Beépített Azure Policy-definíciók Azure Arc-kompatibilis kiszolgálókhoz
Ez a lap az Azure Policy beépített szabályzatdefinícióinak indexe az Azure Arc-kompatibilis kiszolgálókhoz. További beépített Azure Policy-beépített szolgáltatásokért lásd az Azure Policy beépített definícióit.
Az egyes beépített szabályzatdefiníciók neve az Azure Portal szabályzatdefiníciójára hivatkozik. A Verzió oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.
Azure Arc-kompatibilis kiszolgálók
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A gépeken engedélyezni kell a felügyelt identitást | Az Automanage által felügyelt erőforrásoknak felügyelt identitással kell rendelkezniük. | Naplózás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: SSH-helyzetvezérlés naplózása Linux rendszerű gépeken | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha az SSH-kiszolgáló nincs biztonságosan konfigurálva a Linux rendszerű gépeken. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az automatikusan felügyelt konfigurációs profil hozzárendelésének megfelelőnek kell lennie | Az Automanage által kezelt erőforrásoknak konform vagy konformant javítási állapotúnak kell lennie. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Linux Arc-gépekre | Telepítse az Azure Security-ügynököt a Linux Arc-gépekre, hogy a gépek biztonsági konfigurációit és biztonsági réseit monitorozza. Az értékelések eredményei az Azure Security Centerben tekinthetők meg és kezelhetők. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Windows Arc-gépekre | Telepítse az Azure Security-ügynököt a Windows Arc-gépekre, hogy figyelhesse a gépeket a biztonsági konfigurációk és a biztonsági rések szempontjából. Az értékelések eredményei az Azure Security Centerben tekinthetők meg és kezelhetők. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Linux Arc-gépen | Telepítse a ChangeTracking bővítményt Linux Arc-gépekre, hogy engedélyezze a fájlintegritási monitorozást (FIM) az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitoring Agent által támogatott virtuális gépekre és helyekre. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Windows Arc-gépen | Telepítse a ChangeTracking bővítményt Windows Arc-gépekre a fájlintegritási monitorozás (FIM) azure Security Centerben való engedélyezéséhez. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitoring Agent által támogatott virtuális gépekre és helyekre. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Azure Arc-kompatibilis Linux-gépek konfigurálása az alapértelmezett Log Analytics-munkaterülethez csatlakoztatott Log Analytics-ügynökökkel | Az Azure Arc-kompatibilis Linux-gépek védelme Felhőhöz készült Microsoft Defender képességekkel, olyan Log Analytics-ügynökök telepítésével, amelyek adatokat küldenek a Felhőhöz készült Microsoft Defender által létrehozott alapértelmezett Log Analytics-munkaterületre. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Azure Arc-kompatibilis Windows-gépek konfigurálása az alapértelmezett Log Analytics-munkaterülethez csatlakoztatott Log Analytics-ügynökökkel | Az Azure Arc-kompatibilis Windows-gépek védelme Felhőhöz készült Microsoft Defender képességekkel, ha olyan Log Analytics-ügynököket telepít, amelyek adatokat küldenek az Felhőhöz készült Microsoft Defender által létrehozott alapértelmezett Log Analytics-munkaterületre. | DeployIfNotExists, Disabled | 1.1.0-előzetes verzió |
| [Előzetes verzió]: ChangeTracking-bővítmény konfigurálása Linux Arc-gépekhez | Linux Arc-gépek konfigurálása a ChangeTracking-bővítmény automatikus telepítéséhez a fájlintegritási monitorozás (FIM) Azure Security Centerben való engedélyezéséhez. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: ChangeTracking bővítmény konfigurálása Windows Arc-gépekhez | Konfigurálja a Windows Arc-gépeket a ChangeTracking-bővítmény automatikus telepítéséhez, hogy engedélyezze a fájlintegritási monitorozást (FIM) az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Linux Arc-kompatibilis gépek konfigurálása a ChangeTracking és az Inventory adatgyűjtő szabályához való társításához | Társítás telepítése Linux Arc-kompatibilis gépek adott adatgyűjtési szabályhoz való csatolásához a ChangeTracking és az Inventory engedélyezéséhez. A helyek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Linux Arc-kompatibilis gépek konfigurálása a ChangeTracking és az Inventory AMA telepítéséhez | Automatizálhatja az Azure Monitor Agent bővítmény üzembe helyezését Linux Arc-kompatibilis gépeken a ChangeTracking és az Inventory engedélyezéséhez. Ez a szabályzat telepíti a bővítményt, ha a régió támogatott. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0-előzetes verzió |
| [Előzetes verzió]: SSH-helytartás-vezérlés konfigurálása Linux rendszerű gépeken | Ez a szabályzat létrehoz egy vendégkonfigurációs hozzárendelést az SSH-helyzetvezérlés linuxos gépeken való beállításához. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Linux Arc-gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez | Konfigurálja a támogatott Linux Arc-gépeket az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. A cél Linux Arc-gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Windows Arc-gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez | A támogatott Windows Arc-gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. A cél Windows Arc-gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Konfigurálja a Windows Arc-kompatibilis gépeket úgy, hogy a ChangeTracking és az Inventory adatgyűjtési szabályához legyenek társítva | Társítás üzembe helyezése a Windows Arc-kompatibilis gépek adott adatgyűjtési szabályhoz való csatolásához a ChangeTracking és az Inventory engedélyezéséhez. A helyek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Windows Arc-kompatibilis gépek konfigurálása a ChangeTracking és az Inventory AMA telepítéséhez | Automatizálhatja az Azure Monitor Agent bővítmény üzembe helyezését a Windows Arc-kompatibilis gépeken a ChangeTracking és az Inventory engedélyezéséhez. Ez a szabályzat telepíti a bővítményt, ha az operációs rendszer és a régió támogatott, és a rendszer által hozzárendelt felügyelt identitás engedélyezve van, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Konfigurálja a Windows Servert a helyi felhasználók letiltására. | Létrehoz egy vendégkonfigurációs hozzárendelést a helyi felhasználók letiltásának konfigurálásához a Windows Serveren. Ez biztosítja, hogy a Windows-kiszolgálókhoz csak AAD-fiók (Azure Active Directory) fiók vagy a szabályzat által explicit módon engedélyezett felhasználók listája férhessen hozzá, ezáltal javítva az általános biztonsági helyzetet. | DeployIfNotExists, Disabled | 1.2.0-előzetes verzió |
| [Előzetes verzió]: Megtagadhatja a kiterjesztett biztonsági frissítések (ESU-k) licencének létrehozását vagy módosítását. | Ez a szabályzat lehetővé teszi, hogy korlátozza a Windows Server 2012 Arc-gépek ESU-licenceinek létrehozását vagy módosítását. A díjszabásról további információt a https://aka.ms/ArcWS2012ESUPricing | Megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Végponthoz készült Microsoft Defender-ügynök üzembe helyezése linuxos hibrid gépeken | Az Végponthoz készült Microsoft Defender-ügynök telepítése linuxos hibrid gépeken | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-előzetes verzió |
| [Előzetes verzió]: Végponthoz készült Microsoft Defender-ügynök üzembe helyezése Windows Azure Arc-gépeken | Üzembe helyezi a Végponthoz készült Microsoft Defender Windows Azure Arc-gépeken. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-előzetes verzió |
| [Előzetes verzió]: Engedélyezze a kiterjesztett biztonsági frissítések (ESU-k) licencet, hogy a Windows 2012 rendszerű gépek védve legyenek a támogatási életciklusuk befejeződése után. | Engedélyezze a kiterjesztett biztonsági frissítések (ESU-k) licencet, hogy a Windows 2012 rendszerű gépek a támogatási életciklusuk befejeződése után is védve legyenek. További információ a Windows Server 2012 kiterjesztett biztonsági frissítéseinek AzureArcon https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updateskeresztüli kézbesítéséről. A díjszabásról további információt a https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A kiterjesztett biztonsági frissítéseket Windows Server 2012 Arc rendszerű gépeken kell telepíteni. | A Windows Server 2012 Arc-gépeknek telepíteniük kell a Microsoft által kiadott kiterjesztett biztonsági frissítéseket. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. Részletekért látogasson el a https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A Linux-gépeknek meg kell felelniük a Docker-gazdagépek Azure-beli biztonsági alapkonfigurációjának követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gép nincs megfelelően konfigurálva a Docker-gazdagépekhez készült Azure biztonsági alapkonfiguráció egyik javaslatához. | AuditIfNotExists, Disabled | 1.2.0-előzetes verzió |
| [Előzetes verzió]: A Linux-gépeknek meg kell felelniük az Azure Compute STIG megfelelőségi követelményének | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure Compute STIG megfelelőségi követelményének egyik javaslatához. A DISA (Defense Information Systems Agency) műszaki útmutatókat biztosít az STIG (Security Technical Implementation Guide) szolgáltatáshoz a számítási operációs rendszer védelméhez a Védelmi Minisztérium (DoD) által előírtak szerint. További részletek: https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.2.0-előzetes verzió |
| [Előzetes verzió]: Az OMI-vel rendelkező Linux-gépeken az 1.6.8-1-es vagy újabb verziónak kell lennie | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A Linuxhoz készült OMI-csomag 1.6.8-1-es verziójában található biztonsági javítás miatt minden gépet frissíteni kell a legújabb kiadásra. Frissítse az OMI-t használó alkalmazásokat/csomagokat a probléma megoldásához. További információ: https://aka.ms/omiguidance. | AuditIfNotExists, Disabled | 1.2.0-előzetes verzió |
| [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Linux Azure Arc-gépekre | Ez a szabályzat naplózza a Linux Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1-előzetes verzió |
| [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépekre | Ez a szabályzat naplózza a Windows Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1-előzetes verzió |
| [Előzetes verzió]: A Nexus számítási gépeknek meg kell felelniük a biztonsági alapkonfigurációnak | Az Azure Policy vendégkonfigurációs ügynökét használja a naplózáshoz. Ez a szabályzat biztosítja, hogy a gépek betartsák a Nexus számítási biztonsági alapkonfigurációját, beleértve a különböző javaslatokat, amelyek a gépek biztonsági rések és nem biztonságos konfigurációk széles körének (csak Linux) védelmére szolgálnak. | AuditIfNotExists, Disabled | 1.1.0-előzetes verzió |
| [Előzetes verzió]: A rendszerfrissítéseket telepíteni kell a gépekre (az Update Center működteti) | A gépekről hiányoznak a rendszer, a biztonság és a kritikus frissítések. A szoftverfrissítések gyakran tartalmaznak kritikus javításokat a biztonsági lyukakhoz. Az ilyen lyukakat gyakran kihasználják a kártevők támadásai, ezért létfontosságú, hogy a szoftver frissüljön. Az összes kiugró javítás telepítéséhez és a gépek védelméhez kövesse a szervizelési lépéseket. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A Windows-gépeknek meg kell felelniük az Azure Compute STIG megfelelőségi követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure Compute STIG megfelelőségi követelményeinek egyik javaslatához. A DISA (Defense Information Systems Agency) műszaki útmutatókat biztosít az STIG (Security Technical Implementation Guide) szolgáltatáshoz a számítási operációs rendszer védelméhez a Védelmi Minisztérium (DoD) által előírtak szerint. További részletek: https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| Linux rendszerű gépek naplózása, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha olyan Linux rendszerű gépek, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | AuditIfNotExists, Disabled | 3.1.0 |
| Olyan Linux-gépek naplózása, amelyek nem rendelkeznek a passwd fájlengedélyekkel 0644-re állítva | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Linux-gépek, amelyek nem rendelkeznek a passwd fájlengedélyekkel, 0644-re vannak beállítva | AuditIfNotExists, Disabled | 3.1.0 |
| A megadott alkalmazásokkal nem rendelkező Linux-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a Chef InSpec erőforrás azt jelzi, hogy a paraméter által biztosított egy vagy több csomag nincs telepítve. | AuditIfNotExists, Disabled | 4.2.0 |
| Jelszó nélküli fiókokkal rendelkező Linux-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a linuxos gépek jelszó nélkül rendelkeznek fiókkal | AuditIfNotExists, Disabled | 3.1.0 |
| A megadott alkalmazásokkal rendelkező Linux-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a Chef InSpec erőforrás azt jelzi, hogy a paraméter által biztosított egy vagy több csomag telepítve van. | AuditIfNotExists, Disabled | 4.2.0 |
| A Rendszergazdák csoport egyik megadott tagját nem futtató Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a helyi Rendszergazdák csoport nem tartalmaz egy vagy több olyan tagot, amely szerepel a szabályzatparaméterben. | auditIfNotExists | 2.0.0 |
| Windows rendszerű gépek hálózati kapcsolatának naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha egy IP- és TCP-port hálózati kapcsolati állapota nem egyezik meg a házirend paraméterével. | auditIfNotExists | 2.0.0 |
| Windows rendszerű gépek naplózása, amelyeken a DSC-konfiguráció nem megfelelő | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a Get-DSCConfigurationStatus Windows PowerShell-parancs azt adja vissza, hogy a gép DSC-konfigurációja nem megfelelő. | auditIfNotExists | 3.0.0 |
| Olyan Windows-gépek naplózása, amelyeken a Log Analytics-ügynök nem a várt módon csatlakozik | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha az ügynök nincs telepítve, vagy ha telepítve van, de a COM-objektum, az AgentConfigManager.MgmtSvcCfg visszaadja, hogy a rendszer a szabályzatparaméterben megadott azonosítótól eltérő munkaterületen van regisztrálva. | auditIfNotExists | 2.0.0 |
| Olyan Windows-gépek naplózása, amelyeken a megadott szolgáltatások nincsenek telepítve, és "Fut" | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a Get-Service Windows PowerShell-parancs eredménye nem tartalmazza a szabályzatparaméter által megadott megfelelő állapotú szolgáltatásnevet. | auditIfNotExists | 3.0.0 |
| Olyan Windows-gépek naplózása, amelyeken a Windows soros konzol nincs engedélyezve | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gépre nincs telepítve a Soros konzol szoftvere, vagy ha az EMS-portszám vagy átviteli sebesség nincs a szabályzat paramétereivel megegyező értékekkel konfigurálva. | auditIfNotExists | 3.0.0 |
| Olyan Windows rendszerű gépek naplózása, amelyek lehetővé teszik a jelszavak újbóli használatát a megadott számú egyedi jelszó után | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépek lehetővé teszik a jelszavak ismételt használatát a megadott számú egyedi jelszó után. Az egyedi jelszavak alapértelmezett értéke 24 | AuditIfNotExists, Disabled | 2.1.0 |
| A megadott tartományhoz nem csatlakoztatott Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a WMI-osztály tartománytulajdonsága win32_computersystem értéke nem egyezik meg a szabályzatparaméter értékével. | auditIfNotExists | 2.0.0 |
| A megadott időzónára nem beállított Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a WMI-osztály StandardName tulajdonságának értéke Win32_TimeZone nem egyezik meg a szabályzatparaméterhez kiválasztott időzónával. | auditIfNotExists | 3.0.0 |
| A megadott számú napon belül lejáró tanúsítványokat tartalmazó Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a megadott tárolóban lévő tanúsítványok lejárati dátuma túllépi a paraméterként megadott napok számát. A szabályzat azt is lehetővé teszi, hogy csak adott tanúsítványokat keressen, vagy kizárjon bizonyos tanúsítványokat, és hogy a lejárt tanúsítványokról szeretne-e jelentést tenni. | auditIfNotExists | 2.0.0 |
| Olyan Windows-gépek naplózása, amelyek nem tartalmazzák a megadott tanúsítványokat a megbízható gyökérkönyvtárban | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a megbízható főtanúsítvány-tároló (Cert:\LocalMachine\Root) nem tartalmaz a házirendparaméter által felsorolt tanúsítványok közül egy vagy több tanúsítványt. | auditIfNotExists | 3.0.0 |
| A megadott számú napra beállított maximális jelszó-korhatárt nem tartalmazó Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken a jelszó maximális életkora nem meghatározott számú napra van beállítva. A jelszó maximális életkorának alapértelmezett értéke 70 nap | AuditIfNotExists, Disabled | 2.1.0 |
| A megadott számú napra beállított minimális jelszó-korhatárt nem tartalmazó Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken a jelszó minimális életkora nem meghatározott számú napra van beállítva. A jelszó minimális életkorának alapértelmezett értéke 1 nap | AuditIfNotExists, Disabled | 2.1.0 |
| Olyan Windows rendszerű gépek naplózása, amelyeken nincs engedélyezve a jelszó-összetettség beállítása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken nincs engedélyezve a jelszó-összetettség beállítása | AuditIfNotExists, Disabled | 2.0.0 |
| A megadott Windows PowerShell végrehajtási szabályzattal nem rendelkező Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a Windows PowerShell Get-ExecutionPolicy parancsa a szabályzatparaméterben kiválasztotttól eltérő értéket ad vissza. | AuditIfNotExists, Disabled | 3.0.0 |
| A megadott Windows PowerShell-modulokkal nem rendelkező Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha egy modul nem érhető el a PSModulePath környezeti változó által megadott helyen. | AuditIfNotExists, Disabled | 3.0.0 |
| Olyan Windows rendszerű gépek naplózása, amelyek nem korlátozzák a jelszó minimális hosszát megadott számú karakterre | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépek nem korlátozzák a jelszó minimális hosszát megadott számú karakterre. A jelszó minimális hosszának alapértelmezett értéke 14 karakter | AuditIfNotExists, Disabled | 2.1.0 |
| A jelszavakat nem reverzibilis titkosítással tároló Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Windows-gépek, amelyek nem tárolnak jelszavakat visszafejthető titkosítással | AuditIfNotExists, Disabled | 2.0.0 |
| A megadott alkalmazásokkal nem rendelkező Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha az alkalmazás neve nem található a következő beállításjegyzék-elérési utak egyikében sem: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| További fiókokkal rendelkező Windows-gépek naplózása a Rendszergazdák csoportban | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a helyi Rendszergazdák csoport olyan tagokat tartalmaz, amelyek nem szerepelnek a szabályzatparaméterben. | auditIfNotExists | 2.0.0 |
| A megadott számú napon belül nem újraindított Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a WMI LastBootUpTime tulajdonsága az Win32_Operatingsystem osztályban kívül esik a szabályzatparaméter által megadott napok tartományán. | auditIfNotExists | 2.0.0 |
| A megadott alkalmazásokkal rendelkező Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha az alkalmazás neve a következő beállításjegyzék-elérési utak valamelyikében található: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| A Rendszergazdák csoportban megadott tagokkal rendelkező Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a helyi Rendszergazdák csoport egy vagy több tagot tartalmaz a szabályzatparaméterben. | auditIfNotExists | 2.0.0 |
| Windows rendszerű virtuális gépek naplózása függőben lévő újraindítással | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép az alábbi okok bármelyike miatt újraindításra vár: összetevőalapú karbantartás, Windows Update, függőben lévő fájl átnevezése, függőben lévő számítógép átnevezése, konfigurációkezelő újraindításra vár. Minden észlelésnek egyedi beállításjegyzék-elérési útja van. | auditIfNotExists | 2.0.0 |
| A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek | Bár maga az SSH titkosított kapcsolatot biztosít, a jelszavak SSH-val való használata továbbra is sebezhetővé teszi a virtuális gépet a találgatásos támadások ellen. Az Azure Linux rendszerű virtuális gépek SSH-val történő hitelesítésének legbiztonságosabb lehetősége egy nyilvános és privát kulcspár, más néven SSH-kulcsok használata. További információ: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Az Azure Arc Private Link-hatóköröket privát végponttal kell konfigurálni | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Arc Private Link-hatókörökhöz való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/arc/privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure Arc Private Link-hatóköröknek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az Azure Arc-erőforrások nem tudnak csatlakozni a nyilvános interneten keresztül. Privát végpontok létrehozása korlátozhatja az Azure Arc-erőforrások expozícióját. További információ: https://aka.ms/arc/privatelink. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Arc-kompatibilis kiszolgálókat Azure Arc Private Link-hatókörrel kell konfigurálni | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha az Azure Arc-kompatibilis kiszolgálókat egy privát végponttal konfigurált Azure Arc Private Link-hatókörhöz társítja, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/arc/privatelink. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Konfigurálja az Arc-kompatibilis kiszolgálókat a telepített SQL Server-bővítménysel az SQL ajánlott eljárásainak felmérésének engedélyezéséhez vagy letiltásához. | Az ajánlott eljárások kiértékeléséhez engedélyezze vagy tiltsa le az SQL-beli ajánlott eljárások értékelését az Arc-kompatibilis kiszolgálókON található SQL Server-példányokon. További információ: https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, Disabled | 1.0.1 |
| Arc-kompatibilis SQL-kiszolgálók konfigurálása az Azure Monitor-ügynök automatikus telepítéséhez | Automatizálhatja az Azure Monitor Agent bővítmény üzembe helyezését a Windows Arc-kompatibilis SQL-kiszolgálókon. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0 |
| Arc-kompatibilis SQL-kiszolgálók konfigurálása az SQL-hez készült Microsoft Defender automatikus telepítéséhez | Konfigurálja a Windows Arc-kompatibilis SQL Servereket a Microsoft Defender for SQL-ügynök automatikus telepítéséhez. A Microsoft Defender for SQL összegyűjti az ügynöktől származó eseményeket, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. | DeployIfNotExists, Disabled | 1.2.0 |
| Arc-kompatibilis SQL-kiszolgálók konfigurálása az SQL-hez és a DCR-hez készült Microsoft Defender automatikus telepítéséhez Log Analytics-munkaterülettel | A Microsoft Defender for SQL összegyűjti az ügynöktől származó eseményeket, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. Hozzon létre egy erőforráscsoportot, egy adatgyűjtési szabályt és Log Analytics-munkaterületet a géppel azonos régióban. | DeployIfNotExists, Disabled | 1.5.0 |
| Arc-kompatibilis SQL-kiszolgálók konfigurálása az SQL-hez és a DCR-hez készült Microsoft Defender automatikus telepítéséhez egy felhasználó által definiált LA-munkaterülettel | A Microsoft Defender for SQL összegyűjti az ügynöktől származó eseményeket, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. Hozzon létre egy erőforráscsoportot és egy adatgyűjtési szabályt a felhasználó által definiált Log Analytics-munkaterületen. | DeployIfNotExists, Disabled | 1.7.0 |
| Arc-kompatibilis SQL-kiszolgálók konfigurálása adatgyűjtési szabálytársítással az SQL DCR-hez készült Microsoft Defenderhez | Konfigurálja az Arc-kompatibilis SQL-kiszolgálók és a Microsoft Defender for SQL DCR közötti társításokat. A társítás törlése megszakítja az Arc-kompatibilis SQL-kiszolgálók biztonsági réseinek észlelését. | DeployIfNotExists, Disabled | 1.1.0 |
| Arc-kompatibilis SQL-kiszolgálók konfigurálása adatgyűjtési szabálytársítással a Microsoft Defenderhez az SQL felhasználó által definiált DCR-hez | Konfigurálja az Arc-kompatibilis SQL-kiszolgálók és a Microsoft Defender for SQL felhasználó által definiált DCR közötti társításokat. A társítás törlése megszakítja az Arc-kompatibilis SQL-kiszolgálók biztonsági réseinek észlelését. | DeployIfNotExists, Disabled | 1.3.0 |
| Azure Arc Private Link-hatókörök konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le az Azure Arc Private Link-hatókör nyilvános hálózati hozzáférését, hogy a társított Azure Arc-erőforrások ne tudjanak csatlakozni az Azure Arc-szolgáltatásokhoz a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/arc/privatelink. | Módosítás, letiltva | 1.0.0 |
| Azure Arc Private Link-hatókörök konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatokat az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát végpontok Azure Arc Private Link-hatókörökhöz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 2.0.0 |
| Azure Arc-kompatibilis kiszolgálók konfigurálása Azure Arc Private Link-hatókör használatára | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha az Azure Arc-kompatibilis kiszolgálókat egy privát végponttal konfigurált Azure Arc Private Link-hatókörhöz társítja, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/arc/privatelink. | Módosítás, letiltva | 1.0.0 |
| Az Azure Defender for Servers konfigurálása az összes erőforrás letiltásához (erőforrásszint) | Az Azure Defender for Servers valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. Ez a szabályzat letiltja a Defender for Servers csomagot a kijelölt hatókörben (előfizetés vagy erőforráscsoport) lévő összes erőforráshoz (virtuális gépekhez, VMSS-ekhez és ARC-gépekhez). | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Defender for Servers konfigurálása az erőforrások (erőforrásszint) letiltásához a kijelölt címkével | Az Azure Defender for Servers valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. Ez a szabályzat letiltja a Defender for Servers csomagot az összes olyan erőforráshoz (virtuális gépekhez, virtuális gépekhez és ARC-gépekhez), amelyek a kiválasztott címkenevet és címkeértéket(ek) kapják. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurálja az Azure Defender for Serverst úgy, hogy engedélyezve legyen (P1 alsík) az összes erőforráshoz (erőforrásszinthez) a kijelölt címkével | Az Azure Defender for Servers valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. Ez a szabályzat engedélyezi a Defender for Servers csomagot (P1 alsíkkal) az összes olyan erőforráshoz (virtuális gépekhez és ARC-gépekhez), amelyek a kijelölt címkenevet és címkeértéket(ek) kapják. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurálja az Azure Defender for Serverst úgy, hogy engedélyezve legyen (p1 alsíkkal) az összes erőforráshoz (erőforrásszint) | Az Azure Defender for Servers valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. Ez a szabályzat engedélyezi a Defender for Servers csomagot (P1 altervvel) a kijelölt hatókörben (előfizetés vagy erőforráscsoport) lévő összes erőforráshoz (virtuális gépekhez és ARC-gépekhez). | DeployIfNotExists, Disabled | 1.0.0 |
| Függőségi ügynök konfigurálása Azure Arc-kompatibilis Linux-kiszolgálókon | Engedélyezze a virtuálisgép-elemzéseket az Azure-hoz arc-kompatibilis kiszolgálókon keresztül csatlakoztatott kiszolgálókon és gépeken a Függőségi ügynök virtuálisgép-bővítmény telepítésével. A virtuálisgép-elemzések a Függőségi ügynök használatával gyűjtik a hálózati metrikákat, és felderítik a gépen futó folyamatokkal és a külső folyamatfüggőségekkel kapcsolatos adatokat. További információ : https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.0.0 |
| Függőségi ügynök konfigurálása Azure Arc-kompatibilis Linux-kiszolgálókon az Azure Monitoring Agent beállításaival | Engedélyezze a virtuálisgép-elemzéseket az Azure-hoz arc-kompatibilis kiszolgálókon keresztül csatlakoztatott kiszolgálókon és gépeken a Függőségi ügynök virtuálisgép-bővítmény Azure Monitoring Agent-beállításokkal való telepítésével. A virtuálisgép-elemzések a Függőségi ügynök használatával gyűjtik a hálózati metrikákat, és felderítik a gépen futó folyamatokkal és a külső folyamatfüggőségekkel kapcsolatos adatokat. További információ : https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 1.1.2 |
| Függőségi ügynök konfigurálása Azure Arc-kompatibilis Windows-kiszolgálókon | Engedélyezze a virtuálisgép-elemzéseket az Azure-hoz arc-kompatibilis kiszolgálókon keresztül csatlakoztatott kiszolgálókon és gépeken a Függőségi ügynök virtuálisgép-bővítmény telepítésével. A virtuálisgép-elemzések a Függőségi ügynök használatával gyűjtik a hálózati metrikákat, és felderítik a gépen futó folyamatokkal és a külső folyamatfüggőségekkel kapcsolatos adatokat. További információ : https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.0.0 |
| Függőségi ügynök konfigurálása Azure Arc-kompatibilis Windows-kiszolgálókon az Azure Monitoring Agent beállításaival | Engedélyezze a virtuálisgép-elemzéseket az Azure-hoz arc-kompatibilis kiszolgálókon keresztül csatlakoztatott kiszolgálókon és gépeken a Függőségi ügynök virtuálisgép-bővítmény Azure Monitoring Agent-beállításokkal való telepítésével. A virtuálisgép-elemzések a Függőségi ügynök használatával gyűjtik a hálózati metrikákat, és felderítik a gépen futó folyamatokkal és a külső folyamatfüggőségekkel kapcsolatos adatokat. További információ : https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 1.1.2 |
| Linux Arc-gépek konfigurálása adatgyűjtési szabályhoz vagy adatgyűjtési végponthoz való társításhoz | Társítás üzembe helyezése Linux Arc-gépeknek a megadott adatgyűjtési szabályhoz vagy a megadott adatgyűjtési végponthoz való csatolásához. A helyek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 2.2.0 |
| Linux Arc-kompatibilis gépek konfigurálása az Azure Monitor-ügynök futtatásához | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Linux Arc-kompatibilis gépeken telemetriai adatok gyűjtéséhez a vendég operációs rendszerből. Ez a szabályzat telepíti a bővítményt, ha a régió támogatott. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 2.4.0 |
| Linux rendszerű gépek konfigurálása adatgyűjtési szabályhoz vagy adatgyűjtési végponthoz való társításhoz | Társítás üzembe helyezése Linux rendszerű virtuális gépek, virtuálisgép-méretezési csoportok és Arc-gépek összekapcsolásához a megadott adatgyűjtési szabályhoz vagy a megadott adatgyűjtési végponthoz. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 6.4.0 |
| Konfigurálja a Linux Servert a helyi felhasználók letiltásához. | Létrehoz egy vendégkonfigurációs hozzárendelést, amely konfigurálja a helyi felhasználók letiltását a Linux Serveren. Ez biztosítja, hogy a Linux-kiszolgálókhoz csak AAD-fiók (Azure Active Directory) fiók vagy a szabályzat által kifejezetten engedélyezett felhasználók listája férhessen hozzá, ezáltal javítva az általános biztonsági helyzetet. | DeployIfNotExists, Disabled | 1.3.0-előzetes verzió |
| A Log Analytics-bővítmény konfigurálása Azure Arc-kompatibilis Linux-kiszolgálókon. Lásd alább az elavulással kapcsolatos közleményt | Engedélyezze a virtuálisgép-elemzéseket az Azure-hoz arc-kompatibilis kiszolgálókon keresztül csatlakoztatott kiszolgálókon és gépeken a Log Analytics virtuálisgép-bővítmény telepítésével. A virtuálisgép-elemzések a Log Analytics-ügynökkel gyűjtik a vendég operációs rendszer teljesítményadatait, és betekintést nyújtanak a teljesítményükbe. További információ : https://aka.ms/vminsightsdocs. Elavulással kapcsolatos értesítés: A Log Analytics-ügynök elavult, és 2024. augusztus 31. után nem támogatott. Az adott dátum előtt át kell költöznie a helyettesítő "Azure Monitor-ügynökbe". | DeployIfNotExists, Disabled | 2.1.1 |
| Log Analytics-bővítmény konfigurálása Azure Arc-kompatibilis Windows-kiszolgálókon | Engedélyezze a virtuálisgép-elemzéseket az Azure-hoz arc-kompatibilis kiszolgálókon keresztül csatlakoztatott kiszolgálókon és gépeken a Log Analytics virtuálisgép-bővítmény telepítésével. A virtuálisgép-elemzések a Log Analytics-ügynökkel gyűjtik a vendég operációs rendszer teljesítményadatait, és betekintést nyújtanak a teljesítményükbe. További információ : https://aka.ms/vminsightsdocs. Elavulással kapcsolatos értesítés: A Log Analytics-ügynök elavult, és 2024. augusztus 31. után nem támogatott. Az adott dátum előtt át kell költöznie a helyettesítő "Azure Monitor-ügynökbe". | DeployIfNotExists, Disabled | 2.1.1 |
| Gépek konfigurálása sebezhetőségi felmérési szolgáltató fogadására | Az Azure Defender további költségek nélkül tartalmazza a gépek biztonsági réseinek vizsgálatát. Nincs szüksége Qualys-licencre vagy akár Qualys-fiókra sem – minden zökkenőmentesen kezelhető a Security Centerben. Ha engedélyezi ezt a szabályzatot, az Azure Defender automatikusan telepíti a Qualys biztonságirés-felmérési szolgáltatót az összes olyan támogatott gépen, amely még nincs telepítve. | DeployIfNotExists, Disabled | 4.0.0 |
| Hiányzó rendszerfrissítések rendszeres ellenőrzésének konfigurálása az Azure Arc-kompatibilis kiszolgálókon | Az Azure Arc-kompatibilis kiszolgálók operációsrendszer-frissítéseinek automatikus értékelését (24 óránként) konfigurálhatja. A hozzárendelés hatókörét a gép-előfizetés, az erőforráscsoport, a hely vagy a címke alapján szabályozhatja. További információ erről a Windows: https://aka.ms/computevm-windowspatchassessmentmode, Linux esetén: https://aka.ms/computevm-linuxpatchassessmentmode. | módosítás | 2.2.1 |
| Biztonságos kommunikációs protokollok (TLS 1.1 vagy TLS 1.2) konfigurálása Windows rendszerű gépeken | Létrehoz egy vendégkonfigurációs hozzárendelést a megadott biztonságos protokollverzió (TLS 1.1 vagy TLS 1.2) windowsos gépen való konfigurálásához. | DeployIfNotExists, Disabled | 1.0.1 |
| A Microsoft Defender konfigurálása az SQL Log Analytics-munkaterülethez | A Microsoft Defender for SQL összegyűjti az ügynöktől származó eseményeket, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. Hozzon létre egy erőforráscsoportot és Egy Log Analytics-munkaterületet a géppel azonos régióban. | DeployIfNotExists, Disabled | 1.3.0 |
| Időzóna konfigurálása Windows rendszerű gépeken. | Ez a szabályzat létrehoz egy vendégkonfigurációs hozzárendelést a megadott időzóna beállításához Windows rendszerű virtuális gépeken. | deployIfNotExists | 2.1.0 |
| Virtuális gépek konfigurálása az Azure Automanage-ba való előkészítéshez | Az Azure Automanage regisztrálja, konfigurálja és figyeli a virtuális gépeket a Microsoft felhőadaptálási keretrendszer for Azure-ban meghatározott ajánlott eljárásokkal. Ezzel a szabályzattal alkalmazza az Automanage parancsot a kiválasztott hatókörre. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.4.0 |
| Virtuális gépek konfigurálása egyéni konfigurációs profillal az Azure Automanage-ba való előkészítéshez | Az Azure Automanage regisztrálja, konfigurálja és figyeli a virtuális gépeket a Microsoft felhőadaptálási keretrendszer for Azure-ban meghatározott ajánlott eljárásokkal. Ezzel a szabályzattal saját testreszabott konfigurációs profillal rendelkező automanage-t alkalmazhat a kiválasztott hatókörre. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Windows Arc-gépek konfigurálása adatgyűjtési szabályhoz vagy adatgyűjtési végponthoz való társításhoz | Társítás üzembe helyezése a Windows Arc-gépeknek a megadott adatgyűjtési szabályhoz vagy a megadott adatgyűjtési végponthoz való csatolásához. A helyek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 2.2.0 |
| Windows Arc-kompatibilis gépek konfigurálása az Azure Monitor-ügynök futtatásához | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Windows Arc-kompatibilis gépeken telemetriai adatok gyűjtéséhez a vendég operációs rendszerből. Ez a szabályzat telepíti a bővítményt, ha az operációs rendszer és a régió támogatott, és a rendszer által hozzárendelt felügyelt identitás engedélyezve van, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 2.4.0 |
| Windows rendszerű gépek konfigurálása adatgyűjtési szabályhoz vagy adatgyűjtési végponthoz való társításhoz | Társítás üzembe helyezése Windows rendszerű virtuális gépek, virtuálisgép-méretezési csoportok és Arc-gépek összekapcsolásához a megadott adatgyűjtési szabályhoz vagy a megadott adatgyűjtési végponthoz. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 4.5.0 |
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Az Azure Security Center által támogatott végpontvédelmi megoldásokat itt dokumentáljuk : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelem értékelése itt dokumentálva van – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| A végpontvédelmet telepíteni kell a gépekre | A gépek fenyegetésekkel és biztonsági résekkel szembeni védelméhez telepítsen egy támogatott végpontvédelmi megoldást. | AuditIfNotExists, Disabled | 1.0.0 |
| A Linux Arc-kompatibilis gépeken telepítve kell lennie az Azure Monitor-ügynöknek | A Linux Arc-kompatibilis gépeket az üzembe helyezett Azure Monitor-ügynökön keresztül kell figyelni és védeni. Az Azure Monitor-ügynök telemetriai adatokat gyűjt a vendég operációs rendszerből. Ez a szabályzat az Arc-kompatibilis gépeket fogja naplózni a támogatott régiókban. További információ: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 1.2.0 |
| Linux rendszerű gépeken telepítve kell lennie a Log Analytics-ügynöknek az Azure Arcon | A gépek nem megfelelőek, ha a Log Analytics-ügynök nincs telepítve az Azure Arc-kompatibilis Linux-kiszolgálón. | AuditIfNotExists, Disabled | 1.1.0 |
| A Linux-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfigurációjának követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Disabled | 2.2.0 |
| A Linux rendszerű gépeknek csak olyan helyi fiókokkal kell rendelkezniük, amelyek engedélyezettek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A felhasználói fiókok Azure Active Directoryval való kezelése ajánlott eljárás az identitások kezeléséhez. A helyi gépfiókok számának csökkentése segít megelőzni a központi rendszeren kívül felügyelt identitások elterjedését. A gépek nem megfelelőek, ha olyan helyi felhasználói fiókok léteznek, amelyek engedélyezve vannak, és nem szerepelnek a szabályzatparaméterben. | AuditIfNotExists, Disabled | 2.2.0 |
| A helyi hitelesítési módszereket le kell tiltani Linux rendszerű gépeken | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a Linux-kiszolgálók nem tiltják le a helyi hitelesítési módszereket. Ennek célja annak ellenőrzése, hogy a Linux-kiszolgálók csak AAD-fiók (Azure Active Directory) fiók vagy a szabályzat által kifejezetten engedélyezett felhasználók listája által érhetők-e el, ezáltal javítva az általános biztonsági helyzetet. | AuditIfNotExists, Disabled | 1.2.0-előzetes verzió |
| A helyi hitelesítési módszereket le kell tiltani Windows-kiszolgálókon | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a Windows-kiszolgálók nem tiltják le a helyi hitelesítési módszereket. Ennek célja annak ellenőrzése, hogy a Windows Servereket csak AAD-fiók (Azure Active Directory) fiók vagy a szabályzat által kifejezetten engedélyezett felhasználók listája érheti-e el, ezáltal javítva az általános biztonsági helyzetet. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| A gépeket úgy kell konfigurálni, hogy rendszeresen ellenőrizze a hiányzó rendszerfrissítéseket | Annak érdekében, hogy a hiányzó rendszerfrissítések rendszeres értékelése 24 óránként automatikusan aktiválódjon, az AssessmentMode tulajdonságot az "AutomaticByPlatform" értékre kell állítani. További információ a AssessmentMode tulajdonságról a Windowshoz: https://aka.ms/computevm-windowspatchassessmentmode, Linuxhoz: https://aka.ms/computevm-linuxpatchassessmentmode. | Naplózás, megtagadás, letiltva | 3.7.0 |
| Ismétlődő frissítések ütemezése az Azure Update Managerrel | Az Azure Update Manager használatával mentheti az ismétlődő üzembehelyezési ütemezéseket a Windows Server- és Linux-gépek operációsrendszer-frissítéseinek telepítéséhez az Azure-ban, a helyszíni környezetekben és az Azure Arc-kompatibilis kiszolgálókon csatlakoztatott egyéb felhőkörnyezetekben. Ez a szabályzat az Azure-beli virtuális gép javítási módját is automatikusbyplatformra módosítja. További információ: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.12.0 |
| A gépeken lévő SQL-kiszolgálókon a biztonsági rések megoldásának kell lennie | Az SQL biztonsági rések felmérése biztonsági réseket keres az adatbázisban, és elérhetővé teszi az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat. A talált biztonsági rések megoldása nagyban javíthatja az adatbázis biztonsági helyzetét. | AuditIfNotExists, Disabled | 1.0.0 |
| Feliratkozhat a jogosult Arc-kompatibilis SQL Server-példányokra a kiterjesztett biztonsági frissítésekre. | Előfizetés jogosult Arc-kompatibilis SQL Server-példányokra, amelyek licenctípusa fizetős vagy PAYG a kiterjesztett biztonsági frissítésekre van beállítva. További információ a kiterjesztett biztonsági frissítésekről https://go.microsoft.com/fwlink/?linkid=2239401. | DeployIfNotExists, Disabled | 1.0.0 |
| Az örökölt Log Analytics-bővítmény nem telepíthető az Azure Arc-kompatibilis Linux-kiszolgálókra | Automatikusan megakadályozza az örökölt Log Analytics-ügynök telepítését az örökölt ügynökökből az Azure Monitor Agentbe való migrálás utolsó lépéseként. A meglévő örökölt bővítmények eltávolítása után ez a szabályzat megtagadja az örökölt ügynökbővítmény minden jövőbeli telepítését az Azure Arc-kompatibilis Linux-kiszolgálókon. Tudj meg többet: https://aka.ms/migratetoAMA | Megtagadás, naplózás, letiltva | 1.0.0 |
| Az örökölt Log Analytics-bővítmény nem telepíthető az Azure Arc-kompatibilis Windows-kiszolgálókra | Automatikusan megakadályozza az örökölt Log Analytics-ügynök telepítését az örökölt ügynökökből az Azure Monitor Agentbe való migrálás utolsó lépéseként. A meglévő örökölt bővítmények eltávolítása után ez a szabályzat megtagadja az örökölt ügynökbővítmény minden későbbi telepítését az Azure Arc-kompatibilis Windows-kiszolgálókon. Tudj meg többet: https://aka.ms/migratetoAMA | Megtagadás, naplózás, letiltva | 1.0.0 |
| A Windows Arc-kompatibilis gépeken telepítve kell lennie az Azure Monitor Agentnek | A Windows Arc-kompatibilis gépeket az üzembe helyezett Azure Monitor-ügynökön keresztül kell figyelni és védeni. Az Azure Monitor-ügynök telemetriai adatokat gyűjt a vendég operációs rendszerből. A támogatott régiókban lévő Windows Arc-kompatibilis gépeket az Azure Monitor Agent üzembe helyezése figyeli. További információ: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 1.2.0 |
| A Windows Defender Exploit Guardot engedélyezni kell a gépeken | A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). | AuditIfNotExists, Disabled | 2.0.0 |
| A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Disabled | 4.1.1 |
| A Windows-gépeknek egy napon belül konfigurálnia kell a Windows Defendert a védelmi aláírások frissítésére | Az újonnan kiadott kártevők elleni megfelelő védelem érdekében a Windows Defender védelmi aláírásait rendszeresen frissíteni kell, hogy figyelembe lehessen venni az újonnan kiadott kártevőket. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| A Windows-gépeknek engedélyeznie kell a Windows Defender valós idejű védelmét | A Windows-gépeknek engedélyeznie kell a Valós idejű védelmet a Windows Defenderben, hogy megfelelő védelmet nyújtsanak az újonnan kiadott kártevők ellen. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| A Windows-gépeken telepítve kell lennie a Log Analytics-ügynöknek az Azure Arcon | A gépek nem megfelelőek, ha a Log Analytics-ügynök nincs telepítve az Azure Arc-kompatibilis Windows Serverre. | AuditIfNotExists, Disabled | 2.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Felügyeleti sablonok – Vezérlőpult" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Felügyeleti sablonok – Vezérlőpult" kategóriában a bemenet személyre szabása és a zárolási képernyők engedélyezésének megakadályozása érdekében. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Felügyeleti sablonok – MSS (Örökölt)" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat az automatikus bejelentkezéshez, a képernyőkímélőhöz, a hálózati viselkedéshez, a biztonságos DLL-hez és az eseménynaplóhoz tartozó "Felügyeleti sablonok – MSS (Örökölt)" kategóriában. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Felügyeleti sablonok – Hálózat" követelményeknek | A Windows rendszerű gépeken a "Felügyeleti sablonok – Hálózat" kategóriában meg kell adni a megadott csoportházirend-beállításokat a vendég bejelentkezésekhez, az egyidejű kapcsolatokhoz, a hálózati hídhoz, az ICS-hez és a csoportos küldési névfeloldáshoz. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Felügyeleti sablonok – Rendszer" követelményeknek | A Windows rendszerű gépeken a rendszergazdai élményt és a távsegítséget vezérlő beállításokhoz a "Felügyeleti sablonok – Rendszer" kategóriában meg kell adni a megadott csoportházirend-beállításokat. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Fiókok" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Fiókok" kategóriában az üres jelszavak és a vendégfiókok állapotának helyi fiókhasználatának korlátozásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Naplózás" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Naplózás" kategóriában a naplózási szabályzat alkategóriájának kényszerítéséhez, és le kell állítani, ha nem lehet naplózni a biztonsági auditokat. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Eszközök" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Eszközök" kategóriában a bejelentkezés nélküli lekivételhez, a nyomtatóillesztők telepítéséhez, valamint a média formázásához/kibocsátásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Interaktív bejelentkezés" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Interaktív bejelentkezés" kategóriában a vezetéknév megjelenítéséhez és a ctrl-alt-del billentyűkombináció megkövetelése érdekében. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Microsoft Hálózati ügyfél" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Microsoft Hálózati ügyfél" kategóriában a Microsoft hálózati ügyfélhez/kiszolgálóhoz és az SMB v1-hez. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Microsoft Network Server" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Microsoft Network Server" kategóriában az SMB v1-kiszolgáló letiltására. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati hozzáférés" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati hozzáférés" kategóriában, beleértve a névtelen felhasználók hozzáférését, a helyi fiókokat és a beállításjegyzékhez való távoli hozzáférést. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati biztonság" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati biztonság" kategóriában, beleértve a helyi rendszer viselkedését, a PKU2U-t, a LAN Managert, az LDAP-ügyfelet és az NTLM SSP-t. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Helyreállítási konzol" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Helyreállítási konzol" kategóriában, hogy engedélyezve legyen a hajlékonylemez-másolás és a hozzáférés az összes meghajtóhoz és mappához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Leállítás" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Leállítás" kategóriában a bejelentkezés nélküli leállítás engedélyezéséhez és a virtuális memória lapfájljának törléséhez. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Rendszerobjektumok" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Rendszerobjektumok" kategóriában a nem Windows-alrendszerek és a belső rendszerobjektumok engedélyeinek érzéketlensége esetén. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Rendszerbeállítások" követelményeknek | A Windows rendszerű gépeken a "Biztonsági beállítások – Rendszerbeállítások" kategóriában meg kell adni a megadott csoportházirend-beállításokat az SRP-hez és az opcionális alrendszerekhez tartozó végrehajtható tanúsítványokra vonatkozó szabályokhoz. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Felhasználói fiókok felügyelete" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Felhasználói fiók vezérlése" kategóriában a rendszergazdák üzemmódjához, a jogosultságszint-emelési kérés viselkedéséhez, valamint a fájl- és beállításjegyzék írási hibáinak virtualizálásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Fiókszabályzatok" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a jelszóelőzmények, az életkor, a hossz, az összetettség és a jelszavak reverzibilis titkosítással történő tárolásához a "Biztonsági beállítások – Fiókszabályzatok" kategóriában. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Fióknaplózás" követelményeinek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "System Audit Policies – Account Logon" (Rendszernaplózási szabályzatok – Fióknaplózás) kategóriában a hitelesítő adatok ellenőrzésének és egyéb fiókbejegyzési események naplózásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Fiókkezelés" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Rendszernaplózási szabályzatok – Fiókkezelés" kategóriában az alkalmazás, a biztonság és a felhasználói csoportkezelés, valamint egyéb felügyeleti események naplózásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows-gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Részletes nyomon követés" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a DPAPI, a folyamatlétrehozás/-megszüntetés, az RPC-események és a PNP-tevékenységek naplózásához a "Rendszernaplózási szabályzatok – Részletes nyomon követés" kategóriában. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Logon-Logoff" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Rendszernaplózási szabályzatok – Logon-Logoff" kategóriában az IPSec, a hálózati házirend, a jogcímek, a fiókzárolás, a csoporttagság és a bejelentkezési/kijelentkezési események naplózásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Objektumhozzáférés" követelményeknek | A Windows rendszerű gépeken a megadott csoportházirend-beállításoknak a fájl, a beállításjegyzék, a SAM, a tárolás, a szűrés, a kernel és más rendszertípusok naplózásához a "Rendszernaplózási szabályzatok – Objektumhozzáférés" kategóriában kell rendelkezniük. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Szabályzatmódosítás" követelményeknek | A Windows rendszerű gépeken a rendszernaplózási szabályzatok változásainak naplózásához a megadott csoportházirend-beállításoknak kell rendelkezniük a "Rendszernaplózási szabályzatok – Szabályzatmódosítás" kategóriában. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Jogosultsági használat" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Rendszernaplózási szabályzatok – Jogosultsági használat" kategóriában a nem érzéketlen és más jogosultsági felhasználás naplózásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszervizsgálati szabályzatok – Rendszer" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Rendszernaplózási szabályzatok – Rendszer" kategóriában az IPsec-illesztőprogram, a rendszerintegritás, a rendszerbővítmény, az állapotváltozás és más rendszeresemények naplózásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a felhasználói jogok hozzárendelésére vonatkozó követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Felhasználói jogok hozzárendelése" kategóriában, hogy engedélyezhessék a helyi bejelentkezést, az RDP-t, a hálózati hozzáférést és sok más felhasználói tevékenységet. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows-gépeknek meg kell felelniük a Windows-összetevőkre vonatkozó követelményeknek | A Windows-gépeken meg kell adni a megadott csoportházirend-beállításokat a "Windows-összetevők" kategóriában az alapszintű hitelesítéshez, a titkosítatlan forgalomhoz, a Microsoft-fiókokhoz, a telemetriai adatokhoz, a Cortanához és más Windows-viselkedésekhez. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows-gépeknek meg kell felelniük a Windows tűzfal tulajdonságaira vonatkozó követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Windows tűzfal tulajdonságai" kategóriában a tűzfal állapotához, a kapcsolatokhoz, a szabálykezeléshez és az értesítésekhez. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Disabled | 2.0.0 |
| A Windows rendszerű gépeken csak olyan helyi fiókoknak kell rendelkezniük, amelyek engedélyezettek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. Ez a definíció Windows Server 2012 vagy 2012 R2 rendszeren nem támogatott. A felhasználói fiókok Azure Active Directoryval való kezelése ajánlott eljárás az identitások kezeléséhez. A helyi gépfiókok számának csökkentése segít megelőzni a központi rendszeren kívül felügyelt identitások elterjedését. A gépek nem megfelelőek, ha olyan helyi felhasználói fiókok léteznek, amelyek engedélyezve vannak, és nem szerepelnek a szabályzatparaméterben. | AuditIfNotExists, Disabled | 2.0.0 |
| A Windows-gépeknek minden nap ütemezett vizsgálat elvégzésére kell ütemeznie a Windows Defendert | A kártevők gyors észlelésének és a rendszerre gyakorolt hatás minimalizálásának biztosítása érdekében javasoljuk, hogy a Windows Defenderrel rendelkező Windows-gépek naponta végezhessenek vizsgálatot. Győződjön meg arról, hogy a Windows Defender támogatott, előre telepítve van az eszközön, és a vendégkonfiguráció előfeltételei telepítve vannak. A követelmények teljesítésének elmulasztása pontatlan kiértékelési eredményekhez vezethet. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.0 |
| A Windows-gépeknek az alapértelmezett NTP-kiszolgálót kell használniuk | Állítsa be a "time.windows.com" alapértelmezett NTP-kiszolgálóként az összes Windows-géphez, hogy az összes rendszer naplóinak szinkronizált rendszerórái legyenek. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
Következő lépések
- A beépített elemek megtekintése az Azure Policy GitHub-adattárában.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: