Packages Azure Policy intégrés pour la configuration d’invité

Cette page est un index de packages intégrés Azure Policy pour la fonctionnalité de configuration d’invité.

Comment utiliser les détails du package de configuration d’invité

Chaque ligne représente un package utilisé par une définition de stratégie intégrée.

• Définition : liens vers la définition de stratégie dans le portail Azure.
• Configuration : Liens vers le fichier .mof dans le référentiel Azure Policy GitHub contenant la configuration utilisée pour auditer et/ou corriger les machines.
• Modules requis : Liens vers les modules de Desired State Configuration (DSC) PowerShell utilisés par chaque configuration. Les modules de ressources contiennent la logique de script utilisée pour évaluer chaque paramètre de la configuration.

Pour comprendre quels paramètres sont archivés dans Windows ou Linux, et comment, recherchez le nom de la définition de stratégie dans la colonne de gauche et accédez à la ressource DSC dans la colonne de droite pour passer en revue les scripts PowerShell.

La table n’inclut pas les détails des packages utilisés pour évaluer les configurations de référence. Les lignes de base sont écrites en C++ plutôt que comme Desired State Configuration PowerShell.

Définition de stratégie	Configuration	Modules DSC requis
Auditer les machines Windows qui ont des comptes supplémentaires dans le groupe Administrateurs	AdministratorsGroupMembers	LocalGroup
Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs	AdministratorsGroupMembersToExclude	LocalGroup
Auditer les machines Windows qui ont un ou plusieurs membres spécifiés manquants dans le groupe Administrateurs	AdministratorsGroupMembersToInclude	LocalGroup
Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés	AuditSecureProtocol	SecureProtocolWebServer
[Préversion] : Les machines Linux doivent répondre aux impératifs de référence liés à la sécurité d’Azure Compute	AzureLinuxBaseline
[Préversion] : Les machines Windows doivent répondre aux impératifs de référence liés à la sécurité d’Azure Compute	AzureWindowsBaseline
Auditer les machines Windows qui contiennent des certificats arrivant à expiration dans le nombre spécifié de jours	CertificateExpiration	CertificateManagement
Auditer les machines Windows qui autorisent la réutilisation des 24 mots de passe précédents	EnforcePasswordHistory	SecurityPolicyDsc
Les machines Linux doivent disposer uniquement de comptes locaux autorisés	LocalUsers_Linux	LocalUser
Les machines Windows doivent disposer uniquement de comptes locaux autorisés	LocalUsers_Windows	LocalUser
Auditer les machines Windows qui n’ont pas redémarré dans le nombre spécifié de jours	MachineLastBootUpTime	MachineUpTime
Auditer les machines Windows qui n’ont pas une antériorité maximale du mot de passe de 70 jours	MaximumPasswordAge	SecurityPolicyDsc
Auditer les machines Windows qui n’ont pas une antériorité minimale du mot de passe de 1 jour	MinimumPasswordAge	SecurityPolicyDsc
Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à 14 caractères	MinimumPasswordLength	SecurityPolicyDsc
Auditer les machines Windows qui n’ont pas le paramètre de complexité de mot de passe activé	PasswordMustMeetComplexityRequirements	SecurityPolicyDsc
Configurer le fuseau horaire sur les machines Windows.	SetWindowsTimeZone	WindowsTimeZone
Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible	StorePasswordsUsingReversibleEncryption	SecurityPolicyDsc
Auditer les machines Windows qui n’ont pas les applications spécifiées installées	WhitelistedApplication	UserApplication
Auditer les machines Windows qui ne contiennent pas les certificats spécifiés dans la racine de confiance	WindowsCertificateInTrustedRoot	CertificateManagement
Windows Defender Exploit Guard doit être activé sur vos machines	WindowsDefenderExploitGuard	WindowsDefender
Vérifier que les machines Windows ne sont pas jointes au domaine spécifié	WindowsDomainMembership	DomainMembership
Auditer les machines Windows sur lesquelles la configuration DSC n’est pas conforme	WindowsDscConfiguration	WindowsDscConfiguration
Auditer les machines Windows sur lesquelles l’agent Log Analytics n’est pas connecté comme prévu	WindowsLogAnalyticsAgentConnection	LogAnalyticsAgent
Auditer les machines virtuelles Windows avec un redémarrage en attente	WindowsPendingReboot	WindowsPendingReboot
Auditer les machines Windows ne spécifiant pas la stratégie d’exécution Windows PowerShell	WindowsPowerShellExecutionPolicy	PowerShellExecutionPolicy
Auditer les machines Windows sur lesquelles les modules Windows PowerShell spécifiés ne sont pas installés	WindowsPowerShellModules	PowerShellModules
Auditer la connectivité réseau des machines Windows	WindowsRemoteConnection	WindowsRemoteConnection
Auditer les machines Windows sur lesquelles la console série Windows n’est pas activée	WindowsSerialConsole	WindowsSerialConsole
Auditer les machines Windows sur lesquelles les services spécifiés ne sont pas installés ni « En cours d’exécution »	WindowsServiceStatus	WindowsServiceStatus
Auditer les machines Windows qui ne sont pas définies sur le fuseau horaire spécifié	WindowsTimeZone	WindowsTimeZone

Étapes suivantes

• Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
• Consultez la Structure de définition Azure Policy.
• Consultez la page Compréhension des effets de Policy.