Azure Policy beépített definíciói azure-beli virtuális gépekhez
A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek ✔️ Windows rendszerű virtuális gépek Rugalmas méretezési ✔️ csoportok ✔️ Egységes méretezési csoportok
Ez a lap az Azure Policy beépített szabályzatdefinícióinak indexe az Azure Virtual Machineshez. További beépített Azure Policy-beépített szolgáltatásokért lásd az Azure Policy beépített definícióit.
Az egyes beépített szabályzatmeghatározások neve linkként az Azure portálon lévő szabályzatmeghatározásra mutat. A Verzió oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.
Microsoft.Compute
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A gépeken engedélyezni kell a felügyelt identitást | Az Automanage által felügyelt erőforrásoknak felügyelt identitással kell rendelkezniük. | Naplózás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Felhasználó által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések virtuális gépeken való engedélyezéséhez | Ez a szabályzat egy felhasználó által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat. A felhasználó által hozzárendelt felügyelt identitás előfeltétele az összes vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.1.0-előzetes verzió |
| [Előzetes verzió]: Beépített, felhasználó által hozzárendelt felügyelt identitás hozzárendelése virtuálisgép-méretezési csoportokhoz | Hozzon létre és rendeljen hozzá egy beépített, felhasználó által hozzárendelt felügyelt identitást, vagy rendeljen hozzá egy előre létrehozott, felhasználó által hozzárendelt felügyelt identitást nagy méretekben a virtuálisgép-méretezési csoportokhoz. Részletesebb dokumentációért látogasson el a aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.1.0-előzetes verzió |
| [Előzetes verzió]: Beépített, felhasználó által hozzárendelt felügyelt identitás hozzárendelése virtuális gépekhez | Hozzon létre és rendeljen hozzá egy beépített, felhasználó által hozzárendelt felügyelt identitást, vagy rendeljen hozzá egy előre létrehozott, felhasználó által hozzárendelt felügyelt identitást nagy léptékben a virtuális gépekhez. Részletesebb dokumentációért látogasson el a aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.1.0-előzetes verzió |
| [Előzetes verzió]: Az automatikusan felügyelt konfigurációs profil hozzárendelésének megfelelőnek kell lennie | Az Automanage által kezelt erőforrásoknak konform vagy konformant javítási állapotúnak kell lennie. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Backupot engedélyezni kell felügyelt lemezekhez | Az Azure Backup engedélyezésével gondoskodjon a felügyelt lemezek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Linux rendszerű virtuálisgép-méretezési csoportokra | Telepítse az Azure Security-ügynököt a Linux rendszerű virtuálisgép-méretezési csoportokra, hogy figyelhesse a gépeket a biztonsági konfigurációk és a biztonsági rések szempontjából. Az értékelések eredményei az Azure Security Centerben tekinthetők meg és kezelhetők. | AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Linux rendszerű virtuális gépekre | Telepítse az Azure Security-ügynököt a Linux rendszerű virtuális gépekre, hogy a gépek biztonsági konfigurációit és biztonsági réseit monitorozza. Az értékelések eredményei az Azure Security Centerben tekinthetők meg és kezelhetők. | AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Windows rendszerű virtuálisgép-méretezési csoportokra | Telepítse az Azure Security-ügynököt a Windows rendszerű virtuálisgép-méretezési csoportokra, hogy monitorozza a gépeket a biztonsági konfigurációk és biztonsági rések szempontjából. Az értékelések eredményei az Azure Security Centerben tekinthetők meg és kezelhetők. | AuditIfNotExists, Disabled | 2.1.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Windows rendszerű virtuális gépekre | Telepítse az Azure Security-ügynököt a Windows rendszerű virtuális gépekre, hogy figyelhesse a gépeket a biztonsági konfigurációk és a biztonsági rések szempontjából. Az értékelések eredményei az Azure Security Centerben tekinthetők meg és kezelhetők. | AuditIfNotExists, Disabled | 2.1.0-előzetes verzió |
| [Előzetes verzió]: A rendszerindítási diagnosztikát engedélyezni kell a virtuális gépeken | Az Azure-beli virtuális gépeken engedélyezve kell lennie a rendszerindítási diagnosztikának. | Naplózás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Linux rendszerű virtuális gépen | Telepítse a ChangeTracking bővítményt Linux rendszerű virtuális gépekre a fájlintegritási monitorozás (FIM) engedélyezéséhez az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitoring Agent által támogatott virtuális gépekre és helyekre. | AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Linux rendszerű virtuálisgép-méretezési csoportokra | Telepítse a ChangeTracking Bővítményt Linux rendszerű virtuálisgép-méretezési csoportokra, hogy engedélyezze a fájlintegritási monitorozást (FIM) az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitoring Agent által támogatott virtuális gépekre és helyekre. | AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Windows rendszerű virtuális gépen | Telepítse a ChangeTracking bővítményt Windows rendszerű virtuális gépekre, hogy engedélyezze a fájlintegritási monitorozást (FIM) az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitoring Agent által támogatott virtuális gépekre és helyekre. | AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Windows rendszerű virtuálisgép-méretezési csoportokra | Telepítse a ChangeTracking Bővítményt Windows rendszerű virtuálisgép-méretezési csoportokra, hogy engedélyezze a fájlintegritási monitorozást (FIM) az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitoring Agent által támogatott virtuális gépekre és helyekre. | AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Defender konfigurálása SQL-ügynökhöz virtuális gépen | Konfigurálja a Windows-gépeket az Azure Defender for SQL-ügynök automatikus telepítéséhez, ahol az Azure Monitor-ügynök telepítve van. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. Erőforráscsoportot és Log Analytics-munkaterületet hoz létre a géppel azonos régióban. A cél virtuális gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Disks (felügyelt lemezek) biztonsági mentésének konfigurálása egy adott címkével az ugyanabban a régióban lévő meglévő biztonsági mentési tárolóra | Biztonsági mentés kényszerítése az összes olyan Azure-lemez (felügyelt lemez) esetében, amely egy adott címkét tartalmaz egy központi biztonsági mentési tárolóban. További információ: https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Disks (felügyelt lemezek) biztonsági mentésének konfigurálása adott címke nélkül egy meglévő biztonsági mentési tárolóhoz ugyanabban a régióban | Biztonsági mentés kényszerítése minden olyan Azure-lemez (felügyelt lemez) esetében, amely nem tartalmaz adott címkét egy központi biztonsági mentési tárolóhoz. További információ: https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: ChangeTracking-bővítmény konfigurálása Linux rendszerű virtuálisgép-méretezési csoportokhoz | Konfigurálja a Linux rendszerű virtuálisgép-méretezési csoportokat a ChangeTracking-bővítmény automatikus telepítéséhez a fájlintegritási monitorozás (FIM) Azure Security Centerben való engedélyezéséhez. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: ChangeTracking bővítmény konfigurálása Linux rendszerű virtuális gépekhez | Linux rendszerű virtuális gépek konfigurálása a ChangeTracking-bővítmény automatikus telepítéséhez a fájlintegritási monitorozás (FIM) azure Security Centerben való engedélyezéséhez. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: ChangeTracking bővítmény konfigurálása Windows rendszerű virtuálisgép-méretezési csoportokhoz | Konfigurálja a Windows rendszerű virtuálisgép-méretezési csoportokat a ChangeTracking-bővítmény automatikus telepítéséhez, hogy engedélyezze a fájlintegritási monitorozást (FIM) az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: ChangeTracking bővítmény konfigurálása Windows rendszerű virtuális gépekhez | Konfigurálja a Windows rendszerű virtuális gépeket a ChangeTracking-bővítmény automatikus telepítéséhez, hogy engedélyezze a fájlintegritási monitorozást (FIM) az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Linux rendszerű virtuális gépek konfigurálása a ChangeTracking és az Inventory adatgyűjtő szabályához való társításához | Társítás telepítése Linux rendszerű virtuális gépeknek a megadott adatgyűjtési szabályhoz való csatolásához a ChangeTracking és az Inventory engedélyezéséhez. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Linux rendszerű virtuális gépek konfigurálása a ChangeTracking és az Inventory AMA telepítéséhez felhasználó által hozzárendelt felügyelt identitással | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Linux rendszerű virtuális gépeken a ChangeTracking és az Inventory engedélyezéséhez. Ez a szabályzat telepíti a bővítményt, és konfigurálja a megadott felhasználó által hozzárendelt felügyelt identitás használatára, ha az operációs rendszer és a régió támogatott, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.5.0-előzetes verzió |
| [Előzetes verzió]: Linux VMSS konfigurálása a ChangeTracking és az Inventory adatgyűjtő szabályához való társításához | Társítás üzembe helyezése Linux rendszerű virtuálisgép-méretezési csoportoknak a megadott adatgyűjtési szabályhoz való csatolásához a ChangeTracking és az Inventory engedélyezéséhez. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Linux VMSS konfigurálása a ChangeTracking és az Inventory AMA telepítéséhez felhasználó által hozzárendelt felügyelt identitással | Automatizálhatja az Azure Monitor Agent bővítmény üzembe helyezését a Linux rendszerű virtuálisgép-méretezési csoportokon a ChangeTracking és az Inventory engedélyezéséhez. Ez a szabályzat telepíti a bővítményt, és konfigurálja a megadott felhasználó által hozzárendelt felügyelt identitás használatára, ha az operációs rendszer és a régió támogatott, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Linux rendszerű virtuálisgép-méretezési csoportok konfigurálása az Azure Security-ügynök automatikus telepítéséhez | Konfigurálja a támogatott Linux rendszerű virtuálisgép-méretezési csoportokat az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. A cél virtuális gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Linux rendszerű virtuálisgép-méretezési csoportok konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez | A támogatott Linux rendszerű virtuális gépek méretezési csoportjait úgy konfigurálhatja, hogy automatikusan telepítse a vendégigazolási bővítményt, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítási integritást. A rendszerindítási integritást a rendszer távoli igazolással igazolja. | DeployIfNotExists, Disabled | 6.1.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Linux rendszerű virtuális gépek konfigurálása a biztonságos rendszerindítás automatikus engedélyezéséhez | Konfigurálja a támogatott Linux rendszerű virtuális gépeket úgy, hogy automatikusan engedélyezhessék a biztonságos rendszerindítást a rendszerindítási lánc rosszindulatú és jogosulatlan módosításai ellen. Ha engedélyezve van, csak megbízható rendszerindítók, kernel- és kernelillesztők futtathatók. | DeployIfNotExists, Disabled | 5.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Linux rendszerű virtuális gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez | A támogatott Linux rendszerű virtuális gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. A cél virtuális gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 7.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Linux rendszerű virtuális gépek konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez | A támogatott Linux rendszerű virtuális gépek konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítási integritást. A rendszerindítási integritást a rendszer távoli igazolással igazolja. | DeployIfNotExists, Disabled | 7.1.0-előzetes verzió |
| [Előzetes verzió]: Támogatott virtuális gépek konfigurálása a vTPM automatikus engedélyezéséhez | A támogatott virtuális gépek úgy konfigurálhatók, hogy automatikusan engedélyezhessék a vTPM-et a mért rendszerindítás és más, TPM-t igénylő operációsrendszer-biztonsági funkciók megkönnyítése érdekében. Ha engedélyezve van, a vTPM használható a rendszerindítás integritásának igazolására. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Windows-gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez | A támogatott Windows-gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. A cél virtuális gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 5.1.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Windows rendszerű virtuálisgép-méretezési csoportok konfigurálása az Azure Security-ügynök automatikus telepítéséhez | Konfigurálja a támogatott Windows rendszerű virtuálisgép-méretezési csoportokat az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. A Cél Windows rendszerű virtuálisgép-méretezési csoportoknak támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 2.1.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Windows rendszerű virtuálisgép-méretezési csoportok konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez | A támogatott Windows rendszerű virtuális gépek méretezési csoportjait úgy konfigurálhatja, hogy automatikusan telepítse a vendégigazolási bővítményt, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítás integritását. A rendszerindítási integritást a rendszer távoli igazolással igazolja. | DeployIfNotExists, Disabled | 4.1.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Windows rendszerű virtuális gépek konfigurálása a biztonságos rendszerindítás automatikus engedélyezéséhez | Konfigurálja a támogatott Windows rendszerű virtuális gépeket úgy, hogy automatikusan engedélyezze a biztonságos rendszerindítást a rendszerindítási lánc rosszindulatú és jogosulatlan módosításaival szemben. Ha engedélyezve van, csak megbízható rendszerindítók, kernel- és kernelillesztők futtathatók. | DeployIfNotExists, Disabled | 3.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Windows rendszerű virtuális gépek konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez | A támogatott Windows rendszerű virtuális gépek konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítási integritást. A rendszerindítási integritást a rendszer távoli igazolással igazolja. | DeployIfNotExists, Disabled | 5.1.0-előzetes verzió |
| [Előzetes verzió]: Rendszer által hozzárendelt felügyelt identitás konfigurálása az Azure Monitor-hozzárendelések virtuális gépeken való engedélyezéséhez | Konfigurálja a rendszer által hozzárendelt felügyelt identitást az Azure Monitor által támogatott és rendszer által hozzárendelt felügyelt identitással nem rendelkező Azure-beli virtuális gépekre. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden Azure Monitor-hozzárendelésnek, és az Azure Monitor-bővítmények használata előtt hozzá kell adni a gépekhez. A cél virtuális gépeknek támogatott helyen kell lenniük. | Módosítás, letiltva | 6.0.0-előzetes verzió |
| [Előzetes verzió]: A Megosztott képgyűjtemény rendszerképeivel létrehozott virtuális gépek konfigurálása a vendégigazolási bővítmény telepítéséhez | Konfigurálja a Megosztott képtár rendszerképekkel létrehozott virtuális gépeket a vendégigazolási bővítmény automatikus telepítéséhez, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítási integritást. A rendszerindítási integritást a rendszer távoli igazolással igazolja. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: A Megosztott képgyűjtemény rendszerképeivel létrehozott VMSS konfigurálása a vendégigazolási bővítmény telepítéséhez | Konfigurálja a megosztott képgyűjtemény rendszerképeivel létrehozott VMSS-t a vendégigazolási bővítmény automatikus telepítéséhez, hogy az Azure Security Center proaktív módon tanúsítsa és monitorozza a rendszerindítás integritását. A rendszerindítási integritást a rendszer távoli igazolással igazolja. | DeployIfNotExists, Disabled | 2.1.0-előzetes verzió |
| [Előzetes verzió]: Konfigurálja a Windows Servert a helyi felhasználók letiltására. | Létrehoz egy vendégkonfigurációs hozzárendelést a helyi felhasználók letiltásának konfigurálásához a Windows Serveren. Ez biztosítja, hogy a Windows-kiszolgálókhoz csak AAD-fiók (Azure Active Directory) fiók vagy a szabályzat által explicit módon engedélyezett felhasználók listája férhessen hozzá, ezáltal javítva az általános biztonsági helyzetet. | DeployIfNotExists, Disabled | 1.2.0-előzetes verzió |
| [Előzetes verzió]: Konfigurálja a Windows rendszerű virtuális gépeket úgy, hogy a ChangeTracking és a Inventory adatgyűjtési szabályához legyenek társítva | Társítás telepítése Windows rendszerű virtuális gépek adott adatgyűjtési szabályhoz való csatolásához a ChangeTracking és az Inventory engedélyezéséhez. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Windows rendszerű virtuális gépek konfigurálása a ChangeTracking és az Inventory AMA telepítéséhez felhasználó által hozzárendelt felügyelt identitással | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Windows rendszerű virtuális gépeken a ChangeTracking és az Inventory engedélyezéséhez. Ez a szabályzat telepíti a bővítményt, és konfigurálja a megadott felhasználó által hozzárendelt felügyelt identitás használatára, ha az operációs rendszer és a régió támogatott, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.1.0-előzetes verzió |
| [Előzetes verzió]: Konfigurálja a Windows VMSS-t úgy, hogy a ChangeTracking és a Inventory adatgyűjtési szabályához legyen társítva | Társítás üzembe helyezése a Windows rendszerű virtuálisgép-méretezési csoportok adott adatgyűjtési szabályhoz való csatolásához a ChangeTracking és az Inventory engedélyezéséhez. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A Windows VMSS konfigurálása a ChangeTracking és az Inventory AMA telepítéséhez a felhasználó által hozzárendelt felügyelt identitással | Automatizálhatja az Azure Monitor Agent bővítmény üzembe helyezését a Windows rendszerű virtuálisgép-méretezési csoportokon a ChangeTracking és az Inventory engedélyezéséhez. Ez a szabályzat telepíti a bővítményt, és konfigurálja a megadott felhasználó által hozzárendelt felügyelt identitás használatára, ha az operációs rendszer és a régió támogatott, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.1.0-előzetes verzió |
| [Előzetes verzió]: Végponthoz készült Microsoft Defender-ügynök üzembe helyezése Linux rendszerű virtuális gépeken | Üzembe helyezi Végponthoz készült Microsoft Defender ügynököt a megfelelő Linux rendszerű virtuálisgép-lemezképeken. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| [Előzetes verzió]: Végponthoz készült Microsoft Defender ügynök üzembe helyezése Windows rendszerű virtuális gépeken | Üzembe helyezi a Végponthoz készült Microsoft Defender a windowsos virtuálisgép-rendszerképeken. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-előzetes verzió |
| [Előzetes verzió]: Rendszer által hozzárendelt identitás engedélyezése SQL virtuális gépen | A rendszer által hozzárendelt identitás engedélyezése nagy léptékben SQL virtuális gépekre. Ezt a szabályzatot előfizetési szinten kell hozzárendelnie. Az erőforráscsoport szintjén történő hozzárendelés nem a várt módon működik. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre kell telepíteni | Telepítse a vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre, hogy az Azure Security Center proaktívan tanúsítsa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a megbízható indítású és a bizalmas Linux rendszerű virtuális gépekre vonatkozik. | AuditIfNotExists, Disabled | 6.0.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt telepíteni kell a támogatott Linux rendszerű virtuális gépek méretezési csoportjaira | Telepítse a vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépek méretezési csoportjaira, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a Megbízható indítás és a Bizalmas Linux rendszerű virtuálisgép-méretezési csoportokra vonatkozik. | AuditIfNotExists, Disabled | 5.1.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Windows rendszerű virtuális gépekre kell telepíteni | Telepítse a vendégigazolási bővítményt a támogatott virtuális gépekre, hogy az Azure Security Center proaktívan tanúsítsa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuális gépekre vonatkozik. | AuditIfNotExists, Disabled | 4.0.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Windows rendszerű virtuális gépek méretezési csoportjaira kell telepíteni | Telepítse a vendégigazolási bővítményt a támogatott virtuálisgép-méretezési csoportokra, hogy az Azure Security Center proaktívan tanúsítsa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuálisgép-méretezési csoportokra vonatkozik. | AuditIfNotExists, Disabled | 3.1.0-előzetes verzió |
| [Előzetes verzió]: A Linux-gépeknek meg kell felelniük a Docker-gazdagépek Azure-beli biztonsági alapkonfigurációjának követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gép nincs megfelelően konfigurálva a Docker-gazdagépekhez készült Azure biztonsági alapkonfiguráció egyik javaslatához. | AuditIfNotExists, Disabled | 1.2.0-előzetes verzió |
| [Előzetes verzió]: A Linux-gépeknek meg kell felelniük az Azure Compute STIG megfelelőségi követelményének | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure Compute STIG megfelelőségi követelményének egyik javaslatához. A DISA (Defense Information Systems Agency) műszaki útmutatókat biztosít az STIG (Security Technical Implementation Guide) szolgáltatáshoz a számítási operációs rendszer védelméhez a Védelmi Minisztérium (DoD) által előírtak szerint. További részletek: https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.2.0-előzetes verzió |
| [Előzetes verzió]: Az OMI-vel rendelkező Linux-gépeken az 1.6.8-1-es vagy újabb verziónak kell lennie | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A Linuxhoz készült OMI-csomag 1.6.8-1-es verziójában található biztonsági javítás miatt minden gépet frissíteni kell a legújabb kiadásra. Frissítse az OMI-t használó alkalmazásokat/csomagokat a probléma megoldásához. További információ: https://aka.ms/omiguidance. | AuditIfNotExists, Disabled | 1.2.0-előzetes verzió |
| [Előzetes verzió]: A Linux rendszerű virtuális gépeknek csak aláírt és megbízható rendszerindítási összetevőket kell használniuk | Minden operációsrendszer-rendszerindítási összetevőt (rendszertöltő, kernel, kernelillesztő) megbízható közzétevőknek kell aláírnia. Felhőhöz készült Defender nem megbízható operációsrendszer-rendszerindítási összetevőket azonosított egy vagy több Linux-gépen. Ha meg szeretné védeni a gépeket a potenciálisan rosszindulatú összetevőktől, vegye fel őket az engedélyezési listára, vagy távolítsa el az azonosított összetevőket. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A Linux rendszerű virtuális gépeknek biztonságos rendszerindítást kell használniuk | A kártevőalapú rootkitek és rendszerindító készletek telepítése elleni védelem érdekében engedélyezze a Biztonságos rendszerindítást a támogatott Linux rendszerű virtuális gépeken. A Biztonságos rendszerindítás biztosítja, hogy csak aláírt operációs rendszerek és illesztőprogramok fussanak. Ez az értékelés csak azOkra a Linux rendszerű virtuális gépekre vonatkozik, amelyeken telepítve van az Azure Monitor Agent. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A Log Analytics-bővítményt engedélyezni kell a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuális gépeket, ha a virtuális gép lemezképe nincs a definiált listában, és a bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 2.0.1-előzetes verzió |
| [Előzetes verzió]: A gépeknek olyan portokat kell bezárni, amelyek támadási vektorokat tehetnek elérhetővé | Az Azure használati feltételei tiltják az Azure-szolgáltatások használatát olyan módon, amely bármilyen Microsoft-kiszolgálót vagy hálózatot károsíthat, letilthat, túlterhelhet vagy károsíthat. A javaslat által azonosított közzétett portokat be kell zárni a folyamatos biztonság érdekében. Az egyes azonosított portok esetében az ajánlás a lehetséges fenyegetés magyarázatát is tartalmazza. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A felügyelt lemezeknek zónaállónak kell lenniük | A felügyelt lemezek konfigurálhatók zónaeligazításra, zónaredundánsra vagy egyikre sem. A pontosan egy zónahozzárendeléssel rendelkező felügyelt lemezek zónaegyenlítettek. A ZRS-ben végződő termékváltozatnévvel rendelkező felügyelt lemezek zónaredundánsak. Ez a szabályzat segít azonosítani és kikényszeríteni ezeket a rugalmassági konfigurációkat a felügyelt lemezeken. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| [Előzetes verzió]: A biztonságos rendszerindítást engedélyezni kell a támogatott Windows rendszerű virtuális gépeken | Engedélyezze a biztonságos rendszerindítást a támogatott Windows rendszerű virtuális gépeken, hogy elhárítsa a rendszerindítási lánc rosszindulatú és jogosulatlan módosításait. Ha engedélyezve van, csak megbízható rendszerindítók, kernel- és kernelillesztők futtathatók. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuális gépekre vonatkozik. | Naplózás, letiltva | 4.0.0-előzetes verzió |
| [Előzetes verzió]: Az Ismétlődő frissítések ütemezésének előfeltétele az Azure-beli virtuális gépeken. | Ez a szabályzat az Azure Update Manager ismétlődő frissítéseinek ütemezéséhez szükséges előfeltételt állítja be a javítás vezénylésével az "Ügyfél által felügyelt ütemezések" beállítással. Ez a módosítás automatikusan "AutomaticByPlatform" értékre állítja a javítás módot, és engedélyezi a BypassPlatformSafetyChecksOnUserSchedule értéket "True" értékre az Azure-beli virtuális gépeken. Az előfeltétel nem alkalmazható az Arc-kompatibilis kiszolgálókra. Tudj meg többet- https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists, Disabled | 1.1.0-előzetes verzió |
| [Előzetes verzió]: A virtuálisgép-méretezési csoportoknak zónaállónak kell lenniük | A virtuálisgép-méretezési csoportok beállíthatók zónaeligazításra, zónaredundánsra vagy egyikre sem. Azok a virtuálisgép-méretezési csoportok, amelyek pontosan egy bejegyzéssel rendelkeznek a zónatömbjükben, zónaegyenlítettnek minősülnek. Ezzel szemben a zónatömbben legalább 3 bejegyzést tartalmazó virtuálisgép-méretezési csoportok és legalább 3 kapacitás zónaredundánsként vannak felismerve. Ez a szabályzat segít azonosítani és kikényszeríteni ezeket a rugalmassági konfigurációkat. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A virtuális gépek vendégigazolási állapotának kifogástalannak kell lennie | A vendégigazolás egy megbízható napló (TCGLog) egy igazolási kiszolgálónak való elküldésével történik. A kiszolgáló ezeket a naplókat használja annak meghatározására, hogy a rendszerindító összetevők megbízhatóak-e. Ez az értékelés a rendszerindítási lánc olyan sérüléseinek észlelésére szolgál, amelyek bootkit- vagy rootkit-fertőzés következménye lehetnek. Ez az értékelés csak azokra a megbízható indítású virtuális gépekre vonatkozik, amelyeken telepítve van a vendégigazolási bővítmény. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A virtuális gépeknek zóna igazításúnak kell lenniük | A virtuális gépek konfigurálhatók zónaeligazításra, vagy nem. Zónaegyenlítettnek minősülnek, ha csak egy bejegyzésük van a zónatömbjükben. Ez a szabályzat biztosítja, hogy egyetlen rendelkezésre állási zónán belül működjenek. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: a vTPM-et engedélyezni kell a támogatott virtuális gépeken | Engedélyezze a virtuális TPM-eszközt a támogatott virtuális gépeken, hogy megkönnyítse a mért rendszerindítást és más, TPM-t igénylő operációsrendszer-biztonsági funkciókat. Ha engedélyezve van, a vTPM használható a rendszerindítás integritásának igazolására. Ez az értékelés csak a megbízható indításra engedélyezett virtuális gépekre vonatkozik. | Naplózás, letiltva | 2.0.0-előzetes verzió |
| [Előzetes verzió]: A Windows-gépeknek meg kell felelniük az Azure Compute STIG megfelelőségi követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure Compute STIG megfelelőségi követelményeinek egyik javaslatához. A DISA (Defense Information Systems Agency) műszaki útmutatókat biztosít az STIG (Security Technical Implementation Guide) szolgáltatáshoz a számítási operációs rendszer védelméhez a Védelmi Minisztérium (DoD) által előírtak szerint. További részletek: https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezett virtuálisgép-méretű termékváltozatok | Ez a szabályzat lehetővé teszi a szervezet által üzembe helyezhető virtuálisgép-méretű termékváltozatok megadását. | Megtagadás | 1.0.1 |
| Linux rendszerű gépek naplózása, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha olyan Linux rendszerű gépek, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | AuditIfNotExists, Disabled | 3.1.0 |
| Olyan Linux-gépek naplózása, amelyek nem rendelkeznek a passwd fájlengedélyekkel 0644-re állítva | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Linux-gépek, amelyek nem rendelkeznek a passwd fájlengedélyekkel, 0644-re vannak beállítva | AuditIfNotExists, Disabled | 3.1.0 |
| A megadott alkalmazásokkal nem rendelkező Linux-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a Chef InSpec erőforrás azt jelzi, hogy a paraméter által biztosított egy vagy több csomag nincs telepítve. | AuditIfNotExists, Disabled | 4.2.0 |
| Jelszó nélküli fiókokkal rendelkező Linux-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a linuxos gépek jelszó nélkül rendelkeznek fiókkal | AuditIfNotExists, Disabled | 3.1.0 |
| A megadott alkalmazásokkal rendelkező Linux-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a Chef InSpec erőforrás azt jelzi, hogy a paraméter által biztosított egy vagy több csomag telepítve van. | AuditIfNotExists, Disabled | 4.2.0 |
| SSH biztonsági helyzetének naplózása Linux rendszeren (OSConfig használatával) | Ez a szabályzat naplóz egy SSH-kiszolgáló biztonsági konfigurációját Linux rendszerű gépeken (Azure-beli virtuális gépeken és Arc-kompatibilis gépeken). További információkért, beleértve az előfeltételeket, a hatókör beállításait, az alapértelmezett beállításokat és a testreszabást, lásd: https://aka.ms/SshPostureControlOverview | AuditIfNotExists, Disabled | 1.0.1 |
| Virtuális gépek naplózása vészhelyreállítás konfigurálása nélkül | Naplózhatja azokat a virtuális gépeket, amelyeken nincs vészhelyreállítás konfigurálva. Ha többet szeretne megtudni a vészhelyreállításról, látogasson el https://aka.ms/asr-docide. | auditIfNotExists | 1.0.0 |
| Felügyelt lemezeket nem használó virtuális gépek naplózása | Ez a szabályzat a felügyelt lemezeket nem használó virtuális gépeket naplózza | naplózás | 1.0.0 |
| A Rendszergazdák csoport egyik megadott tagját nem futtató Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a helyi Rendszergazdák csoport nem tartalmaz egy vagy több olyan tagot, amely szerepel a szabályzatparaméterben. | auditIfNotExists | 2.0.0 |
| Windows rendszerű gépek hálózati kapcsolatának naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha egy IP- és TCP-port hálózati kapcsolati állapota nem egyezik meg a házirend paraméterével. | auditIfNotExists | 2.0.0 |
| Windows rendszerű gépek naplózása, amelyeken a DSC-konfiguráció nem megfelelő | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a Get-DSCConfigurationStatus Windows PowerShell-parancs azt adja vissza, hogy a gép DSC-konfigurációja nem megfelelő. | auditIfNotExists | 3.0.0 |
| Olyan Windows-gépek naplózása, amelyeken a Log Analytics-ügynök nem a várt módon csatlakozik | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha az ügynök nincs telepítve, vagy ha telepítve van, de a COM-objektum, az AgentConfigManager.MgmtSvcCfg visszaadja, hogy a rendszer a szabályzatparaméterben megadott azonosítótól eltérő munkaterületen van regisztrálva. | auditIfNotExists | 2.0.0 |
| Olyan Windows-gépek naplózása, amelyeken a megadott szolgáltatások nincsenek telepítve, és "Fut" | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a Get-Service Windows PowerShell-parancs eredménye nem tartalmazza a szabályzatparaméter által megadott megfelelő állapotú szolgáltatásnevet. | auditIfNotExists | 3.0.0 |
| Olyan Windows-gépek naplózása, amelyeken a Windows soros konzol nincs engedélyezve | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gépre nincs telepítve a Soros konzol szoftvere, vagy ha az EMS-portszám vagy átviteli sebesség nincs a szabályzat paramétereivel megegyező értékekkel konfigurálva. | auditIfNotExists | 3.0.0 |
| Olyan Windows rendszerű gépek naplózása, amelyek lehetővé teszik a jelszavak újbóli használatát a megadott számú egyedi jelszó után | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépek lehetővé teszik a jelszavak ismételt használatát a megadott számú egyedi jelszó után. Az egyedi jelszavak alapértelmezett értéke 24 | AuditIfNotExists, Disabled | 2.1.0 |
| A megadott tartományhoz nem csatlakoztatott Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a WMI-osztály tartománytulajdonsága win32_computersystem értéke nem egyezik meg a szabályzatparaméter értékével. | auditIfNotExists | 2.0.0 |
| A megadott időzónára nem beállított Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a WMI-osztály StandardName tulajdonságának értéke Win32_TimeZone nem egyezik meg a szabályzatparaméterhez kiválasztott időzónával. | auditIfNotExists | 3.0.0 |
| A megadott számú napon belül lejáró tanúsítványokat tartalmazó Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a megadott tárolóban lévő tanúsítványok lejárati dátuma túllépi a paraméterként megadott napok számát. A szabályzat azt is lehetővé teszi, hogy csak adott tanúsítványokat keressen, vagy kizárjon bizonyos tanúsítványokat, és hogy a lejárt tanúsítványokról szeretne-e jelentést tenni. | auditIfNotExists | 2.0.0 |
| Olyan Windows-gépek naplózása, amelyek nem tartalmazzák a megadott tanúsítványokat a megbízható gyökérkönyvtárban | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a megbízható főtanúsítvány-tároló (Cert:\LocalMachine\Root) nem tartalmaz a házirendparaméter által felsorolt tanúsítványok közül egy vagy több tanúsítványt. | auditIfNotExists | 3.0.0 |
| A megadott számú napra beállított maximális jelszó-korhatárt nem tartalmazó Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken a jelszó maximális életkora nem meghatározott számú napra van beállítva. A jelszó maximális életkorának alapértelmezett értéke 70 nap | AuditIfNotExists, Disabled | 2.1.0 |
| A megadott számú napra beállított minimális jelszó-korhatárt nem tartalmazó Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken a jelszó minimális életkora nem meghatározott számú napra van beállítva. A jelszó minimális életkorának alapértelmezett értéke 1 nap | AuditIfNotExists, Disabled | 2.1.0 |
| Olyan Windows rendszerű gépek naplózása, amelyeken nincs engedélyezve a jelszó-összetettség beállítása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken nincs engedélyezve a jelszó-összetettség beállítása | AuditIfNotExists, Disabled | 2.0.0 |
| A megadott Windows PowerShell végrehajtási szabályzattal nem rendelkező Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a Windows PowerShell Get-ExecutionPolicy parancsa a szabályzatparaméterben kiválasztotttól eltérő értéket ad vissza. | AuditIfNotExists, Disabled | 3.0.0 |
| A megadott Windows PowerShell-modulokkal nem rendelkező Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha egy modul nem érhető el a PSModulePath környezeti változó által megadott helyen. | AuditIfNotExists, Disabled | 3.0.0 |
| Olyan Windows rendszerű gépek naplózása, amelyek nem korlátozzák a jelszó minimális hosszát megadott számú karakterre | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépek nem korlátozzák a jelszó minimális hosszát megadott számú karakterre. A jelszó minimális hosszának alapértelmezett értéke 14 karakter | AuditIfNotExists, Disabled | 2.1.0 |
| A jelszavakat nem reverzibilis titkosítással tároló Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Windows-gépek, amelyek nem tárolnak jelszavakat visszafejthető titkosítással | AuditIfNotExists, Disabled | 2.0.0 |
| A megadott alkalmazásokkal nem rendelkező Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha az alkalmazás neve nem található a következő beállításjegyzék-elérési utak egyikében sem: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| További fiókokkal rendelkező Windows-gépek naplózása a Rendszergazdák csoportban | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a helyi Rendszergazdák csoport olyan tagokat tartalmaz, amelyek nem szerepelnek a szabályzatparaméterben. | auditIfNotExists | 2.0.0 |
| A megadott számú napon belül nem újraindított Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a WMI LastBootUpTime tulajdonsága az Win32_Operatingsystem osztályban kívül esik a szabályzatparaméter által megadott napok tartományán. | auditIfNotExists | 2.0.0 |
| A megadott alkalmazásokkal rendelkező Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha az alkalmazás neve a következő beállításjegyzék-elérési utak valamelyikében található: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| A Rendszergazdák csoportban megadott tagokkal rendelkező Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a helyi Rendszergazdák csoport egy vagy több tagot tartalmaz a szabályzatparaméterben. | auditIfNotExists | 2.0.0 |
| Windows rendszerű virtuális gépek naplózása függőben lévő újraindítással | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép az alábbi okok bármelyike miatt újraindításra vár: összetevőalapú karbantartás, Windows Update, függőben lévő fájl átnevezése, függőben lévő számítógép átnevezése, konfigurációkezelő újraindításra vár. Minden észlelésnek egyedi beállításjegyzék-elérési útja van. | auditIfNotExists | 2.0.0 |
| A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek | Bár maga az SSH titkosított kapcsolatot biztosít, a jelszavak SSH-val való használata továbbra is sebezhetővé teszi a virtuális gépet a találgatásos támadások ellen. Az Azure Linux rendszerű virtuális gépek SSH-val történő hitelesítésének legbiztonságosabb lehetősége egy nyilvános és privát kulcspár, más néven SSH-kulcsok használata. További információ: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Az Azure Backupot engedélyezni kell a virtuális gépeken | Az Azure Backup engedélyezésével gondoskodjon az Azure-beli virtuális gépek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Disabled | 3.0.0 |
| A Cloud Services (kiterjesztett támogatás) szerepkörpéldányait biztonságosan kell konfigurálni | A Cloud Service (kiterjesztett támogatás) szerepkörpéldányainak védelme a támadások ellen, mivel biztosíthatja, hogy az operációs rendszer biztonsági rései ne legyenek feltárva. | AuditIfNotExists, Disabled | 1.0.0 |
| A Cloud Services (kiterjesztett támogatás) szerepkörpéldányainak rendelkezniük kell egy végpontvédelmi megoldással | A Cloud Services (kiterjesztett támogatás) szerepkörpéldányainak védelme a fenyegetések és a biztonsági rések ellen, biztosítva, hogy egy végpontvédelmi megoldás legyen telepítve rájuk. | AuditIfNotExists, Disabled | 1.0.0 |
| A Cloud Services (kiterjesztett támogatás) szerepkörpéldányainak telepítve kell lenniük a rendszerfrissítéseknek | A Cloud Services (kiterjesztett támogatás) szerepkörpéldányainak védelme a legújabb biztonsági és kritikus frissítések telepítésének biztosításával. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Defender for Servers konfigurálása az összes erőforrás letiltásához (erőforrásszint) | Az Azure Defender for Servers valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. Ez a szabályzat letiltja a Defender for Servers csomagot a kijelölt hatókörben (előfizetés vagy erőforráscsoport) lévő összes erőforráshoz (virtuális gépekhez, VMSS-ekhez és ARC-gépekhez). | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Defender for Servers konfigurálása az erőforrások (erőforrásszint) letiltásához a kijelölt címkével | Az Azure Defender for Servers valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. Ez a szabályzat letiltja a Defender for Servers csomagot az összes olyan erőforráshoz (virtuális gépekhez, virtuális gépekhez és ARC-gépekhez), amelyek a kiválasztott címkenevet és címkeértéket(ek) kapják. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurálja az Azure Defender for Serverst úgy, hogy engedélyezve legyen (P1 alsík) az összes erőforráshoz (erőforrásszinthez) a kijelölt címkével | Az Azure Defender for Servers valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. Ez a szabályzat engedélyezi a Defender for Servers csomagot (P1 alsíkkal) az összes olyan erőforráshoz (virtuális gépekhez és ARC-gépekhez), amelyek a kijelölt címkenevet és címkeértéket(ek) kapják. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurálja az Azure Defender for Serverst úgy, hogy engedélyezve legyen (p1 alsíkkal) az összes erőforráshoz (erőforrásszint) | Az Azure Defender for Servers valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. Ez a szabályzat engedélyezi a Defender for Servers csomagot (P1 altervvel) a kijelölt hatókörben (előfizetés vagy erőforráscsoport) lévő összes erőforráshoz (virtuális gépekhez és ARC-gépekhez). | DeployIfNotExists, Disabled | 1.0.0 |
| Biztonsági mentés konfigurálása virtuális gépeken egy adott címkével egy új helyreállítási tárba egy alapértelmezett szabályzattal | Az összes virtuális gép biztonsági mentésének kikényszerítéséhez helyezzen üzembe egy helyreállítási tárat a virtuális géppel azonos helyen és erőforráscsoportban. Ez akkor hasznos, ha a szervezet különböző alkalmazáscsapatai külön erőforráscsoportokat foglalnak le, és saját biztonsági mentéseket és visszaállításokat kell kezelniük. A hozzárendelés hatókörének szabályozásához megadhat egy megadott címkét tartalmazó virtuális gépeket is. Lásd: https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.4.0 |
| Biztonsági mentés konfigurálása egy adott címkével rendelkező virtuális gépeken egy meglévő helyreállítási tárra ugyanazon a helyen | Az összes virtuális gép biztonsági mentésének kikényszerítéséhez készítsen biztonsági másolatot egy meglévő központi helyreállítási tárról a virtuális géppel azonos helyen és előfizetésben. Ez akkor hasznos, ha egy központi csapat felügyeli az előfizetés összes erőforrásának biztonsági mentését. A hozzárendelés hatókörének szabályozásához megadhat egy megadott címkét tartalmazó virtuális gépeket is. Lásd: https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.4.0 |
| Biztonsági mentés konfigurálása adott címke nélküli virtuális gépeken egy új helyreállítási tárba egy alapértelmezett házirenddel | Az összes virtuális gép biztonsági mentésének kikényszerítéséhez helyezzen üzembe egy helyreállítási tárat a virtuális géppel azonos helyen és erőforráscsoportban. Ez akkor hasznos, ha a szervezet különböző alkalmazáscsapatai külön erőforráscsoportokat foglalnak le, és saját biztonsági mentéseket és visszaállításokat kell kezelniük. A hozzárendelés hatókörének szabályozásához opcionálisan kizárhatja a megadott címkét tartalmazó virtuális gépeket. Lásd: https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.4.0 |
| Biztonsági mentés konfigurálása egy adott címke nélküli virtuális gépeken egy meglévő helyreállítási tárra ugyanazon a helyen | Az összes virtuális gép biztonsági mentésének kikényszerítéséhez készítsen biztonsági másolatot egy meglévő központi helyreállítási tárról a virtuális géppel azonos helyen és előfizetésben. Ez akkor hasznos, ha egy központi csapat felügyeli az előfizetés összes erőforrásának biztonsági mentését. A hozzárendelés hatókörének szabályozásához opcionálisan kizárhatja a megadott címkét tartalmazó virtuális gépeket. Lásd: https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.4.0 |
| Vészhelyreállítás konfigurálása virtuális gépeken az Azure Site Recoveryn keresztüli replikáció engedélyezésével | A vészhelyreállítási konfigurációval nem rendelkező virtuális gépek ki vannak téve a kimaradásoknak és egyéb fennakadásoknak. Ha a virtuális gép még nem rendelkezik vészhelyreállítási konfigurálással, ez ugyanezt kezdeményezné azáltal, hogy engedélyezi a replikációt előre beállított konfigurációkkal az üzletmenet folytonosságának elősegítése érdekében. A hozzárendelés hatókörének szabályozásához opcionálisan felvehet vagy kizárhat egy adott címkét tartalmazó virtuális gépeket. Ha többet szeretne megtudni a vészhelyreállításról, látogasson el https://aka.ms/asr-docide. | DeployIfNotExists, Disabled | 2.1.0 |
| Lemezelérési erőforrások konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatokat az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát végpontok lemezhozzáférési erőforrásokhoz való leképezésével csökkentheti az adatszivárgás kockázatát. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Linux rendszerű gépek konfigurálása adatgyűjtési szabályhoz vagy adatgyűjtési végponthoz való társításhoz | Társítás üzembe helyezése Linux rendszerű virtuális gépek, virtuálisgép-méretezési csoportok és Arc-gépek összekapcsolásához a megadott adatgyűjtési szabályhoz vagy a megadott adatgyűjtési végponthoz. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 6.5.1 |
| Konfigurálja a Linux Servert a helyi felhasználók letiltásához. | Létrehoz egy vendégkonfigurációs hozzárendelést, amely konfigurálja a helyi felhasználók letiltását a Linux Serveren. Ez biztosítja, hogy a Linux-kiszolgálókhoz csak AAD-fiók (Azure Active Directory) fiók vagy a szabályzat által kifejezetten engedélyezett felhasználók listája férhessen hozzá, ezáltal javítva az általános biztonsági helyzetet. | DeployIfNotExists, Disabled | 1.3.0-előzetes verzió |
| Linux rendszerű virtuálisgép-méretezési csoportok konfigurálása adatgyűjtési szabályhoz vagy adatgyűjtési végponthoz való társításhoz | Társítás üzembe helyezése Linux rendszerű virtuálisgép-méretezési csoportoknak a megadott adatgyűjtési szabályhoz vagy a megadott adatgyűjtési végponthoz való csatolásához. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 4.4.1 |
| Linux rendszerű virtuálisgép-méretezési csoportok konfigurálása az Azure Monitor-ügynök rendszer által hozzárendelt felügyelt identitásalapú hitelesítéssel történő futtatásához | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Linux rendszerű virtuálisgép-méretezési csoportokon telemetriai adatok gyűjtéséhez a vendég operációs rendszerből. Ez a szabályzat telepíti a bővítményt, ha az operációs rendszer és a régió támogatott, és a rendszer által hozzárendelt felügyelt identitás engedélyezve van, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.6.0 |
| Linux rendszerű virtuálisgép-méretezési csoportok konfigurálása az Azure Monitor Agent felhasználó által hozzárendelt felügyelt identitásalapú hitelesítéssel történő futtatásához | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Linux rendszerű virtuálisgép-méretezési csoportokon telemetriai adatok gyűjtéséhez a vendég operációs rendszerből. Ez a szabályzat telepíti a bővítményt, és konfigurálja a megadott felhasználó által hozzárendelt felügyelt identitás használatára, ha az operációs rendszer és a régió támogatott, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.8.0 |
| Linux rendszerű virtuális gépek konfigurálása adatgyűjtési szabályhoz vagy adatgyűjtési végponthoz való társításhoz | Társítás üzembe helyezése Linux rendszerű virtuális gépeknek a megadott adatgyűjtési szabályhoz vagy a megadott adatgyűjtési végponthoz való csatolásához. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 4.4.1 |
| Linux rendszerű virtuális gépek konfigurálása az Azure Monitor-ügynök futtatására rendszer által hozzárendelt felügyelt identitásalapú hitelesítéssel | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Linux rendszerű virtuális gépeken telemetriai adatok gyűjtéséhez a vendég operációs rendszerből. Ez a szabályzat telepíti a bővítményt, ha az operációs rendszer és a régió támogatott, és a rendszer által hozzárendelt felügyelt identitás engedélyezve van, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.6.0 |
| Linux rendszerű virtuális gépek konfigurálása az Azure Monitor-ügynök futtatására felhasználó által hozzárendelt felügyelt identitásalapú hitelesítéssel | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Linux rendszerű virtuális gépeken telemetriai adatok gyűjtéséhez a vendég operációs rendszerből. Ez a szabályzat telepíti a bővítményt, és konfigurálja a megadott felhasználó által hozzárendelt felügyelt identitás használatára, ha az operációs rendszer és a régió támogatott, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.8.0 |
| Gépek konfigurálása sebezhetőségi felmérési szolgáltató fogadására | Az Azure Defender további költségek nélkül tartalmazza a gépek biztonsági réseinek vizsgálatát. Nincs szüksége Qualys-licencre vagy akár Qualys-fiókra sem – minden zökkenőmentesen kezelhető a Security Centerben. Ha engedélyezi ezt a szabályzatot, az Azure Defender automatikusan telepíti a Qualys biztonságirés-felmérési szolgáltatót az összes olyan támogatott gépen, amely még nincs telepítve. | DeployIfNotExists, Disabled | 4.0.0 |
| Felügyelt lemezek konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le a nyilvános hálózati hozzáférést a felügyelt lemezerőforráshoz, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/disksprivatelinksdoc. | Módosítás, letiltva | 2.0.0 |
| Hiányzó rendszerfrissítések rendszeres ellenőrzésének konfigurálása azure-beli virtuális gépeken | Konfigurálja az automatikus értékelést (24 óránként) a natív Azure-beli virtuális gépek operációs rendszerének frissítéséhez. A hozzárendelés hatókörét a gép-előfizetés, az erőforráscsoport, a hely vagy a címke alapján szabályozhatja. További információ erről a Windows: https://aka.ms/computevm-windowspatchassessmentmode, Linux esetén: https://aka.ms/computevm-linuxpatchassessmentmode. | módosítás | 4.8.0 |
| Biztonságos kommunikációs protokollok (TLS 1.1 vagy TLS 1.2) konfigurálása Windows rendszerű gépeken | Létrehoz egy vendégkonfigurációs hozzárendelést a megadott biztonságos protokollverzió (TLS 1.1 vagy TLS 1.2) windowsos gépen való konfigurálásához. | DeployIfNotExists, Disabled | 1.0.1 |
| SQL Virtual Machines konfigurálása az Azure Monitor-ügynök automatikus telepítéséhez | Automatizálhatja az Azure Monitor Agent bővítmény üzembe helyezését a Windows SQL Virtuális gépeken. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.5.0 |
| Sql Virtual Machines konfigurálása az SQL-hez készült Microsoft Defender automatikus telepítéséhez | Konfigurálja a Windows SQL-alapú virtuális gépeket a Microsoft Defender sql-bővítmény automatikus telepítéséhez. A Microsoft Defender for SQL összegyűjti az ügynöktől származó eseményeket, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. | DeployIfNotExists, Disabled | 1.5.0 |
| SSH biztonsági helyzet konfigurálása Linuxhoz (OSConfig használatával) | Ez a szabályzat naplóz és konfigurálja az SSH-kiszolgáló biztonsági konfigurációját Linux rendszerű gépeken (Azure-beli virtuális gépeken és Arc-kompatibilis gépeken). További információkért, beleértve az előfeltételeket, a hatókör beállításait, az alapértelmezett beállításokat és a testreszabást, lásd: https://aka.ms/SshPostureControlOverview | DeployIfNotExists, Disabled | 1.0.1 |
| Időzóna konfigurálása Windows rendszerű gépeken. | Ez a szabályzat létrehoz egy vendégkonfigurációs hozzárendelést a megadott időzóna beállításához Windows rendszerű virtuális gépeken. | deployIfNotExists | 2.1.0 |
| Virtuális gépek konfigurálása az Azure Automanage-ba való előkészítéshez | Az Azure Automanage regisztrálja, konfigurálja és figyeli a virtuális gépeket a Microsoft felhőadaptálási keretrendszer for Azure-ban meghatározott ajánlott eljárásokkal. Ezzel a szabályzattal alkalmazza az Automanage parancsot a kiválasztott hatókörre. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.4.0 |
| Virtuális gépek konfigurálása egyéni konfigurációs profillal az Azure Automanage-ba való előkészítéshez | Az Azure Automanage regisztrálja, konfigurálja és figyeli a virtuális gépeket a Microsoft felhőadaptálási keretrendszer for Azure-ban meghatározott ajánlott eljárásokkal. Ezzel a szabályzattal saját testreszabott konfigurációs profillal rendelkező automanage-t alkalmazhat a kiválasztott hatókörre. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Windows rendszerű gépek konfigurálása adatgyűjtési szabályhoz vagy adatgyűjtési végponthoz való társításhoz | Társítás üzembe helyezése Windows rendszerű virtuális gépek, virtuálisgép-méretezési csoportok és Arc-gépek összekapcsolásához a megadott adatgyűjtési szabályhoz vagy a megadott adatgyűjtési végponthoz. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 4.5.1 |
| A Windows rendszerű virtuálisgép-méretezési csoportok konfigurálása adatgyűjtési szabályhoz vagy adatgyűjtési végponthoz való társításhoz | Társítás üzembe helyezése a Windows rendszerű virtuálisgép-méretezési csoportoknak a megadott adatgyűjtési szabályhoz vagy a megadott adatgyűjtési végponthoz való csatolásához. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 3.3.1 |
| Windows rendszerű virtuálisgép-méretezési csoportok konfigurálása az Azure Monitor Agent rendszer által hozzárendelt felügyelt identitással való futtatásához | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Windows rendszerű virtuálisgép-méretezési csoportokon telemetriai adatok gyűjtéséhez a vendég operációs rendszerből. Ez a szabályzat telepíti a bővítményt, ha az operációs rendszer és a régió támogatott, és a rendszer által hozzárendelt felügyelt identitás engedélyezve van, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.4.0 |
| Windows rendszerű virtuálisgép-méretezési csoportok konfigurálása az Azure Monitor Agent felhasználó által hozzárendelt felügyelt identitásalapú hitelesítéssel történő futtatásához | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Windows rendszerű virtuálisgép-méretezési csoportokon telemetriai adatok gyűjtéséhez a vendég operációs rendszerből. Ez a szabályzat telepíti a bővítményt, és konfigurálja a megadott felhasználó által hozzárendelt felügyelt identitás használatára, ha az operációs rendszer és a régió támogatott, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.6.0 |
| Windows rendszerű virtuális gépek konfigurálása adatgyűjtési szabályhoz vagy adatgyűjtési végponthoz való társításhoz | Társítás üzembe helyezése Windows rendszerű virtuális gépeknek a megadott adatgyűjtési szabályhoz vagy a megadott adatgyűjtési végponthoz való csatolásához. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 3.3.1 |
| Windows rendszerű virtuális gépek konfigurálása az Azure Monitor Agent rendszer által hozzárendelt felügyelt identitással való futtatására | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Windows rendszerű virtuális gépeken telemetriai adatok gyűjtéséhez a vendég operációs rendszerből. Ez a szabályzat telepíti a bővítményt, ha az operációs rendszer és a régió támogatott, és a rendszer által hozzárendelt felügyelt identitás engedélyezve van, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 4.4.0 |
| Windows rendszerű virtuális gépek konfigurálása az Azure Monitor-ügynök futtatására felhasználó által hozzárendelt felügyelt identitásalapú hitelesítéssel | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Windows rendszerű virtuális gépeken telemetriai adatok gyűjtéséhez a vendég operációs rendszerből. Ez a szabályzat telepíti a bővítményt, és konfigurálja a megadott felhasználó által hozzárendelt felügyelt identitás használatára, ha az operációs rendszer és a régió támogatott, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.6.0 |
| Beépített, felhasználó által hozzárendelt felügyelt identitás létrehozása és hozzárendelése | Hozzon létre és rendeljen hozzá egy beépített, felhasználó által hozzárendelt felügyelt identitást nagy léptékben az SQL virtuális gépekhez. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.7.0 |
| A függőségi ügynököt engedélyezni kell a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuális gépeket, ha a virtuális gép lemezképe nem szerepel a definiált listában, és az ügynök nincs telepítve. Az operációsrendszer-rendszerképek listája idővel frissül a támogatás frissítésével. | AuditIfNotExists, Disabled | 2.0.0 |
| A függőségi ügynököt engedélyezni kell a virtuálisgép-méretezési csoportokban a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuálisgép-méretezési csoportokat, ha a virtuális gép lemezképe nincs a definiált listában, és az ügynök nincs telepítve. Az operációsrendszer-rendszerképek listája idővel frissül a támogatás frissítésével. | AuditIfNotExists, Disabled | 2.0.0 |
| Üzembe helyezés – A függőségi ügynök konfigurálása a Windows rendszerű virtuálisgép-méretezési csoportokon való engedélyezéshez | A Függőségi ügynök üzembe helyezése Windows rendszerű virtuálisgép-méretezési csoportokhoz, ha a virtuális gép lemezképe szerepel a definiált listában, és az ügynök nincs telepítve. Ha a méretezési csoport upgradePolicy beállítása manuális, a bővítményt a készlet összes virtuális gépére alkalmaznia kell a frissítéssel. | DeployIfNotExists, Disabled | 3.2.0 |
| Üzembe helyezés – A függőségi ügynök konfigurálása a Windows rendszerű virtuális gépeken való engedélyezéshez | Telepítse a függőségi ügynököt Windows rendszerű virtuális gépekhez, ha a virtuális gép lemezképe szerepel a definiált listában, és az ügynök nincs telepítve. | DeployIfNotExists, Disabled | 3.2.0 |
| Üzembe helyezés – A Log Analytics-bővítmény konfigurálása a Windows rendszerű virtuálisgép-méretezési csoportokon való engedélyezéshez | Telepítse a Log Analytics-bővítményt Windows rendszerű virtuálisgép-méretezési csoportokhoz, ha a virtuális gép lemezképe szerepel a definiált listában, és a bővítmény nincs telepítve. Ha a méretezési csoport upgradePolicy beállítása manuális, a bővítményt a készlet összes virtuális gépére kell alkalmaznia a frissítéssel. Elavulással kapcsolatos értesítés: A Log Analytics-ügynök elavult, és 2024. augusztus 31. után nem támogatott. Az adott dátum előtt át kell költöznie a helyettesítő "Azure Monitor-ügynökbe". | DeployIfNotExists, Disabled | 3.1.0 |
| Üzembe helyezés – A Log Analytics-bővítmény konfigurálása a Windows rendszerű virtuális gépeken való engedélyezéshez | A Log Analytics-bővítmény üzembe helyezése Windows rendszerű virtuális gépeken, ha a virtuális gép lemezképe szerepel a definiált listában, és a bővítmény nincs telepítve. Elavulással kapcsolatos értesítés: A Log Analytics-ügynök elavult, és 2024. augusztus 31. után nem támogatott. Az adott dátum előtt át kell költöznie a helyettesítő "Azure Monitor-ügynökbe". | DeployIfNotExists, Disabled | 3.1.0 |
| Alapértelmezett Microsoft IaaSAntimalware-bővítmény üzembe helyezése Windows Serverhez | Ez a szabályzat egy Alapértelmezett konfigurációjú Microsoft IaaSAntimalware-bővítményt helyez üzembe, ha egy virtuális gép nincs konfigurálva a kártevőirtó bővítménysel. | deployIfNotExists | 1.1.0 |
| Függőségi ügynök üzembe helyezése Linux rendszerű virtuálisgép-méretezési csoportokhoz | Telepítse a függőségi ügynököt Linux rendszerű virtuálisgép-méretezési csoportokhoz, ha a virtuálisgép-rendszerkép (OS) szerepel a definiált listában, és az ügynök nincs telepítve. Megjegyzés: ha a méretezési csoport upgradePolicy beállítása manuális, akkor a bővítményt a készlet összes virtuális gépére alkalmaznia kell a frissítés meghívásával. A parancssori felületen ez az az vmss update-instances lenne. | deployIfNotExists | 5.1.0 |
| Függőségi ügynök üzembe helyezése Linux rendszerű virtuálisgép-méretezési csoportokhoz az Azure Monitoring Agent beállításaival | A Függőségi ügynök üzembe helyezése Linux rendszerű virtuálisgép-méretezési csoportokhoz az Azure Monitoring Agent beállításaival, ha a virtuálisgép-rendszerkép (OS) szerepel a definiált listában, és az ügynök nincs telepítve. Megjegyzés: ha a méretezési csoport upgradePolicy beállítása manuális, akkor a bővítményt a készlet összes virtuális gépére alkalmaznia kell a frissítés meghívásával. A parancssori felületen ez az az vmss update-instances lenne. | DeployIfNotExists, Disabled | 3.2.0 |
| Függőségi ügynök üzembe helyezése Linux rendszerű virtuális gépekhez | Függőségi ügynök üzembe helyezése Linux rendszerű virtuális gépeken, ha a virtuálisgép-rendszerkép (OS) szerepel a definiált listában, és az ügynök nincs telepítve. | deployIfNotExists | 5.1.0 |
| Függőségi ügynök üzembe helyezése Linux rendszerű virtuális gépeken az Azure Monitoring Agent beállításaival | Ha a virtuálisgép-rendszerkép (OS) szerepel a definiált listában, és az ügynök nincs telepítve, telepítse a függőségi ügynököt Linux rendszerű virtuális gépeken az Azure Monitoring Agent beállításaival. | DeployIfNotExists, Disabled | 3.2.0 |
| A Függőségi ügynök üzembe helyezése a Windows rendszerű virtuálisgép-méretezési csoportokon való engedélyezéshez az Azure Monitoring Agent beállításaival | A Függőségi ügynök üzembe helyezése Windows rendszerű virtuálisgép-méretezési csoportokhoz az Azure Monitoring Agent beállításaival, ha a virtuális gép lemezképe szerepel a definiált listában, és az ügynök nincs telepítve. Ha a méretezési csoport upgradePolicy beállítása manuális, a bővítményt a készlet összes virtuális gépére alkalmaznia kell a frissítéssel. | DeployIfNotExists, Disabled | 1.3.0 |
| A függőségi ügynök üzembe helyezése a Windows rendszerű virtuális gépeken az Azure Monitoring Agent beállításaival engedélyezve | A függőségi ügynök üzembe helyezése Windows rendszerű virtuális gépeken az Azure Monitoring Agent beállításaival, ha a virtuális gép lemezképe szerepel a definiált listában, és az ügynök nincs telepítve. | DeployIfNotExists, Disabled | 1.3.0 |
| Log Analytics-bővítmény üzembe helyezése Linux rendszerű virtuálisgép-méretezési csoportokhoz. Lásd alább az elavulással kapcsolatos közleményt | Telepítse a Log Analytics-bővítményt Linux rendszerű virtuálisgép-méretezési csoportokhoz, ha a virtuálisgép-rendszerkép (OS) szerepel a definiált listában, és a bővítmény nincs telepítve. Megjegyzés: ha a méretezési csoport upgradePolicy beállítása manuális, akkor a bővítményt a készlet összes virtuális gépére alkalmaznia kell a frissítés meghívásával. A parancssori felületen ez az az vmss update-instances lenne. Elavulással kapcsolatos értesítés: A Log Analytics-ügynök 2024. augusztus 31. után nem támogatott. Az adott dátum előtt át kell költöznie a helyettesítő "Azure Monitor-ügynökbe". | deployIfNotExists | 3.0.0 |
| Log Analytics-bővítmény üzembe helyezése Linux rendszerű virtuális gépekhez. Lásd alább az elavulással kapcsolatos közleményt | Telepítse a Log Analytics-bővítményt Linux rendszerű virtuális gépekhez, ha a virtuálisgép-rendszerkép (OS) szerepel a definiált listában, és a bővítmény nincs telepítve. Elavulással kapcsolatos értesítés: A Log Analytics-ügynök elavult, és 2024. augusztus 31. után nem támogatott. Az adott dátum előtt át kell költöznie a helyettesítő "Azure Monitor-ügynökbe". | deployIfNotExists | 3.0.0 |
| A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| A lemezelérési erőforrásoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| A lemezek és az operációs rendszer lemezképének támogatnia kell a TrustedLaunch szolgáltatást | A TrustedLaunch javítja a virtuális gépek biztonságát, amelyhez operációsrendszer-lemez és operációsrendszer-rendszerkép szükséges a támogatásához (Gen 2). Ha többet szeretne megtudni a TrustedLaunchról, látogasson el https://aka.ms/trustedlaunch | Naplózás, letiltva | 1.0.0 |
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Az Azure Security Center által támogatott végpontvédelmi megoldásokat itt dokumentáljuk : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelem értékelése itt dokumentálva van – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| A végpontvédelmet telepíteni kell a gépekre | A gépek fenyegetésekkel és biztonsági résekkel szembeni védelméhez telepítsen egy támogatott végpontvédelmi megoldást. | AuditIfNotExists, Disabled | 1.0.0 |
| A végpontvédelmi megoldást telepíteni kell a virtuálisgép-méretezési csoportokra | A virtuálisgép-méretezési csoportok végpontvédelmi megoldásának meglétét és állapotát naplózza, hogy megvédje őket a fenyegetésektől és a biztonsági résektől. | AuditIfNotExists, Disabled | 3.0.0 |
| A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| A gyakori elérésű fóliát engedélyezni kell Windows Server Azure Edition rendszerű virtuális gépeken | Az újraindítások minimalizálása és a frissítések gyors telepítése a hotpatch használatával. További információ: https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Le kell tiltani az IP-továbbítást a virtuális gépen | Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. | AuditIfNotExists, Disabled | 3.0.0 |
| A Linux-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfigurációjának követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Disabled | 2.2.0 |
| A Linux rendszerű gépeknek csak olyan helyi fiókokkal kell rendelkezniük, amelyek engedélyezettek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A felhasználói fiókok Azure Active Directoryval való kezelése ajánlott eljárás az identitások kezeléséhez. A helyi gépfiókok számának csökkentése segít megelőzni a központi rendszeren kívül felügyelt identitások elterjedését. A gépek nem megfelelőek, ha olyan helyi felhasználói fiókok léteznek, amelyek engedélyezve vannak, és nem szerepelnek a szabályzatparaméterben. | AuditIfNotExists, Disabled | 2.2.0 |
| A Linux rendszerű virtuálisgép-méretezési csoportoknak telepítve kell lenniük az Azure Monitor-ügynökkel | A Linux rendszerű virtuálisgép-méretezési csoportokat az üzembe helyezett Azure Monitor-ügynökön keresztül kell figyelni és védeni. Az Azure Monitor-ügynök telemetriai adatokat gyűjt a vendég operációs rendszerből. Ez a szabályzat a támogatott régiókban támogatott operációsrendszer-rendszerképekkel rendelkező virtuálisgép-méretezési csoportokat naplózza. További információ: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.3.0 |
| A Linux rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot. | Bár a virtuális gép operációs rendszere és adatlemezei alapértelmezés szerint inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal; az erőforráslemezek (ideiglenes lemezek), az adatgyorsítótárak és a számítási és tárolási erőforrások közötti adatfolyamok nincsenek titkosítva. Az Azure Disk Encryption vagy a EncryptionAtHost használatával szervizelhet. Látogasson el https://aka.ms/diskencryptioncomparison a titkosítási ajánlatok összehasonlításához. Ez a szabályzat két előfeltételt igényel a szabályzat-hozzárendelés hatókörében való üzembe helyezéshez. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.1 |
| Linux rendszerű virtuális gépeken telepítve kell lennie az Azure Monitor Agentnek | A Linux rendszerű virtuális gépeket az üzembe helyezett Azure Monitor-ügynökön keresztül kell figyelni és védeni. Az Azure Monitor-ügynök telemetriai adatokat gyűjt a vendég operációs rendszerből. Ez a szabályzat a támogatott régiókban támogatott operációsrendszer-rendszerképekkel rendelkező virtuális gépeket naplóz. További információ: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.3.0 |
| A helyi hitelesítési módszereket le kell tiltani Linux rendszerű gépeken | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a Linux-kiszolgálók nem tiltják le a helyi hitelesítési módszereket. Ennek célja annak ellenőrzése, hogy a Linux-kiszolgálók csak AAD-fiók (Azure Active Directory) fiók vagy a szabályzat által kifejezetten engedélyezett felhasználók listája által érhetők-e el, ezáltal javítva az általános biztonsági helyzetet. | AuditIfNotExists, Disabled | 1.2.0-előzetes verzió |
| A helyi hitelesítési módszereket le kell tiltani Windows-kiszolgálókon | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a Windows-kiszolgálók nem tiltják le a helyi hitelesítési módszereket. Ennek célja annak ellenőrzése, hogy a Windows Servereket csak AAD-fiók (Azure Active Directory) fiók vagy a szabályzat által kifejezetten engedélyezett felhasználók listája érheti-e el, ezáltal javítva az általános biztonsági helyzetet. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| A Log Analytics-ügynököt telepíteni kell a Cloud Services (kiterjesztett támogatási) szerepkörpéldányokra | A Security Center adatokat gyűjt a Cloud Services (kiterjesztett támogatási) szerepkörpéldányokból a biztonsági rések és fenyegetések monitorozásához. | AuditIfNotExists, Disabled | 2.0.0 |
| A Log Analytics-bővítményt engedélyezni kell a virtuálisgép-méretezési csoportokban a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuálisgép-méretezési csoportokat, ha a virtuális gép lemezképe nem szerepel a definiált listában, és a bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 2.0.1 |
| A gépeket úgy kell konfigurálni, hogy rendszeresen ellenőrizze a hiányzó rendszerfrissítéseket | Annak érdekében, hogy a hiányzó rendszerfrissítések rendszeres értékelése 24 óránként automatikusan aktiválódjon, az AssessmentMode tulajdonságot az "AutomaticByPlatform" értékre kell állítani. További információ a AssessmentMode tulajdonságról a Windowshoz: https://aka.ms/computevm-windowspatchassessmentmode, Linuxhoz: https://aka.ms/computevm-linuxpatchassessmentmode. | Naplózás, megtagadás, letiltva | 3.7.0 |
| A gépek titkos megállapításait meg kell oldani | Naplóozza a virtuális gépeket annak észlelésére, hogy tartalmaznak-e titkos megállapításokat a virtuális gépek titkos vizsgálati megoldásaiból. | AuditIfNotExists, Disabled | 1.0.2 |
| A felügyelt lemezeket a platform által felügyelt és az ügyfél által felügyelt kulcsokkal is duplán kell titkosítani | A magas biztonsági szempontból érzékeny ügyfelek, akik aggódnak az adott titkosítási algoritmussal, implementációval vagy kulcssal kapcsolatos kockázat miatt, további titkosítási réteget választhatnak egy másik titkosítási algoritmus/mód használatával az infrastruktúrarétegen platform által felügyelt titkosítási kulcsok használatával. A lemeztitkosítási csoportoknak kettős titkosítást kell használniuk. További információ: https://aka.ms/disks-doubleEncryption. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A felügyelt lemezeknek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy egy felügyelt lemez nem érhető el a nyilvános interneten. A privát végpontok létrehozása korlátozhatja a felügyelt lemezek expozícióját. További információ: https://aka.ms/disksprivatelinksdoc. | Naplózás, letiltva | 2.0.0 |
| A felügyelt lemezeknek egy adott lemeztitkosítási csoportot kell használniuk az ügyfél által felügyelt kulcstitkosításhoz | A felügyelt lemezekhez használandó lemeztitkosítási készletek meghatározott készletének megkövetelése lehetővé teszi a inaktív titkosításhoz használt kulcsok vezérlését. Kiválaszthatja az engedélyezett titkosított készleteket, és a rendszer minden mást elutasít egy lemezhez csatolva. További információ: https://aka.ms/disks-cmk. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| A felügyeleti portokat be kell zárni a virtuális gépeken | A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. | AuditIfNotExists, Disabled | 3.0.0 |
| Az Azure-hoz készült Microsoft Antimalware-t úgy kell konfigurálni, hogy automatikusan frissítse a védelmi aláírásokat | Ez a szabályzat naplóz minden olyan Windows rendszerű virtuális gépet, amely nincs konfigurálva a Microsoft Antimalware védelmi aláírásainak automatikus frissítésével. | AuditIfNotExists, Disabled | 1.0.0 |
| A Microsoft IaaSAntimalware bővítményt Windows-kiszolgálókon kell üzembe helyezni | Ez a szabályzat a Microsoft IaaSAntimalware bővítmény üzembe helyezése nélkül naplóz minden Windows Server rendszerű virtuális gépet. | AuditIfNotExists, Disabled | 1.1.0 |
| Hiányzó Endpoint Protection monitorozása az Azure Security Centerben | A telepített Endpoint Protection-ügynökkel nem rendelkező kiszolgálókat az Azure Security Center figyeli javaslatként | AuditIfNotExists, Disabled | 3.0.0 |
| A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Csak jóváhagyott virtuálisgép-bővítményeket kell telepíteni | Ez a szabályzat a nem jóváhagyott virtuálisgép-bővítményeket szabályozza. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az operációs rendszert és az adatlemezeket ügyfél által felügyelt kulccsal kell titkosítani | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a felügyelt lemezek többi részén. Alapértelmezés szerint az adatok inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/disks-cmk. | Naplózás, megtagadás, letiltva | 3.0.0 |
| Engedélyezni kell a vendégkonfigurációs hozzárendelések privát végpontjait | A privát végpontkapcsolatok a virtuális gépek vendégkonfigurációhoz való privát kapcsolatának engedélyezésével kényszerítik ki a biztonságos kommunikációt. A virtuális gépek nem lesznek kompatibilisek, hacsak nem rendelkeznek az "EnablePrivateNetworkGC" címkével. Ez a címke a virtuális gépek vendégkonfigurációja felé irányuló privát kapcsolaton keresztül kényszeríti ki a biztonságos kommunikációt. A privát kapcsolat korlátozza a csak ismert hálózatokból érkező forgalomhoz való hozzáférést, és megakadályozza a hozzáférést az összes többi IP-címről, beleértve az Azure-t is. | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az adatok védelme hitelesítési követelményekkel lemez vagy pillanatkép exportálásakor vagy feltöltésekor. | Az exportálási/feltöltési URL-cím használatakor a rendszer ellenőrzi, hogy a felhasználó rendelkezik-e identitással az Azure Active Directoryban, és rendelkezik-e az adatok exportálásához/feltöltéséhez szükséges engedélyekkel. Tekintse meg aka.ms/DisksAzureADAuth. | Módosítás, letiltva | 1.0.0 |
| Automatikus operációsrendszer-rendszerkép-javítás megkövetelése a virtuálisgép-méretezési csoportokon | Ez a szabályzat a virtuálisgép-méretezési csoportok automatikus operációsrendszer-rendszerkép-javításának engedélyezését kényszeríti ki a virtuális gépek biztonságának megőrzéséhez a legújabb biztonsági javítások minden hónapban történő biztonságos alkalmazásával. | elutasítás | 1.0.0 |
| Ismétlődő frissítések ütemezése az Azure Update Managerrel | Az Azure Update Manager használatával mentheti az ismétlődő üzembehelyezési ütemezéseket a Windows Server- és Linux-gépek operációsrendszer-frissítéseinek telepítéséhez az Azure-ban, a helyszíni környezetekben és az Azure Arc-kompatibilis kiszolgálókon csatlakoztatott egyéb felhőkörnyezetekben. Ez a szabályzat az Azure-beli virtuális gép javítási módját is automatikusbyplatformra módosítja. További információ: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.12.0 |
| A gépeken lévő SQL-kiszolgálókon a biztonsági rések megoldásának kell lennie | Az SQL biztonsági rések felmérése biztonsági réseket keres az adatbázisban, és elérhetővé teszi az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat. A talált biztonsági rések megoldása nagyban javíthatja az adatbázis biztonsági helyzetét. | AuditIfNotExists, Disabled | 1.0.0 |
| A rendszerfrissítéseket telepíteni kell a gépekre (az Update Center működteti) | A gépekről hiányoznak a rendszer, a biztonság és a kritikus frissítések. A szoftverfrissítések gyakran tartalmaznak kritikus javításokat a biztonsági lyukakhoz. Az ilyen lyukakat gyakran kihasználják a kártevők támadásai, ezért létfontosságú, hogy a szoftver frissüljön. Az összes kiugró javítás telepítéséhez és a gépek védelméhez kövesse a szervizelési lépéseket. | AuditIfNotExists, Disabled | 1.0.1 |
| Az örökölt Log Analytics-bővítmény nem telepíthető Linux rendszerű virtuálisgép-méretezési csoportokra | Automatikusan megakadályozza az örökölt Log Analytics-ügynök telepítését az örökölt ügynökökből az Azure Monitor Agentbe való migrálás utolsó lépéseként. Miután eltávolította a meglévő örökölt bővítményeket, ez a szabályzat megtagadja az örökölt ügynökbővítmény minden későbbi telepítését Linux rendszerű virtuálisgép-méretezési csoportokon. Tudj meg többet: https://aka.ms/migratetoAMA | Megtagadás, naplózás, letiltva | 1.0.0 |
| Az örökölt Log Analytics-bővítmény nem telepíthető Linux rendszerű virtuális gépekre | Automatikusan megakadályozza az örökölt Log Analytics-ügynök telepítését az örökölt ügynökökből az Azure Monitor Agentbe való migrálás utolsó lépéseként. A meglévő örökölt bővítmények eltávolítása után ez a szabályzat megtagadja az örökölt ügynökbővítmény minden későbbi telepítését Linux rendszerű virtuális gépeken. Tudj meg többet: https://aka.ms/migratetoAMA | Megtagadás, naplózás, letiltva | 1.0.0 |
| Az örökölt Log Analytics-bővítmény nem telepíthető virtuálisgép-méretezési csoportokra | Automatikusan megakadályozza az örökölt Log Analytics-ügynök telepítését az örökölt ügynökökből az Azure Monitor Agentbe való migrálás utolsó lépéseként. A meglévő örökölt bővítmények eltávolítása után ez a szabályzat megtagadja az örökölt ügynökbővítmény minden későbbi telepítését a Windows rendszerű virtuálisgép-méretezési csoportokon. Tudj meg többet: https://aka.ms/migratetoAMA | Megtagadás, naplózás, letiltva | 1.0.0 |
| Az örökölt Log Analytics-bővítmény nem telepíthető virtuális gépekre | Automatikusan megakadályozza az örökölt Log Analytics-ügynök telepítését az örökölt ügynökökből az Azure Monitor Agentbe való migrálás utolsó lépéseként. A meglévő örökölt bővítmények eltávolítása után ez a szabályzat megtagadja az örökölt ügynökbővítmény minden jövőbeli telepítését Windows rendszerű virtuális gépeken. Tudj meg többet: https://aka.ms/migratetoAMA | Megtagadás, naplózás, letiltva | 1.0.0 |
| A Log Analytics-bővítményt telepíteni kell a virtuálisgép-méretezési csoportokra | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuálisgép-méretezési csoportokat, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1 |
| A virtuális gépnek engedélyezve kell lennie a TrustedLaunch szolgáltatásnak | Engedélyezze a TrustedLaunchot a virtuális gépen a fokozott biztonság érdekében, használja a TrustedLaunchot támogató virtuálisgép-termékváltozatot (Gen 2). Ha többet szeretne megtudni a TrustedLaunchról, látogasson el https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Naplózás, letiltva | 1.0.0 |
| A virtuális gépeknek és a virtuálisgép-méretezési csoportoknak engedélyezniük kell a titkosítást a gazdagépen | A gazdagép titkosításának használatával végpontok közötti titkosítást kaphat a virtuális gép és a virtuálisgép-méretezési csoport adataihoz. A gazdagép titkosítása lehetővé teszi az ideiglenes lemez és operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban történő titkosítását. Az ideiglenes és rövid élettartamú operációsrendszer-lemezek platform által felügyelt kulcsokkal vannak titkosítva, amikor a gazdagépen engedélyezve van a titkosítás. Az operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban, ügyfél által felügyelt vagy platform által felügyelt kulccsal vannak titkosítva, a lemezen kiválasztott titkosítási típustól függően. További információ: https://aka.ms/vm-hbe. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A virtuális gépeket egy megadott munkaterülethez kell csatlakoztatni | Nem megfelelőként jelenti a virtuális gépeket, ha nem jelentkeznek be a szabályzat/kezdeményezés hozzárendelésében megadott Log Analytics-munkaterületre. | AuditIfNotExists, Disabled | 1.1.0 |
| A virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni | Az új Azure Resource Manager használata a virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében | Naplózás, megtagadás, letiltva | 1.0.0 |
| A virtuális gépeken telepítve kell lennie a Log Analytics-bővítménynek | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
| A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell | Az Azure Security Center javaslatként figyeli a konfigurált alapkonfigurációnak nem megfelelő kiszolgálókat | AuditIfNotExists, Disabled | 3.1.0 |
| A Windows Defender Exploit Guardot engedélyezni kell a gépeken | A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). | AuditIfNotExists, Disabled | 2.0.0 |
| A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Disabled | 4.1.1 |
| A Windows-gépeknek egy napon belül konfigurálnia kell a Windows Defendert a védelmi aláírások frissítésére | Az újonnan kiadott kártevők elleni megfelelő védelem érdekében a Windows Defender védelmi aláírásait rendszeresen frissíteni kell, hogy figyelembe lehessen venni az újonnan kiadott kártevőket. Ez a szabályzat nincs alkalmazva az Arc-hez csatlakoztatott kiszolgálókra, és megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek üzembe helyezve. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
| A Windows-gépeknek engedélyeznie kell a Windows Defender valós idejű védelmét | A Windows-gépeknek engedélyeznie kell a Valós idejű védelmet a Windows Defenderben, hogy megfelelő védelmet nyújtsanak az újonnan kiadott kártevők ellen. Ez a szabályzat nem alkalmazható az ARC-hez csatlakoztatott kiszolgálókra, és megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek üzembe helyezve. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
| A Windows rendszerű gépeknek meg kell felelniük a "Felügyeleti sablonok – Vezérlőpult" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Felügyeleti sablonok – Vezérlőpult" kategóriában a bemenet személyre szabása és a zárolási képernyők engedélyezésének megakadályozása érdekében. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Felügyeleti sablonok – MSS (Örökölt)" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat az automatikus bejelentkezéshez, a képernyőkímélőhöz, a hálózati viselkedéshez, a biztonságos DLL-hez és az eseménynaplóhoz tartozó "Felügyeleti sablonok – MSS (Örökölt)" kategóriában. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Felügyeleti sablonok – Hálózat" követelményeknek | A Windows rendszerű gépeken a "Felügyeleti sablonok – Hálózat" kategóriában meg kell adni a megadott csoportházirend-beállításokat a vendég bejelentkezésekhez, az egyidejű kapcsolatokhoz, a hálózati hídhoz, az ICS-hez és a csoportos küldési névfeloldáshoz. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Felügyeleti sablonok – Rendszer" követelményeknek | A Windows rendszerű gépeken a rendszergazdai élményt és a távsegítséget vezérlő beállításokhoz a "Felügyeleti sablonok – Rendszer" kategóriában meg kell adni a megadott csoportházirend-beállításokat. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Fiókok" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Fiókok" kategóriában az üres jelszavak és a vendégfiókok állapotának helyi fiókhasználatának korlátozásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Naplózás" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Naplózás" kategóriában a naplózási szabályzat alkategóriájának kényszerítéséhez, és le kell állítani, ha nem lehet naplózni a biztonsági auditokat. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Eszközök" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Eszközök" kategóriában a bejelentkezés nélküli lekivételhez, a nyomtatóillesztők telepítéséhez, valamint a média formázásához/kibocsátásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Interaktív bejelentkezés" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Interaktív bejelentkezés" kategóriában a vezetéknév megjelenítéséhez és a ctrl-alt-del billentyűkombináció megkövetelése érdekében. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Microsoft Hálózati ügyfél" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Microsoft Hálózati ügyfél" kategóriában a Microsoft hálózati ügyfélhez/kiszolgálóhoz és az SMB v1-hez. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Microsoft Network Server" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Microsoft Network Server" kategóriában az SMB v1-kiszolgáló letiltására. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati hozzáférés" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati hozzáférés" kategóriában, beleértve a névtelen felhasználók hozzáférését, a helyi fiókokat és a beállításjegyzékhez való távoli hozzáférést. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati biztonság" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati biztonság" kategóriában, beleértve a helyi rendszer viselkedését, a PKU2U-t, a LAN Managert, az LDAP-ügyfelet és az NTLM SSP-t. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Helyreállítási konzol" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Helyreállítási konzol" kategóriában, hogy engedélyezve legyen a hajlékonylemez-másolás és a hozzáférés az összes meghajtóhoz és mappához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Leállítás" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Leállítás" kategóriában a bejelentkezés nélküli leállítás engedélyezéséhez és a virtuális memória lapfájljának törléséhez. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Rendszerobjektumok" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Rendszerobjektumok" kategóriában a nem Windows-alrendszerek és a belső rendszerobjektumok engedélyeinek érzéketlensége esetén. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Rendszerbeállítások" követelményeknek | A Windows rendszerű gépeken a "Biztonsági beállítások – Rendszerbeállítások" kategóriában meg kell adni a megadott csoportházirend-beállításokat az SRP-hez és az opcionális alrendszerekhez tartozó végrehajtható tanúsítványokra vonatkozó szabályokhoz. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Felhasználói fiókok felügyelete" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Felhasználói fiók vezérlése" kategóriában a rendszergazdák üzemmódjához, a jogosultságszint-emelési kérés viselkedéséhez, valamint a fájl- és beállításjegyzék írási hibáinak virtualizálásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Fiókszabályzatok" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a jelszóelőzmények, az életkor, a hossz, az összetettség és a jelszavak reverzibilis titkosítással történő tárolásához a "Biztonsági beállítások – Fiókszabályzatok" kategóriában. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Fióknaplózás" követelményeinek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "System Audit Policies – Account Logon" (Rendszernaplózási szabályzatok – Fióknaplózás) kategóriában a hitelesítő adatok ellenőrzésének és egyéb fiókbejegyzési események naplózásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Fiókkezelés" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Rendszernaplózási szabályzatok – Fiókkezelés" kategóriában az alkalmazás, a biztonság és a felhasználói csoportkezelés, valamint egyéb felügyeleti események naplózásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows-gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Részletes nyomon követés" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a DPAPI, a folyamatlétrehozás/-megszüntetés, az RPC-események és a PNP-tevékenységek naplózásához a "Rendszernaplózási szabályzatok – Részletes nyomon követés" kategóriában. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Logon-Logoff" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Rendszernaplózási szabályzatok – Logon-Logoff" kategóriában az IPSec, a hálózati házirend, a jogcímek, a fiókzárolás, a csoporttagság és a bejelentkezési/kijelentkezési események naplózásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Objektumhozzáférés" követelményeknek | A Windows rendszerű gépeken a megadott csoportházirend-beállításoknak a fájl, a beállításjegyzék, a SAM, a tárolás, a szűrés, a kernel és más rendszertípusok naplózásához a "Rendszernaplózási szabályzatok – Objektumhozzáférés" kategóriában kell rendelkezniük. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Szabályzatmódosítás" követelményeknek | A Windows rendszerű gépeken a rendszernaplózási szabályzatok változásainak naplózásához a megadott csoportházirend-beállításoknak kell rendelkezniük a "Rendszernaplózási szabályzatok – Szabályzatmódosítás" kategóriában. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Jogosultsági használat" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Rendszernaplózási szabályzatok – Jogosultsági használat" kategóriában a nem érzéketlen és más jogosultsági felhasználás naplózásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszervizsgálati szabályzatok – Rendszer" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Rendszernaplózási szabályzatok – Rendszer" kategóriában az IPsec-illesztőprogram, a rendszerintegritás, a rendszerbővítmény, az állapotváltozás és más rendszeresemények naplózásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a felhasználói jogok hozzárendelésére vonatkozó követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Felhasználói jogok hozzárendelése" kategóriában, hogy engedélyezhessék a helyi bejelentkezést, az RDP-t, a hálózati hozzáférést és sok más felhasználói tevékenységet. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows-gépeknek meg kell felelniük a Windows-összetevőkre vonatkozó követelményeknek | A Windows-gépeken meg kell adni a megadott csoportházirend-beállításokat a "Windows-összetevők" kategóriában az alapszintű hitelesítéshez, a titkosítatlan forgalomhoz, a Microsoft-fiókokhoz, a telemetriai adatokhoz, a Cortanához és más Windows-viselkedésekhez. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows-gépeknek meg kell felelniük a Windows tűzfal tulajdonságaira vonatkozó követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Windows tűzfal tulajdonságai" kategóriában a tűzfal állapotához, a kapcsolatokhoz, a szabálykezeléshez és az értesítésekhez. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Disabled | 2.0.0 |
| A Windows rendszerű gépeken csak olyan helyi fiókoknak kell rendelkezniük, amelyek engedélyezettek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. Ez a definíció Windows Server 2012 vagy 2012 R2 rendszeren nem támogatott. A felhasználói fiókok Azure Active Directoryval való kezelése ajánlott eljárás az identitások kezeléséhez. A helyi gépfiókok számának csökkentése segít megelőzni a központi rendszeren kívül felügyelt identitások elterjedését. A gépek nem megfelelőek, ha olyan helyi felhasználói fiókok léteznek, amelyek engedélyezve vannak, és nem szerepelnek a szabályzatparaméterben. | AuditIfNotExists, Disabled | 2.0.0 |
| A Windows rendszerű virtuálisgép-méretezési csoportoknak telepítve kell lenniük az Azure Monitor-ügynökkel | A Windows rendszerű virtuálisgép-méretezési csoportokat az üzembe helyezett Azure Monitor-ügynökön keresztül kell figyelni és védeni. Az Azure Monitor-ügynök telemetriai adatokat gyűjt a vendég operációs rendszerből. A támogatott operációs rendszerrel és támogatott régiókban lévő virtuálisgép-méretezési csoportokat az Azure Monitor Agent üzembe helyezése figyeli. További információ: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| A Windows rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot. | Bár a virtuális gép operációs rendszere és adatlemezei alapértelmezés szerint inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal; az erőforráslemezek (ideiglenes lemezek), az adatgyorsítótárak és a számítási és tárolási erőforrások közötti adatfolyamok nincsenek titkosítva. Az Azure Disk Encryption vagy a EncryptionAtHost használatával szervizelhet. Látogasson el https://aka.ms/diskencryptioncomparison a titkosítási ajánlatok összehasonlításához. Ez a szabályzat két előfeltételt igényel a szabályzat-hozzárendelés hatókörében való üzembe helyezéshez. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.1.1 |
| A Windows rendszerű virtuális gépeken telepítve kell lennie az Azure Monitor Agentnek | A Windows rendszerű virtuális gépeket az üzembe helyezett Azure Monitor-ügynökön keresztül kell figyelni és védeni. Az Azure Monitor-ügynök telemetriai adatokat gyűjt a vendég operációs rendszerből. A támogatott operációs rendszerrel és támogatott régiókban lévő Windows rendszerű virtuális gépeket az Azure Monitor Agent üzembe helyezése figyeli. További információ: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
Microsoft.VirtualMachineImages
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A VM Image Builder-sablonoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Naplózás, Letiltás, Megtagadás | 1.1.0 |
Microsoft.ClassicCompute
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
| Virtuális gépek naplózása vészhelyreállítás konfigurálása nélkül | Naplózhatja azokat a virtuális gépeket, amelyeken nincs vészhelyreállítás konfigurálva. Ha többet szeretne megtudni a vészhelyreállításról, látogasson el https://aka.ms/asr-docide. | auditIfNotExists | 1.0.0 |
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Az Azure Security Center által támogatott végpontvédelmi megoldásokat itt dokumentáljuk : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelem értékelése itt dokumentálva van – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| A végpontvédelmet telepíteni kell a gépekre | A gépek fenyegetésekkel és biztonsági résekkel szembeni védelméhez telepítsen egy támogatott végpontvédelmi megoldást. | AuditIfNotExists, Disabled | 1.0.0 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Le kell tiltani az IP-továbbítást a virtuális gépen | Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. | AuditIfNotExists, Disabled | 3.0.0 |
| A gépek titkos megállapításait meg kell oldani | Naplóozza a virtuális gépeket annak észlelésére, hogy tartalmaznak-e titkos megállapításokat a virtuális gépek titkos vizsgálati megoldásaiból. | AuditIfNotExists, Disabled | 1.0.2 |
| A felügyeleti portokat be kell zárni a virtuális gépeken | A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. | AuditIfNotExists, Disabled | 3.0.0 |
| Hiányzó Endpoint Protection monitorozása az Azure Security Centerben | A telepített Endpoint Protection-ügynökkel nem rendelkező kiszolgálókat az Azure Security Center figyeli javaslatként | AuditIfNotExists, Disabled | 3.0.0 |
| A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| A virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni | Az új Azure Resource Manager használata a virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében | Naplózás, megtagadás, letiltva | 1.0.0 |
| A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell | Az Azure Security Center javaslatként figyeli a konfigurált alapkonfigurációnak nem megfelelő kiszolgálókat | AuditIfNotExists, Disabled | 3.1.0 |
Következő lépések
- A beépített elemek megtekintése az Azure Policy GitHub-adattárában.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.