Definiciones integradas de Azure Policy para conjuntos de escalado de máquinas virtuales de Azure
Esta página es un índice de definiciones de directivas integradas de Azure Policy para conjuntos de escalado de máquinas virtuales de Azure. Para ver más elementos integrados de Azure Policy para otros servicios, consulte Definiciones integradas de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Microsoft.Compute
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: se debe habilitar una identidad administrada en las máquinas | Los recursos administrados por Automanage deben tener una identidad administrada. | Audit, Disabled | 1.0.0-preview |
| [Versión preliminar]: Agregar una identidad administrada asignada por el usuario para habilitar las asignaciones de configuración de invitado en máquinas virtuales | Esta directiva agrega una identidad administrada asignada por el usuario a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado. Una identidad administrada asignada por el usuario es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.1.0-preview |
| [Versión preliminar]: Asignación de identidad administrada integrada asignada por el usuario a Virtual Machine Scale Sets | Cree y asigne una identidad administrada asignada por el usuario integrada o asigne una identidad administrada asignada por el usuario creada previamente a gran escala a los conjuntos de escalado de máquinas virtuales. Para documentación más detallada, visite aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.1.0-preview |
| [Versión preliminar]: Asignar una identidad administrada integrada asignada por el usuario a Virtual Machines | Cree y asigne una identidad administrada asignada por el usuario integrada o asigne una identidad administrada asignada por el usuario creada previamente a gran escala a máquinas virtuales. Para documentación más detallada, visite aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.1.0-preview |
| [Versión preliminar]: auditoría de control de Postura SSH en máquinas Linux | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si el servidor SSH no está configurado de forma segura en las máquinas Linux. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: la asignación del perfil de configuración de Automanage debe ser Conformant | Los recursos administrados por Automanage deben tener el estado Conforme o ConformantCorrected. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Azure Backup debe estar habilitado para Managed Disks | Para garantizar la protección de Managed Disks, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: el agente de seguridad de Azure debe estar instalado en los conjuntos de escalado de máquinas virtuales Linux | Instale el agente de seguridad de Azure en los conjuntos de escalado de máquinas virtuales Linux con el fin de supervisar las configuraciones y vulnerabilidades de seguridad de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: el agente de seguridad de Azure debe estar instalado en las máquinas virtuales Linux | Instale el agente de seguridad de Azure en las máquinas virtuales Linux con el fin de supervisar las configuraciones de seguridad y las vulnerabilidades de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: el agente de seguridad de Azure debe estar instalado en los conjuntos de escalado de máquinas virtuales Windows | Instale el agente de seguridad de Azure en los conjuntos de escalado de máquinas virtuales Windows con el fin de supervisar las configuraciones y vulnerabilidades de seguridad de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. | AuditIfNotExists, Disabled | 2.1.0-preview |
| [Versión preliminar]: el agente de seguridad de Azure debe estar instalado en las máquinas virtuales Windows | Instale el agente de seguridad de Azure en las máquinas virtuales Windows con el fin de supervisar las configuraciones y vulnerabilidades de seguridad de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. | AuditIfNotExists, Disabled | 2.1.0-preview |
| [Versión preliminar]: el diagnóstico de arranque debe estar habilitado en las máquinas virtuales | Las máquinas virtuales de Azure deben tener habilitado el diagnóstico de arranque. | Audit, Disabled | 1.0.0-preview |
| [Versión preliminar]: la extensión ChangeTracking debe estar instalada en la máquina virtual Linux | Instale la extensión ChangeTracking en máquinas virtuales Linux para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: la extensión ChangeTracking debe estar instalada en los conjuntos de escalado de máquinas virtuales Linux | Instale la extensión ChangeTracking en conjunto de escalado de máquinas virtuales Linux para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: a extensión ChangeTracking debe estar instalada en la máquina virtual Windows | Instale la extensión ChangeTracking en máquinas virtuales Windows para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: la extensión ChangeTracking debe estar instalada en los conjuntos de escalado de máquinas virtuales Windows | Instale la extensión ChangeTracking en conjunto de escalado de máquinas virtuales Windows para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: configurar Azure Defender para Agente SQL en máquinas virtuales | Configure las máquinas Windows para que instalen automáticamente el agente de Azure Defender para SQL en el agente de Azure Monitor instalado. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos y un área de trabajo de Log Analytics en la misma región que la máquina. Las máquinas virtuales de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: configurar copia de seguridad para Azure Disks (Managed Disks) con una etiqueta dada a una bóveda de copia de seguridad existente en la misma región | Imponga la copia de seguridad de todos los discos Azure (Managed Disks) que contengan una etiqueta determinada en una bóveda de copia de seguridad central. Más información en https://aka.ms/AB-DiskBackupAzPolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: configurar copia de seguridad para Azure Disks (Managed Disks) sin una etiqueta determinada en una bóveda de copia de seguridad existente en la misma región | Imponga la copia de seguridad de todos los discos Azure (Managed Disks) que no contengan una etiqueta determinada en una bóveda de copia de seguridad central. Más información en https://aka.ms/AB-DiskBackupAzPolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Configuración de la extensión ChangeTracking para conjuntos de escalado de máquinas virtuales Linux | Configure conjuntos de escalado de máquinas virtuales Linux para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: configuración de la extensión ChangeTracking para máquinas virtuales Linux | Configure máquinas virtuales Linux para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: configuración de la extensión ChangeTracking para conjuntos de escalado de máquinas virtuales Windows | Configure conjuntos de escalado de máquinas virtuales Windows para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: configuración de la extensión ChangeTracking para máquinas virtuales Windows | Configure máquinas virtuales Windows para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: Configuración de Linux Virtual Machines para asociarse a una regla de recopilación de datos para ChangeTracking e Inventario | Implemente la asociación para vincular máquinas virtuales Linux a la regla de recopilación de datos especificada para habilitar ChangeTracking e Inventario. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Configuración de las VM Linux para instalar AMA para ChangeTracking e Inventario con una identidad administrada asignada por el usuario | Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas virtuales Linux para permitir ChangeTracking e Inventario. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.5.0-preview |
| [Versión preliminar]: Configuración de VMSS Linux para asociarse a una regla de recopilación de datos para ChangeTracking e Inventario | Implemente la asociación para vincular conjuntos de escalado de máquinas virtuales Linux a la regla de recopilación de datos especificada para permitir ChangeTracking e Inventario. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Configuración de VMSS de Linux para instalar AMA para ChangeTracking e Inventario con una identidad administrada asignada por el usuario | Automatice la implementación de la extensión del agente de Azure Monitor en los conjuntos de escalado de máquinas virtuales Linux para permitir ChangeTracking e Inventario. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0-preview |
| [Versión preliminar]: Configuración del control de posición ssh en máquinas Linux | Esta directiva crea una asignación de configuración de invitado para establecer ssh Posture Control en máquinas Linux. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: configurar conjuntos de escalado de máquinas virtuales Linux para instalar automáticamente el agente de seguridad de Azure | Configure conjuntos de escalado de máquinas virtuales Linux compatibles para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas virtuales de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: configurar los conjuntos de escalado de máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación de invitados | Configure conjuntos de escalado de máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Disabled | 6.1.0-preview |
| [Versión preliminar]: configurar máquinas virtuales Linux compatibles para habilitar automáticamente el arranque seguro | Configure las máquinas virtuales Linux admitidas para habilitar automáticamente el arranque seguro para mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. | DeployIfNotExists, Disabled | 5.0.0-preview |
| [Versión preliminar]: configurar las máquinas virtuales Linux para instalar automáticamente el agente de seguridad de Azure | Configure máquinas virtuales Linux compatibles para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas virtuales de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 7.0.0-preview |
| [Versión preliminar]: configurar las máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación de invitados | Configure máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Disabled | 7.1.0-preview |
| [Versión preliminar]: configurar las máquinas virtuales compatibles para habilitar automáticamente vTPM | Configure las máquinas virtuales admitidas para habilitar automáticamente vTPM para facilitar el arranque medido y otras características de seguridad del sistema operativo que requieren un TPM. Una vez habilitado, vTPM se puede usar para atestiguar la integridad del arranque. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: configurar las máquinas Windows admitidas para instalar automáticamente el agente de seguridad de Azure | Configure las máquinas Windows admitidas para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas virtuales de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 5.1.0-preview |
| [Versión preliminar]: configurar los conjuntos de escalado de máquinas virtuales Windows para instalar automáticamente el agente de seguridad de Azure | Configure conjuntos de escalado de máquinas virtuales Windows compatibles para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Los conjuntos de escalado de máquinas virtuales Windows de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 2.1.0-preview |
| [Versión preliminar]: configurar los conjuntos de escalado de máquinas virtuales Windows compatibles para instalar automáticamente la extensión de atestación de invitados | Configure conjuntos de escalado de máquinas virtuales Windows compatibles para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Disabled | 4.1.0-preview |
| [Versión preliminar]: configurar las máquinas virtuales Windows compatibles para habilitar automáticamente el arranque seguro | Configure las máquinas virtuales Windows admitidas para habilitar automáticamente el arranque seguro para mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. | DeployIfNotExists, Disabled | 3.0.0-preview |
| [Versión preliminar]: configurar las máquinas virtuales Windows compatibles para instalar automáticamente la extensión de atestación de invitados | Configure máquinas virtuales Windows compatibles para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Disabled | 5.1.0-preview |
| [Versión preliminar]: configuración de la identidad administrada asignada por el sistema para habilitar las asignaciones de Azure Monitor en máquinas virtuales | Configure una identidad administrada asignada por el sistema en las máquinas virtuales hospedadas en Azure compatibles con Azure Monitor que no tengan una identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de Azure Monitor y debe agregarse a las máquinas antes de usar cualquier extensión de Azure Monitor. Las máquinas virtuales de destino deben estar en una ubicación admitida. | Modificar, Deshabilitado | 6.0.0 (preliminar) |
| [Versión preliminar]: Configuración de máquinas virtuales creadas con imágenes de Shared Image Gallery para instalar la extensión de atestación de invitados | Configure máquinas virtuales creadas con Shared Image Gallery para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: configuración de VMSS creadas con imágenes de Shared Image Gallery para instalar la extensión de atestación de invitados | Configure VMSS creadas con Shared Image Gallery para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Disabled | 2.1.0-preview |
| [Versión preliminar]: Configuración de Windows Server para deshabilitar los usuarios locales | Crea una asignación de configuración de invitado para configurar la deshabilitación de usuarios locales en Windows Server. Esto garantiza que solo la cuenta de AAD (Azure Active Directory) o una lista de usuarios permitidos explícitamente en esta directiva accedan a los servidores de Windows, lo que mejora la posición de seguridad general. | DeployIfNotExists, Disabled | 1.2.0-preview |
| [Versión preliminar]: Configurar Windows Virtual Machines para asociarlas a una regla de recopilación de datos para ChangeTracking e Inventario | Implemente la asociación para vincular máquinas virtuales Windows a la regla de recopilación de datos especificada para habilitar ChangeTracking e Inventario. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Configuración de máquinas virtuales Windows para instalar AMA para ChangeTracking e Inventario con una identidad administrada asignada por el usuario | Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas virtuales Windows para permitir ChangeTracking e Inventario. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Versión preliminar]: Configurar VMSS de Windows para asociarse a una regla de recopilación de datos para ChangeTracking e Inventario | Implemente la asociación para vincular conjuntos de escalado de máquinas virtuales Windows a la regla de recopilación de datos especificada para habilitar ChangeTracking e Inventario. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 1.0.0-preview |
| Configuración de VMSS de Windows para instalar AMA para ChangeTracking e Inventario con una identidad administrada asignada por el usuario | Automatice la implementación de la extensión del agente de Azure Monitor en los conjuntos de escalado de máquinas virtuales Windows para permitir ChangeTracking e Inventario. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas virtuales de Linux | Implementa el agente de Microsoft Defender para punto de conexión en las imágenes de VM de Linux aplicables. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-preview |
| [Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas virtuales de Windows | Implementa Microsoft Defender para punto de conexión en las imágenes de VM de Windows aplicables. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Versión preliminar]: Habilitación de la identidad asignada por el sistema a la máquina virtual SQL | Habilite la identidad asignada por el sistema a gran escala en las máquinas virtuales SQL. Debe asignar esta directiva en el nivel de suscripción. La asignación en el nivel de grupo de recursos no funcionará según lo previsto. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en las máquinas virtuales Linux admitidas | Instale la extensión de atestación de invitados en máquinas virtuales Linux compatibles para permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación se aplica a las máquinas virtuales Linux confidenciales y de inicio seguro. | AuditIfNotExists, Disabled | 6.0.0 (preliminar) |
| [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en los conjuntos de escalado de máquinas virtuales Linux admitidos | Instale la extensión de atestación de invitados en conjuntos de escalado de máquinas virtuales Linux compatibles para permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación se aplica a los conjuntos de escalado de máquinas virtuales Linux confidenciales y de inicio seguro. | AuditIfNotExists, Disabled | 5.1.0-preview |
| [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en las máquinas virtuales Windows admitidas | Instale la extensión de atestación de invitados en máquinas virtuales compatibles para permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación se aplica a las máquinas virtuales Windows confidenciales y de inicio seguro. | AuditIfNotExists, Disabled | 4.0.0-preview |
| [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en los conjuntos de escalado de máquinas virtuales Windows admitidos | Instale la extensión de atestación de invitados en conjuntos de escalado de máquinas virtuales compatibles para permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación se aplica a los conjuntos de escalado de máquinas virtuales Windows confidenciales y de inicio seguro. | AuditIfNotExists, Disabled | 3.1.0: versión preliminar |
| [Versión preliminar]: las máquinas Linux deben cumplir los requisitos de línea base de seguridad de Azure para hosts de Docker | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. La máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de Azure para los hosts de Docker. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Versión preliminar]: Las máquinas Linux deben cumplir los requisitos de cumplimiento de STIG del proceso de Azure | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si no están configuradas correctamente para una de las recomendaciones de los requisitos de cumplimiento de STIG para el proceso de Azure. DISA (Agencia de sistemas de información de defensa) proporciona guías técnicas STIG (Guía de implementación técnica de seguridad) para proteger el sistema operativo de proceso según lo requiera el Departamento de Defensa (DoD). Para más detalles, consulte https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Versión preliminar]: Las máquinas Linux con OMI instalado deben tener la versión 1.6.8-1 o posterior | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Debido a una corrección de seguridad incluida en la versión 1.6.8-1 del paquete de OMI para Linux, todas las máquinas deben actualizarse a la versión más reciente. Para resolver el problema, actualice las aplicaciones o los paquetes que usan OMI. Para obtener más información, vea https://aka.ms/omiguidance. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Versión preliminar]: las máquinas virtuales Linux solo deberían usar componentes de arranque firmados y de confianza | Todos los componentes de arranque del sistema operativo (cargador de arranque, kernel y controladores de kernel) deben estar firmados por editores de confianza. Defender for Cloud ha identificado componentes de arranque del sistema operativo que no son de confianza en una o varias máquinas Linux. Para proteger las máquinas de componentes potencialmente malintencionados, agréguelas a la lista de permitidos o quite los componentes identificados. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: las máquinas virtuales Linux deben usar el arranque seguro | Para protegerse contra la instalación de rootkits y bootkits basados en malware, habilite el arranque seguro en las máquinas virtuales Linux admitidas. El arranque seguro garantiza que solo se permitirá la ejecución de controladores y sistemas operativos firmados. Esta evaluación solo se aplica a las máquinas virtuales Linux que tienen instalado el agente de Azure Monitor. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas | Notifica que las máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1-preview |
| [Versión preliminar]: las máquinas deben tener puertos cerrados que puedan exponer vectores de ataque | Los Términos de uso de Azure prohíben el uso de servicios de Azure de maneras que puedan dañar, deshabilitar, sobrecargar o afectar a cualquier servidor de Microsoft o a la red. Los puertos expuestos identificados por esta recomendación deben cerrarse por motivos de seguridad continuados. Para cada puerto identificado, la recomendación también proporciona una explicación de la posible amenaza. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Managed Disks debe ser resistente a zonas | Managed Disks se puede configurar para alinearse por zona, con redundancia de zona o ninguna de estas opciones. Managed Disks con exactamente una asignación de zona está alineado por zonas. Managed Disks con un nombre de SKU que termina en ZRS tiene redundancia de zona. Esta directiva ayuda a identificar y aplicar estas configuraciones de resistencia para Managed Disks. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el arranque seguro debe estar habilitado en las máquinas virtuales Windows admitidas | La habilitación del arranque seguro en máquinas virtuales Windows admitidas ayuda a mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. Esta evaluación se aplica a las máquinas virtuales Windows confidenciales y de inicio seguro. | Audit, Disabled | 4.0.0-preview |
| [Versión preliminar]: Establezca los requisitos previos para programar actualizaciones periódicas en máquinas virtuales de Azure. | Esta directiva establecerá los requisitos previos necesarios para programar actualizaciones periódicas en Azure Update Manager mediante la configuración de la orquestación de revisiones en "Programaciones administradas por el cliente". Este cambio establecerá automáticamente el modo de revisión en "AutomaticByPlatform" y habilitará "BypassPlatformSafetyChecksOnUserSchedule" en "True" en máquinas virtuales de Azure. El requisito previo no es aplicable a los servidores habilitados para Arc. Aprende más- https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Preview]: Se deben instalar las actualizaciones del sistema en las máquinas (con la tecnología del Centro de actualización) | A las máquinas les faltan actualizaciones del sistema, de seguridad y actualizaciones críticas. Las actualizaciones de software a menudo incluyen revisiones críticas para las vulnerabilidades de seguridad. Dichas vulnerabilidades se aprovechan con frecuencia en ataques de malware, por lo que es fundamental mantener el software actualizado. Para instalar todas las revisiones pendientes y proteger las máquinas, siga los pasos de corrección. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: las instancias de Virtual Machine Scale Sets deben ser resistentes a zonas | Las instancias de Virtual Machine Scale Sets se pueden configurar para alinearse por zona, con redundancia de zona o ninguna de estas opciones. Las instancias de Virtual Machine Scale Sets que tienen exactamente una entrada en su matriz de zonas se consideran como alineadas por zonas. En cambio, las instancias de Virtual Machine Scale Sets con 3 o más entradas en su matriz de zonas y una capacidad mínima de 3 se reconocen como con redundancia de zona. Esta directiva ayuda a identificar y aplicar estas configuraciones de resistencia. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: el estado de atestación de invitado de las máquinas virtuales debe ser correcto | La atestación de invitado se realiza mediante el envío de un registro de confianza (TCGLog) a un servidor de atestación. El servidor usa estos registros para determinar si los componentes de arranque son de confianza. Esta evaluación está pensada para detectar riesgos de la cadena de arranque que podrían ser el resultado de una infección por bootkit o rootkit. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro de confianza que tengan instalada la extensión de atestación de invitado. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: las máquinas virtuales deben estar alineadas por zonas | Las máquinas virtuales se pueden configurar para alinearse por zonas o no. Se consideran alineadas por zonas si solo tienen una entrada en su matriz de zonas. Esta directiva garantiza que estén configuradas para funcionar dentro de una sola zona de disponibilidad. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: vTPM debe estar habilitado en las máquinas virtuales admitidas | Habilite el dispositivo TPM virtual en máquinas virtuales compatibles para facilitar el arranque medido y otras características de seguridad del sistema operativo que requieren un TPM. Una vez habilitado, vTPM se puede usar para atestiguar la integridad del arranque. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro. | Audit, Disabled | 2.0.0-preview |
| [Versión preliminar]: Las máquinas Windows deben cumplir los requisitos de cumplimiento de STIG para el proceso de Azure | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si no están configuradas correctamente para una de las recomendaciones de los requisitos de cumplimiento de la STIG para el proceso de Azure. DISA (Agencia de sistemas de información de defensa) proporciona guías técnicas STIG (Guía de implementación técnica de seguridad) para proteger el sistema operativo de proceso según lo requiera el Departamento de Defensa (DoD). Para más detalles, consulte https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.0.0-preview |
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Disabled | 3.0.0 |
| Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
| Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet | Azure Security Center analiza los patrones de tráfico de máquinas virtuales orientadas a Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la superficie de ataque potencial. | AuditIfNotExists, Disabled | 3.0.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| SKU de tamaño de máquina virtual permitidas | Esta directiva permite especificar un conjunto de SKU de tamaño de máquina virtual que la organización puede implementar. | Denegar | 1.0.1 |
| Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables | Supervise los cambios en el comportamiento de los grupos de máquinas configurados para la auditoría mediante controles de aplicaciones adaptables de Azure Security Center. Security Center usa el aprendizaje automático para analizar los procesos en ejecución en las máquinas y sugerir una lista de aplicaciones seguras conocidas. Estas se presentan como aplicaciones recomendadas que se deben permitir en directivas de control de aplicaciones adaptables. | AuditIfNotExists, Disabled | 3.0.0 |
| Auditar las máquinas Linux que permitan conexiones remotas desde cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux permiten la conexión remota de cuentas sin contraseña. | AuditIfNotExists, Disabled | 3.1.0 |
| Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux no tienen los permisos del archivo de contraseñas establecidos en 0644. | AuditIfNotExists, Disabled | 3.1.0 |
| Auditar las máquinas Linux que no tienen instaladas las aplicaciones especificadas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el recurso INSPEC de Chef indica que uno o varios de los paquetes proporcionados por el parámetro no están instalados. | AuditIfNotExists, Disabled | 4.2.0 |
| Auditar las máquinas Linux que tengan cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux tienen cuentas sin contraseña. | AuditIfNotExists, Disabled | 3.1.0 |
| Auditar las máquinas Linux que tienen instaladas las aplicaciones especificadas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el recurso INSPEC de Chef indica que uno o varios de los paquetes proporcionados por el parámetro están instalados. | AuditIfNotExists, Disabled | 4.2.0 |
| Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Auditar las máquinas virtuales que no utilizan discos administrados | Esta directiva audita las máquinas virtuales que no utilizan discos administrados. | auditoría | 1.0.0 |
| Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales no contiene uno o más miembros de los que se enumeran en el parámetro de la directiva. | auditIfNotExists | 2.0.0 |
| Auditar la conectividad de red de máquinas Windows | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el estado de una conexión de red con una IP y un puerto TCP no coincide con el parámetro de la directiva. | auditIfNotExists | 2.0.0 |
| Auditar las máquinas Windows en las que la configuración de DSC no sea compatible | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el comando de Windows PowerShell Get-DSCConfigurationStatus devuelve que la configuración de DSC de la máquina no es compatible. | auditIfNotExists | 3.0.0 |
| Auditar las máquinas Windows en las que el agente de Log Analytics no esté conectado como se esperaba | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el agente no está instalado o si está instalado, pero el objeto COM AgentConfigManager.MgmtSvcCfg devuelve que está registrado en un área de trabajo distinta del identificador especificado en el parámetro de la directiva. | auditIfNotExists | 2.0.0 |
| Auditar las máquinas Windows en que los servicios especificados no estén instalados y en ejecución | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el resultado del comando de Windows PowerShell Get-Service no incluye el nombre del servicio con el estado de coincidencia tal y como se especifica en el parámetro de la directiva. | auditIfNotExists | 3.0.0 |
| Auditar las máquinas Windows donde no esté habilitado Serial Console de Windows | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no tiene instalado el software de la consola serie o si el número de puerto de EMS o la velocidad en baudios no están configurados con los mismos valores que los parámetros de la directiva. | auditIfNotExists | 3.0.0 |
| Auditar las máquinas de Windows que permiten volver a usar las contraseñas después del número especificado de contraseñas únicas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows permiten volver a usar las contraseñas después del número especificado de contraseñas únicas. El valor predeterminado para contraseñas únicas es 24 | AuditIfNotExists, Disabled | 2.1.0 |
| Auditar las máquinas Windows que no estén unidas al dominio especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el valor de la propiedad de dominio en la clase WMI win32_computersystem no coincide con el valor del parámetro de directiva. | auditIfNotExists | 2.0.0 |
| Auditar las máquinas Windows que no estén establecidas en la zona horaria especificada | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el valor de la propiedad StandardName en la clase WMI Win32_TimeZone no coincide con la zona horaria seleccionada para el parámetro de directiva. | auditIfNotExists | 3.0.0 |
| Auditar las máquinas Windows que contengan certificados que expirarán en el plazo de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los certificados del almacén especificado tienen una fecha de expiración fuera del intervalo durante el número de días dado como parámetro. La directiva también proporciona la opción de comprobar únicamente los certificados específicos o de excluir determinados certificados y de si se debe informar de los certificados expirados. | auditIfNotExists | 2.0.0 |
| Auditar las máquinas Windows que no contengan los certificados especificados en la raíz de confianza | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el almacén de certificados raíz de confianza de la máquina (Cert:\LocalMachine\Root) no contiene uno o varios de los certificados enumerados por el parámetro de directiva. | auditIfNotExists | 3.0.0 |
| Auditar las máquinas de Windows que no tengan la antigüedad máxima de la contraseña establecida en el número de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no tienen la antigüedad máxima de contraseña establecida con el número de días especificado. El valor predeterminado para la antigüedad máxima de la contraseña es de 70 días | AuditIfNotExists, Disabled | 2.1.0 |
| Auditar las máquinas de Windows que no tengan la antigüedad mínima de la contraseña establecida en el número de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no tienen la antigüedad mínima de contraseña establecida con el número de días especificado. El valor predeterminado para la antigüedad mínima de la contraseña es de 1 día | AuditIfNotExists, Disabled | 2.1.0 |
| Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no tienen habilitada la configuración de complejidad de la contraseña. | AuditIfNotExists, Disabled | 2.0.0 |
| Realizar una auditoría de las máquinas Windows que no tengan instalada la directiva de ejecución específica de Windows PowerShell | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el comando Get-ExecutionPolicy de Windows PowerShell devuelve un valor distinto al seleccionado en el parámetro de directiva. | AuditIfNotExists, Disabled | 3.0.0 |
| Realizar una auditoría de las máquinas Windows que no tengan instalados los módulos específicos de Windows PowerShell | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si un módulo no está disponible en la ubicación especificada por la variable de entorno PSModulePath. | AuditIfNotExists, Disabled | 3.0.0 |
| Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a un número específico de caracteres | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no restringen la longitud mínima de caracteres de la contraseña. El valor predeterminado para la longitud mínima de la contraseña es de 14 caracteres | AuditIfNotExists, Disabled | 2.1.0 |
| Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no almacenan las contraseñas con cifrado reversible. | AuditIfNotExists, Disabled | 2.0.0 |
| Auditar las máquinas Windows que no tienen instaladas las aplicaciones especificadas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el nombre de la aplicación no se encuentra en ninguna de las siguientes rutas de acceso del registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditar las máquinas Windows que tengan cuentas adicionales en el grupo de administradores | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene miembros que no se enumeran en el parámetro de la directiva. | auditIfNotExists | 2.0.0 |
| Auditar las máquinas Windows que no se reiniciaron en el plazo de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la propiedad de WMI LastBootUpTime en la clase Win32_Operatingsystem está fuera del intervalo de días proporcionado por el parámetro de la directiva. | auditIfNotExists | 2.0.0 |
| Auditar las máquinas Windows que tienen instaladas las aplicaciones especificadas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el nombre de la aplicación se encuentra en cualquiera de las siguientes rutas de acceso del registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene uno o varios de los miembros enumerados en el parámetro de la directiva. | auditIfNotExists | 2.0.0 |
| Auditar las VM Windows con un reinicio pendiente | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina está pendiente de reinicio por alguno de los siguientes motivos: servicio basado en componentes, Windows Update, cambio de nombre de archivo pendiente, cambio de nombre de máquina pendiente o reinicio de Configuration Manager pendiente. Cada detección tiene una ruta de acceso del registro única. | auditIfNotExists | 2.0.0 |
| La autenticación en máquinas Linux debe requerir claves SSH. | Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Azure Backup debe estar habilitado para Virtual Machines. | Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Las instancias de rol de Cloud Services (soporte extendido) deben configurarse de forma segura | Proteja las instancias de rol de Cloud Service (soporte extendido) de los ataques asegurándose de que no se expongan a ninguna vulnerabilidad del sistema operativo. | AuditIfNotExists, Disabled | 1.0.0 |
| Las instancias de rol de Cloud Services (soporte extendido) deben tener instalada una solución de Endpoint Protection | Para proteger las instancias de rol de Cloud Services (soporte extendido) de amenazas y vulnerabilidades, asegúrese de que tiene instalada en ellas una solución de Endpoint Protection. | AuditIfNotExists, Disabled | 1.0.0 |
| Las instancias de rol de Cloud Services (soporte extendido) deben tener instaladas las actualizaciones del sistema | Proteja sus instancias de rol de Cloud Services (soporte extendido) asegurándose de que las actualizaciones críticas y de seguridad más recientes estén instaladas en ellas. | AuditIfNotExists, Disabled | 1.0.0 |
| Configuración de Azure Defender para servidores para que se deshabilite para todos los recursos (nivel de recurso) | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. Esta directiva deshabilitará el plan de Defender para servidores para todos los recursos (máquinas virtuales, VMSS y máquinas ARC) en el ámbito seleccionado (suscripción o grupo de recursos). | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de Azure Defender para servidores para que se deshabilite para los recursos (nivel de recurso) con la etiqueta seleccionada | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. Esta directiva deshabilitará el plan de Defender para servidores para todos los recursos (máquinas virtuales, VMSS y máquinas ARC) que tengan el nombre de etiqueta y los valores de etiqueta seleccionados. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de Azure Defender para servidores para habilitar (subplan "P1") para todos los recursos (nivel de recurso) con la etiqueta seleccionada | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. Esta directiva habilitará el plan de Defender para servidores (con el subplan "P1") para todos los recursos (máquinas virtuales y máquinas ARC) que tengan el nombre de etiqueta y los valores de etiqueta seleccionados. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de Azure Defender para servidores para habilitar (con el subplan "P1") para todos los recursos (nivel de recurso) | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. Esta directiva habilitará el plan de Defender para servidores (con el subplan "P1") para todos los recursos (máquinas virtuales y máquinas ARC) en el ámbito seleccionado (suscripción o grupo de recursos). | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar la copia de seguridad en las máquinas virtuales con una etiqueta específica en un nuevo almacén de Recovery Services con una directiva predeterminada | Aplique la copia de seguridad de todas las máquinas virtuales mediante la implementación de un almacén de Recovery Services en la misma ubicación y grupo de recursos que la máquina virtual. Esto resulta útil cuando se asignan grupos de recursos independientes a distintos equipos de aplicación de la organización y es necesario administrar sus propias copias de seguridad y restauraciones. Opcionalmente, puede incluir máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.3.0 |
| Configurar la copia de seguridad en las máquinas virtuales con una etiqueta específica en un almacén de Recovery Services existente en la misma ubicación | Aplique la copia de seguridad de todas las máquinas virtuales; para ello, realice una copia de seguridad en un almacén de Recovery Services central que se encuentre en la misma ubicación y suscripción que la máquina virtual. Esto resulta útil cuando hay un equipo central en la organización que administra las copias de seguridad de todos los recursos de una suscripción. Opcionalmente, puede incluir máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.3.0 |
| Configurar la copia de seguridad en las máquinas virtuales sin una etiqueta específica en un nuevo almacén de Recovery Services con una directiva predeterminada | Aplique la copia de seguridad de todas las máquinas virtuales mediante la implementación de un almacén de Recovery Services en la misma ubicación y grupo de recursos que la máquina virtual. Esto resulta útil cuando se asignan grupos de recursos independientes a distintos equipos de aplicación de la organización y es necesario administrar sus propias copias de seguridad y restauraciones. Opcionalmente, puede excluir las máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.3.0 |
| Configurar la copia de seguridad en las máquinas virtuales sin una etiqueta específica en un almacén de Recovery Services existente en la misma ubicación | Aplique la copia de seguridad de todas las máquinas virtuales; para ello, realice una copia de seguridad en un almacén de Recovery Services central que se encuentre en la misma ubicación y suscripción que la máquina virtual. Esto resulta útil cuando hay un equipo central en la organización que administra las copias de seguridad de todos los recursos de una suscripción. Opcionalmente, puede excluir las máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.3.0 |
| Configuración de la recuperación ante desastres en máquinas virtuales habilitando la replicación mediante Azure Site Recovery | Las máquinas virtuales sin configuraciones de recuperación ante desastres pueden verse afectadas por interrupciones. Si la máquina virtual aún no tiene configurada la recuperación ante desastres, esta se iniciará al habilitar la replicación mediante configuraciones predeterminadas para facilitar la continuidad empresarial. Opcionalmente, puede incluir o excluir máquinas virtuales que contengan una etiqueta especificada para controlar el ámbito de la asignación. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. | DeployIfNotExists, Disabled | 2.1.0 |
| Configurar recursos de acceso al disco con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignación puntos de conexión privados a los recursos de acceso al disco, podrá reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de máquinas Linux para asociarlas a una regla de recopilación de datos o a un punto de conexión de recopilación de datos | Implemente la asociación para vincular máquinas virtuales Linux, conjuntos de escalado de máquinas virtuales y máquinas habilitadas para Arc a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 6.4.0 |
| Configuración de Linux Server para deshabilitar los usuarios locales. | Crea una asignación de configuración de invitado para configurar la deshabilitación de los usuarios locales en un servidor Linux. Esto garantiza que solo la cuenta de AAD (Azure Active Directory) o una lista de usuarios con permiso explícito de esta directiva puedan acceder a los servidores Linux, lo que mejora la posición de seguridad general. | DeployIfNotExists, Disabled | 1.3.0-preview |
| Configurar Virtual Machine Scale Sets de Linux para asociarlo a una regla de recopilación de datos o a un punto de conexión de recopilación de datos | Implemente la asociación para vincular conjuntos de escalado de máquinas virtuales Linux a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 4.3.0 |
| Configuración de conjuntos de escalado de máquinas virtuales Linux para ejecutar el agente de Azure Monitor con autenticación basada en identidades administradas asignada por el sistema | Automatice la implementación del agente de Azure Monitor en los conjuntos de escalado de sus máquinas virtuales Linux para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.5.0 |
| Configuración de conjuntos de escalado de máquinas virtuales Linux para ejecutar el agente de Azure Monitor con autenticación basada en identidades administradas asignada por el usuario | Automatice la implementación del agente de Azure Monitor en los conjuntos de escalado de sus máquinas virtuales Linux para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.7.0 |
| Configurar Linux Virtual Machines para asociarse a una regla de recopilación de datos o a un punto de conexión de recopilación de datos | Implemente la asociación para vincular máquinas virtuales Linux a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 4.3.0 |
| Configuración de máquinas virtuales Linux para ejecutar el agente de Azure Monitor con autenticación basada en identidad administrada asignada por el sistema | Automatice la implementación del agente de Azure Monitor en las máquinas virtuales Linux para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.5.0 |
| Configuración de máquinas virtuales Linux para ejecutar el agente de Azure Monitor con autenticación basada en identidades administradas asignada por el usuario | Automatice la implementación del agente de Azure Monitor en las máquinas virtuales Linux para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.7.0 |
| Configuración de las máquinas para recibir un proveedor de valoración de vulnerabilidades | Azure Defender incluye el examen de vulnerabilidades de las máquinas sin costo adicional. No se necesita ninguna licencia ni cuenta de Qualys, ya que todo se administra sin problemas en Security Center. Al habilitar esta directiva, Azure Defender implementa automáticamente el proveedor de valoración de vulnerabilidades Qualys en todas las máquinas compatibles que todavía no lo tengan instalado. | DeployIfNotExists, Disabled | 4.0.0 |
| Configurar discos administrados para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para el recurso de disco administrado para que no sea accesible a través de Internet de acceso público. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/disksprivatelinksdoc. | Modificar, Deshabilitado | 2.0.0 |
| Configuración de la comprobación periódica de las actualizaciones del sistema que faltan en máquinas virtuales de Azure | Configure la evaluación automática (cada 24 horas) para las actualizaciones del sistema operativo en máquinas virtuales nativas de Azure. Puede controlar el ámbito de asignación según la suscripción, el grupo de recursos, la ubicación o la etiqueta de la máquina. Más información al respecto en Windows:https://aka.ms/computevm-windowspatchassessmentmode, en Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 4.8.0 |
| Configuración de protocolos de comunicación segura (TLS 1.1 o TLS 1.2) en máquinas Windows | Crea una asignación de configuración de invitado para configurar la versión de protocolo seguro especificada (TLS 1.1 o TLS 1.2) en una máquina Windows. | DeployIfNotExists, Disabled | 1.0.1 |
| Configuración de máquinas virtuales de SQL para instalar automáticamente el agente de Azure Monitor | Automatice la implementación de la extensión Agente de Azure Monitor en las máquinas virtuales de SQL en Windows. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0 |
| Configuración de máquinas virtuales de SQL para instalar automáticamente Microsoft Defender para SQL | Configure máquinas virtuales de SQL en Windows para instalar automáticamente la extensión Microsoft Defender para SQL. Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). | DeployIfNotExists, Disabled | 1.4.0 |
| Configuración de máquinas virtuales de SQL para instalar automáticamente Microsoft Defender para SQL y DCR con un área de trabajo de Log Analytics | Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos, una regla de recopilación de datos y un área de trabajo de Log Analytics en la misma región que la máquina. | DeployIfNotExists, Disabled | 1.6.0 |
| Configuración de máquinas virtuales de SQL para instalar automáticamente Microsoft Defender para SQL y DCR con un área de trabajo de LA definida por el usuario | Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos y una regla de recopilación de datos en la misma región que el área de trabajo de Log Analytics definida por el usuario. | DeployIfNotExists, Disabled | 1.7.0 |
| Configuración del área de trabajo de Log Analytics de Microsoft Defender para SQL | Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos y un área de trabajo de Log Analytics en la misma región que la máquina. | DeployIfNotExists, Disabled | 1.3.0 |
| Configure la zona horaria en las máquinas de Windows. | Esta directiva crea una asignación de configuración de invitado para establecer la zona horaria especificada en Windows Virtual Machines. | deployIfNotExists | 2.1.0 |
| Configurar las máquinas virtuales para incorporarlas a Azure Automanage | Azure Automanage inscribe, configura y supervisa las máquinas virtuales con los procedimientos recomendados, tal como se definen en Microsoft Cloud Adoption Framework para Azure. Use esta directiva para aplicar Administración automática al ámbito seleccionado. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.4.0 |
| Configuración de las máquinas virtuales que se incorporarán a Azure Automanage con el perfil de configuración personalizado | Azure Automanage inscribe, configura y supervisa las máquinas virtuales con los procedimientos recomendados, tal como se definen en Microsoft Cloud Adoption Framework para Azure. Use esta directiva para aplicar Automanage con su propio perfil de configuración personalizado al ámbito seleccionado. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Configuración de máquinas Windows para asociarlas a una regla de recopilación de datos o a un punto de conexión de recopilación de datos | Implemente la asociación para vincular máquinas virtuales Windows, conjuntos de escalado de máquinas virtuales y máquinas habilitadas para Arc a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 4.5.0 |
| Configurar Virtual Machine Scale Sets de Windows para asociarlo a una regla de recopilación de datos o a un punto de conexión de recopilación de datos | Implemente la asociación para vincular conjuntos de escalado de máquinas virtuales Windows a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 3.3.0 |
| Configuración de los conjuntos de escalado de máquinas virtuales de Windows para ejecutar el agente de Azure Monitor mediante una identidad administrada asignada por el sistema | Automatice la implementación del agente de Azure Monitor en los conjuntos de escalado de máquinas virtuales Windows para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.4.0 |
| Configuración de los conjuntos de escalado de máquinas virtuales de Windows para ejecutar el agente de Azure Monitor con autenticación basada en identidades administradas asignadas por el usuario | Automatice la implementación del agente de Azure Monitor en los conjuntos de escalado de máquinas virtuales Windows para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.5.0 |
| Configurar Windows Virtual Machines para asociarse a una regla de recopilación de datos o a un punto de conexión de recopilación de datos | Implemente la asociación para vincular máquinas virtuales Windows a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 3.3.0 |
| Configuración de Windows Virtual Machines para ejecutar el agente de Azure Monitor mediante una identidad administrada asignada por el sistema | Automatice la implementación del agente de Azure Monitor en las máquinas virtuales Windows para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 4.4.0 |
| Configuración de Windows Virtual Machines para ejecutar el agente de Azure Monitor con autenticación basada en identidades administradas asignadas por el usuario | Automatice la implementación del agente de Azure Monitor en las máquinas virtuales Windows para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.5.0 |
| Creación y asignación de una identidad administrada integrada asignada por el usuario | Crear y asignar una identidad administrada integrada asignada por el usuario a máquinas virtuales de SQL a escala. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.6.0 |
| Auditar la implementación de Dependency Agent: imagen de VM (SO) no mostrada | Informa que las máquinas virtuales no son compatibles si la imagen de la máquina virtual no está en la lista definida y el agente no está instalado. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. | AuditIfNotExists, Disabled | 2.0.0 |
| Auditar la implementación de Dependency Agent en los conjuntos de escalado de máquinas virtuales: imagen de VM (SO) no mostrada | Notifica que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de VM (SO) no está en la lista definida y el agente no está instalado. La lista de imágenes de SO se actualizará con el tiempo a medida que se actualice la compatibilidad. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. | AuditIfNotExists, Disabled | 2.0.0 |
| Implementación: configurar Dependency Agent para habilitarlo en los conjuntos de escalado de máquinas virtuales Windows | Permite implementar Dependency Agent en conjuntos de escalado de máquinas virtuales Windows si la imagen de la máquina virtual está en la lista definida y el agente no está instalado. Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante su actualización. | DeployIfNotExists, Disabled | 3.1.0 |
| Implementación: configurar Dependency Agent para habilitarlo en máquinas virtuales Windows | Permite implementar Dependency Agent en máquinas virtuales Windows si la imagen de la máquina virtual está en la lista definida y el agente no está instalado. | DeployIfNotExists, Disabled | 3.1.0 |
| Implementación: configuración de la extensión de Log Analytics para habilitarla en los conjuntos de escalado de máquinas virtuales Windows | Implemente la extensión de Log Analytics en conjuntos de escalado de máquinas virtuales Windows si la imagen de la máquina virtual está en la lista definida y la extensión no está instalada. Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante su actualización. Aviso de desuso: los agentes de Log Analytics están en ruta de desuso y dejarán de tener soporte técnico el 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha. | DeployIfNotExists, Disabled | 3.1.0 |
| Implementación: configuración de la extensión de Log Analytics para habilitarla en máquinas virtuales Windows | Implemente la extensión de Log Analytics en máquinas virtuales Windows si la imagen de la máquina virtual está en la lista definida y la extensión no está instalada. Aviso de desuso: los agentes de Log Analytics están en ruta de desuso y dejarán de tener soporte técnico el 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha. | DeployIfNotExists, Disabled | 3.1.0 |
| Implementar la extensión IaaSAntimalware predeterminada de Microsoft para Windows Server | Esta directiva implementa una extensión de Microsoft IaaSAntimalware con una configuración predeterminada cuando una VM no está configurada con la extensión de antimalware. | deployIfNotExists | 1.1.0 |
| Implementación de Dependency Agent para conjuntos de escalado de máquinas virtuales Linux | Implemente Dependency Agent para conjuntos de escalado de máquinas virtuales Linux si la imagen (SO) de la máquina virtual está en la lista definida y el agente no está instalado. Nota: Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante una llamada a la actualización. En la CLI, se usaría az vmss update-instances. | deployIfNotExists | 5.0.0 |
| Implementación de Dependency Agent para conjuntos de escalado de máquinas virtuales Linux con la configuración del agente de Azure Monitor | Permite implementar Dependency Agent para conjuntos de escalado de máquinas virtuales de Linux con la configuración del agente de Azure Monitor si la imagen de la máquina virtual (SO) está en la lista definida y el agente no está instalado. Nota: Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante una llamada a la actualización. En la CLI, se usaría az vmss update-instances. | DeployIfNotExists, Disabled | 3.1.1 |
| Implementación de Dependency Agent para máquinas virtuales Linux | Permite implementar Dependency Agent para las máquinas virtuales Linux si la imagen de VM (SO) está en la lista definida y el agente no está instalado. | deployIfNotExists | 5.0.0 |
| Implementación de Dependency Agent para máquinas virtuales de Linux con la configuración del agente de Azure Monitor | Permite implementar Dependency Agent para máquinas virtuales de Linux con la configuración del agente de Azure Monitor si la imagen de la máquina virtual (SO) está en la lista definida y el agente no está instalado. | DeployIfNotExists, Disabled | 3.1.1 |
| Implementación de Dependency Agent para habilitarlo en los conjuntos de escalado de máquinas virtuales Windows con la configuración del agente de Azure Monitor | Permite implementar Dependency Agent en máquinas virtuales de Windows con la configuración del agente de Azure Monitor si la imagen de la máquina virtual está en la lista definida y el agente no está instalado. Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante su actualización. | DeployIfNotExists, Disabled | 1.2.2 |
| Implementación de Dependency Agent para habilitarlo en las máquinas virtuales Windows con la configuración del agente de Azure Monitor | Permite implementar Dependency Agent en máquinas virtuales de Windows con la configuración del agente de Azure Monitor si la imagen de la máquina virtual está en la lista definida y el agente no está instalado. | DeployIfNotExists, Disabled | 1.2.2 |
| Implementación de la extensión de Log Analytics para conjuntos de escalado de máquinas virtuales Linux. Consulte el aviso de desuso a continuación | Implemente la extensión de Log Analytics en conjuntos de escalado de máquinas virtuales Linux si la imagen (SO) de la máquina virtual está en la lista definida y la extensión no está instalada. Nota: Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante una llamada a la actualización. En la CLI, se usaría az vmss update-instances. Aviso de desuso: El agente de Log Analytics no se admitirá a partir del 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha | deployIfNotExists | 3.0.0 |
| Implementación de la extensión de Log Analytics para máquinas virtuales Linux. Consulte el aviso de desuso a continuación | Implemente la extensión de Log Analytics en máquinas virtuales Linux si la imagen (SO) de la máquina virtual está en la lista definida y la extensión no está instalada. Aviso de desuso: los agentes de Log Analytics están en ruta de desuso y dejarán de tener soporte técnico el 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha | deployIfNotExists | 3.0.0 |
| Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Los recursos de acceso al disco deben usar un vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a diskAccesses, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Los discos y la imágenes del sistema operativo deben admitir TrustedLaunch | TrustedLaunch mejora la seguridad de una máquina virtual que requiere un disco del sistema operativo y una imagen del sistema operativo para admitirla (Gen 2). Para obtener más información sobre TrustedLaunch, visita https://aka.ms/trustedlaunch. | Audit, Disabled | 1.0.0 |
| Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas | Resuelva los problemas del estado de la protección de los puntos de conexión en las máquinas virtuales para protegerlas frente a amenazas y vulnerabilidades más recientes. Las soluciones de protección de puntos de conexión que admite Azure Security Center se documentan aquí: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valoración de la protección del punto de conexión se documenta aquí: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| La protección de los puntos de conexión debe instalarse en las máquinas | Para proteger las máquinas frente a amenazas y vulnerabilidades, instale una solución Endpoint Protection compatible. | AuditIfNotExists, Disabled | 1.0.0 |
| La solución de protección del punto de conexión debe instalarse en las máquinas virtuales | Audite la existencia y el estado de una solución de protección de puntos de conexión en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. | AuditIfNotExists, Disabled | 3.0.0 |
| La extensión "Configuración de invitado" debe estar instalada en las máquinas | Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas de invitado estarán disponibles como "La protección contra vulnerabilidades de Windows debe estar habilitada.". Obtenga más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| La revisión en caliente debe estar habilitada para las máquinas virtuales de Windows Server Azure Edition | Minimice los reinicios e instale las actualizaciones rápidamente con la ayuda de la revisión en caliente. Más información en https://docs.microsoft.com/azure/automanage/automanage-hotpatch. | Audit, Deny, Disabled | 1.0.0 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Linux deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. | AuditIfNotExists, Disabled | 2.2.0 |
| Las máquinas Linux solo deben tener cuentas locales permitidas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Administrar cuentas de usuario mediante Azure Active Directory es un procedimiento recomendado para la administración de identidades. Reducir las cuentas de máquinas locales ayuda a evitar la proliferación de identidades administradas fuera de un sistema central. Las máquinas no son compatibles si existen cuentas de usuario locales que están habilitadas y no aparecen en el parámetro de directiva. | AuditIfNotExists, Disabled | 2.2.0 |
| Los conjuntos de escalado de máquinas virtuales Linux deben tener el agente de Azure Monitor instalado | Los conjuntos de escalado de máquinas virtuales Linux deben supervisarse y protegerse mediante el agente de Azure Monitor implementado. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. Esta directiva auditará los conjuntos de escalado de máquinas virtuales con imágenes de sistema operativo admitidas en las regiones admitidas. Más información: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Las máquinas virtuales de Linux deben habilitar Azure Disk Encryption o EncryptionAtHost. | Aunque el sistema operativo y los discos de datos de una máquina virtual están cifrados en reposo de forma predeterminada mediante claves administradas por la plataforma, los discos de recursos (discos temporales), las memorias caché de datos y los datos que fluyen entre los recursos de proceso y almacenamiento no se cifran. Use Azure Disk Encryption o EncryptionAtHost para ponerle remedio. Visite https://aka.ms/diskencryptioncomparison para comparar las ofertas de cifrado. Esta directiva requiere que se implementen dos requisitos previos en el ámbito de asignación de directiva. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.1 |
| Las máquinas virtuales Linux deben tener el agente de Azure Monitor instalado | Las máquinas virtuales Linux deben supervisarse y protegerse mediante el agente de Azure Monitor implementado. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. Esta directiva auditará las máquinas virtuales con imágenes de sistema operativo admitidas en las regiones admitidas. Más información: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Los métodos de autenticación local deben deshabilitarse en máquinas Linux | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los servidores Linux no tienen deshabilitados los métodos de autenticación local. Esto es para validar que solo la cuenta de AAD (Azure Active Directory) o una lista de usuarios con permiso explícito de esta directiva puedan acceder a los servidores Linux, lo que mejora la posición de seguridad general. | AuditIfNotExists, Disabled | 1.2.0-preview |
| Los métodos de autenticación local deben deshabilitarse en servidores Windows Server | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los servidores Windows no tienen deshabilitados los métodos de autenticación local. Esto es para validar que solo la cuenta de AAD (Azure Active Directory) o una lista de usuarios con permiso explícito de esta directiva puedan acceder a las instancias de Windows Server, lo que mejora la posición de seguridad general. | AuditIfNotExists, Disabled | 1.0.0-preview |
| El agente de Log Analytics debe instalarse en las instancias de rol de Cloud Services (soporte extendido) | Security Center recopila datos de las instancias de rol de Cloud Services (soporte extendido) para supervisar las vulnerabilidades y amenazas de seguridad. | AuditIfNotExists, Disabled | 2.0.0 |
| El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center. | Esta directiva audita cualquier máquina virtual Windows o Linux si el agente de Log Analytics no está instalado y Security Center la utiliza para supervisar las amenazas y vulnerabilidades de seguridad | AuditIfNotExists, Disabled | 1.0.0 |
| El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. | Security Center recopila datos de las máquinas virtuales de Azure para supervisar las amenazas y vulnerabilidades de la seguridad. | AuditIfNotExists, Disabled | 1.0.0 |
| La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas | Notifica que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1 |
| Las máquinas deben configurarse para que se compruebe periódicamente si faltan actualizaciones del sistema | Para asegurarse de que las evaluaciones periódicas de las actualizaciones del sistema que faltan se desencadenan automáticamente cada 24 horas, la propiedad AssessmentMode debe establecerse en "AutomaticByPlatform". Más información sobre la propiedad AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Deny, Disabled | 3.7.0 |
| Las máquinas deberían tener conclusiones de secretos resueltas | Audita las máquinas virtuales para detectar si contienen resultados de secretos de las soluciones de análisis de secretos en las máquinas virtuales. | AuditIfNotExists, Disabled | 1.0.2 |
| Los discos administrados deben tener un cifrado doble con las claves administradas por el cliente y la plataforma | Los clientes con datos confidenciales de alto nivel de seguridad que están preocupados por el riesgo asociado a cualquier algoritmo de cifrado, implementación o clave en peligro concretos pueden optar por una capa adicional de cifrado con un algoritmo o modo de cifrado diferente en el nivel de infraestructura mediante claves de cifrado administradas por la plataforma. Los conjuntos de cifrado de disco son necesarios para usar el cifrado doble. Obtenga más información en https://aka.ms/disks-doubleEncryption. | Audit, Deny, Disabled | 1.0.0 |
| Los discos administrados deben deshabilitar el acceso a la red pública | Deshabilitar el acceso a la red pública mejora la seguridad al garantizar que un disco administrado no esté expuesto en Internet de acceso público. La creación de puntos de conexión privados permite limitar el nivel de exposición de los discos administrados. Más información en: https://aka.ms/disksprivatelinksdoc. | Audit, Disabled | 2.0.0 |
| Los discos administrados deben usar un conjunto específico de conjuntos de cifrado de disco para el cifrado de claves administradas por el cliente | Requerir un conjunto específico de los conjuntos de cifrado de disco para usarlo con Managed Disks le ofrece control sobre las claves usadas para el cifrado en reposo. Puede seleccionar los conjuntos cifrados permitidos y todos los demás se rechazan cuando se conectan a un disco. Obtenga más información en https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 2.0.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben cerrar los puertos de administración en las máquinas virtuales | Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. | Esta directiva audita cualquier máquina virtual de Windows que no esté configurada con la actualización automática de firmas de protección de Microsoft Antimalware. | AuditIfNotExists, Disabled | 1.0.0 |
| La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. | Esta directiva audita cualquier VM de Windows Server sin la extensión IaaSAntimalware de Microsoft implementada. | AuditIfNotExists, Disabled | 1.1.0 |
| Supervisar la falta de Endpoint Protection en Azure Security Center | Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Solo deben instalarse las extensiones de máquina virtual aprobadas | Esta directiva rige las extensiones de máquina virtual que no están aprobadas. | Audit, Deny, Disabled | 1.0.0 |
| El SO y los discos de datos deben cifrarse con una clave administrada por el cliente | Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de Managed Disks. De manera predeterminada, los datos se cifran en reposo con claves administradas por la plataforma, pero las claves administradas por el cliente suelen ser necesarias para cumplir los estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 3.0.0 |
| Los puntos de conexión privados para las asignaciones de configuración de invitado deben habilitarse. | Las conexiones de punto de conexión privado aplican una comunicación segura, ya que habilitan la conectividad privada con la configuración de invitado para las máquinas virtuales. Las máquinas virtuales serán no compatibles a menos que tengan la etiqueta "EnablePrivateNetworkGC". Esta etiqueta exige una comunicación segura mediante conectividad privada con la configuración de invitado para Virtual Machines. La conectividad privada limita el acceso al tráfico procedente solo de redes conocidas e impide el acceso del resto de direcciones IP, incluidas las de Azure. | Audit, Deny, Disabled | 1.1.0 |
| Proteja los datos con requisitos de autenticación al exportar o cargar en un disco o instantánea. | Cuando se usa la dirección URL de exportación o carga, el sistema comprueba si el usuario tiene una identidad en Azure Active Directory y posee los permisos necesarios para exportar o cargar los datos. Consulte aka.ms/DisksAzureADAuth. | Modificar, Deshabilitado | 1.0.0 |
| Exigir la aplicación automática de revisiones de imágenes del sistema operativo en Virtual Machine Scale Sets | Esta directiva requiere que se habilite la aplicación automática de revisiones de imagen de sistema operativo en Virtual Machine Scale Sets para que se apliquen mensualmente las revisiones de seguridad más recientes con el fin de que las máquinas virtuales estén siempre protegidas. | deny | 1.0.0 |
| Programación de actualizaciones periódicas mediante el Administrador de actualizaciones de Azure | Puede usar el Administrador de actualizaciones de Azure en Azure para guardar programaciones de implementación periódicas para instalar actualizaciones del sistema operativo en las máquinas Windows Server y Linux en Azure, en entornos locales y en otros entornos de nube conectados mediante servidores habilitados para Azure Arc. Esta directiva también cambiará el modo de revisión de la máquina virtual de Azure a «AutomaticByPlatform». Más información: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.12.0 |
| Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. | La evaluación de vulnerabilidades de SQL examina la base de datos en busca de vulnerabilidades de seguridad y expone las posibles desviaciones de los procedimientos recomendados, como errores de configuración, permisos excesivos y datos confidenciales sin protección. La corrección de las vulnerabilidades detectadas puede mejorar considerablemente la posición de seguridad de la base de datos. | AuditIfNotExists, Disabled | 1.0.0 |
| Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales | Audite si falta alguna actualización de seguridad del sistema o actualización crítica que deba instalarse para garantizar que los conjuntos de escalado de máquinas virtuales Windows y Linux sean seguros. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben instalar actualizaciones del sistema en las máquinas | Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. | AuditIfNotExists, Disabled | 4.0.0 |
| La extensión de Log Analytics heredada no debe instalarse en conjuntos de escalado de máquinas virtuales de Linux | Evite la instalación automática del agente de Log Analytics heredado como último paso para migrar de agentes heredados al agente de Azure Monitor. Después de desinstalar las extensiones heredadas existentes, esta directiva denegará todas las instalaciones futuras de la extensión del agente heredado en conjuntos de escalado de máquinas virtuales Linux. Más información: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| La extensión heredada de Log Analytics no debe instalarse en máquinas virtuales Linux | Evite la instalación automática del agente de Log Analytics heredado como último paso para migrar de agentes heredados al agente de Azure Monitor. Después de desinstalar las extensiones heredadas existentes, esta directiva denegará todas las instalaciones futuras de la extensión del agente heredado en máquinas virtuales Linux. Más información: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| La extensión heredada de Log Analytics no debe instalarse en conjuntos de escalado de máquinas virtuales | Evite la instalación automática del agente de Log Analytics heredado como último paso para migrar de agentes heredados al agente de Azure Monitor. Después de desinstalar las extensiones heredadas existentes, esta directiva denegará todas las instalaciones futuras de la extensión del agente heredado en conjuntos de escalado de máquinas virtuales Windows. Más información: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| La extensión heredada de Log Analytics no debe instalarse en máquinas virtuales | Evite la instalación automática del agente de Log Analytics heredado como último paso para migrar de agentes heredados al agente de Azure Monitor. Después de desinstalar las extensiones heredadas existentes, esta directiva denegará todas las instalaciones futuras de la extensión del agente heredado en máquinas virtuales Windows. Más información: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets | Esta directiva audita todo conjunto de escalado de máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1 |
| Máquina virtual debe tener habilitado TrustedLaunch | Habilita TrustedLaunch en la máquina virtual para mejorar la seguridad, usa la SKU de máquina virtual (Gen 2) que admita TrustedLaunch. Para obtener más información sobre TrustedLaunch, visita https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch. | Audit, Disabled | 1.0.0 |
| Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host | Use el cifrado en el host para obtener el cifrado de un extremo a otro para la máquina virtual y los datos del conjunto de escalado de máquinas virtuales. El cifrado en el host permite el cifrado en reposo para las memorias caché de disco temporal y de sistema operativo y de datos. Los discos temporales y los discos de SO efímeros se cifran con claves administradas por la plataforma cuando se habilita el cifrado en el host. Las memorias caché del disco de datos y de sistema operativo se cifran en reposo con claves administradas por el cliente o por la plataforma, según el tipo de cifrado seleccionado en el disco. Obtenga más información en https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
| Las máquinas virtuales deben conectarse a un área de trabajo especificada. | Notifica que las máquinas virtuales no son compatibles si no se registran en el área de trabajo de Log Analytics especificada en la asignación de la directiva o iniciativa. | AuditIfNotExists, Disabled | 1.1.0 |
| Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager | Use el nuevo Azure Resource Manager para las máquinas virtuales a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a identidades administradas, acceso a secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. | Audit, Deny, Disabled | 1.0.0 |
| Las máquinas virtuales deben tener la extensión de Log Analytics instalada | Esta directiva audita todas las máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1 |
| La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema | La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
| Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse | Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Azure Security Center. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales | Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. | AuditIfNotExists, Disabled | 3.0.0 |
| La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows). | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. | AuditIfNotExists, Disabled | 4.1.1 |
| Las máquinas Windows deben configurar Windows Defender para que actualice las firmas de protección en un plazo de un día | Para proporcionar una protección adecuada frente al malware recién publicado, las firmas de protección de Windows Defender deben actualizarse periódicamente para que abarquen el malware recién publicado. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| Las máquinas Windows deben habilitar la protección en tiempo real de Windows Defender | Las máquinas Windows deben habilitar la protección en tiempo real en Windows Defender para proporcionar una protección adecuada frente al malware recién publicado. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - Panel de control" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Panel de control" para la personalización de entrada y para evitar que se habiliten pantallas de bloqueo. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - MSS (heredado)" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - MSS (heredado)" para el inicio de sesión automático, el protector de pantalla, el comportamiento de la red, el archivo DLL seguro y el registro de eventos. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - Red" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Red" para los inicios de sesión de invitado, las conexiones simultáneas, el puente de red, ICS y la resolución de nombres de multidifusión. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - Sistema" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Sistema" para la configuración que determina la experiencia administrativa y la asistencia remota. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Cuentas" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Cuentas" para limitar el uso de contraseñas en blanco por parte de cuentas locales y el estado de la cuenta de invitado. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Auditoría" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Auditar" para aplicar la subcategoría de la directiva de auditoría y apagar si no es posible registrar las auditorías de seguridad. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Dispositivos" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Dispositivos" para desacoplar sin iniciar sesión, instalar controladores de impresión, así como formatear o expulsar medios. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Inicio de sesión interactivo" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Inicio de sesión interactivo" para mostrar el último nombre de usuario y solicitar el uso de Ctrl-Alt-Supr. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Cliente de redes de Microsoft" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Cliente de redes de Microsoft" para el cliente/servidor de red de Microsoft y SMB v1. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Servidor de red Microsoft" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Servidor de red Microsoft" para deshabilitar el servidor SMB v1. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Acceso a la red" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Acceso a la red" para incluir el acceso de usuarios anónimos, cuentas locales y acceso remoto al Registro. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de red" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Seguridad de la red" para incluir el comportamiento del sistema local, PKU2U, LAN Manager, el cliente LDAP y el portal de autoservicio (SSP) de NTLM. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Consola de recuperación" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Consola de recuperación" para permitir la copia de disquetes y el acceso a todas las unidades y carpetas. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Apagar" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Apagar" para permitir el apagado sin iniciar sesión y borrar el archivo de paginación de la memoria virtual. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos para "Opciones de seguridad - Objetos del sistema" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Objetos del sistema" sin distinción de mayúsculas y minúsculas para los subsistemas que no son de Windows y los permisos de objetos internos del sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Configuración del sistema" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Configuración del sistema" para las reglas de certificado en archivos ejecutables del SRP y los subsistemas opcionales. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Control de cuentas de usuario" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Control de cuentas de usuario" para el modo de administradores, el comportamiento de la petición de elevación y la virtualización de errores de escritura de archivos y del registro. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Configuración de seguridad - Directivas de cuenta" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Configuración de seguridad - Directivas de cuenta" para el historial de contraseñas, la antigüedad, la longitud, la complejidad y el almacenamiento de contraseñas mediante cifrado reversible. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Configuración de seguridad - Directivas de cuenta" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Configuración de seguridad - Directivas de cuenta" para auditar la validación de credenciales y otros eventos de inicio de sesión de cuenta. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Administración de cuentas" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Administración de cuentas" para auditar la aplicación, la seguridad y la administración de grupos de usuarios, así como otros eventos de administración. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Seguimiento detallado" para auditar la API de protección de datos, la creación o terminación de procesos, los eventos de RPC y la actividad PNP. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Iniciar sesión/Cerrar sesión" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Iniciar sesión/Cerrar sesión" para auditar IPSec, la directiva de red, las notificaciones, el bloqueo de cuentas, la pertenencia a grupos y los eventos de inicio o cierre de sesión. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Acceso a objetos" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Acceso a objetos" para auditar los sistemas de archivo, registro, SAM, almacenamiento, filtrado, kernel y de otro tipo. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Cambio en directivas" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Cambio en directivas" para auditar los cambios en las directivas de auditoría del sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Uso de privilegios" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Uso de privilegios" para auditar el uso no confidencial y de otros privilegios. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Sistema" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Sistema" para auditar el controlador IPsec, la integridad del sistema, la extensión del sistema, el cambio de estado y otros eventos del sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Asignación de derechos de usuario" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Asignación de derechos de usuario" para permitir el inicio de sesión local, el protocolo RDP, el acceso desde la red y muchas otras actividades de usuario. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Componentes de Windows" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Componentes de Windows" para la autenticación básica, el tráfico no cifrado, las cuentas de Microsoft, la telemetría, Cortana y otros comportamientos de Windows. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Propiedades de Firewall de Windows" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Propiedades de Firewall de Windows" para el estado del firewall, las conexiones, la administración de reglas y las notificaciones. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de línea base de seguridad de proceso de Azure. | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows solo deben tener cuentas locales permitidas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Esta definición no se admite en Windows Server 2012 o 2012 R2. Administrar cuentas de usuario mediante Azure Active Directory es un procedimiento recomendado para la administración de identidades. Reducir las cuentas de máquinas locales ayuda a evitar la proliferación de identidades administradas fuera de un sistema central. Las máquinas no son compatibles si existen cuentas de usuario locales que están habilitadas y no aparecen en el parámetro de directiva. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben establecer que Windows Defender realice un examen programado todos los días | Para garantizar la detección rápida de malware y minimizar su impacto en el sistema, se recomienda que las máquinas Windows con Windows Defender programen un examen diario. Asegúrese de que Windows Defender sea compatible, esté preinstalado en el dispositivo y se hayan implementado los requisitos previos de la configuración de invitado. El incumplimiento de estos requisitos podría dar lugar a resultados de evaluación inexactos. Obtenga más información sobre la configuración de invitado en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.0 |
| Las máquinas Windows deben usar el servidor NTP predeterminado | Configure "time.windows.com" como servidor NTP predeterminado para todas las máquinas Windows y asegurarse de que los registros de todos los sistemas tengan relojes del sistema sincronizados. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| Los conjuntos de escalado de máquinas virtuales Windows deben tener el agente de Azure Monitor instalado | Los conjuntos de escalado de máquinas virtuales Windows deben supervisarse y protegerse mediante el agente de Azure Monitor implementado. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. Los conjuntos de escalado de máquinas virtuales con el sistema operativo compatible y en las regiones admitidas se supervisan para la implementación del agente de Azure Monitor. Más información: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Las máquinas virtuales Windows deben habilitar Azure Disk Encryption o EncryptionAtHost. | Aunque el sistema operativo y los discos de datos de una máquina virtual están cifrados en reposo de forma predeterminada mediante claves administradas por la plataforma, los discos de recursos (discos temporales), las memorias caché de datos y los datos que fluyen entre los recursos de proceso y almacenamiento no se cifran. Use Azure Disk Encryption o EncryptionAtHost para ponerle remedio. Visite https://aka.ms/diskencryptioncomparison para comparar las ofertas de cifrado. Esta directiva requiere que se implementen dos requisitos previos en el ámbito de asignación de directiva. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.1.1 |
| Las máquinas virtuales Windows deben tener el agente de Azure Monitor instalado | Las máquinas virtuales Windows deben supervisarse y protegerse mediante el agente de Azure Monitor implementado. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. 00000000Las máquinas virtuales Windows con el sistema operativo compatible y en las regiones admitidas se supervisan para la implementación del agente de Azure Monitor. Más información: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
Microsoft.ClassicCompute
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Disabled | 3.0.0 |
| Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables | Supervise los cambios en el comportamiento de los grupos de máquinas configurados para la auditoría mediante controles de aplicaciones adaptables de Azure Security Center. Security Center usa el aprendizaje automático para analizar los procesos en ejecución en las máquinas y sugerir una lista de aplicaciones seguras conocidas. Estas se presentan como aplicaciones recomendadas que se deben permitir en directivas de control de aplicaciones adaptables. | AuditIfNotExists, Disabled | 3.0.0 |
| Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas | Resuelva los problemas del estado de la protección de los puntos de conexión en las máquinas virtuales para protegerlas frente a amenazas y vulnerabilidades más recientes. Las soluciones de protección de puntos de conexión que admite Azure Security Center se documentan aquí: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valoración de la protección del punto de conexión se documenta aquí: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| La protección de los puntos de conexión debe instalarse en las máquinas | Para proteger las máquinas frente a amenazas y vulnerabilidades, instale una solución Endpoint Protection compatible. | AuditIfNotExists, Disabled | 1.0.0 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Disabled | 3.0.0 |
| El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center. | Esta directiva audita cualquier máquina virtual Windows o Linux si el agente de Log Analytics no está instalado y Security Center la utiliza para supervisar las amenazas y vulnerabilidades de seguridad | AuditIfNotExists, Disabled | 1.0.0 |
| Las máquinas deberían tener conclusiones de secretos resueltas | Audita las máquinas virtuales para detectar si contienen resultados de secretos de las soluciones de análisis de secretos en las máquinas virtuales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se deben cerrar los puertos de administración en las máquinas virtuales | Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina | AuditIfNotExists, Disabled | 3.0.0 |
| Supervisar la falta de Endpoint Protection en Azure Security Center | Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben instalar actualizaciones del sistema en las máquinas | Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. | AuditIfNotExists, Disabled | 4.0.0 |
| Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager | Use el nuevo Azure Resource Manager para las máquinas virtuales a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a identidades administradas, acceso a secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. | Audit, Deny, Disabled | 1.0.0 |
| Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse | Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Azure Security Center. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de