 2012 Arc deben haber instalado todas las actualizaciones de seguridad extendidas publicadas por Microsoft. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: las máquinas Linux deben cumplir los requisitos de línea base de seguridad de Azure para hosts de Docker Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. La máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de Azure para los hosts de Docker. AuditIfNotExists, Disabled 1.2.0-preview
[Versión preliminar]: Las máquinas Linux deben cumplir los requisitos de cumplimiento de STIG del proceso de Azure Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si no están configuradas correctamente para una de las recomendaciones de los requisitos de cumplimiento de STIG para el proceso de Azure. DISA (Agencia de sistemas de información de defensa) proporciona guías técnicas STIG (Guía de implementación técnica de seguridad) para proteger el sistema operativo de proceso según lo requiera el Departamento de Defensa (DoD). Para más detalles, consulte https://public.cyber.mil/stigs/. AuditIfNotExists, Disabled 1.2.0-preview
[Versión preliminar]: Las máquinas Linux con OMI instalado deben tener la versión 1.6.8-1 o posterior Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Debido a una corrección de seguridad incluida en la versión 1.6.8-1 del paquete de OMI para Linux, todas las máquinas deben actualizarse a la versión más reciente. Para resolver el problema, actualice las aplicaciones o los paquetes que usan OMI. Para obtener más información, vea https://aka.ms/omiguidance. AuditIfNotExists, Disabled 1.2.0-preview
[Vista previa]: La extensión de Log Analytics debe estar instalada en las máquinas Linux de Azure Arc Esta directiva audita las máquinas Linux de Azure Arc si la extensión de Log Analytics no está instalada. AuditIfNotExists, Disabled 1.0.1-preview
[Vista previa]: La extensión de Log Analytics debe estar instalada en las máquinas Windows de Azure Arc Esta directiva audita las máquinas Windows de Azure Arc si la extensión de Log Analytics no está instalada. AuditIfNotExists, Disabled 1.0.1-preview
[Versión preliminar]: Nexus Compute Machines debe cumplir la línea base de seguridad Usa el agente de configuración de invitado de Azure Policy para la auditoría. Esta directiva garantiza que las máquinas se adhieren a la línea de base de seguridad de proceso Nexus, que incluye varias recomendaciones diseñadas para fortificar máquinas frente a una serie de vulnerabilidades y configuraciones no seguras (solo Linux). AuditIfNotExists, Disabled 1.1.0-preview
[Preview]: Se deben instalar las actualizaciones del sistema en las máquinas (con la tecnología del Centro de actualización) A las máquinas les faltan actualizaciones del sistema, de seguridad y actualizaciones críticas. Las actualizaciones de software a menudo incluyen revisiones críticas para las vulnerabilidades de seguridad. Dichas vulnerabilidades se aprovechan con frecuencia en ataques de malware, por lo que es fundamental mantener el software actualizado. Para instalar todas las revisiones pendientes y proteger las máquinas, siga los pasos de corrección. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: Las máquinas Windows deben cumplir los requisitos de cumplimiento de STIG para el proceso de Azure Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si no están configuradas correctamente para una de las recomendaciones de los requisitos de cumplimiento de la STIG para el proceso de Azure. DISA (Agencia de sistemas de información de defensa) proporciona guías técnicas STIG (Guía de implementación técnica de seguridad) para proteger el sistema operativo de proceso según lo requiera el Departamento de Defensa (DoD). Para más detalles, consulte https://public.cyber.mil/stigs/. AuditIfNotExists, Disabled 1.0.0-preview
Auditar las máquinas Linux que permitan conexiones remotas desde cuentas sin contraseña Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux permiten la conexión remota de cuentas sin contraseña. AuditIfNotExists, Disabled 3.1.0
Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux no tienen los permisos del archivo de contraseñas establecidos en 0644. AuditIfNotExists, Disabled 3.1.0
Auditar las máquinas Linux que no tienen instaladas las aplicaciones especificadas Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el recurso INSPEC de Chef indica que uno o varios de los paquetes proporcionados por el parámetro no están instalados. AuditIfNotExists, Disabled 4.2.0
Auditar las máquinas Linux que tengan cuentas sin contraseña Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux tienen cuentas sin contraseña. AuditIfNotExists, Disabled 3.1.0
Auditar las máquinas Linux que tienen instaladas las aplicaciones especificadas Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el recurso INSPEC de Chef indica que uno o varios de los paquetes proporcionados por el parámetro están instalados. AuditIfNotExists, Disabled 4.2.0
Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales no contiene uno o más miembros de los que se enumeran en el parámetro de la directiva. auditIfNotExists 2.0.0
Auditar la conectividad de red de máquinas Windows Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el estado de una conexión de red con una IP y un puerto TCP no coincide con el parámetro de la directiva. auditIfNotExists 2.0.0
Auditar las máquinas Windows en las que la configuración de DSC no sea compatible Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el comando de Windows PowerShell Get-DSCConfigurationStatus devuelve que la configuración de DSC de la máquina no es compatible. auditIfNotExists 3.0.0
Auditar las máquinas Windows en las que el agente de Log Analytics no esté conectado como se esperaba Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el agente no está instalado o si está instalado, pero el objeto COM AgentConfigManager.MgmtSvcCfg devuelve que está registrado en un área de trabajo distinta del identificador especificado en el parámetro de la directiva. auditIfNotExists 2.0.0
Auditar las máquinas Windows en que los servicios especificados no estén instalados y en ejecución Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el resultado del comando de Windows PowerShell Get-Service no incluye el nombre del servicio con el estado de coincidencia tal y como se especifica en el parámetro de la directiva. auditIfNotExists 3.0.0
Auditar las máquinas Windows donde no esté habilitado Serial Console de Windows Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no tiene instalado el software de la consola serie o si el número de puerto de EMS o la velocidad en baudios no están configurados con los mismos valores que los parámetros de la directiva. auditIfNotExists 3.0.0
Auditar las máquinas de Windows que permiten volver a usar las contraseñas después del número especificado de contraseñas únicas Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows permiten volver a usar las contraseñas después del número especificado de contraseñas únicas. El valor predeterminado para contraseñas únicas es 24 AuditIfNotExists, Disabled 2.1.0
Auditar las máquinas Windows que no estén unidas al dominio especificado Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el valor de la propiedad de dominio en la clase WMI win32_computersystem no coincide con el valor del parámetro de directiva. auditIfNotExists 2.0.0
Auditar las máquinas Windows que no estén establecidas en la zona horaria especificada Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el valor de la propiedad StandardName en la clase WMI Win32_TimeZone no coincide con la zona horaria seleccionada para el parámetro de directiva. auditIfNotExists 3.0.0
Auditar las máquinas Windows que contengan certificados que expirarán en el plazo de días especificado Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los certificados del almacén especificado tienen una fecha de expiración fuera del intervalo durante el número de días dado como parámetro. La directiva también proporciona la opción de comprobar únicamente los certificados específicos o de excluir determinados certificados y de si se debe informar de los certificados expirados. auditIfNotExists 2.0.0
Auditar las máquinas Windows que no contengan los certificados especificados en la raíz de confianza Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el almacén de certificados raíz de confianza de la máquina (Cert:\LocalMachine\Root) no contiene uno o varios de los certificados enumerados por el parámetro de directiva. auditIfNotExists 3.0.0
Auditar las máquinas de Windows que no tengan la antigüedad máxima de la contraseña establecida en el número de días especificado Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no tienen la antigüedad máxima de contraseña establecida con el número de días especificado. El valor predeterminado para la antigüedad máxima de la contraseña es de 70 días AuditIfNotExists, Disabled 2.1.0
Auditar las máquinas de Windows que no tengan la antigüedad mínima de la contraseña establecida en el número de días especificado Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no tienen la antigüedad mínima de contraseña establecida con el número de días especificado. El valor predeterminado para la antigüedad mínima de la contraseña es de 1 día AuditIfNotExists, Disabled 2.1.0
Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no tienen habilitada la configuración de complejidad de la contraseña. AuditIfNotExists, Disabled 2.0.0
Realizar una auditoría de las máquinas Windows que no tengan instalada la directiva de ejecución específica de Windows PowerShell Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el comando Get-ExecutionPolicy de Windows PowerShell devuelve un valor distinto al seleccionado en el parámetro de directiva. AuditIfNotExists, Disabled 3.0.0
Realizar una auditoría de las máquinas Windows que no tengan instalados los módulos específicos de Windows PowerShell Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si un módulo no está disponible en la ubicación especificada por la variable de entorno PSModulePath. AuditIfNotExists, Disabled 3.0.0
Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a un número específico de caracteres Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no restringen la longitud mínima de caracteres de la contraseña. El valor predeterminado para la longitud mínima de la contraseña es de 14 caracteres AuditIfNotExists, Disabled 2.1.0
Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no almacenan las contraseñas con cifrado reversible. AuditIfNotExists, Disabled 2.0.0
Auditar las máquinas Windows que no tienen instaladas las aplicaciones especificadas Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el nombre de la aplicación no se encuentra en ninguna de las siguientes rutas de acceso del registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 2.0.0
Auditar las máquinas Windows que tengan cuentas adicionales en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene miembros que no se enumeran en el parámetro de la directiva. auditIfNotExists 2.0.0
Auditar las máquinas Windows que no se reiniciaron en el plazo de días especificado Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la propiedad de WMI LastBootUpTime en la clase Win32_Operatingsystem está fuera del intervalo de días proporcionado por el parámetro de la directiva. auditIfNotExists 2.0.0
Auditar las máquinas Windows que tienen instaladas las aplicaciones especificadas Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el nombre de la aplicación se encuentra en cualquiera de las siguientes rutas de acceso del registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 2.0.0
Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene uno o varios de los miembros enumerados en el parámetro de la directiva. auditIfNotExists 2.0.0
Auditar las VM Windows con un reinicio pendiente Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina está pendiente de reinicio por alguno de los siguientes motivos: servicio basado en componentes, Windows Update, cambio de nombre de archivo pendiente, cambio de nombre de máquina pendiente o reinicio de Configuration Manager pendiente. Cada detección tiene una ruta de acceso del registro única. auditIfNotExists 2.0.0
La autenticación en máquinas Linux debe requerir claves SSH. Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.2.0
Los ámbitos de Private Link para Azure Arc deben configurarse con un punto de conexión privado Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a ámbitos de Private Link para Azure Arc, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. Audit, Disabled 1.0.0
Los ámbitos de Private Link para Azure Arc deben deshabilitar el acceso a la red pública Deshabilitar el acceso a la red pública mejora la seguridad al garantizar que los recursos de Azure Arc no se pueden conectar a través de la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de los recursos de Azure Arc. Más información en: https://aka.ms/arc/privatelink. Audit, Deny, Disabled 1.0.0
Los servidores habilitados para Azure Arc deben configurarse con un ámbito de Private Link para Azure Arc Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar servidores habilitados para Azure Arc a un ámbito de Private Link para Azure Arc configurado con un punto de conexión privado, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. Audit, Deny, Disabled 1.0.0
Configurar servidores habilitados para Arc con la extensión de SQL Server instalada para habilitar o deshabilitar la valoración de procedimientos recomendados de SQL. Habilite o deshabilite la evaluación de procedimientos recomendados de SQL en las instancias de SQL Server en los servidores habilitados para Arc para evaluar los procedimientos recomendados. Obtenga más información en https://aka.ms/azureArcBestPracticesAssessment. DeployIfNotExists, Disabled 1.0.1
Configuración de servidores SQL Server habilitados para Arc para instalar automáticamente el agente de Azure Monitor Automatizar la implementación de la extensión Agente de Azure Monitor en instancias de SQL Server habilitadas para Arc en Windows. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.3.0
Configuración de servidores SQL Server habilitados para Arc para instalar automáticamente Microsoft Defender para SQL Configurar instancias de SQL Server habilitadas para Arc en Windows para instalar automáticamente el agente Microsoft Defender para SQL. Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). DeployIfNotExists, Disabled 1.2.0
Configuración de servidores SQL Server habilitados para Arc para instalar automáticamente Microsoft Defender para SQL y DCR con un área de trabajo de Log Analytics Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos, una regla de recopilación de datos y un área de trabajo de Log Analytics en la misma región que la máquina. DeployIfNotExists, Disabled 1.3.0
Configuración de servidores SQL Server habilitados para Arc para instalar automáticamente Microsoft Defender para SQL y DCR con un área de trabajo de LA definida por el usuario Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos y una regla de recopilación de datos en la misma región que el área de trabajo de Log Analytics definida por el usuario. DeployIfNotExists, Disabled 1.4.0
Configuración de servidores SQL Server habilitados para Arc con asociación de reglas de recopilación de datos para DCR de Microsoft Defender para SQL Configurar la asociación entre servidores SQL Server habilitados para Arc y DCR de Microsoft Defender para SQL. La eliminación de esta asociación interrumpirá la detección de vulnerabilidades de seguridad en esta instancia de SQL Server habilitada para Arc. DeployIfNotExists, Disabled 1.1.0
Configuración de servidores SQL Server habilitados para Arc con asociación de reglas de recopilación de datos para DCR de Microsoft Defender para SQL definido por el usuario Configurar la asociación entre servidores SQL Server habilitados para Arc y DCR de Microsoft Defender para SQL definido por el usuario. La eliminación de esta asociación interrumpirá la detección de vulnerabilidades de seguridad en esta instancia de SQL Server habilitada para Arc. DeployIfNotExists, Disabled 1.2.0
Configurar los ámbitos de Private Link de Azure Arc para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para el ámbito de Private Link para Azure Arc a fin de que los recursos de Azure Arc asociados no se puedan conectar a servicios de Azure Arc a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/arc/privatelink. Modificar, Deshabilitado 1.0.0
Configurar los ámbitos de Private Link de Azure Arc con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a ámbitos de Private Link para Azure Arc, puede reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. DeployIfNotExists, Disabled 2.0.0
Configuración de servidores habilitados para Azure Arc para usar un ámbito de Private Link de Azure Arc Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar servidores habilitados para Azure Arc a un ámbito de Private Link para Azure Arc configurado con un punto de conexión privado, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. Modificar, Deshabilitado 1.0.0
Configuración de Azure Defender para servidores para que se deshabilite para todos los recursos (nivel de recurso) Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. Esta directiva deshabilitará el plan de Defender para servidores para todos los recursos (máquinas virtuales, VMSS y máquinas ARC) en el ámbito seleccionado (suscripción o grupo de recursos). DeployIfNotExists, Disabled 1.0.0
Configuración de Azure Defender para servidores para que se deshabilite para los recursos (nivel de recurso) con la etiqueta seleccionada Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. Esta directiva deshabilitará el plan de Defender para servidores para todos los recursos (máquinas virtuales, VMSS y máquinas ARC) que tengan el nombre de etiqueta y los valores de etiqueta seleccionados. DeployIfNotExists, Disabled 1.0.0
Configuración de Azure Defender para servidores para habilitar (subplan "P1") para todos los recursos (nivel de recurso) con la etiqueta seleccionada Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. Esta directiva habilitará el plan de Defender para servidores (con el subplan "P1") para todos los recursos (máquinas virtuales y máquinas ARC) que tengan el nombre de etiqueta y los valores de etiqueta seleccionados. DeployIfNotExists, Disabled 1.0.0
Configuración de Azure Defender para servidores para habilitar (con el subplan "P1") para todos los recursos (nivel de recurso) Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. Esta directiva habilitará el plan de Defender para servidores (con el subplan "P1") para todos los recursos (máquinas virtuales y máquinas ARC) en el ámbito seleccionado (suscripción o grupo de recursos). DeployIfNotExists, Disabled 1.0.0
Configurar Dependency Agent en servidores Linux con Azure Arc habilitado Habilite la información de las VM en servidores y máquinas conectadas a Azure a través de servidores habilitados para Arc mediante la instalación de la extensión Dependency Agent para máquinas virtuales. La información de las VM usa Dependency Agent para recopilar métricas de red y datos detectados sobre los procesos que se ejecutan en la máquina y las dependencias de procesos externos. Más información: https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 2.0.0
Configurar Dependency Agent en servidores de Linux habilitados con Azure Arc con la configuración del agente de Azure Monitor Habilite la información de las máquinas virtuales en servidores y máquinas conectadas a Azure a través de servidores habilitados con Arc habilitado mediante la instalación de la extensión de máquina virtual de Dependency Agent con la configuración del agente de Azure Monitor. La información de las VM usa Dependency Agent para recopilar métricas de red y datos detectados sobre los procesos que se ejecutan en la máquina y las dependencias de procesos externos. Más información: https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 1.1.2
Configurar el agente de dependencias en servidores Windows con Microsoft Azure Arc habilitados Habilite la información de las VM en servidores y máquinas conectadas a Azure a través de servidores habilitados para Arc mediante la instalación de la extensión Dependency Agent para máquinas virtuales. La información de las VM usa Dependency Agent para recopilar métricas de red y datos detectados sobre los procesos que se ejecutan en la máquina y las dependencias de procesos externos. Más información: https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 2.0.0
Configurar Dependency Agent en servidores de Windows habilitados con Azure Arc con la configuración del agente de Azure Monitor Habilite la información de las máquinas virtuales en servidores y máquinas conectadas a Azure a través de servidores habilitados con Arc habilitado mediante la instalación de la extensión de máquina virtual de Dependency Agent con la configuración del agente de Azure Monitor. La información de las VM usa Dependency Agent para recopilar métricas de red y datos detectados sobre los procesos que se ejecutan en la máquina y las dependencias de procesos externos. Más información: https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 1.1.2
Configuración de máquinas habilitadas para Arc en Linux para asociarlas a una regla de recopilación de datos o a un punto de conexión de recopilación de datos Implemente la asociación para vincular máquinas habilitadas para Arc en Linux a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 2.2.0
Configuración de máquinas habilitadas para Linux Arc para ejecutar el agente de Azure Monitor Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas habilitadas para Linux Arc a fin de recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite la región. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 2.3.0
Configuración de máquinas Linux para asociarlas a una regla de recopilación de datos o a un punto de conexión de recopilación de datos Implemente la asociación para vincular máquinas virtuales Linux, conjuntos de escalado de máquinas virtuales y máquinas habilitadas para Arc a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 6.2.0
Configuración de Linux Server para deshabilitar los usuarios locales. Crea una asignación de configuración de invitado para configurar la deshabilitación de los usuarios locales en un servidor Linux. Esto garantiza que solo la cuenta de AAD (Azure Active Directory) o una lista de usuarios con permiso explícito de esta directiva puedan acceder a los servidores Linux, lo que mejora la posición de seguridad general. DeployIfNotExists, Disabled 1.3.0-preview
Configurar la extensión de Log Analytics en servidores Linux con Azure Arc habilitado. Consulte el aviso de desuso a continuación Habilite la información de las máquinas virtuales en servidores y máquinas conectados a Azure mediante servidores habilitados para Arc instalando la extensión de Log Analytics para máquinas virtuales. La información de las VM usa el agente de Log Analytics para recopilar los datos de rendimiento del sistema operativo invitado, y proporciona información sobre su rendimiento. Más información: https://aka.ms/vminsightsdocs. Aviso de desuso: los agentes de Log Analytics están en ruta de desuso y dejarán de tener soporte técnico el 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha DeployIfNotExists, Disabled 2.1.1
Configurar la extensión de Log Analytics en servidores Windows con Azure Arc habilitado Habilite la información de las máquinas virtuales en servidores y máquinas conectados a Azure mediante servidores habilitados para Arc instalando la extensión de Log Analytics para máquinas virtuales. La información de las VM usa el agente de Log Analytics para recopilar los datos de rendimiento del sistema operativo invitado, y proporciona información sobre su rendimiento. Más información: https://aka.ms/vminsightsdocs. Aviso de desuso: los agentes de Log Analytics están en ruta de desuso y dejarán de tener soporte técnico el 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha. DeployIfNotExists, Disabled 2.1.1
Configuración de las máquinas para recibir un proveedor de valoración de vulnerabilidades Azure Defender incluye el examen de vulnerabilidades de las máquinas sin costo adicional. No se necesita ninguna licencia ni cuenta de Qualys, ya que todo se administra sin problemas en Security Center. Al habilitar esta directiva, Azure Defender implementa automáticamente el proveedor de valoración de vulnerabilidades Qualys en todas las máquinas compatibles que todavía no lo tengan instalado. DeployIfNotExists, Disabled 4.0.0
Configurar la comprobación periódica de las actualizaciones del sistema faltantes en servidores habilitados para Azure Arc Configure la evaluación automática (cada 24 horas) de actualizaciones del sistema operativo en servidores habilitados para Azure Arc. Puede controlar el ámbito de asignación según la suscripción, el grupo de recursos, la ubicación o la etiqueta de la máquina. Más información al respecto en Windows:https://aka.ms/computevm-windowspatchassessmentmode, en Linux: https://aka.ms/computevm-linuxpatchassessmentmode. modify 2.2.1
Configuración de protocolos de comunicación segura (TLS 1.1 o TLS 1.2) en máquinas Windows Crea una asignación de configuración de invitado para configurar la versión de protocolo seguro especificada (TLS 1.1 o TLS 1.2) en una máquina Windows. DeployIfNotExists, Disabled 1.0.1
Configuración del área de trabajo de Log Analytics de Microsoft Defender para SQL Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos y un área de trabajo de Log Analytics en la misma región que la máquina. DeployIfNotExists, Disabled 1.2.0
Configure la zona horaria en las máquinas de Windows. Esta directiva crea una asignación de configuración de invitado para establecer la zona horaria especificada en Windows Virtual Machines. deployIfNotExists 2.1.0
Configurar las máquinas virtuales para incorporarlas a Azure Automanage Azure Automanage inscribe, configura y supervisa las máquinas virtuales con los procedimientos recomendados, tal como se definen en Microsoft Cloud Adoption Framework para Azure. Use esta directiva para aplicar Administración automática al ámbito seleccionado. AuditIfNotExists, DeployIfNotExists, Disabled 2.4.0
Configuración de las máquinas virtuales que se incorporarán a Azure Automanage con el perfil de configuración personalizado Azure Automanage inscribe, configura y supervisa las máquinas virtuales con los procedimientos recomendados, tal como se definen en Microsoft Cloud Adoption Framework para Azure. Use esta directiva para aplicar Automanage con su propio perfil de configuración personalizado al ámbito seleccionado. AuditIfNotExists, DeployIfNotExists, Disabled 1.4.0
Configurar las máquinas Windows Arc para asociarlas a una regla de recopilación de datos o a un punto de conexión de recopilación de datos Implemente la asociación para vincular máquinas habilitadas para Arc en Windows a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 2.2.0
Configuración de máquinas habilitadas de Windows Arc para ejecutar el Agente de Azure Monitor Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas habilitadas para Windows Arc a fin de recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 2.4.0
Configuración de máquinas Windows para asociarlas a una regla de recopilación de datos o a un punto de conexión de recopilación de datos Implemente la asociación para vincular máquinas virtuales Windows, conjuntos de escalado de máquinas virtuales y máquinas habilitadas para Arc a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 4.3.0
Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas Resuelva los problemas del estado de la protección de los puntos de conexión en las máquinas virtuales para protegerlas frente a amenazas y vulnerabilidades más recientes. Las soluciones de protección de puntos de conexión que admite Azure Security Center se documentan aquí: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valoración de la protección del punto de conexión se documenta aquí: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0
La protección de los puntos de conexión debe instalarse en las máquinas Para proteger las máquinas frente a amenazas y vulnerabilidades, instale una solución Endpoint Protection compatible. AuditIfNotExists, Disabled 1.0.0
Las máquinas habilitadas para Linux Arc deben tener instalado el agente de Azure Monitor Las máquinas habilitadas para Linux Arc deben supervisarse y protegerse mediante el agente implementado de Azure Monitor. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. Esta directiva auditará las máquinas habilitadas para Arc en las regiones admitidas. Más información: https://aka.ms/AMAOverview. AuditIfNotExists, Disabled 1.1.0
Las máquinas Linux deben tener la extensión de Log Analytics instalada en Azure Arc Las máquinas no son compatibles si la extensión de Log Analytics no está instalada en el servidor Linux habilitado para Azure Arc. AuditIfNotExists, Disabled 1.1.0
Las máquinas Linux deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. AuditIfNotExists, Disabled 2.2.0
Las máquinas Linux solo deben tener cuentas locales permitidas Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Administrar cuentas de usuario mediante Azure Active Directory es un procedimiento recomendado para la administración de identidades. Reducir las cuentas de máquinas locales ayuda a evitar la proliferación de identidades administradas fuera de un sistema central. Las máquinas no son compatibles si existen cuentas de usuario locales que están habilitadas y no aparecen en el parámetro de directiva. AuditIfNotExists, Disabled 2.2.0
Los métodos de autenticación local deben deshabilitarse en máquinas Linux Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los servidores Linux no tienen deshabilitados los métodos de autenticación local. Esto es para validar que solo la cuenta de AAD (Azure Active Directory) o una lista de usuarios con permiso explícito de esta directiva puedan acceder a los servidores Linux, lo que mejora la posición de seguridad general. AuditIfNotExists, Disabled 1.2.0-preview
Los métodos de autenticación local deben deshabilitarse en servidores Windows Server Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los servidores Windows no tienen deshabilitados los métodos de autenticación local. Esto es para validar que solo la cuenta de AAD (Azure Active Directory) o una lista de usuarios con permiso explícito de esta directiva puedan acceder a las instancias de Windows Server, lo que mejora la posición de seguridad general. AuditIfNotExists, Disabled 1.0.0-preview
Las máquinas deben configurarse para que se compruebe periódicamente si faltan actualizaciones del sistema Para asegurarse de que las evaluaciones periódicas de las actualizaciones del sistema que faltan se desencadenan automáticamente cada 24 horas, la propiedad AssessmentMode debe establecerse en "AutomaticByPlatform". Más información sobre la propiedad AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. Audit, Deny, Disabled 3.7.0
Programación de actualizaciones periódicas mediante el Administrador de actualizaciones de Azure Puede usar el Administrador de actualizaciones de Azure en Azure para guardar programaciones de implementación periódicas para instalar actualizaciones del sistema operativo en las máquinas Windows Server y Linux en Azure, en entornos locales y en otros entornos de nube conectados mediante servidores habilitados para Azure Arc. Esta directiva también cambiará el modo de revisión de la máquina virtual de Azure a «AutomaticByPlatform». Más información: https://aka.ms/umc-scheduled-patching DeployIfNotExists, Disabled 3.10.0
Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. La evaluación de vulnerabilidades de SQL examina la base de datos en busca de vulnerabilidades de seguridad y expone las posibles desviaciones de los procedimientos recomendados, como errores de configuración, permisos excesivos y datos confidenciales sin protección. La corrección de las vulnerabilidades detectadas puede mejorar considerablemente la posición de seguridad de la base de datos. AuditIfNotExists, Disabled 1.0.0
Suscripción de instancias aptas de SQL Server habilitadas para Arc a actualizaciones de seguridad extendidas. Suscriba instancias aptas de SQL Server habilitadas para Arc con el tipo de licencia establecido en Pagado o PAYG a actualizaciones de seguridad extendidas. Más información sobre las actualizaciones de seguridad extendidas https://go.microsoft.com/fwlink/?linkid=2239401. DeployIfNotExists, Disabled 1.0.0
La extensión heredada de Log Analytics no debe instalarse en servidores Linux habilitados para Azure Arc Evite la instalación automática del agente de Log Analytics heredado como último paso para migrar de agentes heredados al agente de Azure Monitor. Después de desinstalar las extensiones heredadas existentes, esta directiva denegará todas las instalaciones futuras de la extensión del agente heredado en servidores Linux habilitados para Azure Arc. Más información: https://aka.ms/migratetoAMA Deny, Audit, Disabled 1.0.0
La extensión heredada de Log Analytics no debe instalarse en servidores Windows habilitados para Azure Arc Evite la instalación automática del agente de Log Analytics heredado como último paso para migrar de agentes heredados al agente de Azure Monitor. Después de desinstalar las extensiones heredadas existentes, esta directiva denegará todas las instalaciones futuras de la extensión del agente heredado en servidores Windows habilitados para Azure Arc. Más información: https://aka.ms/migratetoAMA Deny, Audit, Disabled 1.0.0
Las máquinas habilitadas para Windows Arc deben tener instalado el agente de Azure Monitor Las máquinas habilitadas para Windows Arc deben supervisarse y protegerse mediante el agente implementado de Azure Monitor. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. Las máquinas habilitadas para Windows Arc en las regiones admitidas se supervisan para la implementación del Agente de Azure Monitor. Más información: https://aka.ms/AMAOverview. AuditIfNotExists, Disabled 1.2.0
La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows). AuditIfNotExists, Disabled 2.0.0
Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. AuditIfNotExists, Disabled 4.1.1
Las máquinas Windows deben configurar Windows Defender para que actualice las firmas de protección en un plazo de un día Para proporcionar una protección adecuada frente al malware recién publicado, las firmas de protección de Windows Defender deben actualizarse periódicamente para que abarquen el malware recién publicado. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.0
Las máquinas Windows deben habilitar la protección en tiempo real de Windows Defender Las máquinas Windows deben habilitar la protección en tiempo real en Windows Defender para proporcionar una protección adecuada frente al malware recién publicado. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.0
Las máquinas Windows deben tener instalada la extensión de Log Analytics en Azure Arc Las máquinas no son compatibles si el agente de Log Analytics no está instalado en el servidor de Windows habilitado para Azure Arc. AuditIfNotExists, Disabled 2.0.0
Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - Panel de control" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Panel de control" para la personalización de entrada y para evitar que se habiliten pantallas de bloqueo. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - MSS (heredado)" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - MSS (heredado)" para el inicio de sesión automático, el protector de pantalla, el comportamiento de la red, el archivo DLL seguro y el registro de eventos. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - Red" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Red" para los inicios de sesión de invitado, las conexiones simultáneas, el puente de red, ICS y la resolución de nombres de multidifusión. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - Sistema" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Sistema" para la configuración que determina la experiencia administrativa y la asistencia remota. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Cuentas" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Cuentas" para limitar el uso de contraseñas en blanco por parte de cuentas locales y el estado de la cuenta de invitado. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Auditoría" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Auditar" para aplicar la subcategoría de la directiva de auditoría y apagar si no es posible registrar las auditorías de seguridad. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Dispositivos" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Dispositivos" para desacoplar sin iniciar sesión, instalar controladores de impresión, así como formatear o expulsar medios. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Inicio de sesión interactivo" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Inicio de sesión interactivo" para mostrar el último nombre de usuario y solicitar el uso de Ctrl-Alt-Supr. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Cliente de redes de Microsoft" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Cliente de redes de Microsoft" para el cliente/servidor de red de Microsoft y SMB v1. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Servidor de red Microsoft" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Servidor de red Microsoft" para deshabilitar el servidor SMB v1. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Acceso a la red" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Acceso a la red" para incluir el acceso de usuarios anónimos, cuentas locales y acceso remoto al Registro. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de red" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Seguridad de la red" para incluir el comportamiento del sistema local, PKU2U, LAN Manager, el cliente LDAP y el portal de autoservicio (SSP) de NTLM. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Consola de recuperación" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Consola de recuperación" para permitir la copia de disquetes y el acceso a todas las unidades y carpetas. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Apagar" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Apagar" para permitir el apagado sin iniciar sesión y borrar el archivo de paginación de la memoria virtual. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos para "Opciones de seguridad - Objetos del sistema" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Objetos del sistema" sin distinción de mayúsculas y minúsculas para los subsistemas que no son de Windows y los permisos de objetos internos del sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Configuración del sistema" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Configuración del sistema" para las reglas de certificado en archivos ejecutables del SRP y los subsistemas opcionales. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Control de cuentas de usuario" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Control de cuentas de usuario" para el modo de administradores, el comportamiento de la petición de elevación y la virtualización de errores de escritura de archivos y del registro. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Configuración de seguridad - Directivas de cuenta" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Configuración de seguridad - Directivas de cuenta" para el historial de contraseñas, la antigüedad, la longitud, la complejidad y el almacenamiento de contraseñas mediante cifrado reversible. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Configuración de seguridad - Directivas de cuenta" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Configuración de seguridad - Directivas de cuenta" para auditar la validación de credenciales y otros eventos de inicio de sesión de cuenta. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Administración de cuentas" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Administración de cuentas" para auditar la aplicación, la seguridad y la administración de grupos de usuarios, así como otros eventos de administración. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Seguimiento detallado" para auditar la API de protección de datos, la creación o terminación de procesos, los eventos de RPC y la actividad PNP. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Iniciar sesión/Cerrar sesión" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Iniciar sesión/Cerrar sesión" para auditar IPSec, la directiva de red, las notificaciones, el bloqueo de cuentas, la pertenencia a grupos y los eventos de inicio o cierre de sesión. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Acceso a objetos" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Acceso a objetos" para auditar los sistemas de archivo, registro, SAM, almacenamiento, filtrado, kernel y de otro tipo. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Cambio en directivas" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Cambio en directivas" para auditar los cambios en las directivas de auditoría del sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Uso de privilegios" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Uso de privilegios" para auditar el uso no confidencial y de otros privilegios. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Sistema" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Sistema" para auditar el controlador IPsec, la integridad del sistema, la extensión del sistema, el cambio de estado y otros eventos del sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Asignación de derechos de usuario" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Asignación de derechos de usuario" para permitir el inicio de sesión local, el protocolo RDP, el acceso desde la red y muchas otras actividades de usuario. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Componentes de Windows" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Componentes de Windows" para la autenticación básica, el tráfico no cifrado, las cuentas de Microsoft, la telemetría, Cortana y otros comportamientos de Windows. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Propiedades de Firewall de Windows" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Propiedades de Firewall de Windows" para el estado del firewall, las conexiones, la administración de reglas y las notificaciones. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de línea base de seguridad de proceso de Azure. Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. AuditIfNotExists, Disabled 2.0.0
Las máquinas Windows solo deben tener cuentas locales permitidas Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Esta definición no se admite en Windows Server 2012 o 2012 R2. Administrar cuentas de usuario mediante Azure Active Directory es un procedimiento recomendado para la administración de identidades. Reducir las cuentas de máquinas locales ayuda a evitar la proliferación de identidades administradas fuera de un sistema central. Las máquinas no son compatibles si existen cuentas de usuario locales que están habilitadas y no aparecen en el parámetro de directiva. AuditIfNotExists, Disabled 2.0.0
Las máquinas Windows deben establecer que Windows Defender realice un examen programado todos los días Para garantizar la detección rápida de malware y minimizar su impacto en el sistema, se recomienda que las máquinas Windows con Windows Defender programen un examen diario. Asegúrese de que Windows Defender sea compatible, esté preinstalado en el dispositivo y se hayan implementado los requisitos previos de la configuración de invitado. El incumplimiento de estos requisitos podría dar lugar a resultados de evaluación inexactos. Obtenga más información sobre la configuración de invitado en https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.2.0
Las máquinas Windows deben usar el servidor NTP predeterminado Configure "time.windows.com" como servidor NTP predeterminado para todas las máquinas Windows y asegurarse de que los registros de todos los sistemas tengan relojes del sistema sincronizados. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.0

Pasos siguientes