Condividi tramite


Criteri di Azure definizioni predefinite per Azure set di scalabilità di macchine virtuali

Questa pagina è un indice di Criteri di Azure definizioni di criteri predefinite per Azure set di scalabilità di macchine virtuali. Per altre Criteri di Azure predefinite per altri servizi, vedere Criteri di Azure definizioni predefinite.

Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.

Microsoft.Compute

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: È necessario abilitare un'identità gestita nei computer Le risorse gestite da Gestione automatica devono avere un'identità gestita. Audit, Disabled 1.0.0-preview
[Anteprima]: Aggiungere un'identità gestita assegnata dall'utente per abilitare l'assegnazione della configurazione guest alle macchine virtuali Questo criterio aggiunge un'identità gestita assegnata dall'utente alle macchine virtuali ospitate in Azure supportate dalla configurazione guest. Un'identità gestita assegnata dall’utente è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. AuditIfNotExists, DeployIfNotExists, Disabled 2.1.0-preview
[Anteprima]: Assegnare l’identità gestita predefinita assegnata dall’utente a set di scalabilità di macchine virtuali Creare e assegnare un'identità gestita assegnata dall'utente predefinita o assegnare un'identità gestita assegnata dall'utente precedente su larga scala ai set di scalabilità di macchine virtuali. Per una documentazione più dettagliata, visitare aka.ms/managedidentitypolicy. AuditIfNotExists, DeployIfNotExists, Disabled 1.1.0-preview
[Anteprima]: Assegnare l’identità gestita assegnata dall’utente predefinita a set di scalabilità di macchine virtuali Creare e assegnare un'identità gestita assegnata dall'utente predefinita o assegnare un'identità gestita assegnata dall'utente precedente su larga scala alle macchine virtuali. Per una documentazione più dettagliata, visitare aka.ms/managedidentitypolicy. AuditIfNotExists, DeployIfNotExists, Disabled 1.1.0-preview
[Anteprima]: l'assegnazione del profilo di configurazione automatica deve essere conforme Le risorse gestite da Gestione automatica devono avere lo stato Conforme o ConformeCorrected. AuditIfNotExists, Disabled 1.0.0-preview
[Anteprima]: Backup di Azure deve essere abilitato per Managed Disks Assicurarsi di proteggere i dischi gestiti abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. AuditIfNotExists, Disabled 1.0.0-preview
[Anteprima]: È consigliabile installare l'agente di Sicurezza di Azure nei set di scalabilità di macchine virtuali Linux Installare l'agente di sicurezza di Azure nei set di scalabilità di macchine virtuali Linux per monitorare le configurazioni e le vulnerabilità della sicurezza dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti nel Centro sicurezza di Azure. AuditIfNotExists, Disabled 2.0.0-preview
[Anteprima]: È consigliabile installare l'agente di Sicurezza di Azure nelle macchine virtuali Linux Installare l'agente di sicurezza di Azure nelle macchine virtuali Linux per monitorare le configurazioni e le vulnerabilità della sicurezza dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti nel Centro sicurezza di Azure. AuditIfNotExists, Disabled 2.0.0-preview
[Anteprima]: È consigliabile installare l'agente di Sicurezza di Azure nei set di scalabilità di macchine virtuali Windows Installare l'agente di sicurezza di Azure nei set di scalabilità di macchine virtuali Windows per monitorare le configurazioni e le vulnerabilità della sicurezza dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti nel Centro sicurezza di Azure. AuditIfNotExists, Disabled 2.1.0-preview
[Anteprima]: È consigliabile installare l'agente di Sicurezza di Azure nelle macchine virtuali Windows Installare l'agente di sicurezza di Azure nelle macchine virtuali Windows per monitorare le configurazioni e le vulnerabilità della sicurezza dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti nel Centro sicurezza di Azure. AuditIfNotExists, Disabled 2.1.0-preview
[Anteprima]: La diagnostica di avvio deve essere abilitata nelle macchine virtuali Le macchine virtuali di Azure devono avere la diagniostica di avvio abilitata. Audit, Disabled 1.0.0-preview
[Anteprima]: È consigliabile installare l’estensione ChangeTracking nelle macchine virtuali Linux Installare l'estensione ChangeTracking in macchine virtuali Linux per abilitare monitoraggio dell'integrità dei file nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. AuditIfNotExists, Disabled 2.0.0-preview
[Anteprima]: È consigliabile installare l’estensione ChangeTracking nei set di scalabilità di macchine virtuali Linux Installare l'estensione ChangeTracking nei set di scalabilità di macchine virtuali Linux per abilitare Monitoraggio dell'integrità dei file nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. AuditIfNotExists, Disabled 2.0.0-preview
[Anteprima]: È consigliabile installare l’estensione ChangeTracking nelle macchine virtuali Windows Installare l'estensione ChangeTracking nelle macchine virtuali Windows per abilitare monitoraggio dell'integrità dei file nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. AuditIfNotExists, Disabled 2.0.0-preview
[Anteprima]: È consigliabile installare l’estensione ChangeTracking nel set di scalabilità di macchine virtuali Windows Installare l'estensione ChangeTracking nei set di scalabilità di macchine virtuali Windows per abilitare monitoraggio dell'integrità dei file nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. AuditIfNotExists, Disabled 2.0.0-preview
[Anteprima]: Configurare l'agente di Azure Defender per SQL nella macchina virtuale Configurare i computer Windows per installare automaticamente l'agente di Azure Defender per SQL in cui è installato l'agente di Monitoraggio di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Crea un gruppo di risorse e un'area di lavoro Log Analytics nella stessa area del computer. Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. DeployIfNotExists, Disabled 1.0.0-preview
[Anteprima]: Configurare il backup per Dischi di Azure (Managed Disks) con un tag specificato in un insieme di credenziali di backup esistente nella stessa area Applicare il backup per tutti i dischi di Azure (Managed Disks) che contengono un determinato tag a un insieme di credenziali di backup centrale. Per altre informazioni: https://aka.ms/AB-DiskBackupAzPolicies DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0-preview
[Anteprima]: Configurare il backup per Dischi di Azure (Managed Disks) senza un tag specificato in un insieme di credenziali di backup esistente nella stessa area Applicare il backup per tutti i dischi di Azure (Managed Disks) che non contengono un tag specificato in un insieme di credenziali di backup centrale. Per altre informazioni: https://aka.ms/AB-DiskBackupAzPolicies DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0-preview
[Anteprima]: Configurare l'estensione ChangeTracking per i set di scalabilità di macchine virtuali Linux Configurare i set di scalabilità di macchine virtuali Linux per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. DeployIfNotExists, Disabled 2.0.0-preview
[Anteprima]: Configurare l'estensione ChangeTracking per le macchine virtuali Linux Configurare le macchine virtuali Linux per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. DeployIfNotExists, Disabled 2.0.0-preview
[Anteprima]: Configurare l'estensione ChangeTracking per i set di scalabilità di macchine virtuali Windows Configurare i set di scalabilità di macchine virtuali Windows per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. DeployIfNotExists, Disabled 2.0.0-preview
[Anteprima]: Configurare l’estensione ChangeTracking per le macchine virtuali Windows Configurare le macchine virtuali Windows per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. DeployIfNotExists, Disabled 2.0.0-preview
[Anteprima]: Configurare le macchine virtuali Linux da associare a una regola di raccolta dati per ChangeTracking e Inventario Distribuire Association per collegare le macchine virtuali Linux alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventario. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. DeployIfNotExists, Disabled 1.0.0-preview
[Anteprima]: Configurare le macchine virtuali Linux per installare l'agente di Monitoraggio di Azure per ChangeTracking e Inventario con identità gestita assegnata dall'utente Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Linux per abilitare ChangeTracking e Inventario. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview DeployIfNotExists, Disabled 1.5.0-anteprima
[Anteprima]: Configurare i set di scalabilità di macchine virtuali Linux abilitati per Arc da associare a una regola di raccolta dati per ChangeTracking e Inventario Distribuire Association per collegare i set di scalabilità di macchine virtuali Linux alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventario. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. DeployIfNotExists, Disabled 1.0.0-preview
[Anteprima]: Configurare i set di scalabilità di macchine virtuali Linux per installare l'agente di Monitoraggio di Azure per ChangeTracking e Inventory con identità gestita assegnata dall'utente Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Linux per abilitare ChangeTracking e Inventario. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview DeployIfNotExists, Disabled 1.4.0-anteprima
[Anteprima]: Configurare i set di scalabilità di macchine virtuali Linux supportati per l'installazione automatica dell'agente di sicurezza di Azure Configurare i set di scalabilità di macchine virtuali Linux supportati per l'installazione automatica dell'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. DeployIfNotExists, Disabled 2.0.0-preview
[Anteprima]: Configurare i set di scalabilità di macchine virtuali Linux supportati per installare automaticamente l'estensione Attestazione guest Configurare i set di scalabilità di macchine virtuali Linux supportati per installare automaticamente l'estensione Attestazione guest per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. DeployIfNotExists, Disabled 6.1.0-anteprima
[Anteprima]: Configurare le macchine virtuali Linux supportate per abilitare automaticamente l'avvio protetto Configurare le macchine virtuali Linux supportate per abilitare automaticamente l'avvio protetto per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i kernel e i driver kernel saranno autorizzati a essere eseguiti. DeployIfNotExists, Disabled 5.0.0-anteprima
[Anteprima]: Configurare le macchine virtuali Linux supportate per l'installazione automatica dell'agente di sicurezza di Azure Configurare le macchine virtuali Linux supportate per l'installazione automatica dell'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. DeployIfNotExists, Disabled 7.0.0-anteprima
[Anteprima]: Configurare le macchine virtuali Linux supportate per installare automaticamente l'estensione Attestazione guest Configurare le macchine virtuali Linux supportati per installare automaticamente l'estensione Attestazione guest per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. DeployIfNotExists, Disabled 7.1.0-anteprima
[Anteprima]: Configurare le macchine virtuali supportate per abilitare automaticamente vTPM Configurare le macchine virtuali supportate per abilitare automaticamente vTPM per facilitare l'avvio misurato e altre funzionalità di sicurezza del sistema operativo che richiedono un TPM. Dopo l'abilitazione, vTPM può essere usato per attestare l'integrità dell'avvio. DeployIfNotExists, Disabled 2.0.0-preview
[Anteprima]: Configurare le macchine virtuali Windows supportate per l'installazione automatica dell'agente di sicurezza di Azure Configurare le macchine virtuali Windows supportate per l'installazione automatica dell'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. DeployIfNotExists, Disabled 5.1.0-anteprima
[Anteprima]: Configurare i set di scalabilità di macchine virtuali Windows supportati per l'installazione automatica dell'agente di sicurezza di Azure Configurare i set di scalabilità di macchine virtuali Windows supportati per l'installazione automatica dell'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). I set di scalabilità di macchine virtuali Windows di destinazione devono trovarsi in una posizione supportata. DeployIfNotExists, Disabled 2.1.0-preview
[Anteprima]: Configurare i set di scalabilità di macchine virtuali Windows supportati per installare automaticamente l'estensione Attestazione guest Configurare i set di scalabilità di macchine virtuali Windows supportati per installare automaticamente l'estensione Attestazione guest per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. DeployIfNotExists, Disabled 4.1.0-anteprima
[Anteprima]: Configurare le macchine virtuali Windows supportate per abilitare automaticamente l'avvio protetto Configurare le macchine virtuali Windows supportate per abilitare automaticamente l'avvio protetto per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i kernel e i driver kernel saranno autorizzati a essere eseguiti. DeployIfNotExists, Disabled 3.0.0-preview
[Anteprima]: Configurare le macchine virtuali Windows supportate per installare automaticamente l'estensione Attestazione guest Configurare le macchine virtuali Windows supportati per installare automaticamente l'estensione Attestazione guest per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. DeployIfNotExists, Disabled 5.1.0-anteprima
[Anteprima]: Configurare l'identità gestita assegnata al sistema per abilitare le assegnazioni di Monitoraggio di Azure nelle macchine virtuali Configurare l'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Monitoraggio di Azure e non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Monitoraggio di Azure e deve essere aggiunta ai computer prima di usare qualsiasi estensione di Monitoraggio di Azure. Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. Modifica, disattivato 6.0.0-anteprima
[Anteprima]: Configurare le macchine virtuali create con immagini della raccolta immagini condivise per installare l'estensione Attestazione guest Configurare le macchine virtuali create con le immagini della Raccolta immagini condivise per installare automaticamente l'estensione Attestazione guest per consentire a Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. DeployIfNotExists, Disabled 2.0.0-preview
[Anteprima]: Configurare i set di scalabilità di macchine virtuali creati con le immagini della Raccolta immagini condivise per installare l'estensione Attestazione guest Configurare le macchine virtuali create con le immagini della Raccolta immagini condivise per installare automaticamente l'estensione Attestazione guest per consentire a Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. DeployIfNotExists, Disabled 2.1.0-preview
[Anteprima]: Configurare Windows Server per disabilitare gli utenti locali.. Creare un'assegnazione configurazione guest per configurare la disabilitazione degli utenti locali in Windows Server. In questo modo si garantisce che i server Windows possano accedere solo tramite l'account AAD (Azure Active Directory) o un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. DeployIfNotExists, Disabled 1.2.0-preview
[Anteprima]: Configurare le macchine virtuali Windows da associare a una regola di raccolta dati per ChangeTracking e Inventario Distribuire associazione per collegare le macchine virtuali Windows alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventario. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. DeployIfNotExists, Disabled 1.0.0-preview
[Anteprima]: Configurare le macchine virtuali Windows per installare l'agente di Monitoraggio di Azure per ChangeTracking e Inventario con identità gestita assegnata dall'utente Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Windows per abilitare ChangeTracking e Inventario. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview DeployIfNotExists, Disabled 1.1.0-preview
[Anteprima]: Configurare i set di scalabilità di macchine virtuali Windows da associare a una regola di raccolta dati per ChangeTracking e Inventario Distribuire associazione per collegare i set di scalabilità di macchine virtuali Windows alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventario. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. DeployIfNotExists, Disabled 1.0.0-preview
[Anteprima]: Configurare i set di scalabilità di macchine virtuali Windows per installare l'agente di Monitoraggio di Azure per ChangeTracking e Inventario con identità gestita assegnata dall'utente Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Windows per abilitare ChangeTracking e Inventario. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview DeployIfNotExists, Disabled 1.1.0-preview
[Anteprima]: Distribuire l'agente di Microsoft Defender per endpoint in macchine virtuali Linux Distribuisce l'agente di Microsoft Defender per endpoint nelle immagini delle macchine virtuali Linux applicabili. DeployIfNotExists, AuditIfNotExists, Disabled 3.0.0-preview
[Anteprima]: Consente di distribuire l'agente di Microsoft Defender per endpoint nelle macchine virtuali Windows Distribuisce Microsoft Defender per endpoint nelle immagini delle macchine virtuali Windows applicabili. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.1-preview
[Anteprima]: Abilitare l'identità assegnata dal sistema alla macchina virtuale SQL Abilitare l'identità assegnata dal sistema su larga scala alle macchine virtuali SQL. È necessario assegnare questo criterio a livello di sottoscrizione. L'assegnazione a livello di gruppo di risorse non funzionerà come previsto. DeployIfNotExists, Disabled 1.0.0-preview
[Anteprima]: L'estensione di attestazione guest deve essere installata nelle macchine virtuali Linux supportate Installare l'estensione Attestazione guest nelle macchine virtuali Linux supportate per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica alle macchine virtuali Linux riservate e di avvio attendibile. AuditIfNotExists, Disabled 6.0.0-anteprima
[Anteprima]: L'estensione di attestazione guest deve essere installata su set di scalabilità di macchine virtuali Linux supportate Installare l'estensione di attestazione guest su set di scalabilità di macchine virtuali Linux supportate per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica ai set di scalabilità di macchine virtuali Linux riservate e di avvio attendibile. AuditIfNotExists, Disabled 5.1.0-anteprima
[Anteprima]: L'estensione di attestazione guest deve essere installata nelle macchine virtuali Windows supportate Installare l'estensione di attestazione guest nelle macchine virtuali supportate per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica alle macchine virtuali Windows riservate e di avvio attendibile. AuditIfNotExists, Disabled 4.0.0-preview
[Anteprima]: L'estensione di attestazione guest deve essere installata su set di scalabilità di macchine virtuali Windows supportate Installare l'estensione di attestazione guest su set di scalabilità di macchine virtuali supportate per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica a set di scalabilità di macchine virtuali Windows riservate e di avvio attendibile. AuditIfNotExists, Disabled 3.1.0-anteprima
[Anteprima]: I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Docker Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di Azure per gli host Docker. AuditIfNotExists, Disabled 1.2.0-preview
[Anteprima]: Le macchine Linux devono soddisfare i requisiti di conformità STIG per i servizi di calcolo Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per uno dei consigli indicati nel requisito di conformità STIG per l'ambiente di calcolo di Azure. DISA (Defense Information Systems Agency) fornisce guide tecniche STIG (Security Technical Implementation Guide) per proteggere il sistema operativo di calcolo come richiesto dal Dipartimento della Difesa (DoD). Per altri dettagli: https://public.cyber.mil/stigs/. AuditIfNotExists, Disabled 1.2.0-preview
[Anteprima]: i computer Linux con OMI installato devono avere la versione 1.6.8-1 o successiva Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. A causa di una correzione di sicurezza inclusa nella versione 1.6.8-1 del pacchetto OMI per Linux, tutti i computer devono essere aggiornati alla versione più recente. Aggiornare app/pacchetti che usano OMI per risolvere il problema. Per ulteriori informazioni, vedere https://aka.ms/omiguidance. AuditIfNotExists, Disabled 1.2.0-preview
[Anteprima]: Le macchine virtuali Linux devono usare solo componenti di avvio firmati e attendibili Tutti i componenti di avvio del sistema operativo (caricatore di avvio, kernel, driver kernel) devono essere firmati da autori attendibili. Defender for Cloud ha identificato componenti di avvio del sistema operativo non attendibili in uno o più computer Linux. Per proteggere i computer da componenti potenzialmente dannosi, aggiungerli all'elenco di elementi consentiti o rimuovere i componenti identificati. AuditIfNotExists, Disabled 1.0.0-preview
[Anteprima]: Le macchine virtuali Linux devono usare l'avvio protetto Per proteggersi dall'installazione di rootkit e kit di avvio basati su malware, abilitare l'avvio protetto nelle macchine virtuali Linux supportate. L'avvio protetto garantisce che solo i sistemi operativi e i driver firmati possano essere eseguiti. Questa valutazione si applica solo alle macchine virtuali Linux in cui è installato l'agente di Monitoraggio di Azure. AuditIfNotExists, Disabled 1.0.0-preview
[Anteprima]: L'estensione di Log Analytics deve essere abilitata per le immagini delle macchine virtuali nell'elenco Segnala le macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'estensione non è installata. AuditIfNotExists, Disabled 2.0.1-preview
[anteprima]: Le porte che potrebbero esporre i computer a vettori di attacco devono essere chiuse Le Condizioni per l'utilizzo di Azure impediscono l'uso dei servizi di Azure in modi che potrebbero danneggiare, disabilitare, sovraccaricare o compromettere qualsiasi server Microsoft o la rete. Le porte esposte identificate da questa raccomandazione devono essere chiuse per la sicurezza continua. Per ogni porta identificata, la raccomandazione fornisce anche una spiegazione della potenziale minaccia. AuditIfNotExists, Disabled 1.0.0-preview
[Anteprima]: Managed Disks deve essere resiliente alla zona I dischi gestiti possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. I dischi gestiti con un'assegnazione di zona sono allineati alla zona. Managed Disks con un nome sku che termina con l'archiviazione con ridondanza della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza per Managed Disks. Audit, Deny, Disabled 1.0.0-preview
[Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nella macchina virtuale Linux Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-anteprima
[Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-anteprima
[Anteprima]: L'avvio protetto deve essere abilitato sulle macchine virtuali Windows supportate Abilitare l'avvio protetto nelle macchine virtuali Windows supportate per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i kernel e i driver kernel saranno autorizzati a essere eseguiti. Questa valutazione si applica alle macchine virtuali Windows riservate e di avvio attendibile. Audit, Disabled 4.0.0-preview
[Anteprima]: impostare i prerequisiti per la pianificazione degli aggiornamenti ricorrenti nelle macchine virtuali di Azure. Questo criterio imposta i prerequisiti necessari per pianificare gli aggiornamenti ricorrenti in Azure Update Manager configurando l'orchestrazione delle patch su "Pianificazioni gestite dal cliente". Questa modifica imposta automaticamente la modalità patch su 'AutomaticByPlatform' e abilita 'BypassPlatformSafetyChecksOnUserSchedule' su 'True' nelle macchine virtuali di Azure. Il prerequisito non è applicabile per i server abilitati per Arc. Altre informazioni: https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites DeployIfNotExists, Disabled 1.1.0-preview
[Anteprima]: I set di scalabilità di macchine virtuali devono essere resilienti alla zona I set di scalabilità di macchine virtuali possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. I set di scalabilità di macchine virtuali con esattamente una voce nella matrice di zone vengono considerati allineati alla zona. Al contrario, i set di scalabilità di macchine virtuali con 3 o più voci nella matrice di zone e una capacità di almeno 3 vengono riconosciuti come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. Audit, Deny, Disabled 1.0.0-preview
[Anteprima]: lo stato dell'attestazione guest delle macchine virtuali deve essere integro L'attestazione guest viene eseguita inviando un log attendibile (TCGLog) a un server di attestazione. Il server usa questi log per determinare se i componenti di avvio sono attendibili. Questa valutazione è destinata a rilevare compromissioni della catena di avvio che potrebbe essere il risultato di un bootkit o di un'infezione da rootkit. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile in cui è installata l'estensione Attestazione guest. AuditIfNotExists, Disabled 1.0.0-preview
[Anteprima]: Le macchine virtuali devono essere allineate alla zona Le macchine virtuali possono essere configurate in modo che siano allineate o meno alla zona. Vengono considerate allineate alla zona se hanno una sola voce nella matrice di zone. Questo criterio garantisce che siano configurate per operare all'interno di una singola zona di disponibilità. Audit, Deny, Disabled 1.0.0-preview
[Anteprima]: vTPM deve essere abilitato nelle macchine virtuali supportate Abilitare il dispositivo TPM virtuale nelle macchine virtuali supportate per facilitare l'avvio misurato e altre funzionalità di sicurezza del sistema operativo che richiedono un TPM. Dopo l'abilitazione, vTPM può essere usato per attestare l'integrità dell'avvio. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile. Audit, Disabled 2.0.0-preview
[Anteprima]: Le macchine Windows devono soddisfare i requisiti di conformità STIG per i servizi di calcolo Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni riportate nei requisiti di conformità STIG per l'ambiente di calcolo di Azure. DISA (Defense Information Systems Agency) fornisce guide tecniche STIG (Security Technical Implementation Guide) per proteggere il sistema operativo di calcolo come richiesto dal Dipartimento della Difesa (DoD). Per altri dettagli: https://public.cyber.mil/stigs/. AuditIfNotExists, Disabled 1.0.0-preview
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. AuditIfNotExists, Disabled 3.0.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. AuditIfNotExists, Disabled 3.0.0
SKU di dimensioni di macchine virtuali consentiti Questo criterio consente di specificare un set di SKU di dimensioni di macchine virtuali che possono essere distribuiti dall'organizzazione. Nega 1.0.1
Controlla i computer Linux che consentono connessioni remote da account senza password Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Linux consentono connessioni remote da account senza password AuditIfNotExists, Disabled 3.1.0
Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux le autorizzazioni per il file passwd non sono impostate su 0644 AuditIfNotExists, Disabled 3.1.0
Controlla i computer Linux in cui non sono installate le applicazioni specificate Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se la risorsa Chef InSpec indica che uno o più pacchetti forniti dal parametro non sono installati. AuditIfNotExists, Disabled 4.2.0
Controlla i computer Linux in cui sono presenti account senza password Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux sono presenti account senza password AuditIfNotExists, Disabled 3.1.0
Controlla i computer Linux in cui sono installate le applicazioni specificate Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se la risorsa Chef InSpec indica che uno o più pacchetti forniti dal parametro sono installati. AuditIfNotExists, Disabled 4.2.0
Controllare il comportamento di sicurezza SSH per Linux (basato su OSConfig) Questo criterio controlla la configurazione della sicurezza del server SSH nei computer Linux (macchine virtuali di Azure e computer abilitati per Arc). Per altre informazioni, inclusi i prerequisiti, le impostazioni nell'ambito, le impostazioni predefinite e la personalizzazione, vedere https://aka.ms/SshPostureControlOverview AuditIfNotExists, Disabled 1.0.1
Controlla macchine virtuali in cui non è configurato il ripristino di emergenza Controlla le macchine virtuali in cui non è configurato il ripristino di emergenza. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Controlla macchine virtuali che non usano dischi gestiti Questo criterio controlla le macchine virtuali che non usano dischi gestiti controllo 1.0.0
Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il gruppo Administrators locale non contiene uno o più membri elencati nel parametro dei criteri. auditIfNotExists 2.0.0
Controlla la connettività di rete dei computer Windows Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se lo stato di una connessione di rete a un indirizzo IP e alla porta TCP non corrisponde al parametro dei criteri. auditIfNotExists 2.0.0
Controlla i computer Windows in cui la configurazione DSC non è conforme Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il comando Get-DSCConfigurationStatus di Windows PowerShell restituisce che la configurazione DSC per il computer non è conforme. auditIfNotExists 3.0.0
Controlla i computer Windows in cui l'agente di Log Analytics non è connesso come previsto Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se l'agente non è installato o se è installato ma l'oggetto COM AgentConfigManager.MgmtSvcCfg restituisce che è registrato in un'area di lavoro diversa dall'ID specificato nel parametro dei criteri. auditIfNotExists 2.0.0
Controlla i computer Windows in cui i servizi specificati non sono installati e in esecuzione Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il risultato del comando Get-Service di Windows PowerShell non include il nome del servizio con stato corrispondente come specificato nel parametro dei criteri. auditIfNotExists 3.0.0
Controlla i computer Windows in cui la console seriale Windows non è abilitata Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nel computer non è installato il software della console seriale o se il numero di porta o la velocità in baud di Servizi di gestione emergenze non sono configurati con gli stessi valori dei parametri dei criteri. auditIfNotExists 3.0.0
Controlla i computer Windows che consentono il riutilizzo delle password dopo il numero specificato di password univoche Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Le macchine non sono conformi se si tratta di macchine Windows che consentono il riutilizzo delle password dopo il numero specificato di password uniche. Il valore predefinito per le password univoche è 24 AuditIfNotExists, Disabled 2.1.0
Controlla i computer Windows che non sono aggiunti al dominio specificato Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il valore della proprietà del dominio nella classe WMI win32_computersystem non corrisponde il valore nel parametro dei criteri. auditIfNotExists 2.0.0
Controlla i computer Windows che non sono impostati sul fuso orario specificato Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il valore della proprietà StandardName nella classe WMI Win32_TimeZone non corrisponde al fuso orario selezionato per parametro dei criteri. auditIfNotExists 3.0.0
Controlla i computer Windows che contengono certificati in scadenza entro il numero di giorni specificato Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i certificati nell'archivio specificato presentano una data di scadenza non compresa nell'intervallo consentito per il numero di giorni fornito come parametro. Il criterio offre inoltre l'opzione di controllare solo certificati specifici o di escludere determinati certificati e inviare una segnalazione per i certificati scaduti. auditIfNotExists 2.0.0
Controlla i computer Windows che non contengono i certificati specificati nell'archivio certificati Autorità di certificazione radice disponibile nell'elenco locale Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se l'archivio certificati Autorità di certificazione radice disponibile nell'elenco locale (Cert:\LocalMachine\Root) non contiene uno o più certificati elencati nel parametro dei criteri. auditIfNotExists 3.0.0
Controlla i computer Windows che non hanno la validità massima della password impostata sul numero specificato di giorni Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non hanno la validità massima della password impostata sul numero di giorni specificato. Il valore predefinito per la validità massima della password è 70 giorni AuditIfNotExists, Disabled 2.1.0
Controlla i computer Windows che non hanno la validità minima della password impostata sul numero specificato di giorni Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non hanno la validità minima della password impostata sul numero specificato di giorni. Il valore predefinito per l'età minima della password è 1 giorno AuditIfNotExists, Disabled 2.1.0
Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Windows non è abilitata l'impostazione relativa alla complessità della password AuditIfNotExists, Disabled 2.0.0
Controlla i computer Windows in cui non sono disponibili i criteri di esecuzione di Windows PowerShell specificati Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il comando Get-ExecutionPolicy di Windows PowerShell restituisce un valore diverso da quello selezionato nel parametro dei criteri. AuditIfNotExists, Disabled 3.0.0
Controlla i computer Windows in cui non sono installati i moduli di Windows PowerShell specificati Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se un modulo non è disponibile in una posizione specificata dalla variabile di ambiente PSModulePath. AuditIfNotExists, Disabled 3.0.0
Controlla i computer Windows in cui la lunghezza minima della password non è limitata a un numero specificato di caratteri Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Non sono conformi le macchine Windows che non limitano la lunghezza minima della password al numero di caratteri specificato. Il valore predefinito per la lunghezza minima della password è di 14 caratteri AuditIfNotExists, Disabled 2.1.0
Controlla i computer Windows che non archiviano le password usando la crittografia reversibile Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Windows non archiviano le password usando la crittografia reversibile AuditIfNotExists, Disabled 2.0.0
Controlla i computer Windows in cui non sono installate le applicazioni specificate Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il nome dell'applicazione non viene trovato in uno dei percorsi del Registro di sistema seguenti: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 2.0.0
Controlla i computer Windows in cui sono presenti account in eccesso nel gruppo Administrators Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il gruppo Administrators locale contiene membri non elencati nel parametro dei criteri. auditIfNotExists 2.0.0
Controlla i computer Windows che non sono stati riavviati entro il numero di giorni specificato Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se la proprietà WMI LastBootUpTime nella classe Win32_Operatingsystem non è compresa nell'intervallo di giorni fornito dal parametro dei criteri. auditIfNotExists 2.0.0
Controlla i computer Windows in cui sono installate le applicazioni specificate Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il nome dell'applicazione viene trovato in uno dei percorsi del Registro di sistema seguenti: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 2.0.0
Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il gruppo Administrators locale contiene membri non elencati nel parametro dei criteri. auditIfNotExists 2.0.0
Controlla le macchine virtuali Windows in attesa di riavvio Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il computer è in attesa di riavvio per uno dei motivi seguenti: manutenzione basata su componenti, Windows Update, ridenominazione file in sospeso, ridenominazione computer in sospeso, Gestione configurazione in attesa di riavvio. Per ogni rilevamento è presente un percorso del Registro di sistema univoco. auditIfNotExists 2.0.0
L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed AuditIfNotExists, Disabled 3.2.0
La soluzione Backup di Azure deve essere abilitata per le macchine virtuali È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. AuditIfNotExists, Disabled 3.0.0
Le istanze di ruolo Servizi cloud (supporto esteso) devono essere configurate in modo sicuro Proteggere le istanze di ruolo Servizio cloud (supporto esteso) da attacchi, verificando che non siano esposte a vulnerabilità del sistema operativo. AuditIfNotExists, Disabled 1.0.0
Per le istanze di ruolo Servizi cloud (supporto esteso) dovrebbe essere installata una soluzione di protezione degli endpoint Proteggere le istanze di ruolo Servizi cloud (supporto esteso) da minacce e vulnerabilità garantendo l'installazione di una soluzione di protezione degli endpoint in queste istanze. AuditIfNotExists, Disabled 1.0.0
Per le istanze di ruolo Servizi cloud (supporto esteso) devono essere installati gli aggiornamenti di sistema Proteggere le istanze di ruolo Servizi cloud (supporto esteso) assicurandosi che in queste istanze siano installati gli aggiornamenti critici e di sicurezza più recenti. AuditIfNotExists, Disabled 1.0.0
Configurare Azure Defender per server da disabilitare per tutte le risorse (livello di risorsa) Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. Questo criterio disabiliterà il piano Defender per server per tutte le risorse (VM, VMSS e computer ARC) nell'ambito selezionato (sottoscrizione o gruppo di risorse). DeployIfNotExists, Disabled 1.0.0
Configurare Azure Defender per server da disabilitare per le risorse (livello di risorsa) con il tag selezionato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. Questo criterio disabiliterà il piano Defender per server per tutte le risorse (VM, VMSS e computer ARC) con il nome e i valori di tag selezionati. DeployIfNotExists, Disabled 1.0.0
Configurare Azure Defender per server da abilitare (sottopiano 'P1' ) per tutte le risorse (livello di risorsa) con il tag selezionato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. Questo criterio abiliterà il piano Defender per server (con sottopiano "P1") per tutte le risorse (VM e computer ARC) con il nome e i valori dei tag selezionati. DeployIfNotExists, Disabled 1.0.0
Configurare Azure Defender per server da abilitare (con sottopiano "P1") per tutte le risorse (livello di risorsa) Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. Questo criterio abiliterà il piano Defender per server (con sottopiano "P1") per tutte le risorse (VM e computer ARC) nell'ambito selezionato (sottoscrizione o gruppo di risorse). DeployIfNotExists, Disabled 1.0.0
Configurare il backup nelle macchine virtuali con un tag specifico in un nuovo insieme di credenziali di Servizi di ripristino con un criterio predefinito Impone il backup per tutte le macchine virtuali distribuendo un insieme di credenziali di Servizi di ripristino nella stessa località e nello stesso gruppo di risorse della macchina virtuale. Questa operazione è utile quando a team di applicazioni diversi all'interno dell'organizzazione vengono allocati gruppi di risorse separati ed è necessario gestirne i backup e i ripristini. Facoltativamente, è possibile includere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMAppCentricBackupIncludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.4.0
Configurare il backup nelle macchine virtuali con un tag specifico in un insieme di credenziali di Servizi di ripristino esistente nella stessa località Impone il backup per tutte le macchine virtuali eseguendone il backup in insieme di credenziali di Servizi di ripristino esistente nella stessa località e sottoscrizione della macchina virtuale. Questa operazione è utile quando un team centrale dell'organizzazione gestisce i backup per tutte le risorse in una sottoscrizione. Facoltativamente, è possibile includere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMCentralBackupIncludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.4.0
Configurare il backup nelle macchine virtuali senza un tag specifico in un nuovo insieme di credenziali di Servizi di ripristino con un criterio predefinito Impone il backup per tutte le macchine virtuali distribuendo un insieme di credenziali di Servizi di ripristino nella stessa località e nello stesso gruppo di risorse della macchina virtuale. Questa operazione è utile quando a team di applicazioni diversi all'interno dell'organizzazione vengono allocati gruppi di risorse separati ed è necessario gestirne i backup e i ripristini. Facoltativamente, è possibile escludere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMAppCentricBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.4.0
Configurare il backup nelle macchine virtuali senza un tag specifico in un insieme di credenziali di Servizi di ripristino esistente nella stessa località Impone il backup per tutte le macchine virtuali eseguendone il backup in insieme di credenziali di Servizi di ripristino esistente nella stessa località e sottoscrizione della macchina virtuale. Questa operazione è utile quando un team centrale dell'organizzazione gestisce i backup per tutte le risorse in una sottoscrizione. Facoltativamente, è possibile escludere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMCentralBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.4.0
Configurare il ripristino di emergenza nelle macchine virtuali abilitando la replica tramite Azure Site Recovery Le macchine virtuali senza configurazioni di ripristino di emergenza sono vulnerabili a interruzioni e altre interruzioni. Se la macchina virtuale non dispone già di un ripristino di emergenza configurato, verrà avviata la stessa operazione abilitando la replica usando configurazioni predefinite per facilitare la continuità aziendale. Facoltativamente, è possibile includere/escludere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. DeployIfNotExists, Disabled 2.1.0
Configurare le risorse di accesso al disco con endpoint privati Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle risorse di accesso al disco, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/disksprivatelinksdoc. DeployIfNotExists, Disabled 1.0.0
Configurare computer Linux da associare a una regola di raccolta dati o a un endpoint di raccolta dati Distribuire associazione per collegare macchine virtuali Linux, set di scalabilità di macchine virtuali e computer Arc alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. DeployIfNotExists, Disabled 6.5.1
Configurare il server Linux per disabilitare gli utenti locali. Crea un'assegnazione di configurazione guest per configurare la disabilitazione degli utenti locali in Linux Server. In questo modo, i server Linux possono accedere solo tramite l'account AAD (Azure Active Directory) o un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. DeployIfNotExists, Disabled 1.3.0-anteprima
Configurare i set di scalabilità di macchine virtuali Linux da associare a una regola di raccolta dati o a un endpoint di raccolta dati Distribuire associazione per collegare i set di scalabilità di macchine virtuali Linux alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. DeployIfNotExists, Disabled 4.4.1
Configurare i set di scalabilità di macchine virtuali Linux per eseguire l'agente di Monitoraggio di Azure con l'autenticazione basata sull'identità gestita assegnata dal sistema Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Linux per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview DeployIfNotExists, Disabled 3.6.0
Configurare i set di scalabilità di macchine virtuali Linux per eseguire l'agente di Monitoraggio di Azure con l'autenticazione basata sull'identità gestita assegnata dall'utente Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Linux per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview DeployIfNotExists, Disabled 3.8.0
Configurare le macchine virtuali Linux da associare a una regola di raccolta dati o a un endpoint di raccolta dati Implementare associazione per collegare le macchine virtuali Linux alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. DeployIfNotExists, Disabled 4.4.1
Configurare le macchine virtuali Linux per eseguire l'agente di Monitoraggio di Azure con l'autenticazione basata sull'identità gestita assegnata dal sistema Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Linux per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview DeployIfNotExists, Disabled 3.6.0
Configurare le macchine virtuali Linux per eseguire l'agente di Monitoraggio di Azure con l'autenticazione basata sull'identità gestita assegnata dall'utente Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Linux per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview DeployIfNotExists, Disabled 3.8.0
Configurare i computer per ricevere un provider di valutazione della vulnerabilità Azure Defender include l'analisi delle vulnerabilità per i computer senza costi aggiuntivi. Non è necessaria una licenza Qualys, né un account Qualys: tutto viene gestito senza interruzioni all'interno del Centro sicurezza. Quando si abilita questo criterio, Azure Defender distribuisce automaticamente il provider di valutazione della vulnerabilità Qualys in tutti i computer supportati che non lo hanno già installato. DeployIfNotExists, Disabled 4.0.0
Configurare i dischi gestiti per disabilitare l'accesso alla rete pubblica Disabilitare l'accesso alla rete pubblica per la risorsa disco gestita, in modo che non sia accessibile su Internet. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/disksprivatelinksdoc. Modifica, disattivato 2.0.0
Configurare il controllo periodico per gli aggiornamenti di sistema mancanti nelle macchine virtuali Azure Configurare la valutazione automatica (ogni 24 ore) per gli aggiornamenti del sistema operativo in macchine virtuali native di Azure. È possibile controllare l'ambito dell'assegnazione in base alla sottoscrizione del computer, al gruppo di risorse, alla posizione o al tag. Altre informazioni su questo argomento per Windows: https://aka.ms/computevm-windowspatchassessmentmode, per Linux: https://aka.ms/computevm-linuxpatchassessmentmode. modify 4.8.0
Configurare protocolli di comunicazione sicuri (TLS 1.1 o TLS 1.2) su macchine Windows. Crea un'assegnazione della configurazione guest per configurare la versione del protocollo di protezione specificata (TLS 1.1 o TLS 1.2) sulla macchina Windows DeployIfNotExists, Disabled 1.0.1
Configurare macchine virtuali SQL per installare automaticamente l'agente di Monitoraggio di Azure Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali SQL Windows. Altre informazioni: https://aka.ms/AMAOverview DeployIfNotExists, Disabled 1.5.0
Configurare macchine virtuali SQL per installare automaticamente Microsoft Defender per SQL Configurare macchine virtuali SQL Windows per installare automaticamente l'estensione Microsoft Defender per SQL. Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). DeployIfNotExists, Disabled 1.5.0
Configurare il comportamento di sicurezza SSH per Linux (basato su OSConfig) Questo criterio controlla e configura la configurazione della sicurezza del server SSH nei computer Linux (macchine virtuali di Azure e computer abilitati per Arc). Per altre informazioni, inclusi i prerequisiti, le impostazioni nell'ambito, le impostazioni predefinite e la personalizzazione, vedere https://aka.ms/SshPostureControlOverview DeployIfNotExists, Disabled 1.0.1
Configura il fuso orario nelle macchine Windows. Questo criterio crea un'assegnazione della configurazione guest per impostare il fuso orario specificato nelle macchine virtuali Windows. deployIfNotExists 2.1.0
Configura le macchine virtuali per l'onboarding in Gestione automatica di Azure Gestione automatica di Azure registra, configura e monitora le macchine virtuali con le procedure consigliate definite in Microsoft Cloud Adoption Framework per Azure. Usare questo criterio per applicare Gestione automatica all'ambito selezionato. AuditIfNotExists, DeployIfNotExists, Disabled 2.4.0
Configurare le macchine virtuali di cui eseguire l'onboarding per Gestione automatica di Azure con il profilo di configurazione personalizzato Gestione automatica di Azure registra, configura e monitora le macchine virtuali con le procedure consigliate definite in Microsoft Cloud Adoption Framework per Azure. Usare questo criterio per applicare la gestione automatica con il proprio profilo di configurazione personalizzato all'ambito selezionato. AuditIfNotExists, DeployIfNotExists, Disabled 1.4.0
Configurare i computer Windows da associare a una regola di raccolta dati o a un endpoint di raccolta dati Distribuire associazione per collegare macchine virtuali Windows, set di scalabilità di macchine virtuali e computer Arc alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. DeployIfNotExists, Disabled 4.5.1
Configurare i set di scalabilità di macchine virtuali Windows da associare a una regola di raccolta dati o a un endpoint di raccolta dati Distribuire associazione per collegare i set di scalabilità di macchine virtuali Windows alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. DeployIfNotExists, Disabled 3.3.1
Configurare i set di scalabilità delle macchine virtuali Windows per eseguire Agente di Monitoraggio di Azure usando l'identità gestita assegnata dal sistema Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Windows per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview DeployIfNotExists, Disabled 3.4.0
Configurare i set di scalabilità delle macchine virtuali Windows per eseguire Agente di Monitoraggio di Azure con l'autenticazione basata sull'identità gestita assegnata dall'utente Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Windows per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview DeployIfNotExists, Disabled 1.6.0
Configurare le macchine virtuali Windows da associare a una regola di raccolta dati o a un endpoint di raccolta dati Distribuire associazione per collegare le macchine virtuali Windows alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. DeployIfNotExists, Disabled 3.3.1
Configurare le macchine virtuali Windows per l'esecuzione di Agente di Monitoraggio di Azure usando l'identità gestita assegnata dal sistema Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Windows per raccogliere dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview DeployIfNotExists, Disabled 4.4.0
Configurare le macchine virtuali Windows per eseguire l'Agente di Monitoraggio di Azure con l'autenticazione basata sull'identità gestita assegnata dall'utente Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Windows per raccogliere dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview DeployIfNotExists, Disabled 1.6.0
Creare e assegnare un'identità gestita assegnata dall'utente predefinita Creare e assegnare un'identità gestita assegnata dall'utente predefinita su larga scala alle macchine virtuali SQL. AuditIfNotExists, DeployIfNotExists, Disabled 1.7.0
Dependency Agent deve essere abilitato nelle immagini delle macchine virtuali nell'elenco Segnala le macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'agente non è installato. L'elenco delle immagini del sistema operativo viene aggiornato nel tempo, man mano che il supporto viene aggiornato. AuditIfNotExists, Disabled 2.0.0
Dependency Agent deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali nell'elenco Segnala i set di scalabilità di macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'agente non è installato. L'elenco delle immagini del sistema operativo viene aggiornato nel tempo, man mano che il supporto viene aggiornato. AuditIfNotExists, Disabled 2.0.0
Implementare - Configurare Dependency Agent da abilitare nei set di scalabilità macchine virtuali Windows Implementare Dependency Agent per i set di scalabilità di macchine virtuali di Windows se l'immagine della macchina virtuale è nell'elenco definito e l'agente non è installato. Se il set di scalabilità upgradePolicy è impostato su Manuale, è necessario applicare l'estensione a tutte le macchine virtuali nel set aggiornandole. DeployIfNotExists, Disabled 3.2.0
Implementare - Configurare Dependency Agent da abilitare nelle macchine virtuali Windows Implementare Dependency Agent per le macchine virtuali Windows se l'immagine della macchina virtuale è nell'elenco definito e l'agente non è installato. DeployIfNotExists, Disabled 3.2.0
Implementare - Configurare l'estensione di Log Analytics da abilitare nei set di scalabilità di macchine virtuali Windows Distribuire l'estensione Log Analytics per i set di scalabilità di macchine virtuali Windows se l'immagine della macchina virtuale è nell'elenco definito e l'estensione non è installata. Se il set di scalabilità upgradePolicy è impostato su Manuale, è necessario applicare l'estensione a tutte le macchine virtuali nel set aggiornandole. Nota di deprecazione: l'agente di Log Analytics si trova in un percorso deprecato e non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione all'agente di Monitoraggio di Azure sostitutivo prima di tale data. DeployIfNotExists, Disabled 3.1.0
Implementare - Configurare l'estensione di Log Analytics da abilitare nelle macchine virtuali Windows Implementare l'estensione Log Analytics per le macchine virtuali Windows se l'immagine della macchina virtuale è nell'elenco definito e l'estensione non è installata. Nota di deprecazione: l'agente di Log Analytics si trova in un percorso deprecato e non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione all'agente di Monitoraggio di Azure sostitutivo prima di tale data. DeployIfNotExists, Disabled 3.1.0
Distribuisci estensione IaaSAntimalware Microsoft predefinita per Windows Server Questo criterio distribuisce un'estensione IaaSAntimalware Microsoft con una configurazione predefinita quando in una macchina virtuale non è configurata l'estensione antimalware. deployIfNotExists 1.1.0
Distribuisci Dependency Agent per i set di scalabilità di macchine virtuali Linux Distribuisce Dependency Agent per i set di scalabilità di macchine virtuali Linux se l'immagine (sistema operativo) della macchina virtuale è nell'elenco definito e l'agente non è installato. Nota: se la proprietà upgradePolicy del set di scalabilità è impostata su Manual, è necessario applicare l'estensione a tutte le macchine virtuali nel set chiamandone l'aggiornamento. Nell'interfaccia della riga di comando il comando da usare è az vmss update-instances. deployIfNotExists 5.1.0
Implementare Dependency Agent per i set di scalabilità di macchine virtuali Linux con le impostazioni dell'agente di Monitoraggio di Azure Implementare l'agente di dipendenza per i set di macchine virtuali Linux con le impostazioni di Azure Monitoring Agent se l'immagine della macchina virtuale (OS) è nell'elenco definito e l'agente non è installato. Nota: se la proprietà upgradePolicy del set di scalabilità è impostata su Manual, è necessario applicare l'estensione a tutte le macchine virtuali nel set chiamandone l'aggiornamento. Nell'interfaccia della riga di comando il comando da usare è az vmss update-instances. DeployIfNotExists, Disabled 3.2.0
Distribuisci Dependency Agent per le macchine virtuali Linux Distribuisce Dependency Agent per le macchine virtuali Linux se l'immagine della macchina virtuale (sistema operativo) è nell'elenco definito e l'agente non è installato. deployIfNotExists 5.1.0
Implementare Dependency Agent per le macchine virtuali Linux con le impostazioni dell'agente di Monitoraggio di Azure Implementare Dependency Agent per le macchine virtuali Linux con le impostazioni dell'agente di Monitoraggio di Azure se l'immagine (sistema operativo) della macchina virtuale è nell'elenco definito e l'agente non è installato. DeployIfNotExists, Disabled 3.2.0
Implementare Dependency Agent da abilitare nei set di scalabilità di macchine virtuali con le impostazioni dell'agente di Monitoraggio di Azure Implementare l'agente di dipendenza per i set di macchine virtuali Windows con le impostazioni di Azure Monitoring Agent se l'immagine della macchina virtuale è nell'elenco definito e l'agente non è installato. Se il set di scalabilità upgradePolicy è impostato su Manuale, è necessario applicare l'estensione a tutte le macchine virtuali nel set aggiornandole. DeployIfNotExists, Disabled 1.3.0
Implementare Dependency Agent da abilitare nelle macchine virtuali Windows con le impostazioni dell'agente di Monitoraggio di Azure Implementare Dependency Agent per le macchine virtuali Windows con le impostazioni dell'agente di Monitoraggio di Azure se l'immagine della macchina virtuale è nell'elenco definito e l'agente non è installato. DeployIfNotExists, Disabled 1.3.0
Implementare l'estensione Log Analytics per i set di macchine virtuali Linux. Vedere l'avviso di deprecazione riportato di seguito Implementare l'estensione Log Analytics per i set di macchine virtuali Linux se l'immagine della macchina virtuale (OS) è nell'elenco definito e l'estensione non è installata. Nota: se il set di scalabilità upgradePolicy è impostato su manuale, è necessario applicare l'estensione a tutte le VM del set tramite una chiamata di aggiornamento. Nell'interfaccia della riga di comando il comando da usare è az vmss update-instances. Avviso di deprecazione: l'agente di Log Analytics non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione alla sostituzione dell'agente di Monitoraggio di Azure prima di tale data deployIfNotExists 3.0.0
Distribuire l'estensione Log Analytics per le macchine virtuali Linux. Vedere l'avviso di deprecazione riportato di seguito Implementare l'estensione Log Analytics per le macchine virtuali Linux se l'immagine della macchina virtuale (OS) è nell'elenco definito e l'estensione non è installata. Nota di deprecazione: l'agente di Log Analytics si trova in un percorso deprecato e non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione alla sostituzione dell'agente di Monitoraggio di Azure prima di tale data deployIfNotExists 3.0.0
Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Linux è un prerequisito per tutte le assegnazioni di Configurazione guest di Linux e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 3.1.0
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 1.2.0
Le risorse di accesso al disco devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
I dischi e l'immagine del sistema operativo devono supportare TrustedLaunch TrustedLaunch migliora la sicurezza di una macchina virtuale che richiede il supporto dell'immagine del disco del sistema operativo (Gen 2). Per altre informazioni su TrustedLaunch, visitare https://aka.ms/trustedlaunch Audit, Disabled 1.0.0
È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerle dalle minacce e dalle vulnerabilità più recenti. Le soluzioni Endpoint Protection supportate dal Centro sicurezza di Azure sono documentate qui: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valutazione di Endpoint Protection è documentata qui: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0
È necessario installare Endpoint Protection nei computer Per proteggere i computer da minacce e vulnerabilità, installare una soluzione supportata di Endpoint Protection. AuditIfNotExists, Disabled 1.0.0
La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali Controlla la presenza e l'integrità di una soluzione Endpoint Protection nei set di scalabilità di macchine virtuali per proteggerli da minacce e vulnerabilità. AuditIfNotExists, Disabled 3.0.0
L'estensione Configurazione guest deve essere installata nei computer Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni in guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
La patch a caldo deve essere abilitata per le macchine virtuali Windows Server Azure Edition Ridurre al minimo i riavvii e installare rapidamente gli aggiornamenti con hotpatch. Per altre informazioni: https://docs.microsoft.com/azure/automanage/automanage-hotpatch Audit, Deny, Disabled 1.0.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
L'inoltro IP nella macchina virtuale deve essere disabilitato L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. AuditIfNotExists, Disabled 3.0.0
I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. AuditIfNotExists, Disabled 2.2.0
I computer Linux devono includere solo account locali consentiti Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. La gestione degli account utente con Azure Active Directory è una procedura consigliata per la gestione delle identità. La riduzione degli account del computer locale consente di evitare la proliferazione delle identità gestite all'esterno di un sistema centrale. I computer non sono conformi se esistono account utente locali abilitati e non elencati nel parametro dei criteri. AuditIfNotExists, Disabled 2.2.0
Nei set di scalabilità di macchine virtuali deve essere installato l'agente di Monitoraggio di Azure I set di scalabilità di macchine virtuali Linux devono essere monitorati e protetti tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. Questo criterio controlla i set di scalabilità di macchine virtuali con immagini del sistema operativo supportate nelle aree supportate. Altre informazioni: https://aka.ms/AMAOverview AuditIfNotExists, Disabled 3.3.0
Le macchine virtuali Linux devono abilitare Crittografia dischi di Azure o EncryptionAtHost. Anche se il sistema operativo e i dischi dati di una macchina virtuale sono crittografati inattivi per impostazione predefinita tramite chiavi gestite dalla piattaforma; i dischi delle risorse (dischi temporanei), le cache dei dati e il flusso di dati tra risorse di calcolo e archiviazione non vengono crittografati. Usare Crittografia dischi di Azure o EncryptionAtHost per correggere. Visitare https://aka.ms/diskencryptioncomparison per confrontare le offerte di crittografia. Questo criterio richiede due prerequisiti da distribuire nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.2.1
Nelle macchine virtuali Linux deve essere installato l'agente di Monitoraggio di Azure Le macchine virtuali Linux devono essere monitorate e protette tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. Questo criterio controlla le macchine virtuali con immagini del sistema operativo supportate nelle aree supportate. Altre informazioni: https://aka.ms/AMAOverview AuditIfNotExists, Disabled 3.3.0
I metodi di autenticazione locali devono essere disabilitati nei computer Linux Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i server Linux non dispongono di metodi di autenticazione locali disabilitati. Ciò consente di verificare che i server Linux siano accessibili solo dall'account AAD (Azure Active Directory) o da un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. AuditIfNotExists, Disabled 1.2.0-preview
I metodi di autenticazione locali devono essere disabilitati nei server Windows Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i server Windows non dispongono di metodi di autenticazione locali disabilitati. Ciò consente di verificare che i server Windows siano accessibili solo dall'account AAD (Azure Active Directory) o da un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. AuditIfNotExists, Disabled 1.0.0-preview
L'agente di Log Analytics deve essere installato nelle istanze di ruolo Servizi cloud (supporto esteso) Centro sicurezza raccoglie i dati dalle istanze di ruolo Servizi cloud (supporto esteso) per monitorare le vulnerabilità e le minacce per la sicurezza. AuditIfNotExists, Disabled 2.0.0
L'estensione di Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali nell'elenco Segnala i set di scalabilità di macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'estensione non è installata. AuditIfNotExists, Disabled 2.0.1
I computer devono essere configurati per verificare periodicamente la presenza di aggiornamenti del sistema mancanti Per garantire che le valutazioni periodiche per gli aggiornamenti di sistema mancanti vengano attivate automaticamente ogni 24 ore, la proprietà AssessmentMode deve essere impostata su "AutomaticByPlatform". Altre informazioni sulla proprietà AssessmentMode per Windows: https://aka.ms/computevm-windowspatchassessmentmode, per Linux: https://aka.ms/computevm-linuxpatchassessmentmode. Audit, Deny, Disabled 3.7.0
È necessario che i risultati per i segreti delle macchine virtuali siano risolti Controlla le macchine virtuali per rilevare se contengono risultati segreti dalle soluzioni di analisi dei segreti nelle macchine virtuali. AuditIfNotExists, Disabled 1.0.2
Ai dischi gestiti deve essere applicata la doppia crittografia con chiave gestita dalla piattaforma e chiave gestita dal cliente I clienti sensibili alla sicurezza elevata che temono il rischio associato alla compromissione di un particolare algoritmo, implementazione o chiave di crittografia possono optare per un livello di crittografia aggiuntivo che utilizza un algoritmo/modalità di crittografia diverso a livello di infrastruttura, utilizzando chiavi di crittografia gestite dalla piattaforma. I set di crittografia del disco sono necessari per usare la doppia crittografia. Per ulteriori informazioni, vedi https://aka.ms/disks-doubleEncryption. Audit, Deny, Disabled 1.0.0
I dischi gestiti devono disabilitare l'accesso alla rete pubblica La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che un disco gestito non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dei dischi gestiti. Per altre informazioni, vedere https://aka.ms/disksprivatelinksdoc. Audit, Disabled 2.0.0
I dischi gestiti devono usare un set di crittografia dischi specifico per la crittografia con chiave gestita dal cliente La richiesta di un set specifico di set di crittografia del disco da usare con i dischi gestiti consente di controllare le chiavi usate per la crittografia dei dati inattivi. È possibile selezionare i set crittografati consentiti e tutti gli altri vengono rifiutati quando collegati a un disco. Per ulteriori informazioni, vedi https://aka.ms/disks-cmk. Audit, Deny, Disabled 2.0.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0
È consigliabile chiudere le porte di gestione nelle macchine virtuali Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. AuditIfNotExists, Disabled 3.0.0
È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione Questo criterio controlla le macchine virtuali Windows non configurate con l'aggiornamento automatico delle firme di protezione di Microsoft Antimalware. AuditIfNotExists, Disabled 1.0.0
È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows Questo criterio controlla le macchine virtuali Windows Server in cui non è distribuita l'estensione Microsoft IaaSAntimalware. AuditIfNotExists, Disabled 1.1.0
Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure I server in cui non è installato un agente di Endpoint Protection verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Devono essere installate solo le estensioni macchina virtuale approvate Questo criterio regolamenta le estensioni macchina virtuale non approvate. Audit, Deny, Disabled 1.0.0
Il sistema operativo e i dischi dati devono essere crittografati con una chiave gestita dal cliente Utilizzare le chiavi gestite dal cliente per gestire la crittografia a riposo del contenuto dei dischi gestiti. Per impostazione predefinita, i dati sono crittografati quando sono inattivi con chiavi gestite dalla piattaforma, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/disks-cmk. Audit, Deny, Disabled 3.0.0
Gli endpoint privati per le assegnazioni di Configurazione guest devono essere abilitati Le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata alla configurazione guest per le macchine virtuali. Le macchine virtuali non saranno conformi a meno che non dispongano del tag "EnablePrivateNetworkGC". Questo tag applica la comunicazione sicura tramite la connettività privata alla configurazione guest per le macchine virtuali. La connettività privata limita l'accesso al traffico proveniente solo da reti note e impedisce l'accesso da tutti gli altri indirizzi IP, incluso in Azure. Audit, Deny, Disabled 1.1.0
Proteggere i dati con i requisiti di autenticazione durante l'esportazione o il caricamento in un disco o uno snapshot. Quando si usa l'URL di esportazione/caricamento, il sistema controlla se l'utente ha un'identità in Azure Active Directory e dispone delle autorizzazioni necessarie per esportare/caricare i dati. Fare riferimento a aka.ms/DisksAzureADAuth. Modifica, disattivato 1.0.0
Richiedi l'applicazione automatica di patch alle immagini del sistema operativo nei set di scalabilità di macchine virtuali Questo criterio impone l'abilitazione dell'applicazione automatica di patch alle immagini del sistema operativo nei set di scalabilità di macchine virtuali per mantenere sempre protette le macchine virtuali, applicando le patch di sicurezza più recenti ogni mese. rifiutare 1.0.0
Pianificare gli aggiornamenti ricorrenti con Gestione aggiornamenti di Azure È possibile usare Gestione aggiornamenti di Azure in Azure per salvare le pianificazioni di distribuzione ricorrenti per installare gli aggiornamenti del sistema operativo per i computer Windows Server e Linux in Azure, negli ambienti locali e in altri ambienti cloud connessi usando i server abilitati per Azure Arc. Questo criterio modificherà anche la modalità patch per la macchina virtuale di Azure in "AutomaticByPlatform". Altro: https://aka.ms/umc-scheduled-patching DeployIfNotExists, Disabled 3.12.0
I risultati delle vulnerabilità devono essere risolti nei server SQL Valutazione della vulnerabilità di SQL analizza il database per individuare vulnerabilità a livello di sicurezza ed espone eventuali scostamenti dalle procedure consigliate, ad esempio configurazioni errate, autorizzazioni eccessive e dati sensibili non protetti. La risoluzione delle vulnerabilità rilevate può migliorare significativamente il comportamento di sicurezza del database. AuditIfNotExists, Disabled 1.0.0
È consigliabile installare gli aggiornamenti di sistema nei computer (tramite Update Center) Nei computer mancano aggiornamenti di sistema, di sicurezza e critici. Gli aggiornamenti software spesso includono patch critiche per i problemi di sicurezza. Tali vulnerabilità vengono spesso sfruttate in attacchi di malware, quindi è fondamentale tenere aggiornato il software. Per installare tutte le patch in sospeso e proteggere i computer, seguire la procedura di correzione. AuditIfNotExists, Disabled 1.0.1
L'estensione Log Analytics legacy non deve essere installata nei set di scalabilità di macchine virtuali Linux Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione dell'agente legacy nei set di scalabilità di macchine virtuali Linux. Altre informazioni: https://aka.ms/migratetoAMA Rifiutare, controllare, disabilitato 1.0.0
L'estensione Log Analytics legacy non deve essere installata nelle macchine virtuali Linux Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione dell'agente legacy nelle macchine virtuali Linux. Altre informazioni: https://aka.ms/migratetoAMA Rifiutare, controllare, disabilitato 1.0.0
L'estensione di Log Analytics deve essere installata nei set di scalabilità di macchine virtuali Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione dell'agente legacy nei set di scalabilità di macchine virtuali Windows. Altre informazioni: https://aka.ms/migratetoAMA Rifiutare, controllare, disabilitato 1.0.0
L'estensione Log analytics legacy non deve essere installata nelle macchine virtuali Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione dell'agente legacy nelle macchine virtuali Windows. Altre informazioni: https://aka.ms/migratetoAMA Rifiutare, controllare, disabilitato 1.0.0
L'estensione di Log Analytics deve essere installata nei set di scalabilità di macchine virtuali Questo criterio controlla i set di scalabilità di macchine virtuali Windows/Linux in cui non è installata l'estensione di Log Analytics. AuditIfNotExists, Disabled 1.0.1
Per la macchina virtuale deve essere abilitato TrustedLaunch Abilitare TrustedLaunch nella macchina virtuale per una sicurezza avanzata, usare lo SKU della macchina virtuale (Gen 2) che supporta TrustedLaunch. Per altre informazioni su TrustedLaunch, visitare https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch Audit, Disabled 1.0.0
Per le macchine virtuali e i set di scalabilità di macchine virtuali deve essere abilitata la crittografia a livello di host Usare la crittografia nell'host per ottenere la crittografia end-to-end per la macchina virtuale e i dati del set di scalabilità di macchine virtuali. La crittografia nell'host abilita la crittografia dei dati inattivi per le cache del disco temporaneo e del sistema operativo/disco dati. Quando è abilitata la crittografia nell'host, i dischi temporanei e del sistema operativo temporaneo vengono crittografati con chiavi gestite dalla piattaforma. Le cache del disco del sistema operativo/dati vengono crittografate inattive con chiave gestita dal cliente o gestita dalla piattaforma, a seconda del tipo di crittografia selezionato sul disco. Per ulteriori informazioni, vedi https://aka.ms/vm-hbe. Audit, Deny, Disabled 1.0.0
Le macchine virtuali devono essere connesse a un'area di lavoro specificata Segnala le macchine virtuali come non conformi se non si connettono all'area di lavoro Log Analytics specificata nell'assegnazione dei criteri o dell'iniziativa. AuditIfNotExists, Disabled 1.1.0
È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager Usare la nuova versione di Azure Resource Manager per le macchine virtuali per fornire funzionalità di sicurezza migliorate quali controllo di accesso (Controllo degli accessi in base al ruolo) più avanzato, controllo più accurato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata Audit, Deny, Disabled 1.0.0
Le macchine virtuali devono avere installato l'estensione di Log Analytics Questo criterio controlla le macchine virtuali Windows/Linux in cui non è installata l'estensione di Log Analytics. AuditIfNotExists, Disabled 1.0.1
L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio saranno non conformi se l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1
Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.1.0
Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali Windows Defender Exploit Guard usa l’agente di Configurazione guest di Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). AuditIfNotExists, Disabled 2.0.0
I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. AuditIfNotExists, Disabled 4.1.1
I computer Windows devono configurare Windows Defender per aggiornare le firme di protezione entro un giorno Per garantire una protezione adeguata contro il malware appena rilasciato, le firme di protezione di Windows Defender devono essere aggiornate regolarmente per tenere conto del malware appena rilasciato. Questo criterio non viene applicato ai server connessi ad Arc e richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1
I computer Windows devono abilitare la protezione in tempo reale di Windows Defender I computer Windows devono abilitare la protezione in tempo reale in Windows Defender per garantire una protezione adeguata contro il malware appena rilasciato. Questo criterio non è applicabile ai server connessi ad arco e richiede che i prerequisiti di Configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1
I computer Windows devono soddisfare i requisiti per 'Modelli amministrativi - Pannello di controllo' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - Pannello di controllo' per personalizzare l'input e impedire l'abilitazione delle schermate di blocco. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Modelli amministrativi - MSS (legacy)' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - MSS (legacy)' per accesso automatico, screen saver, comportamento della rete, file DLL sicuro e log eventi. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Modelli amministrativi - Rete' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - Rete' per accessi guest, connessioni simultanee, bridge di rete, ICS e risoluzione dei nomi multicast. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Modelli amministrativi - Sistema' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - Sistema' per impostazioni che controllano l'esperienza di amministrazione e Assistenza remota. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Account' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Account' per limitare l'uso di password vuote e lo stato dell'account guest per account locali. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Controllo' per forzare la sottocategoria dei criteri di controllo e arrestare il sistema se non riesce a registrare i controlli di sicurezza. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Dispositivi' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Dispositivi' per il disinserimento senza accesso, l'installazione di driver della stampante e la formattazione/espulsione di supporti. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso interattivo' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Accesso interattivo' per visualizzare il nome dell'ultimo utente e richiedere la pressione della combinazione di tasti CTRL+ALT+CANC. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Client di rete Microsoft' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Client di rete Microsoft' per client/server di rete Microsoft e SMB v1. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Server di rete Microsoft' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Server di rete Microsoft' per disabilitare il server SMB v1. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Accesso alla rete' per includere l'accesso per utenti anonimi, account locali e accesso remoto al Registro di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Sicurezza di rete' per includere il comportamento di Sistema locale, PKU2U, LAN Manager, client LDAP e SSP NTLM. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Console di ripristino di emergenza' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Console di ripristino di emergenza' per consentire la copia su disco floppy e l'accesso a tutte le unità e a tutte le cartelle. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Arresto del sistema' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Arresto del sistema' per consentire l'arresto del sistema senza accesso e la cancellazione del file di paging della memoria virtuale. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Oggetti di sistema' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Oggetti di sistema' per la mancata distinzione maiuscole/minuscole per sottosistemi non Windows e autorizzazioni di oggetti di sistema interni. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Impostazioni di sistema' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Impostazioni di sistema' per le regole dei certificati sugli eseguibili per i criteri di restrizione software e i sottosistemi facoltativi. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo dell'account utente' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Controllo dell'account utente' per la modalità per amministratori, il comportamento della richiesta di elevazione dei privilegi e la virtualizzazione di file ed errori di scrittura del Registro di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Impostazioni di sicurezza - Criteri account' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Impostazioni di sicurezza - Criteri account' per cronologia, scadenza, lunghezza e complessità delle password e per archiviare le password con la crittografia reversibile. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Accesso account' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Accesso account' per controllare la convalida delle credenziali e altri eventi di accesso account. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Gestione account' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Gestione Account' per il controllo della gestione di applicazioni, sicurezza e gruppi di utenti e per altri eventi di gestione. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Analisi dettagliata' per il controllo di DPAPI, creazione/terminazione di processi, eventi RPC e attività PNP. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Accesso/Disconnessione' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Accesso/Disconnessione' per il controllo di IPSec, criteri di rete, attestazioni, blocco degli account, appartenenza a gruppi ed eventi di accesso/disconnessione. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Accesso agli oggetti' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Accesso agli oggetti' per il controllo di file, Registro di sistema, SAM, archiviazione, filtro, kernel e altri tipi di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Modifica dei criteri' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Modifica dei criteri' per il controllo delle modifiche apportate ai criteri di controllo del sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Uso dei privilegi' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Uso dei privilegi' per il controllo senza distinzione maiuscole/minuscole e l'uso di altri privilegi. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Sistema' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Sistema' per controllare driver IPsec, integrità di sistema, estensione di sistema, modifica dello stato e altri eventi di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Assegnazione diritti utente' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Assegnazione diritti utente' per consentire l'accesso in locale, RDP, l'accesso dalla rete e molte altre attività utente. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Componenti di Windows' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Componenti di Windows' per autenticazione di base, traffico non crittografato, account Microsoft, telemetria, Cortana e altri comportamenti di Windows. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti per 'Proprietà Windows Firewall' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Proprietà Windows Firewall' per lo stato, le connessioni, la gestione regole e le notifiche del firewall. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. AuditIfNotExists, Disabled 2.0.0
I computer Windows devono includere solo account locali consentiti Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Questa definizione non è supportata in Windows Server 2012 o 2012 R2. La gestione degli account utente con Azure Active Directory è una procedura consigliata per la gestione delle identità. La riduzione degli account del computer locale consente di evitare la proliferazione delle identità gestite all'esterno di un sistema centrale. I computer non sono conformi se esistono account utente locali abilitati e non elencati nel parametro dei criteri. AuditIfNotExists, Disabled 2.0.0
Nei set di scalabilità di macchine virtuali Windows deve essere installato l'agente di Monitoraggio di Azure I set di scalabilità di macchine virtuali Windows devono essere monitorati e protetti tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. I set di scalabilità di macchine virtuali con sistema operativo supportato e nelle aree supportate vengono monitorati per la distribuzione dell'agente di Monitoraggio di Azure. Altre informazioni: https://aka.ms/AMAOverview AuditIfNotExists, Disabled 3.2.0
Le macchine virtuali Windows devono abilitare Crittografia dischi di Azure o EncryptionAtHost. Anche se il sistema operativo e i dischi dati di una macchina virtuale sono crittografati inattivi per impostazione predefinita tramite chiavi gestite dalla piattaforma; i dischi delle risorse (dischi temporanei), le cache dei dati e il flusso di dati tra risorse di calcolo e archiviazione non vengono crittografati. Usare Crittografia dischi di Azure o EncryptionAtHost per correggere. Visitare https://aka.ms/diskencryptioncomparison per confrontare le offerte di crittografia. Questo criterio richiede due prerequisiti da distribuire nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.1.1
Nelle macchine virtuali Windows deve essere installato l'agente di Monitoraggio di Azure Le macchine virtuali Windows devono essere monitorate e protette tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. Le macchine virtuali Windows con sistema operativo supportato e nelle aree supportate vengono monitorate per la distribuzione dell'agente di Monitoraggio di Azure. Altre informazioni: https://aka.ms/AMAOverview AuditIfNotExists, Disabled 3.2.0

Microsoft.ClassicCompute

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. AuditIfNotExists, Disabled 3.0.0
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. AuditIfNotExists, Disabled 3.0.0
Controlla macchine virtuali in cui non è configurato il ripristino di emergenza Controlla le macchine virtuali in cui non è configurato il ripristino di emergenza. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. auditIfNotExists 1.0.0
È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerle dalle minacce e dalle vulnerabilità più recenti. Le soluzioni Endpoint Protection supportate dal Centro sicurezza di Azure sono documentate qui: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valutazione di Endpoint Protection è documentata qui: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0
È necessario installare Endpoint Protection nei computer Per proteggere i computer da minacce e vulnerabilità, installare una soluzione supportata di Endpoint Protection. AuditIfNotExists, Disabled 1.0.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
L'inoltro IP nella macchina virtuale deve essere disabilitato L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. AuditIfNotExists, Disabled 3.0.0
È necessario che i risultati per i segreti delle macchine virtuali siano risolti Controlla le macchine virtuali per rilevare se contengono risultati segreti dalle soluzioni di analisi dei segreti nelle macchine virtuali. AuditIfNotExists, Disabled 1.0.2
È consigliabile chiudere le porte di gestione nelle macchine virtuali Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. AuditIfNotExists, Disabled 3.0.0
Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure I server in cui non è installato un agente di Endpoint Protection verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager Usare la nuova versione di Azure Resource Manager per le macchine virtuali per fornire funzionalità di sicurezza migliorate quali controllo di accesso (Controllo degli accessi in base al ruolo) più avanzato, controllo più accurato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata Audit, Deny, Disabled 1.0.0
Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.1.0

Passaggi successivi