Définitions intégrées Azure Policy pour les groupes de machines virtuelles identiques Azure
Cette page est un index des définitions de stratégie intégrées deAzure Policy pour les groupes de machines virtuelles identiques Azure. Pour obtenir des éléments intégrés Azure Policy destinés à d’autres services, consultez Définitions intégrées Azure Policy.
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.
Microsoft.Compute
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Une identité managée doit être activée sur vos machines | Les ressources gérées par Automanage doivent avoir une identité managée. | Audit, Désactivé | 1.0.0-preview |
| [Préversion] : Ajouter une identité managée affectée par l’utilisateur pour activer les affectations Guest Configuration sur les machines virtuelles | Cette stratégie ajoute une identité managée affectée par l’utilisateur aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration. Une identité managée affectée par l’utilisateur est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Désactivé | 2.1.0-preview |
| [Préversion] : Attribuer une identité managée affectée par l’utilisateur intégrée à des groupes de machines virtuelles identiques | Créez et affectez une identité managée affectée par l’utilisateur intégrée ou attribuez une identité managée affectée par l’utilisateur à grande échelle aux groupes de machines virtuelles identiques. Pour obtenir une documentation plus détaillée, consultez aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.1.0-preview |
| [Préversion] : Attribuer une identité managée affectée par l’utilisateur intégrée à des machines virtuelles | Créez et affectez une identité managée affectée par l’utilisateur intégrée ou attribuez une identité managée affectée par l’utilisateur à grande échelle aux machines virtuelles identiques. Pour obtenir une documentation plus détaillée, consultez aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.1.0-preview |
| [Préversion] : L’affectation du profil de configuration Automanage doit être conforme | Les ressources gérées par Automanage doivent présenter l’état Conformant ou ConformantCorrected. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Sauvegarde Azure doit être activé pour les disques managés | Assurez la protection de vos disques managés en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : L’agent Azure Security doit être installé sur vos groupes de machines virtuelles identiques Linux | Installez l’agent Azure Security sur vos groupes de machines virtuelles identiques Linux afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : L’agent Azure Security doit être installé sur vos machines virtuelles Linux | Installez l’agent Azure Security sur vos machines virtuelles Linux afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : L’agent Azure Security doit être installé sur vos groupes de machines virtuelles identiques Windows | Installez l’agent Azure Security sur vos groupes de machines virtuelles identiques Windows afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. | AuditIfNotExists, Désactivé | 2.1.0-preview |
| [Préversion] : L’agent Azure Security doit être installé sur vos machines virtuelles Windows | Installez l’agent Azure Security sur vos machines virtuelles Windows afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. | AuditIfNotExists, Désactivé | 2.1.0-preview |
| [Préversion] : Les diagnostics de démarrage doivent être activés sur les machines virtuelles | Le diagnostic de démarrage des machines virtuelles Azure doit être activé. | Audit, Désactivé | 1.0.0-preview |
| [Préversion] : L’extension ChangeTracking doit être installée sur votre machine virtuelle Linux | Installez l’extension ChangeTracking sur les machines virtuelles Linux pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : L’extension ChangeTracking doit être installée sur vos groupes de machines virtuelles identiques Linux | Installez l’extension ChangeTracking sur des groupes de machines virtuelles identiques Linux pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : L’extension ChangeTracking doit être installée sur votre machine virtuelle Windows | Installez l’extension ChangeTracking sur des machines virtuelles Windows pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : L’extension ChangeTracking doit être installée sur vos groupes de machines virtuelles identiques Windows | Installez l’extension ChangeTracking sur des groupes de machines virtuelles identiques Windows pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer l’agent Azure Defender pour SQL sur une machine virtuelle | Configurez des machines Windows pour installer automatiquement l’agent Azure Defender pour SQL où l’agent Azure Monitor est installé. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Crée un groupe de ressources et un espace de travail Log Analytics dans la même région que la machine. Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer l’extension ChangeTracking pour les groupes de machines virtuelles identiques Linux | Configurez des groupes de machines virtuelles identiques Linux pour installer automatiquement l’extension ChangeTracking pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer l’extension ChangeTracking pour les machines virtuelles Linux | Configurez des machines virtuelles identiques Linux pour installer automatiquement l’extension ChangeTracking pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer l’extension ChangeTracking pour les groupes de machines virtuelles identiques Windows | Configurez des groupes de machines virtuelles identiques Windows pour installer automatiquement l’extension ChangeTracking pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer l’extension ChangeTracking pour les machines virtuelles Windows | Configurez des machines virtuelles Windows pour installer automatiquement l’extension ChangeTracking pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer des machines virtuelles Linux à associer à une règle de collecte de données pour l’inventaire et le suivi des modifications | Déployez l’association pour lier des machines virtuelles Linux à la règle de collecte de données spécifiée pour activer ChangeTracking et Inventory. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer des machines virtuelles Linux pour installer AMA pour ChangeTracking et Inventory avec une identité managée affectée par l’utilisateur | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Linux pour activer ChangeTracking et Inventory. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.4.0-preview |
| [Préversion] : configurer VMSS Linux pour qu’il soit associé à une règle de collecte de données pour ChangeTracking et Inventory | Déployez l’association pour lier des groupes de machines virtuelles identiques Linux à la règle de collecte de données spécifiée pour activer ChangeTracking et Inventory. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer des machines virtuelles VMSS Linux pour installer AMA pour ChangeTracking et Inventory avec une identité managée affectée par l’utilisateur | Automatisez le déploiement de l'extension Azure Monitor Agent sur les jeux d'échelles de vos machines virtuelles Linux pour activer ChangeTracking et Inventory. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | préversion-1.3.0 |
| [Préversion] : Configurer les groupes de machines virtuelles identiques Linux pris en charge pour installer automatiquement l’agent Azure Security | Configurez les machines virtuelles Linux prises en charge pour installer automatiquement l’agent Azure Security. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer les groupes de machines virtuelles identiques Linux pris en charge pour installer automatiquement l’extension Attestation d’invité | Configurez les groupes de machines virtuelles identiques Linux prises en charge pour installer automatiquement l’extension Attestation d’invité afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 6.1.0-preview |
| [Préversion] : Configurer les machines virtuelles Linux prises en charge pour activer automatiquement le démarrage sécurisé | Configurez les machines virtuelles Linux prises en charge pour activer automatiquement le démarrage sécurisé afin d’atténuer les modifications malveillantes et non autorisées de la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. | DeployIfNotExists, Désactivé | 5.0.0-preview |
| [Préversion] : Configurer les machines virtuelles Linux prises en charge pour installer automatiquement l’agent Azure Security | Configurez les machines virtuelles Linux prises en charge pour installer automatiquement l’agent de sécurité Azure. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. | DeployIfNotExists, Désactivé | 7.0.0-preview |
| [Préversion] : Configurer les machines virtuelles Linux prises en charge pour installer automatiquement l’extension Attestation d’invité | Configurez les machines virtuelles Linux prises en charge pour installer automatiquement l’extension Attestation d’invité afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 7.1.0-preview |
| [Préversion] : Configurer les machines virtuelles prises en charge pour activer automatiquement vTPM | Configurez les machines virtuelles prises en charge pour activer automatiquement vTPM afin de faciliter le démarrage mesuré et d’autres fonctionnalités de sécurité du système d’exploitation qui nécessitent un TPM. Une fois l’appareil vTPM activé, il permet d’attester l’intégrité du démarrage. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer les machines virtuelles Windows prises en charge pour installer automatiquement l’agent Azure Security | Configurer les machines virtuelles Windows prises en charge pour installer automatiquement l’agent de sécurité Azure. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. | DeployIfNotExists, Désactivé | 5.1.0-preview |
| [Préversion] : Configurer les groupes de machines virtuelles identiques Windows pris en charge pour installer automatiquement l’agent Azure Security | Configurez les groupes de machines virtuelles identiques Windows pris en charge pour installer automatiquement l’agent Azure Security. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les groupes de machines virtuelles identiques Windows cibles doivent se trouver dans un emplacement pris en charge. | DeployIfNotExists, Désactivé | 2.1.0-preview |
| [Préversion] : Configurer les groupes de machines virtuelles identiques Windows pris en charge pour installer automatiquement l’extension Attestation d’invité | Configurez les groupes de machines virtuelles identiques Windows prises en charge pour installer automatiquement l’extension Attestation d’invité afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 4.1.0-preview |
| [Préversion] : Configurer les machines virtuelles Windows prises en charge pour activer automatiquement le démarrage sécurisé | Configurez les machines virtuelles Windows prises en charge pour activer automatiquement le démarrage sécurisé afin d’atténuer les modifications malveillantes et non autorisées de la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. | DeployIfNotExists, Désactivé | 3.0.0-preview |
| [Préversion] : Configurer les machines virtuelles Windows prises en charge pour installer automatiquement l’extension Attestation d’invité | Configurez les machines virtuelles Windows prises en charge pour installer automatiquement l’extension Attestation d’invité afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 5.1.0-preview |
| [Préversion] : Configurer l’identité managée affectée par le système pour activer les affectations d’Azure Monitor sur les machines virtuelles | Configurez une identité managée affectée par le système pour les machines virtuelles qui sont hébergées dans Azure et prises en charge par Azure Monitor, mais qui n’ont pas d’identité managée affectée par le système. Une identité managée attribuée par le système est un prérequis pour toutes les affectations Azure Monitor ; elle doit être ajoutée aux machines avant d’utiliser une quelconque extension Azure Monitor. Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. | Modifier, Désactivé | 6.0.0-preview |
| [Préversion] : Configurer les machines virtuelles créées avec des images Shared Image Gallery pour installer l’extension Guest Attestation | Configurez les machines virtuelles créées avec Shared Image Gallery images pour installer automatiquement l’extension Guest Attestation afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer le groupe de machines virtuelles identiques créé avec Shared Image Gallery images pour installer l’extension Guest Attestation | Configurez les machines virtuelles créées avec Shared Image Gallery images pour installer automatiquement l’extension Guest Attestation afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 2.1.0-preview |
| [Préversion] : Configurer Windows Server pour désactiver les utilisateurs locaux. | Crée une affectation Configuration Invité pour configurer la désactivation des utilisateurs locaux sur Windows Server. Cela garantit que les serveurs Windows ne sont accessibles qu’à un compte AAD (Azure Active Directory) ou à une liste d’utilisateurs explicitement autorisés par cette stratégie, ce qui améliore la posture de sécurité globale. | DeployIfNotExists, Désactivé | 1.2.0-preview |
| [Préversion] : Configurer des machines virtuelles Windows à associer à une règle de collecte de données pour ChangeTracking et Inventory | Déployez l’association pour lier des machines virtuelles Windows à la règle de collecte de données spécifiée pour activer ChangeTracking et Inventory. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer des machines virtuelles Windows pour installer AMA pour ChangeTracking et Inventory avec une identité managée affectée par l’utilisateur | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Windows pour activer ChangeTracking et Inventory. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer VMSS Windows pour qu’il soit associé à une règle de collecte de données pour ChangeTracking et Inventory | Déployez l’association pour lier des groupes de machines virtuelles identiques Windows à la règle de collecte de données spécifiée pour activer ChangeTracking et Inventory. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer Windows VMSS pour installer AMA pour ChangeTracking et Inventory avec une identité managée affectée par l’utilisateur | Automatisez le déploiement de l'extension Azure Monitor Agent sur les jeux d'échelles de vos machines virtuelles Windows pour activer ChangeTracking et Inventory. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Déployer l’agent Microsoft Defender pour point de terminaison sur des machines virtuelles Linux | Déploie Microsoft Defender pour l’agent point de terminaison sur les images de machine virtuelle Linux applicables. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-preview |
| [Préversion] : Déployer l’agent Microsoft Defender pour point de terminaison sur des machines virtuelles Windows | Déploie Microsoft Defender pour point de terminaison sur les images de machine virtuelle Windows applicables. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Préversion] : activer l’identité affectée par le système sur une machine virtuelle SQL | Activez l’identité affectée par le système à grande échelle aux machines virtuelles SQL. Vous devez affecter cette stratégie au niveau de l’abonnement. L’affectation au niveau du groupe de ressources ne fonctionnera pas comme prévu. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Linux prises en charge | Installez l’extension Attestation d’invité sur les machines virtuelles Linux prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux machines virtuelles Linux confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 6.0.0-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Linux prises en charge | Installez l’extension Attestation d’invité sur les groupes de machines virtuelles identiques Linux prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux groupes de machines virtuelles identiques Linux confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 5.1.0-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Windows prises en charge | Installez l’extension Attestation d’invité sur les machines virtuelles prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux machines virtuelles Windows confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 4.0.0-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Windows prises en charge | Installez l’extension Attestation d’invité sur les groupes de machines virtuelles identiques prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux groupes de machines virtuelles identiques Windows confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 3.1.0-preview |
| [Préversion] : Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure pour les hôtes Docker | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. La machine n'est pas configurée correctement pour l'une des recommandations de la base de référence de sécurité Azure pour les hôtes Docker. | AuditIfNotExists, Désactivé | 1.2.0-preview |
| [Préversion] : Les machines Linux doivent respecter l’exigence de conformité STIG pour le calcul Azure | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes suggestions de l’exigence de conformité STIG pour le calcul Azure. DISA (Defense Information Systems Agency) fournit des guides techniques STIG (Security Technical Implementation Guide) pour sécuriser le système d’exploitation de calcul selon les besoins du ministère de la Défense des États-Unis (DoD). Pour plus d’informations, https://public.cyber.mil/stigs/. | AuditIfNotExists, Désactivé | 1.2.0-preview |
| [Préversion] : Les machines Linux avec OMI installé doivent avoir la version 1.6.8-1 ou ultérieure | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. En raison d’un correctif de sécurité inclus dans la version 1.6.8-1 du package OMI pour Linux, toutes les machines doivent être mises à jour vers la dernière version. Mettez à niveau les applications/packages qui utilisent OMI pour résoudre le problème. Pour plus d’informations, consultez https://aka.ms/omiguidance. | AuditIfNotExists, Désactivé | 1.2.0-preview |
| [Préversion] : les machines virtuelles Linux doivent utiliser uniquement des composants de démarrage signés et approuvés | Tous les composants de démarrage du système d’exploitation (chargeur de démarrage, noyau, pilotes de noyau) doivent être signés par des éditeurs approuvés. Defender pour le cloud a identifié des composants de démarrage du système d’exploitation non approuvés sur une ou plusieurs de vos machines Linux. Pour protéger vos machines contre les composants potentiellement malveillants, ajoutez-les à votre liste d’autorisation ou supprimez les composants identifiés. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Les machines virtuelles Linux doivent utiliser le démarrage sécurisé | Pour protéger contre l’installation de rootkits et de kits de démarrage basés sur des programmes malveillants, activez le démarrage sécurisé sur les machines virtuelles Linux prises en charge. Le démarrage sécurisé garantit que seuls les systèmes d’exploitation et pilotes signés sont autorisés à s’exécuter. Cette évaluation s’applique uniquement aux machines virtuelles Linux sur lesquelles l’agent Azure Monitor est installé. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées | Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. | AuditIfNotExists, Désactivé | 2.0.1-preview |
| [Préversion] : Les ordinateurs doivent avoir des ports fermés susceptibles d’exposer des vecteurs d’attaque | Les conditions d’utilisation d’Azure interdisent l’utilisation des services Azure d’une manière qui pourrait endommager, désactiver, surcharger ou perturber un serveur Microsoft ou le réseau. Les ports exposés identifiés par cette recommandation doivent être fermés pour le maintien de votre sécurité. Pour chaque port identifié, la recommandation fournit également une explication de la menace potentielle. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : les Disques managés doivent être résilients à la zone | Les Disques managés peuvent être configurés pour être alignés sur la zone, redondants interzone ou aucun des deux. Les Disques managés avec exactement une affectation de zone sont alignés sur la zone. Les Disques managés portant un nom de référence SKU qui se terminent par ZRS sont redondants interzone. Cette stratégie permet d’identifier et d’appliquer ces configurations de résilience pour les Disques managés. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| [Préversion] : Le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge | Activez le démarrage sécurisé sur les machines virtuelles Windows prises en charge pour réduire les changements malveillants et non autorisés de la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. Cette évaluation s’applique aux machines virtuelles Windows confidentielles et avec lancement fiable. | Audit, Désactivé | 4.0.0-preview |
| [Préversion] : Définissez la configuration requise pour la planification des mises à jour périodiques sur des machines virtuelles Azure. | Cette stratégie définit la configuration requise pour planifier des mises à jour périodiques sur Azure Update Manager en configurant l’orchestration des correctifs sur « Planifications gérées par le client ». Cette modification définit automatiquement le mode de correctif sur « AutomaticByPlatform » et active « BypassPlatform Coffre tyChecksOnUserSchedule » sur « True » sur les machines virtuelles Azure. La configuration requise n’est pas applicable aux serveurs avec Arc. Pour en savoir plus- https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Les mises à jour système doivent être installées sur vos machines (avec le Centre des mises à jour) | Des mises à jour système, critiques et de sécurité sont manquantes sur vos machines. Les mises à jour de logiciel incluent souvent des correctifs critiques pour les failles de sécurité. Ces failles sont souvent exploitées lors d’attaques de programmes malveillants. Il est donc essentiel de maintenir vos logiciels à jour. Pour installer tous les correctifs en attente et sécuriser vos machines, suivez la procédure de correction. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : les groupes de machines virtuelles identiques doivent être résilients aux zones | Les groupes de machines virtuelles identiques peuvent être configurés pour être alignés sur la zone, redondants interzone ou aucun des deux. Les groupes de machines virtuelles identiques qui ont exactement une entrée dans leur tableau de zones sont considérés comme alignés sur la zone. En revanche, les groupes de machines virtuelles identiques avec 3 entrées ou plus dans leur tableau de zones et une capacité d’au moins 3 sont reconnus comme redondants interzones. Cette stratégie permet d’identifier et d’appliquer ces configurations de résilience. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : L’état de l’attestation d’invité des machines virtuelles doit être sain | L’attestation d’invité est exécutée par l’envoi d’un journal approuvé (TCGLog) à un serveur d’attestation. Le serveur utilise ces journaux pour déterminer si les composants de démarrage sont dignes de confiance. Cette évaluation vise à détecter les compromissions de la chaîne de démarrage qui peuvent résulter d’une infection par un kit de démarrage ou un rootkit. Cette évaluation s’applique uniquement aux machines virtuelles compatibles avec le lancement fiable sur lesquelles l’extension d’attestation d’invité est installée. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : les machines virtuelles doivent être alignées sur la zone | Les machines virtuelles peuvent être configurées pour être alignées sur la zone ou non. Elles sont considérées comme alignées sur la zone si elles n’ont qu’une seule entrée dans leur tableau de zones. Cette stratégie garantit qu’elles sont configurées pour fonctionner dans une seule zone de disponibilité. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : vTPM doit être activé sur les machines virtuelles prises en charge | Activez l’appareil module de plateforme sécurisée (TPM) virtuel sur les machines virtuelles prises en charge pour faciliter le démarrage mesuré et d’autres fonctionnalités de sécurité du système d’exploitation qui nécessitent un TPM. Une fois l’appareil vTPM activé, il permet d’attester l’intégrité du démarrage. Cette évaluation s’applique uniquement aux machines virtuelles pour lesquelles le lancement fiable est activé. | Audit, Désactivé | 2.0.0-preview |
| [Préversion] : Les machines Windows doivent respecter les exigences de conformité STIG pour le calcul Azure | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines sont non conformes si elles ne sont pas configurées correctement par rapport à l’une des recommandations des exigences de conformité STIG pour Azure Compute. DISA (Defense Information Systems Agency) fournit des guides techniques STIG (Security Technical Implementation Guide) pour sécuriser le système d’exploitation de calcul selon les besoins du ministère de la Défense des États-Unis (DoD). Pour plus d’informations, https://public.cyber.mil/stigs/. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines | Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet | Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle | AuditIfNotExists, Désactivé | 3.0.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
| Références SKU des tailles de machine virtuelle autorisées | Cette stratégie vous permet de spécifier un ensemble de références de taille de machine virtuelle que votre organisation peut déployer. | Deny | 1.0.1 |
| Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour | Supervisez les changements de comportement sur les groupes de machines configurés pour être audités par les contrôles d’application adaptatifs d’Azure Security Center. Security Center utilise le Machine Learning pour analyser les processus en cours d’exécution sur vos machines, et suggérer une liste d’applications reconnues fiables. Elles sont présentées comme des applications recommandées à autoriser dans les stratégies de contrôles d’application adaptatifs. | AuditIfNotExists, Désactivé | 3.0.0 |
| Auditer les machines Linux qui autorisent les connexions à distance des comptes sans mot de passe | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles autorisent les connexions à distance à partir de comptes sans mot de passe | AuditIfNotExists, Désactivé | 3.1.0 |
| Auditer les machines Linux qui n’ont pas les autorisations de fichier passwd définies sur 0644 | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles n’ont pas les autorisations de fichier de mot de passe définies sur 0644 | AuditIfNotExists, Désactivé | 3.1.0 |
| Auditer les machines Linux qui n’ont pas les applications spécifiées installées | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la ressource Chef InSpec indique qu’un ou plusieurs des packages fournis par le paramètre ne sont pas installés. | AuditIfNotExists, Désactivé | 4.2.0 |
| Auditer les machines Linux qui ont des comptes sans mot de passe | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles ont des comptes sans mot de passe | AuditIfNotExists, Désactivé | 3.1.0 |
| Auditer les machines Linux qui ont les applications spécifiées installées | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la ressource Chef InSpec indique qu’un ou plusieurs des packages fournis par le paramètre sont installés. | AuditIfNotExists, Désactivé | 4.2.0 |
| Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Faire l’audit des machines virtuelles n’utilisant aucun disque managé | Cette stratégie fait l’audit des machines virtuelles n’utilisant pas de disque managé | audit | 1.0.0 |
| Auditer les machines Windows qui ont un ou plusieurs membres manquants spécifiés dans le groupe Administrateurs | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local ne contient pas un ou plusieurs membres listés dans le paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Auditer la connectivité réseau des machines Windows | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si l’état d’une connexion réseau à un port IP et TCP ne correspond pas au paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Auditer les machines Windows sur lesquelles la configuration DSC n’est pas conforme | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la commande Windows PowerShell Get-DSCConfigurationStatus retourne que la configuration DSC pour la machine n’est pas conforme. | auditIfNotExists | 3.0.0 |
| Auditer les machines Windows sur lesquelles l’agent Log Analytics n’est pas connecté comme prévu | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si l’agent n’est pas installé ou s’il est installé, mais que l’objet COM AgentConfigManager.MgmtSvcCfg renvoie qu’il est inscrit auprès d’un espace de travail autre que l’ID spécifié dans le paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Auditer les machines Windows sur lesquelles les services spécifiés ne sont pas installés ni « En cours d’exécution » | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le résultat de la commande Windows PowerShell Get-Service n’inclut pas le nom du service dont l’état correspond à celui spécifié par le paramètre de stratégie. | auditIfNotExists | 3.0.0 |
| Auditer les machines Windows sur lesquelles la console série Windows n’est pas activée | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le logiciel de console série n’est pas installé sur la machine ou si le numéro de port EMS ou la vitesse en bauds ne sont pas configurés avec les mêmes valeurs que les paramètres de stratégie. | auditIfNotExists | 3.0.0 |
| Auditer les machines Windows qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les machines Windows autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques. La valeur par défaut pour les mots de passe uniques est 24 | AuditIfNotExists, Désactivé | 2.1.0 |
| Vérifier que les machines Windows ne sont pas jointes au domaine spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la valeur de la propriété Domain dans la classe WMI win32_computersystem ne correspond pas à la valeur du paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Auditer les machines Windows qui ne sont pas définies sur le fuseau horaire spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la valeur de la propriété StandardName dans la classe WMI Win32_TimeZone ne correspond pas au fuseau horaire sélectionné pour le paramètre de stratégie. | auditIfNotExists | 3.0.0 |
| Auditer les machines Windows qui contiennent des certificats arrivant à expiration dans le nombre spécifié de jours | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les certificats du magasin spécifié ont une date d’expiration hors limites pour le nombre de jours indiqué comme paramètre. La stratégie offre également la possibilité de rechercher uniquement des certificats spécifiques ou d’exclure des certificats spécifiques, et de signaler les certificats arrivés à expiration. | auditIfNotExists | 2.0.0 |
| Auditer les machines Windows qui ne contiennent pas les certificats spécifiés dans la racine de confiance | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le magasin de certificats racines de confiance de l’ordinateur (Cert:\LocalMachine\Root) ne contient pas un ou plusieurs des certificats listés par le paramètre de stratégie. | auditIfNotExists | 3.0.0 |
| Auditer les machines Windows dont la durée de vie maximale du mot de passe n’est pas définie sur le nombre de jours spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie maximale de leur mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut de la durée de vie maximale du mot de passe est de 70 jours | AuditIfNotExists, Désactivé | 2.1.0 |
| Auditer les machines Windows dont la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut pour la durée de vie minimale du mot de passe est de 1 jour | AuditIfNotExists, Désactivé | 2.1.0 |
| Auditer les machines Windows qui n’ont pas le paramètre de complexité de mot de passe activé | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles n’ont pas le paramètre de complexité de mot de passe activé | AuditIfNotExists, Désactivé | 2.0.0 |
| Auditer les machines Windows ne spécifiant pas la stratégie d’exécution Windows PowerShell | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la commande Windows PowerShell Get-ExecutionPolicy retourne une valeur différente de celle sélectionnée dans le paramètre de stratégie. | AuditIfNotExists, Désactivé | 3.0.0 |
| Auditer les machines Windows sur lesquelles les modules Windows PowerShell spécifiés ne sont pas installés | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si un module n’est pas disponible à un emplacement spécifié par la variable d’environnement PSModulePath. | AuditIfNotExists, Désactivé | 3.0.0 |
| Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié. La valeur par défaut pour la longueur minimale du mot de passe est de 14 caractères | AuditIfNotExists, Désactivé | 2.1.0 |
| Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne stockent pas les mots de passe à l’aide du chiffrement réversible | AuditIfNotExists, Désactivé | 2.0.0 |
| Auditer les machines Windows qui n’ont pas les applications spécifiées installées | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le nom de l’application est introuvable dans l’un des chemins de Registre suivants : HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditer les machines Windows qui ont des comptes supplémentaires dans le groupe Administrateurs | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient des membres qui ne sont pas listés dans le paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Auditer les machines Windows qui n’ont pas redémarré dans le nombre spécifié de jours | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la propriété WMI LastBootUpTime dans la classe Win32_Operatingsystem est en dehors de la plage de jours spécifiée par le paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Auditer les machines Windows qui ont les applications spécifiées installées | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le nom de l’application est présent dans l’un des chemins de Registre suivants : HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient un ou plusieurs des membres listés dans le paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Auditer les machines virtuelles Windows avec un redémarrage en attente | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la machine est en attente de redémarrage pour l’une des raisons suivantes : maintenance basée sur les composants, Windows Update, changement de nom de fichier en attente, changement de nom d’ordinateur en attente, redémarrage du gestionnaire de configuration en attente. Chaque détection a un chemin de Registre unique. | auditIfNotExists | 2.0.0 |
| L’authentification auprès des machines Linux doit exiger des clés SSH | Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Désactivé | 3.2.0 |
| La sauvegarde Azure doit être activée pour les machines virtuelles | Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 3.0.0 |
| Vous devez configurer les instances de rôle Services cloud (support étendu) de manière sécurisée | Protégez vos instances de rôle de service cloud (support étendu) contre les attaques en vérifiant qu’elles ne sont pas exposées à des vulnérabilités de système d’exploitation. | AuditIfNotExists, Désactivé | 1.0.0 |
| Vous devez installer une solution Endpoint Protection sur les instances de rôle Services cloud (support étendu) | Protégez vos instances de rôle Services cloud (support étendu) contre les menaces et les vulnérabilités en veillant à y installer solution Endpoint Protection. | AuditIfNotExists, Désactivé | 1.0.0 |
| Vous devez installer les mises à jour système des instances de rôle Services cloud (support étendu) | Sécurisez vos instances de rôle Services cloud (support étendu) en veillant à y installer les mises à jour de sécurité et les mises à jour critiques les plus récentes. | AuditIfNotExists, Désactivé | 1.0.0 |
| Configurer la désactivation d’Azure Defender pour serveurs pour toutes les ressources (niveau de ressource) | Azure Defender pour serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs et génère des recommandations de durcissement ainsi que des alertes sur les activités suspectes. Cette stratégie désactive le plan Defender pour serveurs pour toutes les ressources (machines virtuelles, groupes de machines virtuelles identiques et machines ARC) dans l’étendue sélectionnée (abonnement ou groupe de ressources). | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer la désactivation d’Azure Defender pour serveurs pour les ressources (niveau de ressource) comportant l’étiquette sélectionnée | Azure Defender pour serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs et génère des recommandations de durcissement ainsi que des alertes sur les activités suspectes. Cette stratégie désactive le plan Defender pour serveurs pour toutes les ressources (machines virtuelles, groupes de machines virtuelles identiques et machines ARC) comportant le nom d’étiquette et la ou les valeurs d’étiquette sélectionnés. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer l’activation d’Azure Defender pour serveurs (sous-plan « P1 ») pour toutes les ressources (niveau de ressource) comportant l’étiquette sélectionnée | Azure Defender pour serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs et génère des recommandations de durcissement ainsi que des alertes sur les activités suspectes. Cette stratégie active le plan Defender pour serveurs (avec le sous-plan « P1 ») pour toutes les ressources (machines virtuelles et machines ARC) comportant le nom d’étiquette et la ou les valeurs d’étiquette sélectionnés. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer l’activation d’Azure Defender pour serveurs (avec le sous-plan « P1 ») pour toutes les ressources (niveau de ressource) | Azure Defender pour serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs et génère des recommandations de durcissement ainsi que des alertes sur les activités suspectes. Cette stratégie active le plan Defender pour serveurs (avec le sous-plan « P1 ») pour toutes les ressources (machines virtuelles et machines ARC) dans l’étendue sélectionnée (abonnement ou groupe de ressources). | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer une sauvegarde sur des machines virtuelles avec une étiquette donnée dans un nouveau coffre Recovery Services avec une stratégie par défaut | Appliquez la sauvegarde de toutes les machines virtuelles en déployant un coffre Recovery Services dans les mêmes emplacement et groupe de ressources que la machine virtuelle. Cela est utile quand différentes équipes d’application de votre organisation se voient allouer des groupes de ressources distincts et doivent gérer leurs propres sauvegardes et restaurations. Vous pouvez éventuellement inclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurer une sauvegarde sur des machines virtuelles avec une étiquette donnée dans un coffre Recovery Services existant au même emplacement | Appliquez la sauvegarde de toutes les machines virtuelles en les sauvegardant dans un coffre Recovery Services central dans les mêmes emplacement et abonnement que la machine virtuelle. Cela est utile quand une équipe centrale de votre organisation gère les sauvegardes pour toutes les ressources d’un abonnement. Vous pouvez éventuellement inclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurer une sauvegarde sur des machines virtuelles sans une étiquette donnée dans un nouveau coffre Recovery Services avec une stratégie par défaut | Appliquez la sauvegarde de toutes les machines virtuelles en déployant un coffre Recovery Services dans les mêmes emplacement et groupe de ressources que la machine virtuelle. Cela est utile quand différentes équipes d’application de votre organisation se voient allouer des groupes de ressources distincts et doivent gérer leurs propres sauvegardes et restaurations. Vous pouvez éventuellement exclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurer une sauvegarde sur des machines virtuelles sans une étiquette donnée dans un coffre Recovery Services existant au même emplacement | Appliquez la sauvegarde de toutes les machines virtuelles en les sauvegardant dans un coffre Recovery Services central dans les mêmes emplacement et abonnement que la machine virtuelle. Cela est utile quand une équipe centrale de votre organisation gère les sauvegardes pour toutes les ressources d’un abonnement. Vous pouvez éventuellement exclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurer la reprise d’activité sur les machines virtuelles en activant la réplication avec Azure Site Recovery | Les machines virtuelles sans configuration de récupération d’urgence sont vulnérables aux pannes et autres interruptions. Si la récupération d’urgence n’est pas encore configurée sur la machine virtuelle, cette opération produit le même effet en activant la réplication à l’aide de configurations prédéfinies pour faciliter la continuité des activités. Vous pouvez éventuellement inclure/exclure des machines virtuelles contenant une étiquette spécifiée pour contrôler l’étendue de l’attribution. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. | DeployIfNotExists, Désactivé | 2.1.0 |
| Configurer des ressources d’accès au disque avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés aux ressources d’accès au disque, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des machines Linux à associer à une règle de collecte de données ou à un point de terminaison de collecte de données | Déployez l’Association pour lier des machines virtuelles Linux, des groupes de machines virtuelles identiques et des machines Arc à la règle de collecte de données spécifiée, ou le point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 6.3.0 |
| Configurez le serveur Linux pour désactiver les utilisateurs locaux. | Crée une affectation Configuration Invité pour configurer la désactivation des utilisateurs locaux sur un serveur Linux. Cela garantit que les serveurs Linux ne sont accessibles qu’à un compte AAD (Azure Active Directory) ou à une liste d’utilisateurs explicitement autorisés par cette stratégie, ce qui améliore la posture de sécurité globale. | DeployIfNotExists, Désactivé | préversion-1.3.0 |
| Configurer des groupes de machines virtuelles identiques Linux à associer à une règle de collecte de données ou à un point de terminaison de collecte de données | Déployez Association pour lier des groupes de machines virtuelles identiques Linux à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 4.2.0 |
| Configurer des groupes de machines virtuelles identiques Linux pour exécuter l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par le système | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos groupes de machines virtuelles identiques Linux pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 3.5.0 |
| Configurer des groupes de machines virtuelles identiques Linux pour exécuter l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par l’utilisateur | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos groupes de machines virtuelles identiques Linux pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 3.6.0 |
| Configurer des machines virtuelles Linux à associer à une règle de collecte de données ou à un point de terminaison de collecte de données | Déployez Association pour lier des machines virtuelles Linux à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 4.2.0 |
| Configurer les machines virtuelles Linux pour qu’ils exécutent l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par le système | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Linux pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 3.5.0 |
| Configurer les machines virtuelles Linux pour qu’ils exécutent l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par l’utilisateur | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Linux pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 3.6.0 |
| Configurer des machines pour recevoir un fournisseur d’évaluation des vulnérabilités | Azure Defender comprend l’analyse des vulnérabilités de vos machines sans coût supplémentaire. Vous n’avez pas besoin d’une licence Qualys ni même de compte Qualys : tout est traité de manière fluide dans Security Center. Quand vous activez cette stratégie, Azure Defender déploie automatiquement l’agent d’évaluation des vulnérabilités de Qualys sur tous les ordinateurs pris en charge qui en sont dépourvus. | DeployIfNotExists, Désactivé | 4.0.0 |
| Configurer les disques managés pour désactiver l’accès au réseau public | Désactivez l’accès au réseau public pour votre ressource de disque managé afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disksprivatelinksdoc. | Modifier, Désactivé | 2.0.0 |
| Configurer la recherche périodique des mises à jour système manquantes sur des machines virtuelles Azure | Configurez l’auto-évaluation (toutes les 24 heures) des mises à jour du système d’exploitation sur les machines virtuelles Azure natives. Vous pouvez contrôler l’étendue de l’attribution en fonction de l’abonnement de l’ordinateur, du groupe de ressources, de l’emplacement ou de l’étiquette. Découvrez-en plus à ce sujet pour Windows : https://aka.ms/computevm-windowspatchassessmentmode, pour Linux : https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 4.8.0 |
| Configurer des protocoles de communication sécurisés (TLS 1.1 ou TLS 1.2) sur des machines Windows | Crée une affectation Guest Configuration pour configurer la version de protocole sécurisée spécifiée (TLS 1.1 ou TLS 1.2) sur la machine Windows. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer les Machines Virtuelles SQL pour installer automatiquement l’agent Azure Monitor | Automatisez le déploiement de l’extension Azure Monitor Agent sur vos Machines virtuelles Windows SQL. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.3.0 |
| Configurer les Machines Virtuelles SQL pour installer automatiquement Microsoft Defender pour SQL | Configurer les Machines virtuelles Windows SQL pour qu'elles installent automatiquement l'extension Microsoft Defender pour SQL. Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). | DeployIfNotExists, Désactivé | 1.3.0 |
| Configurer les Machines Virtuelles SQL pour installer automatiquement Microsoft Defender pour SQL et DCR avec un espace de travail Log Analytics | Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). Créez un groupe de ressources, une règle de collecte de données et un espace de travail Log Analytics dans la même région que la machine. | DeployIfNotExists, Désactivé | 1.5.0 |
| Configurer les Machines Virtuelles SQL pour installer automatiquement Microsoft Defender pour SQL et DCR avec un espace de travail Log Analytics défini par l’utilisateur | Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). Créez un groupe de ressources et une règle de collecte de données dans la même région que l’espace de travail Log Analytics défini par l’utilisateur. | DeployIfNotExists, Désactivé | 1.5.0 |
| Configurer l’espace de travail Log Analytics Microsoft Defender pour SQL | Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). Créez un groupe de ressources et un espace de travail Log Analytics dans la même région que la machine. | DeployIfNotExists, Désactivé | 1.3.0 |
| Configurer le fuseau horaire sur les machines Windows. | Cette stratégie crée une attribution Guest Configuration pour définir le fuseau horaire spécifié sur des machines virtuelles Windows. | deployIfNotExists | 2.1.0 |
| Configurer des machines virtuelles à intégrer à Azure Automanage | Azure Automanage inscrit, configure et surveille les machines virtuelles selon les meilleures pratiques définies dans le Cloud Adoption Framework de Microsoft pour Azure. Utilisez cette stratégie pour appliquer Automanage à l’étendue sélectionnée. | AuditIfNotExists, DeployIfNotExists, Désactivé | 2.4.0 |
| Configurer les machines virtuelles à intégrer à Azure Automanage avec un profil de configuration personnalisé | Azure Automanage inscrit, configure et surveille les machines virtuelles selon les meilleures pratiques définies dans le Cloud Adoption Framework de Microsoft pour Azure. Utilisez cette stratégie pour appliquer Automanage avec votre propre profil de configuration personnalisé à votre étendue sélectionnée. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.4.0 |
| Configurer des machines Windows à associer à une règle de collecte de données ou à un point de terminaison de collecte de données | Déployez l’Association pour lier des machines virtuelles Windows, des groupes de machines virtuelles identiques et des machines Arc à la règle de collecte de données spécifiée, ou le point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 4.5.0 |
| Configurer des groupes de machines virtuelles identiques Windows à associer à une règle de collecte de données ou à un point de terminaison de collecte de données | Déployez Association pour lier des groupes de machines virtuelles identiques Windows à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 3.3.0 |
| Configurer des groupes de machines virtuelles identiques Windows pour qu’ils exécutent l’agent Azure Monitor à l’aide de l’identité managée affectée par le système | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos groupes de machines virtuelles identiques Windows pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 3.4.0 |
| Configurer des groupes de machines virtuelles identiques Windows pour exécuter l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par l’utilisateur | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos groupes de machines virtuelles identiques Windows pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.5.0 |
| Configurer des machines virtuelles Windows à associer à une règle de collecte de données ou à un point de terminaison de collecte de données | Déployez Association pour lier des machines virtuelles Windows à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 3.3.0 |
| Configurer les machines virtuelles Windows pour qu’ils exécutent l’agent Azure Monitor à l’aide de l’identité managée affectée par le système | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Windows pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 4.4.0 |
| Configurer les machines virtuelles Windows pour qu’ils exécutent l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par l’utilisateur | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Windows pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.5.0 |
| Créer et attribuer une identité managée affectée par l’utilisateur intégrée | Créer et attribuer aux machines virtuelles SQL une identité managée affectée par l’utilisateur intégrée à grande échelle. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.5.0 |
| Dependency Agent doit être activé pour les images de machine virtuelle listées | Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support. | AuditIfNotExists, Désactivé | 2.0.0 |
| Dependency Agent doit être activé dans les groupes de machines virtuelles identiques pour les images de machine virtuelle listées | Signale les groupes de machines virtuelles identiques comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support. | AuditIfNotExists, Désactivé | 2.0.0 |
| Déploiement : Configurer Dependency Agent pour qu’il soit activé sur les groupes de machines virtuelles identiques Windows | Déployez Dependency Agent pour les groupes de machines virtuelles identiques Windows si l’image de machine virtuelle est dans la liste définie et que l’agent n’est pas installé. Si l’upgradePolicy de votre groupe identique est définie sur Manuelle, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en les mettant à jour. | DeployIfNotExists, Désactivé | 3.1.0 |
| Déploiement : Configurer Dependency Agent pour qu’il soit activé sur les machines virtuelles Windows | Déployez Dependency Agent pour les machines virtuelles Windows si l’image de machine virtuelle est dans la liste définie et que l’agent n’est pas installé. | DeployIfNotExists, Désactivé | 3.1.0 |
| Déployer - Configurer l’extension Log Analytics pour qu’elle soit activée sur des groupes de machines virtuelles identiques Windows | Déployez l’extension Log Analytics pour les groupes de machines virtuelles identiques Windows si l’image de machine virtuelle figure dans la liste définie et que l’extension n’est pas installée. Si l’upgradePolicy de votre groupe identique est définie sur Manuelle, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en les mettant à jour. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer vers « Agent Azure Monitor » avant cette date. | DeployIfNotExists, Désactivé | 3.1.0 |
| Déployer - Configurer l’extension Log Analytics pour qu’elle soit activée sur des machines virtuelles Windows | Déployez l’extension Log Analytics pour les machines virtuelles Windows si l’image de machine virtuelle figure dans la liste définie et que l’extension n’est pas installée. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer vers « Agent Azure Monitor » avant cette date. | DeployIfNotExists, Désactivé | 3.1.0 |
| Déployer l’extension Microsoft IaaSAntimalware par défaut pour Windows Server | Cette stratégie déploie une extension Microsoft IaaSAntimalware avec une configuration par défaut quand une machine virtuelle n’est pas configurée avec l’extension de logiciel anti-programme malveillant. | deployIfNotExists | 1.1.0 |
| Déployer Dependency Agent pour les groupes de machines virtuelles identiques Linux | Déployez Dependency Agent pour les groupes de machines virtuelles identiques Linux si l’image de machine virtuelle (OS) est dans la liste définie et que l’agent n’est pas installé. Remarque : Si la valeur upgradePolicy du groupe identique est définie sur Manuel, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en appelant une mise à niveau. Dans l’interface de ligne de commande, cela se traduirait par az vmss update-instances. | deployIfNotExists | 5.0.0 |
| Déployer Dependency Agent pour les groupes de machines virtuelles identiques Linux avec les paramètres d’agent Azure Monitoring | Déployez Dependency Agent pour les groupe de machines virtuelles identiques Linux avec les paramètres d’argent Azure Monitoring si l’image de machine virtuelle (OS) figure dans la liste définie et que l’agent n’est pas installé. Remarque : Si la valeur upgradePolicy du groupe identique est définie sur Manuel, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en appelant une mise à niveau. Dans l’interface de ligne de commande, cela se traduirait par az vmss update-instances. | DeployIfNotExists, Désactivé | 3.1.1 |
| Déployer Dependency Agent pour les machines virtuelles Linux | Déployez Dependency Agent pour les machines virtuelles Linux si l’image de machine virtuelle (SE) est dans la liste définie et que l’agent n’est pas installé. | deployIfNotExists | 5.0.0 |
| Déployer Dependency Agent pour les machines virtuelles Linux avec les paramètres d’argent Azure Monitoring | Déployez Dependency Agent pour les machines virtuelles Linux avec les paramètres d’argent Azure Monitoring si l’image de machine virtuelle (OS) figure dans la liste définie et que l’agent n’est pas installé. | DeployIfNotExists, Désactivé | 3.1.1 |
| Déployer Dependency Agent à activer sur les groupes de machines virtuelles identiques Windows avec les paramètres d’agent Azure Monitor | Déployez Dependency Agent pour les groupe de machines virtuelles identiques Windows avec les paramètres d’agent Azure Monitor si l’image de machine virtuelle figure dans la liste définie et que l’agent n’est pas installé. Si l’upgradePolicy de votre groupe identique est définie sur Manuelle, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en les mettant à jour. | DeployIfNotExists, Désactivé | 1.2.2 |
| Déployer Dependency Agent à activer sur les machines virtuelles Windows avec les paramètres d’agent Azure Monitor | Déployez Dependency Agent pour les machines virtuelles Windows avec les paramètres d’agent Azure Monitor si l’image de machine virtuelle figure dans la liste définie et que l’agent n’est pas installé. | DeployIfNotExists, Désactivé | 1.2.2 |
| Déployez l’extension Log Analytics pour les groupes de machines virtuelles identiques Linux. Voir l’avis de dépréciation ci-dessous | Déployez l’extension Log Analytics pour des groupes de machines virtuelles identiques Linux si l’image de machine virtuelle (système d’exploitation) figure dans la liste définie et que l’extension n’est pas installée. Remarque : Si la valeur upgradePolicy du groupe identique est définie sur Manuel, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en appelant une mise à niveau. Dans l’interface de ligne de commande, cela se traduirait par az vmss update-instances. Avis de dépréciation : l’agent Log Analytics ne sera plus pris en charge après le 31 août 2024. Vous devez migrer avant cette date vers « l’Agent Azure Monitor » qui le remplace | deployIfNotExists | 3.0.0 |
| Déployez l’extension Log Analytics pour des machines virtuelles Linux. Voir l’avis de dépréciation ci-dessous | Déployez l’extension Log Analytics pour les machines virtuelles Linux si l’image de machine virtuelle (système d’exploitation) figure dans la liste définie et que l’extension n’est pas installée. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer avant cette date vers « l’Agent Azure Monitor » qui le remplace | deployIfNotExists | 3.0.0 |
| Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Les ressources d’accès au disque doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les disques et image de système d’exploitation doivent prendre en charge TrustedLaunch | TrustedLaunch améliore la sécurité d’une machine virtuelle qui exige qu’un disque de système d’exploitation et qu’une image de système d’exploitation le prennent en charge (Gen 2). Pour obtenir plus d’informations sur TrustedLaunch, visiter https://aka.ms/trustedlaunch | Audit, Désactivé | 1.0.0 |
| Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines | Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Les solutions de protection des points de terminaison Azure Security Center prises en charge sont documentées ici : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L’évaluation de la protection des points de terminaison est documentée ici : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Désactivé | 1.0.0 |
| Endpoint Protection doit être installé sur vos machines | Pour protéger vos machines contre les menaces et les vulnérabilités, installez une solution de protection des points de terminaison prise en charge. | AuditIfNotExists, Désactivé | 1.0.0 |
| La solution de protection du point de terminaison doit être installée sur les groupes de machines virtuelles identiques | Vérifiez l’existence et l’intégrité d’une solution Endpoint Protection dans vos groupes de machines virtuelles identiques, pour les protéger des menaces et des vulnérabilités. | AuditIfNotExists, Désactivé | 3.0.0 |
| L’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.3 |
| Hotpatch doit être activé pour les machines virtuelles Windows Server Azure Edition | Réduisez les redémarrages et installez rapidement les mises à jour avec les mises à jour correctives à chaud. Pour en savoir plus, voir https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Audit, Refuser, Désactivé | 1.0.0 |
| Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. | AuditIfNotExists, Désactivé | 2.2.0 |
| Les machines Linux doivent disposer uniquement de comptes locaux autorisés | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. La gestion des comptes d’utilisateur à l’aide d’Azure Active Directory est une bonne pratique pour la gestion des identités. La réduction des comptes de machine locale permet d’empêcher la prolifération des identités managées en dehors d’un système central. Les machines ne sont pas conformes s’il existe des comptes d’utilisateur locaux activés et non listés dans le paramètre de stratégie. | AuditIfNotExists, Désactivé | 2.2.0 |
| L’agent Azure Monitor doit être installé sur les machines virtuelles Linux | Les groupes de machines virtuelles identiques Linux doivent être supervisés et sécurisés par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Cette stratégie effectue un audit des groupes de machines virtuelles identiques avec des images de système d’exploitation prises en charge dans les régions prises en charge. En savoir plus : https://aka.ms/AMAOverview. | AuditIfNotExists, Désactivé | 3.2.0 |
| Les machines virtuelles Linux doivent activer Azure Disk Encryption ou EncryptionAtHost. | Bien que le système d’exploitation et les disques de données d’une machine virtuelle soient chiffrés au repos par défaut à l’aide de clés managées par la plateforme, les disques de ressource (disques temporaires), les caches de données et les flux de données entre les ressources de calcul et de stockage ne sont pas chiffrés. Utilisez Azure Disk Encryption ou EncryptionAtHost pour y remédier. Consultez https://aka.ms/diskencryptioncomparison pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.2.1 |
| L’agent Azure Monitor doit être installé sur les machines virtuelles Linux | Les machines virtuelles Linux doivent être supervisées et sécurisées par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Cette stratégie effectue un audit des machines virtuelles avec des images de système d’exploitation prises en charge dans les régions prises en charge. En savoir plus : https://aka.ms/AMAOverview. | AuditIfNotExists, Désactivé | 3.2.0 |
| Les méthodes d’authentification locales doivent être désactivées sur les ordinateurs Linux | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les serveurs Linux n’ont pas les méthodes d’authentification locales désactivées. Cela permet de valider que les serveurs Linux ne sont accessibles qu’à un compte AAD (Azure Active Directory) ou à une liste d’utilisateurs explicitement autorisés par cette stratégie, ce qui améliore la posture de sécurité globale. | AuditIfNotExists, Désactivé | 1.2.0-preview |
| Les méthodes d’authentification locales doivent être désactivées sur Serveurs Windows | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les serveurs Windows n’ont pas les méthodes d’authentification locales désactivées. Cela permet de valider que les serveurs Windows ne sont accessibles qu’à un compte AAD (Azure Active Directory) ou à une liste d’utilisateurs explicitement autorisés par cette stratégie, ce qui améliore la posture de sécurité globale. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| Vous devez installer l’agent d’analytique des journaux d’activité sur vos instances de rôle Services cloud (support étendu) | Security Center collecte les données de vos instances de rôle Services cloud (support étendu) pour surveiller les vulnérabilités et les menaces liées à la sécurité. | AuditIfNotExists, Désactivé | 2.0.0 |
| L’agent Log Analytics doit être installé sur votre machine virtuelle pour la supervision Azure Security Center | Cette stratégie audite les machines virtuelles Windows/Linux si l’agent Log Analytics, que Security Center utilise pour superviser les vulnérabilités et les menaces liées à la sécurité, n’est pas installé | AuditIfNotExists, Désactivé | 1.0.0 |
| L’agent Log Analytics doit être installé sur vos groupes de machines virtuelles identiques pour la supervision Azure Security Center | Azure Security Center collecte des données à partir de vos machines virtuelles Azure pour surveiller les menaces et vulnérabilités de sécurité. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles listées | Signale que les groupes de machines virtuelles identiques ne sont pas conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. | AuditIfNotExists, Désactivé | 2.0.1 |
| Les machines doivent être configurées pour rechercher régulièrement les mises à jour système manquantes | Pour garantir que les évaluations périodiques des mises à jour système manquantes sont déclenchées automatiquement toutes les 24 heures, la propriété AssessmentMode doit être définie sur « AutomaticByPlatform ». Découvrez-en plus sur la propriété AssessmentMode pour Windows : https://aka.ms/computevm-windowspatchassessmentmode, pour Linux : https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Refuser, Désactivé | 3.7.0 |
| Les machines doivent avoir des résultats du secret résolus | Audite les machines virtuelles pour détecter si elles contiennent des résultats de secrets provenant des solutions d’analyse des secrets sur vos machines virtuelles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Les disques managés doivent être doublement chiffrés avec des clés gérées par la plateforme et des clés gérées par le client | Les clients sensibles haute sécurité qui sont concernés par les risques associés à un algorithme de chiffrement particulier, une implémentation ou une clé compromise, peuvent choisir une couche supplémentaire de chiffrement à l’aide d’un algorithme/mode de chiffrement différent au niveau de la couche d’infrastructure à l’aide de clés de chiffrement gérées par la plateforme. Les jeux de chiffrement de disque sont requis pour utiliser le chiffrement double. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-doubleEncryption. | Audit, Refuser, Désactivé | 1.0.0 |
| Les disques managés doivent désactiver l’accès au réseau public | La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que le disque managé ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition des disques managés. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disksprivatelinksdoc. | Audit, Désactivé | 2.0.0 |
| Les disques managés doivent utiliser un jeu de chiffrement de disque spécifique pour le chiffrement à clé géré par le client | Exiger un ensemble spécifique de jeux de chiffrement de disque à utiliser avec les disques gérés vous donne le contrôle des clés utilisées pour le chiffrement au repos. Vous pouvez sélectionner les jeux chiffrés autorisés, et tous les autres sont rejetés lorsqu’ils sont attachés à un disque. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-cmk. | Audit, Refuser, Désactivé | 2.0.0 |
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
| Les ports de gestion doivent être fermés sur vos machines virtuelles | Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. | AuditIfNotExists, Désactivé | 3.0.0 |
| Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection | Cette stratégie permet d’effectuer un audit de toutes les machines virtuelles Windows non configurées avec la mise à jour automatique des signatures de protection de Microsoft Antimalware. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’extension Microsoft IaaSAntimalware doit être déployée sur des serveurs Windows | Cette stratégie permet d’auditer toute machine virtuelle Windows Server sans extension Microsoft IaaSAntimalware déployée. | AuditIfNotExists, Désactivé | 1.1.0 |
| Superviser les agents Endpoint Protection manquants dans Azure Security Center | Les serveurs sans agent Endpoint Protection installé seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Seules les extensions de machine virtuelle approuvées doivent être installées | Cette stratégie régit les extensions de machine virtuelle qui ne sont pas approuvées. | Audit, Refuser, Désactivé | 1.0.0 |
| Les disques de système d’exploitation et de données doivent être chiffrés avec une clé gérée par le client | Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos disques managés. Par défaut, les données sont chiffrées au repos avec des clés gérées par la plateforme. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-cmk. | Audit, Refuser, Désactivé | 3.0.0 |
| Les points de terminaison privés pour les affectations de Guest Configuration doivent être activés | Les connexions de points de terminaison privés appliquent une communication sécurisée en activant la connectivité privée à Guest Configuration pour les machines virtuelles. Les machines virtuelles seront non conformes à moins qu’elles comportent l’étiquette « EnablePrivateNetworkGC ». Cette étiquette applique une communication sécurisée par le biais d’une connectivité privée à Guest Configuration pour les machines virtuelles. La connectivité privée limite l’accès au trafic provenant de réseaux connus et empêche l’accès à partir de toutes les autres adresses IP, notamment dans Azure. | Audit, Refuser, Désactivé | 1.1.0 |
| Protégez vos données avec des exigences d’authentification lors de l’exportation ou du chargement sur un disque ou un instantané. | Lorsque l’URL d’exportation/chargement est utilisée, le système vérifie si l’utilisateur dispose d’une identité dans Azure Active Directory, avec des autorisations nécessaires pour exporter/charger les données. Consultez la page aka.ms/DisksAzureADAuth. | Modifier, Désactivé | 1.0.0 |
| Exiger la mise à jour corrective automatique de l’image du système d’exploitation sur les groupes de machines virtuelles identiques | Cette stratégie applique l’activation de la mise à jour corrective automatique des images de système d’exploitation sur les groupes de machines virtuelles identiques afin d’assurer la sécurité des machines virtuelles par l’application sécurisée mensuelle des derniers correctifs de sécurité. | deny | 1.0.0 |
| Planifier des mises à jour régulières à l’aide d’Azure Update Manager | Vous pouvez utiliser Azure Update Manager dans Azure pour enregistrer des planifications de déploiement périodiques afin d’installer des mises à jour du système d’exploitation pour vos machines Windows Server et Linux dans Azure, dans des environnements locaux et dans d’autres environnements cloud connectés à l’aide de serveurs avec Azure Arc. Cette stratégie modifie également le mode de correctif de la machine virtuelle Azure en « AutomaticByPlatform ». Pour en savoir plus : https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Désactivé | 3.10.0 |
| Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus | L'évaluation des vulnérabilités SQL analyse votre base de données à la recherche de vulnérabilités de sécurité et expose tout écart par rapport aux meilleures pratiques, tel que les erreurs de configuration, les autorisations excessives et les données sensibles non protégées. La résolution des vulnérabilités détectées peut améliorer considérablement la posture de sécurité de votre base de données. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées | Vérifiez si des mises à jour de sécurité système et des mises à jour critiques sont manquantes et doivent être installées pour assurer la sécurité de vos groupes de machines virtuelles identiques Windows et Linux. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les mises à jour système doivent être installées sur vos machines | Les mises à jour système de sécurité manquantes sur vos serveurs seront supervisées par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 4.0.0 |
| L’extension Log Analytics héritée ne doit pas être installée sur des groupes de machines virtuelles identiques Linux | Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des groupes de machines virtuelles identiques Linux. En savoir plus : https://aka.ms/migratetoAMA | Refus, Audit, Désactivation | 1.0.0 |
| L’extension Log Analytics héritée ne doit pas être installée sur des machines virtuelles Linux | Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des machines virtuelles Linux. En savoir plus : https://aka.ms/migratetoAMA | Refus, Audit, Désactivation | 1.0.0 |
| L’extension Log Analytics héritée ne doit pas être installée sur des groupes de machines virtuelles identiques | Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des groupes de machines virtuelles identiques Windows. En savoir plus : https://aka.ms/migratetoAMA | Refus, Audit, Désactivation | 1.0.0 |
| L’extension Log Analytics héritée ne doit pas être installée sur des machines virtuelles | Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des machines virtuelles identiques Windows. En savoir plus : https://aka.ms/migratetoAMA | Refus, Audit, Désactivation | 1.0.0 |
| L’extension Log Analytics doit être installée sur les groupes de machines virtuelles identiques | Cette stratégie audite les groupes de machines virtuelles identiques Windows/Linux si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1 |
| TrustedLaunch doit être activé sur une machine virtuelle | Activez TrustedLaunch sur une machine virtuelle pour renforcer la sécurité, utilisez une référence SKU de machine virtuelle (Gen 2) qui prend en charge TrustedLaunch. Pour obtenir plus d’informations sur TrustedLaunch, visiter https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Audit, Désactivé | 1.0.0 |
| Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé | Utilisez le chiffrement sur l’hôte pour obtenir un chiffrement de bout en bout pour vos données de machine virtuelle et de groupes de machines virtuelles identiques. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. Pour en savoir plus, rendez-vous sur https://aka.ms/vm-hbe. | Audit, Refuser, Désactivé | 1.0.0 |
| Les machines virtuelles doivent être connectées à un espace de travail spécifié | Les machines virtuelles dont la journalisation ne s’effectue pas sur l’espace de travail Log Analytics spécifié dans l’attribution de stratégie/d’initiative sont signalées comme non conformes. | AuditIfNotExists, Désactivé | 1.1.0 |
| Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité. | Audit, Refuser, Désactivé | 1.0.0 |
| Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage | Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires, les caches de données et le flux de données entre le calcul et le stockage ne sont pas chiffrés. Ignorez cette recommandation dans les deux cas suivants : Vous utilisez le chiffrement sur l’hôte. Le chiffrement côté serveur des Disques managés répond à vos besoins en matière de sécurité. Pour en savoir plus, consultez : Chiffrement côté serveur de Stockage sur disque Azure : https://aka.ms/disksse, Différentes offres de chiffrement de disque : https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Désactivé | 2.0.3 |
| L’extension Log Analytics doit être installée sur les machines virtuelles | Cette stratégie audite toutes les machines virtuelles Windows/Linux si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
| Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées | Auditer les vulnérabilités dans la configuration de sécurité sur les machines où Docker est installé et afficher en tant que recommandations dans Azure Security Center. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.1.0 |
| Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées | Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows Defender Exploit Guard doit être activé sur vos machines | Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). | AuditIfNotExists, Désactivé | 2.0.0 |
| Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. | AuditIfNotExists, Désactivé | 4.1.1 |
| Les machines Windows doivent configurer Windows Defender pour mettre à jour les signatures de protection dans un délai d’un jour | Pour fournir une protection adéquate contre les nouveaux programmes malveillants, les signatures de protection Windows Defender doivent être mises à jour régulièrement pour tenir compte des nouveaux programmes malveillants. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les machines Windows doivent activer la protection en temps réel Windows Defender | Les machines Windows doivent activer la protection en temps réel dans Windows Defender pour fournir une protection adéquate contre les nouveaux programmes malveillants. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les machines Windows doivent répondre aux exigences de « Modèles d’administration - Panneau de configuration » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d’administration - Panneau de configuration » pour la personnalisation de l’entrée et la prévention de l’activation des écrans de verrouillage. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Modèles d’administration - MSS (hérité) » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d’administration - MSS (hérité) » pour l’ouverture de session automatique, l’économiseur d’écran, le comportement réseau, la DLL sécurisée et le journal des événements. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Modèles d’administration - Réseau » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d’administration - Réseau » pour les ouvertures de session d’invité, les connexions simultanées, le pont réseau, ICS et la résolution de noms de multidiffusion. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Modèles d’administration - Système » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d’administration - Système » pour les paramètres qui contrôlent l’expérience administrative et l’assistance à distance. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Comptes » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Comptes » pour limiter l’utilisation par le compte local de mots de passe vides et pour l’état du compte Invité. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Audit » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Audit » pour forcer les sous-catégories de stratégie d’audit et pour l’arrêt en cas d’incapacité à journaliser les audits de sécurité. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Appareils » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Appareils » pour la désancrage sans ouverture de session, l’installation des pilotes d’impression et le formatage/éjection de médias. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Ouverture de session interactive » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Ouverture de session interactive » pour afficher le nom du dernier utilisateur et exiger Ctrl-Alt-Suppr. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences pour « Options de sécurité - Client réseau Microsoft » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Serveur réseau Microsoft » pour le client/serveur réseau Microsoft et SMB v1. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Serveur réseau Microsoft » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Serveur réseau Microsoft » pour désactiver le serveur SMB v1. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Accès réseau » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Accès réseau » pour inclure l’accès des utilisateurs anonymes, des comptes locaux et l’accès à distance au Registre. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Sécurité réseau » pour inclure le comportement du système local, PKU2U, LAN Manager, le client LDAP et NTLM SSP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Console de récupération » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Console de récupération » pour autoriser la copie de disquettes et l’accès à tous les lecteurs et dossiers. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Arrêt » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Arrêt » pour autoriser l’arrêt sans ouverture de session et l’effacement du fichier d’échange de mémoire virtuelle. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Objets système » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Objets système » pour le non-respect de la casse pour les sous-systèmes non-Windows et les autorisations des objets système internes. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Paramètres système » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Paramètres système » pour les règles de certificat sur les exécutables pour SRP et les sous-systèmes facultatifs. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Contrôle de compte d’utilisateur » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Contrôle de compte d’utilisateur » pour le mode pour les administrateurs, le comportement d’invite d’élévation et la virtualisation des échecs d’écriture dans les fichiers et les registres. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Paramètres de sécurité - Stratégies de compte » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Paramètres de sécurité - Stratégies de compte » pour l’historique, l’âge, la longueur et la complexité des mots de passe, et leur stockage à l’aide du chiffrement réversible. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Connexion de compte » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Connexion de compte » pour l’audit de la validation des informations d’identification et d’autres événements d’ouverture de session de compte. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Gestion de compte » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Gestion de compte » pour l’audit de la gestion des applications, de la sécurité et des groupes d’utilisateurs, et d’autres événements de gestion. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Suivi détaillé » pour auditer DPAPI, la création/fin des processus, les événements RPC et l’activité PNP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Ouverture et fermeture de session » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Ouverture et fermeture de session » pour l’audit d’IPSec, de la stratégie réseau, des revendications, du verrouillage de compte, de l’appartenance au groupe et des événements d’ouverture/de fermeture de session. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Accès aux objets » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Accès aux objets » pour l’audit des fichiers, du Registre, de SAM, du stockage, du filtrage, du noyau et d’autres types de système. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Changement de stratégie » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Changement de stratégie » pour l’audit des modifications apportées aux stratégies d’audit du système. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Utilisation de privilège » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Utilisation de privilège » pour l’audit de l’utilisation des privilèges non sensibles et autres. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Système » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Système » pour l’audit du pilote IPsec, de l’intégrité du système, de l’extension système, du changement d’état et d’autres événements système. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Attribution de droits de l’utilisateur » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Attribution de droits de l’utilisateur » pour autoriser l’ouverture de session localement, RDP, l’accès à partir du réseau et plusieurs autres activités utilisateur. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Composants Windows » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Composants Windows » pour l’authentification de base, le trafic non chiffré, les comptes Microsoft, la télémétrie, Cortana et d’autres comportements de Windows. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Propriétés de pare-feu Windows » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Propriétés de pare-feu Windows » pour l’état du pare-feu, les connexions, la gestion des règles et les notifications. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les machines Windows doivent disposer uniquement de comptes locaux autorisés | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Cette définition n’est pas prise en charge sur Windows Server 2012 ou 2012 R2. La gestion des comptes d’utilisateur à l’aide d’Azure Active Directory est une bonne pratique pour la gestion des identités. La réduction des comptes de machine locale permet d’empêcher la prolifération des identités managées en dehors d’un système central. Les machines ne sont pas conformes s’il existe des comptes d’utilisateur locaux activés et non listés dans le paramètre de stratégie. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les machines Windows doivent planifier Windows Defender pour effectuer une analyse planifiée tous les jours | Pour garantir une détection rapide des programmes malveillants et réduire leur impact sur votre système, nous vous recommandons de planifier une analyse quotidienne sur les machines Windows avec Windows Defender. Veuillez vérifier que Windows Defender est pris en charge, préinstallé sur l’appareil et que les éléments prérequis par Guest Configuration sont déployés. Le non-respect de ces exigences peut entraîner des résultats d’évaluation imprécis. Vous pouvez obtenir plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.2.0 |
| Les machines Windows doivent utiliser le serveur NTP par défaut | Configurez « time.windows.com » comme serveur NTP par défaut pour toutes les machines Windows pour vous assurer que les journaux d’activité sur tous les systèmes ont des horloges système synchronisées. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’agent Azure Monitor doit être installé sur les groupes de machines virtuelles identiques Windows | Les groupes de machines virtuelles identiques Windows doivent être supervisés et sécurisés par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Les groupes de machines virtuelles identiques avec un système d’exploitation pris en charge et dans les régions prises en charge sont supervisés pour le déploiement de l’agent Azure Monitor. En savoir plus : https://aka.ms/AMAOverview. | AuditIfNotExists, Désactivé | 3.2.0 |
| Les machines virtuelles Windows doivent activer Azure Disk Encryption ou EncryptionAtHost. | Bien que le système d’exploitation et les disques de données d’une machine virtuelle soient chiffrés au repos par défaut à l’aide de clés managées par la plateforme, les disques de ressource (disques temporaires), les caches de données et les flux de données entre les ressources de calcul et de stockage ne sont pas chiffrés. Utilisez Azure Disk Encryption ou EncryptionAtHost pour y remédier. Consultez https://aka.ms/diskencryptioncomparison pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.1.1 |
| L’agent Azure Monitor doit être installé sur les machines virtuelles Windows | Les machines virtuelles Windows doivent être supervisées et sécurisées par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Les machines virtuelles Windows avec un système d’exploitation pris en charge et dans les régions prises en charge sont supervisées pour le déploiement de l’agent Azure Monitor. En savoir plus : https://aka.ms/AMAOverview. | AuditIfNotExists, Désactivé | 3.2.0 |
Microsoft.ClassicCompute
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines | Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. | AuditIfNotExists, Désactivé | 3.0.0 |
| Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour | Supervisez les changements de comportement sur les groupes de machines configurés pour être audités par les contrôles d’application adaptatifs d’Azure Security Center. Security Center utilise le Machine Learning pour analyser les processus en cours d’exécution sur vos machines, et suggérer une liste d’applications reconnues fiables. Elles sont présentées comme des applications recommandées à autoriser dans les stratégies de contrôles d’application adaptatifs. | AuditIfNotExists, Désactivé | 3.0.0 |
| Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines | Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Les solutions de protection des points de terminaison Azure Security Center prises en charge sont documentées ici : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L’évaluation de la protection des points de terminaison est documentée ici : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Désactivé | 1.0.0 |
| Endpoint Protection doit être installé sur vos machines | Pour protéger vos machines contre les menaces et les vulnérabilités, installez une solution de protection des points de terminaison prise en charge. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
| L’agent Log Analytics doit être installé sur votre machine virtuelle pour la supervision Azure Security Center | Cette stratégie audite les machines virtuelles Windows/Linux si l’agent Log Analytics, que Security Center utilise pour superviser les vulnérabilités et les menaces liées à la sécurité, n’est pas installé | AuditIfNotExists, Désactivé | 1.0.0 |
| Les machines doivent avoir des résultats du secret résolus | Audite les machines virtuelles pour détecter si elles contiennent des résultats de secrets provenant des solutions d’analyse des secrets sur vos machines virtuelles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Les ports de gestion doivent être fermés sur vos machines virtuelles | Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. | AuditIfNotExists, Désactivé | 3.0.0 |
| Superviser les agents Endpoint Protection manquants dans Azure Security Center | Les serveurs sans agent Endpoint Protection installé seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les mises à jour système doivent être installées sur vos machines | Les mises à jour système de sécurité manquantes sur vos serveurs seront supervisées par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 4.0.0 |
| Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité. | Audit, Refuser, Désactivé | 1.0.0 |
| Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage | Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires, les caches de données et le flux de données entre le calcul et le stockage ne sont pas chiffrés. Ignorez cette recommandation dans les deux cas suivants : Vous utilisez le chiffrement sur l’hôte. Le chiffrement côté serveur des Disques managés répond à vos besoins en matière de sécurité. Pour en savoir plus, consultez : Chiffrement côté serveur de Stockage sur disque Azure : https://aka.ms/disksse, Différentes offres de chiffrement de disque : https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Désactivé | 2.0.3 |
| Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées | Auditer les vulnérabilités dans la configuration de sécurité sur les machines où Docker est installé et afficher en tant que recommandations dans Azure Security Center. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.1.0 |
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.